Showing posts with label fisma. Show all posts
Showing posts with label fisma. Show all posts

Tuesday, November 22, 2011

Why DIARMF, "Continuous Monitoring," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FISMA-isms Fail

I've posted about twenty FISMA stories over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years on this blog, but I haven't said anything for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year and a half. After reading Goodbye DIACAP, Hello DIARMF by Len Marzigliano, however, I thought it time to reiterate why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly "improved" FISMA is still a colossal failure.

First, a disclaimer: it's easy to be a cynic and a curmudgeon when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and security are involved. However, I think it is important for me to discuss this subject because it represents an incredible divergence between security people. On one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 divide we have "input-centric," "control-compliant," "we-can-prevent-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-threat" folks, and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side we have "output-centric," "field-assessed," "prevention eventually fails" folks. FISMA fans are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with FISMA? In his article Len expertly discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new DoD Information Assurance Risk Management Framework (DIARMF) in comparison to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older DoD Information Assurance Certification and Accreditation Process (DIACAP). DIARMF is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new FISMA" emphasis on "continuous monitoring" which I've discussed before.

Len writes "DIARMF represents DoD adoption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST Risk Management Framework process" and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caption "The six major steps of Risk Management Framework aligned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five phases of a System Development Lifecycle (SDLC)."

Does anything seem to be missing in that diagram? I immediately key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MONITOR Security Controls" box. As I reminded readers in Thoughts on New OMB FISMA Memo, control monitoring is not threat monitoring. The key to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" FISMA and "continuous monitoring" as seen in DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, described by Len:

Equally profound within DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased requirements for Continuous Monitoring activities. Each control (and control enhancement) will be attributed with a refresh rate (daily, weekly, monthly, yearly) and requisite updates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of each control will be packaged into a standardized XML format and uploaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberScope system where analysis, risk management, and correlation activities will be performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregate data.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than checking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture every three years or whatever insane interval that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old FISMA used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FISMA checks security posture more regularly, and centralizes posture reporting.

Wait, isn't that a good idea? Yes, it's a great idea -- but it's still control monitoring. I can't stress this enough; under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, a box can be totally owned but appear "green" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA dashboard because it's compliant with controls. Why? There is no emphasis on threat monitoring -- incident detection and response -- which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only hope we have against any real adversary.

Think I'm wrong? Read Len's words on CyberScope:

CyberScope is akin to a giant federal-wide SEIM system, where high-level incident management teams can quickly pull queries or drill down into system details to add analysis on system defenses and vulnerabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available intelligence on an attack. CyberScope data will also be used to track trends, make risk management decisions, and determine where help is needed to improve security posture.

If you're still not accepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, consider this football analogy.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old system, you measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You checked again three years later. You kept data on all your players but had no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game was.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, you measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You check again more regularly -- maybe even every hour, and store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a central location with a fancy Web UI. You keep data on all your players but still have no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is.

Until DoD, NIST, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r control-compliant cheerleaders figure out that this approach is a failure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's computers will remain compromised.

Note: There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with DIARMF -- read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section where Len says "This shakes out to easily over a hundred different possible control sets that can be attributed to systems" to see what I mean.

Saturday, April 24, 2010

Thoughts on New OMB FISMA Memo

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new OMB memorandum M-10-15, "FY 2010 Reporting Instructions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act and Agency Privacy Management." This InformationWeek article pretty well summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memo, but I'd like to share a few thoughts.

Long-time blog readers should know I've been writing about FISMA for five years, calling it a "joke," a "a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r kind words. Any departure from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous implementation is a welcome change.

However, it's critical to remember that control monitoring is not threat monitoring. Let's take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMB letter to see if we can see what is really changing for FISMA implementation.

For FY 2010, FISMA reporting for agencies through CyberScope, due November 15, 2010, will follow a three-tiered approach:

1. Data feeds directly from security management tools
2. Government-wide benchmarking on security posture
3. Agency-specific interviews


I wonder how long before CyberScope is compromised?

Turning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three points, what does #1 really mean?

Beginning January 1, 2011, agencies will be required to report on this new information monthly. The new data feeds will include summary information, not detailed information, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following areas for CIOs:

• Inventory
• Systems and Services
• Hardware
• Software
• External Connections
• Security Training
• Identity Management and Access

So it looks like OMB is requiring agencies to basically report asset inventory information, training status for employees, and some IDM information? And monthly? I guess if you're moving from a three-year cycle to a monthly cycle, that sounds "continuous," but monthly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise is recognized as a snapshot.

How about #2?

A set of questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies will also be asked in CyberScope. All agencies, except microagencies, will be required to respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data feeds described above.

Now I see OMB will be asking agencies questions, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have to answer?

And #3:

As a follow-up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions described above, a team of government security specialists will interview all agencies individually on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective security postures.

This looks like anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question-and-answer session, except I expect OMB to spend time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem cases identified in steps 1 and 2.

Let's be clear: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no "continuous monitoring" happening here. This is basic housekeeping, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scale of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and bureaucratic inertia make this a difficult problem. I hope this is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first round of change.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequently asked questions to be more interesting than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main memo.

30. Why should agencies conduct continuous monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security controls?

Continuous monitoring of security controls is a cost-effective and important part of managing enterprise risk and maintaining an accurate understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security risks confronting your agency’s information systems. Continuous monitoring of security controls is required as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security authorization process to ensure controls remain effective over time (e.g., after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial security authorization or reauthorization of an information system) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of changing threats, missions, environments of operation, and technologies.


Ah ha, finally we see it in print: "continuous monitoring of security controls." There's no continuous monitoring of threats here. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I'm wondering why OMB considers asset inventory, training, and IDM to be so crucial to security risks. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are important, but where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real "security" in those controls? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could still observe controls, but those controls could be implementation of filtering Web proxies, firewalls, anti-malware, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r traditional security measures.

36. Must Government contractors abide by FISMA requirements?

Yes... Because FISMA applies to both information and information systems used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency, contractors, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations and sources, it has somewhat broader applicability than prior security law. That is, agency information security programs apply to all organizations (sources) which possess or use Federal information – or which operate, use, or have access to Federal information systems (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r automated or manual) – on behalf of a Federal agency. Such ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations may include contractors, grantees, State and local Governments, industry partners, providers of software subscription services, etc. FISMA, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, underscores longstanding OMB policy concerning sharing Government information and interconnecting systems.


This concerns me. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pushing on contractors to adopt FISMA in private business?

FISMA is unambiguous regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent to which security authorizations and annual IT security assessments apply. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent that contractor, state, or grantee systems process, store, or house Federal Government information (for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency continues to be responsible for maintaining control), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security controls must be assessed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same NIST criteria and standards as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were a Government-owned or -operated system. The security authorization boundary for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems must be carefully mapped to ensure that Federal information:

(a) is adequately protected,

(b) is segregated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor, state or grantee corporate infrastructure, and

(c) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an interconnection security agreement in place to address connections from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor, state or grantee system containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency information to systems external to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security authorization boundary.


It's probably going to take .gov-savvy lawyer to really explain what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se points mean, but private enterprise working with government data should probably take a close look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se new FISMA developments.

Friday, February 27, 2009

Consensus Audit Guidelines Are Still Controls

Blog readers know that I think FISMA Is a Joke, FISMA Is a Jobs Program, and if you fought FISMA Dogfights you would always die in a burning pile of aerial debris.

Now we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Consensus Audit Guidelines (CAG) published by SANS. You can ask two questions: 1) is this what we need? and 2) is it at least a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction?

Answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question is easy. You can look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphic I posted to see that CAG is largely anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r set of controls. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, this is more control-compliant "security," not field-assessed security. Wait, you might ask, doesn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CAG say this?

What makes this document effective is that it reflects knowledge of actual attacks and defines controls that would have stopped those attacks from being successful. To construct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, we have called upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who have first-hand knowledge about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks are being carried out.

That excerpt means that CAG defines defensive activities that are believed to be effective by various security practitioners. I am not doubting that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se practitioners are smart. I am not doubting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir skills. What I am trying to say is that implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls in CAG does not tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. CAG is all about inputs. After implementing CAG you still do not know any outputs. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, you apply controls (an "X"), but what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Y"). The controls may or may not be wonderful, but if you are control-compliant you do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information produced by field-assessed security.

Does anyone real think we do not have controls already? The CAG itself shows how it maps against NIST SP 800-53 Rev 3 Controls. Five are shown below as an example.



For example, looking at CAG, how many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se strike you as something you didn't already know about?

Critical Controls Subject to Automated Measurement and Validation:

  1. Inventory of Authorized and Unauthorized Hardware.

  2. Inventory of Authorized and Unauthorized Software.

  3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers.

  4. Secure Configurations of Network Devices Such as Firewalls and Routers.

  5. Boundary Defense

  6. Maintenance and Analysis of Complete Security Audit Logs

  7. Application Software Security

  8. Controlled Use of Administrative Privileges

  9. Controlled Access Based On Need to Know

  10. Continuous Vulnerability Testing and Remediation

  11. Dormant Account Monitoring and Control

  12. Anti-Malware Defenses

  13. Limitation and Control of Ports, Protocols and Services

  14. Wireless Device Control

  15. Data Leakage Protection


Additional Critical Controls (not directly supported by automated measurement and validation):

  1. Secure Network Engineering

  2. Red Team Exercises

  3. Incident Response Capability

  4. Data Recovery Capability

  5. Security Skills Assessment and Training to Fill Gaps



Don't get me wrong. If you are not implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls already, you should do so. That will still not tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. If you want to see exactly what I proposed, I differentiated between control-compliance "security" and field-assessed security in my post Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem.

So, to answer my second question, CAG is a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction away from FISMA. It doesn't change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, especially if you are already implementing NIST guidance.


Richard Bejtlich is teaching new classes in Europe in 2009. Register by 1 Mar for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Saturday, October 04, 2008

FCW on Comprehensive National Cybersecurity Initiative

Brian Robinson's FCW article Unlocking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national cybersecurity initiative caught my attention. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts interesting, although my late 2007 article Feds Plan to Reduce, Then Monitor discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issues.

The cybersecurity initiative launched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bush administration earlier this year remains largely cloaked in secrecy, but it’s already clear that it could have a major and far-reaching effect on government IT operations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Everything from mandated security measures and standard desktop configurations across government to a recast Federal Information Security Management Act (FISMA) could influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way agencies buy and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT.

Overseeing all of this will be a central office run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government’s efforts in cybersecurity will run through a single office tasked with coordinating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of separate federal cybersecurity organizations...

[First was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365] creation of a National Cybersecurity Center (NCSC), which will serve as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus for improving federal government network defenses. Rod Beckstrom [mentioned here], a well-known technology entrepreneur, was appointed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center’s director in March...

[Second,] Trusted Internet Connections (TIC)... this program is designed to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of external connections that agencies have to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet to just a few centralized gateways that can be better monitored for security. In January, more than 4,300 agency Internet connections existed, and those had been cut to some 2,700 by June. The target is less than 100 connections.

[Third,] Einstein is a system that automatically monitors data traffic on government networks for potential threats. As a program under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNCI, Einstein will be upgraded ["Einstein II"] to include intrusion-detection technology. [I thought that was dead!]

Also, participation in Einstein for those agencies managing Internet access points will no longer be voluntary, as it was before. If Einstein finds a connection is not being properly managed, DHS will be able to shut it down.

[Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365] Federal Desktop Core Configuration (FDCC)... initiated by OMB last year, mandates that agencies adopt a common [desktop]...

As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNCI, NIST proposed in February to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDCC to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems, applications and network devices beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing support for Windows XP and Vista.
(emphasis and comments added)

I loved this part:

The expansion of Einstein, for example, is a major change because it mandates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of network security monitoring tools that are controlled by an entity outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies.

“Before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would do this [monitoring] cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and not necessarily be forthcoming if anything happened,” he said. “Now it’s out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands.”


Now, my sources tell me that Einstein is basically garbage, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from it (purely flows) is fairly useless unless it is used to identify traffic to or from know bad IP addresses. That's still worthwhile in my opinion, but it demonstrates why real NSM needs all four forms of data (alert, statistical, session, and full content) to have a chance at winning. What is more significant than simply deploying Einstein capabilities would be getting "hardware footholds" at each gateway.

If each TIC gateway is only forwarding flow data via router NetFlow exports, that's nice but insufficient. If each TIC gateway is tapped and connected to a stand-alone, preferably open source platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game changes. Once a centralized monitoring agency can deploy its own tools and utilize its own tactics and techniques on a platform it controls, you will see real improvements in network-based enterprise visibility and situational awareness. That's what you get when you can implement what I've called self-reliant NSM, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final story excerpt alluded to that idea as well.

Of course, it is important to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs as openly as possible, with plenty of oversight and defined goals and governance. That is my biggest problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secrecy around CNCI. Overclassification breeds paranoia and ultimately reduces security by underminding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 faith of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizenry in our government.

Wednesday, May 21, 2008

FISMA 2007 Scores

The great annual exercise of control-compliant security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal government 2007 FISMA report card, has been published. Since I've been reporting on this farce since 2003, I don't see a reason to stop doing so now.

If you're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of sports fan who judges cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success of your American football team by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 40-yard dash time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir undergraduate school, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input metrics, you'll love this report card. If you've got any shred of sanity you'll realize only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scoreboard matters, but unfortunately we don't have a report card on that.

Thanks to Brian Krebs for blogging this news item.

Saturday, December 15, 2007

Feds Plan to Reduce, Then Monitor

According to OMB directs agencies to close off most Internet links, by June 2008 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government plans to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections it maintains, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more closely:

The Office of Management and Budget's Trusted Internet Connections (TIC) initiative likely is to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last publicized program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bush administration's stepped-up focus on cybersecurity, some experts say. More importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new initiative requires agencies to implement real-time gateway monitoring, which has been a deficit in federal network protection.

The TIC initiative mandates that officials develop plans for limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir departments and agencies. OMB officials want to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more than 1,000 to about 50, said Karen Evans, OMB's administrator for e-government and information technology.
(emphasis added)

This sounds promising. The story continues:

The initiative also asks chief information officers to develop a plan of action and milestones for participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department's U.S. Computer Emergency Readiness Team's Einstein initiative. The program offers agencies real-time gateway monitoring capabilities and helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m react more quickly to security incidents. About 13 agencies voluntarily participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein program.

"The reduction of access points to trusted Internet connections will improve our situational awareness and allow us to address potential threats in an expedited and efficient manner," Evans said. "While we optimize and improve our security, it is also our goal to minimize overall operating costs for services through economies of scale."


Reduction of gateways + enhanced monitoring = better, stronger, faster -- and cheaper.

The story With Internet gateways, less is more adds:

A June deadline for agencies to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Internet connections coincides with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OMB deadline. June is also when agencies must upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backbone networks to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-generation Internet protocol, IPv6...

“The [TIC] initiative is saying, ‘We have to know what we own in order to protect it,’ ” Evans said. “We also must know we are managing risk at an acceptable level.”

Evans said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government has more than 1,000 gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public Internet.

The target number is 50, but that is not an absolute number, she said. “We know 1,000 or more is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to do it. At a minimum, 50 is two per department.”

Fifty gateways is a reasonable number, Evans said, adding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department has reduced its Internet gateway count to 18. The Homeland Security Department expects to have only two Internet gateways after it completes its OneNet initiative.

“The 50 or so points of presence [would] become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government,” Evans said.
(emphasis added)

Kudos to Karen Evans. I am hopeful that someone who realizes FISMA Is a Joke has begun steering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government away from worthless documentation and towards real network security operations.

Tuesday, September 25, 2007

DHS Debacle

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Level story FBI Investigates DHS Contractor for Failing to Protect Gov't Computer I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post story Contractor Blamed in DHS Data Breaches:

The FBI is investigating a major information technology firm with a $1.7 billion Department of Homeland Security contract after it allegedly failed to detect cyber break-ins traced to a Chinese-language Web site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tried to cover up its deficiencies, according to congressional investigators.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probe is Unisys Corp., a company that in 2002 won a $1 billion deal to build, secure and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information technology networks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transportation Security Administration and DHS headquarters. In 2005, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was awarded a $750 million follow-on contract.

On Friday, House Homeland Security Committee Chairman Bennie Thompson (D-Miss.) called on DHS Inspector General Richard Skinner to launch his own investigation.

As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contract, Unisys, based in Blue Bell, Pa., was to install network-intrusion detection devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unclassified computer systems for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA and DHS headquarters and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. But according to evidence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Homeland Security Committee, Unisys's failure to properly install and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices meant that DHS was not aware for at least three months of cyber-intrusions that began in June 2006.

Through October of that year, Thompson said, 150 DHS computers -- including one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Procurement Operations, which handles contract data -- were compromised by hackers, who sent an unknown quantity of information to a Chinese-language Web site that appeared to host hacking tools.

The contractor also allegedly falsely certified that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network had been protected to cover up its lax oversight, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

"For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of millions of dollars that have been spent on building this system within Homeland, we should demand accountability by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor," Thompson said in an interview. "If, in fact, fraud can be proven, those individuals guilty of it should be prosecuted."


Wow. This is huge. I cannot remember any case like it. So what happened?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS systems, hackers often took over computers late at night or early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, "exfiltrating" or copying and sending out data over hours -- in one case more than five hours, according to evidence collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

Five hours. That indicates one means of detecting this sort of activity: time-based analysis of session records.

In July 2006, a Unisys employee detected a possible intrusion but "downplayed it and low-level DHS security managers ignored it," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee aide said.

It was not until Sept. 27, 2006, that two DHS systems managers noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir machines had been accessed with a hacking tool.

Unisys information technology employees began a probe and determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 break-in affected more computers. They discovered that it reached back as far as June 13 that year and had continued through at least Oct. 1, eventually reaching 150 computers.

Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security devices Unisys had been hired to install and monitor were seven "intrusion-detection systems," which flag suspicious or unauthorized computer network activity that may indicate a break-in. The devices were purchased in 2004, but by June 2006 only three had been installed -- and in such a way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could not provide real-time alerts, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. The rest were gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring dust in DHS storage closets and under desks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir original packaging, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aide said.
(emphasis added)

This explains a lot!

Let's finish with this thought:

A Unisys spokeswoman, Lisa Meyer... said that Unisys has provided DHS "with government-certified and accredited security programs and systems, which were in place throughout 2006 and remain so today."

Exactly. C&A has absolutely zero operational security value, as I wrote in FISMA 2006 Scores.

I commend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congressional committee tracking this problem and I welcome future reporting. I would love to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expert witness in any trial between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and Unisys, but that is outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of my current employment!

Wednesday, August 08, 2007

CIO Magazine on IP Theft

CIO magazine, which features an impossible-to-navigate Web site but decent print version, published Hacked: The Rising Threat of Intellectual Property Theft and What You Can Do About It by Stephanie Overby. I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts:

“There’s a ceiling on how much money can be made by stealing identities,” says Scott Borg, director and chief economist of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Cyber Consequences Unit, an independent nonprofit institute set up at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic and strategic consequences of cyberattacks. “You can actually steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business—its processes, its internal negotiating memos, its merchandising plans, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it uses to create value. That’s a very large payoff.”

I agree, but what's up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USCCU Web site? I had to find an archive from February 2006 to see what this group does. Spend a little of that DHS money on a Web site, folks.

CIOs may be less aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to IP than to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore less prepared to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former. “Companies are thinking about worms and viruses, things that will not have very bad consequences and have always been wildly exaggerated,” says Borg. “Or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re thinking about ID cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, which attracts a lot of attention, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of cases is remarkably low.”

There’s a difference, too, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems an intruder looking for corporate secrets may target. IP thieves “won’t necessarily look at obvious financially sensitive areas,” says Borg, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby escaping detection. “They may be looking at technical data, controls systems, automation software.” And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft can be hard to see—a slow degradation of one’s competitive position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market may easily be attributed to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, noncriminal factors.

Until recently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most conclusive public evidence that sustained industrial espionage has taken place in cyberspace has come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. Titan Rain was “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most systematic and high-quality attack we have seen,” says Ira Winkler, author of, most recently, Zen and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of Information Security. Chinese hackers successfully breached hundreds of unclassified networks within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Defense, its contractors and several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r federal agencies. One Air Force general admitted at an IT conference last year that China had downloaded 10 to 20 terabytes of data from DoD networks.
(emphasis added)

Forget about "slow degradation." In some future war over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Taiwan Straight an American jet fighter is going to dogfight a Chinese plane and lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle because some sensitive design or technical data was stolen. This is a constant in warfare as I mentioned in my post FISMA Dogfights.

To defend against targeted attacks, Motorola uses traditional controls such as firewalls, intrusion detection tools, antivirus software and digital forensics—but with a difference. “We’re operating our information security toolkit with a counterintelligence mind-set,” says Boni [Motorola CIO]. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, Boni assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s an enemy looking for an advantage and it’s his job to outwit him. “Putting those tools togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with an understanding of what is or could be of greatest interest to competitors allows a more granular focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data,” says Boni, “not just on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.”

Bingo. CI is exactly right.

The thought process is no longer making sure nothing bad ever happens,” says DuBois [general manager of information security and infrastructure services security for Microsoft]. “There may be a bug in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco code or someone might misconfigure a device. If [attackers] get at that chess piece we left unprotected, what will we do?”...

“If eternal vigilance is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price of freedom,” says Boni, paraphrasing Thomas Jefferson, “continuous monitoring and preparation to respond quickly is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost associated with global digital commerce.”
(emphasis added)

Again, exactly right. Prevention Eventually Fails. Detection. Response. Hopefully more CIOs will pay attention.

Friday, April 20, 2007

Initial Thoughts on Digital Security Hearing

Several news outlets are reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing I mentioned in my post When FISMA Bites. There following excerpts appear in Lawmakers decry continued vulnerability of federal computers:

The network intrusions at State and Commerce follow years of documented failure to comply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (FISMA), which requires agencies to maintain a complete inventory of network devices and systems. Government and industry officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing acknowledged a disconnect between FISMA's intent and effecting improved network security.

"The current system that provides letter grades seems to have no connection to actual security," said Rep. Zoe Lofgren, D-Calif.
(emphasis added)

WOW -- does Zoe Lofgren read my blog?

Some lawmakers are considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security should be given primary responsibility for overseeing federal network security, but officials at DHS and elsewhere suggested that wouldn't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best idea. Noting that DHS has not performed well on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual FISMA report card and has not implemented all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations put forth for improved analysis and warning capabilities for attacks, Greg Wilshusen, director of information security issues at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office, said it would be problematic from an organizational standpoint to put DHS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of compelling ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies to comply.

I agree DHS is not in a position to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but centralized network security is a good idea when skilled defenders are in short supply and high demand. It's clear that some agencies are not capable of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do a better job. Perhaps a "center of excellence" model might work, where an agency with a very good monitoring team might watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency with a very good red team might assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole network, and so on.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State intrusion appears in Response to May-July 2006 Cyber Intrusion on Department of State Computer Network and State Department got mail -- and hackers.

It's important to note that State was compromised by a zero-day, and a patch from Microsoft took eight weeks to be appear.

The article Intruders infect 33 US government computers with Trojans talks about a compromise an cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Commerce:

[T]he cyberintrusion affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Department's Bureau of Industry and Security systems was first noticed last July, when a Bureau of Industry and Security deputy under secretary reported being locked out of his computer. An investigation showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had been compromised and someone had installed malicious code on it that was causing it to make unauthorised attempts to access anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau's network...

Investigations also showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system had attempted to access two external IP address[es] after business hours when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was no longer being used...

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 days or so, investigators at Bureau of Industry and Security noticed about 10 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computers making similar attempts to connect with suspicious IP addresses. By 18 August, 32 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau systems and one non-bureau system had tried to communicate with at least 11 suspicious IP addresses...

To date, an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic data has shown no evidence that information was actually stolen, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromises, Jarrell said. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, it remains unclear just when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first breach occurred or for how long intruders might have had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bureau’s systems.


That's interesting. The initial incident is found through non-technical means ("Hey, my PC no workie!") but extrusion detection would have noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outbound connections. If BIS had been collecting session data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have known when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first attempt to access those external IPs occurred, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby helping to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

Tuesday, April 17, 2007

When FISMA Bites

After reading State Department to face hearing on '06 security breach I realized when FISMA might actually matter: combine repeated poor FISMA scores (say three F's and one D+) with publicly reported security breaches, and now Congress is investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department:

In a letter sent to Secretary of State Condoleeza Rice on April 6, committee Chairman Bennie Thompson asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide specific information regarding how quickly department security specialists detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department knows how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems may have been compromised during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. The three-page letter also asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide evidence that it completely eliminated any malicious software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers may have planted, as well as documentation of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communications between State and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

I'm going to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology to see what is published on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se matters. It's ironic that FISMA scores really have nothing to do with State's problems, and no aspect of FISMA can answer any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cited above.

Friday, April 13, 2007

FISMA Dogfights

My favorite show on The History Channel is Dogfights. Although I wore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force uniform for 11 years I was not a pilot. I did get "incentive" rides in T-37, F-16D, and F-15E jets as a USAFA cadet. Those experiences made me appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rigor of being a fighter pilot. After watching Dogfights and learning from pilots who fought MiGs over North Vietnam, one on six, I have a new appreciation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir line of work.

All that matters in a dogfight is winning, which means shooting down your opponent or making him exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight. A draw happens when both adversaries decide to fight anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day. If you lose a dogfight you die or end up as a prisoner of war. If you're lucky you survive ejection and somehow escape capture.

Winning a dogfight is not all about pilot skill vs pilot skill. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dogfights I watched involved American pilots who learned enemy tactics and intentions from earlier combat. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pilots also knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of enemy aircraft, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MiG 17 was inferior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-8 in turns below 450 MPH. Intelligence on enemy aircraft was derived by acquiring planes and flying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy reverse engineered American weapons, as happened with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 K-13/AA-2 Atoll -- a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sidewinder.

All of this relates to FISMA. Imagine if FISMA was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me guiding air combat. Consultants would spend a lot of time and money documenting American aircraft capabilities and equipment. We'd have a count of every rivet on every plane, annotated with someone's idea that fifty rivets per leading edge is better than forty rivets per leading edge. Every plane, every spare part, and every pilot would be nicely documented after a four to six month effort costing millions of dollars. Every year a report card would provide grades on fighter squadrons FISMA reports.

What would happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se planes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y entered combat? The FISMA crowd would not care. American aircraft could be dropping from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky and it would not matter to FISMA. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA effort creates a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical, paper-based dream of how a "system" should perform in an environment. When that system -- say, a jet fighter -- operates under real life combat conditions, it may perform nothing like what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners envisioned. Planners range from generals setting requirements for a new plane, engineers desiging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane, and tacticians imagining how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane in combat.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guns jam in high-G turns. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missiles never acquire lock and always miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir targets. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy has stolen plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft (or an actual aircraft!) and know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jet cannot perform as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy plane doing vertical rolling scissors.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy may not act like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners imagined. This is absolutely crucial. The enemy may have different equipment or tactics, completely overpowering friendly capabilities.

Maybe FISMA would address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues in three years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a FISMA report is due. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has losts all its pilots and aircraft, along with control of its airspace.

Maybe this analogy will help explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I have with FISMA. I already tried an American football analogy in my post Control-compliant vs Field-Assessed Security. My bottom line is that FISMA involves control compliance. That is a prerequisite for security, since no one should field a system known to be full of holes. However, effective, operational security involves field assessment. That means evaluating how a system performs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind of a consultant. Field-assessed security is absolutely missing in FISMA. Don't tell me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests done prior to C&A count. They're static, controlled, and do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changing environment found on real networks attacked by real intruders.

Incidentally, I also really liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BBC series Battlefield Britain and I may check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r History Channel series Shootout!.

Thursday, April 12, 2007

FISMA 2006 Scores

There are FISMA scores for 2006, along with 2005, 2004, and 2003 -- some of which I discussed previously. What I wrote earlier still stands:

Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se grades do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security measurements. An agency could be completely 0wn3d (compromised in manager-speak) and it could still receive high scores. I imagine it is difficult to grade effectiveness until a common set of security metrics is developed, including ways to count and assess incidents.

I still believe FISMA is a joke and a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems.

The only benefit I've seen from FISMA is that low-scoring agencies are being embarrassed into doing more certification and accreditation. C&A is a waste of time and money. However, if security staff can redirect some of that time and money into technical security work that really makes a difference, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n FISMA is indirectly helping agencies with poor scores. Agencies with high scores are no more secure than agencies with low scores. High-scoring agencies just write good reports, because FISMA is a giant paperwork exercise that makes no difference on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security playing field.

If you believe ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise you're welcome to your opinion. You're also welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of a future job when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA consulting boondoggle ends and report jockeys are left without any marketable technical skills. If you want to know more about this, reading my old FISMA posts is sufficient. I don't need to restate my arguments when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're archived.

If I sound bitter, it's because I've seen my taxpaying dollars wasted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years while various unauthorized parties have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se agencies. FISMA is not working.

Monday, March 26, 2007

SANS Software Security Institute

Today I attended a free three-plus-hour seminar offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new SANS Software Security Institute. This is part of SANS dedicated to software security. I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir press release (.pdf) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scoop, but basically SANS is introducing a Secure Programming Skills Assessement, additional training (eventually), and a certification path. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people will summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, so I'd like to share a few thoughts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers at today's event.

  • Michael Sutton from SPI Dynamics said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of assembling a team of security people to address enterprise vulnerabilities worked (more or less) for network and infrastructure security because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team could (more or less) introduce elements or alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment sufficiently to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security posture. The same approach is not working and will not work for application security because addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem requires altering code. Because code is owned by developers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can't directly change it. This is an important point for those who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can just turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CSIRT loose on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software security problem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y attacked network security.

    Michael also said no security is trustworthy until trusted. (He actually said "trusted." There's a difference. Anyone can "trust" software. The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it is worthy of trust, i.e., "trustworthy.")

  • Alan Paller made a few comments. He said we have 1.5 million programmers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, so training all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m probably isn't an option. He said SANS is working with Tipping Point to create a "Programmer's @Risk" newsletter like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing vulnerabilities @Risk newsletter. Alan repeated a recommendation made my John Pescatore that organizations should run security tests against bids as well as upon acceptance.

    Alan noted that software testing should be considered a part of a "building permit" (pre-development) and a second "occupancy permit" (deployment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise). Alan also said PCI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only worthwhile security standard. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs just require writing about security, while PCI requires a modicum of doing security. (Mark Curphey disagrees!)

  • Jim Routh of DTCC said it's important for developers to recognize that security flaws are software defects, and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team's problem! His team of 450 inhouse developers uses three stages of testing: 1) white box for developers; 2) black box for integrators; and 3) third party for deployment.

  • Mike Willburn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI said FISMA C&A results in "well-documented" systems that score well on report cards but are "full of holes." Bravo.

  • Andrew Wing from Teranet said he doesn't let an inhouse project progress to user acceptance training unless it scores a certain rank using an automated software security assessment tool.

  • Jack Danahy from Ounce Labs stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of contract language for procuring. The OWASP Legal Project also offers sample language. Alan stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build security into contracts, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vague concept of "negligence" when security isn't explicitly included in a contract.

  • Michael Weider from Watchfire said he fears user-supplied content will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next exploitation vector. I shuddered at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horror of MySpace and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like.

  • Steve Christey mentioned SAMATE (Software Assurance Metrics And Tool Evaluation).


That's what I can document given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I have. Thanks to SANS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir leadership in this endeavor.

Friday, March 09, 2007

Reviews of FISMA and Wireshark Posted

Yes, you are reading that title correctly. After four months of inactivity I managed to read and review two new books. The first is FISMA by Laura Taylor. From my four star review:

I am no fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA law. I've posted several stories on my blog explaining why I think FISMA is a waste of taxpayer money. Laura Taylor's FISMA Certification and Accreditation Handbook, however, is a good book if you are unfortunate enough to be tasked with performing FISMA work.

The second is Wireshark & Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real Network Protocol Analyzer Toolkit by Angela Orebaugh. From my four star review:

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new title, Wireshark & Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real Protocol Analyzer Toolkit (WEPAT) is a second edition of Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real Packet Sniffing (EPS). I reviewed that book almost three years ago, in May 2004. WEPAT has replaced all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier screen captures with Wireshark replacements. Unfortunately, WEPAT is largely a repeat of EPS, really only featuring a new wireless chapter. If you own EPS, you don't need to upgrade. If you don't own EPS but want to learn how to use Wireshark, I recommend buying WEPAT.

I'm still reading and plan to continue posting reviews going forward.

Monday, February 12, 2007

FISMA Redux

Late last year I mentioned I planned to read and review FISMA Certification & Accreditation Handbook by Laura Taylor. You know if I read a book on Cisco MARS on one leg of my last trip, I probably read a different book on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 return leg. FISMA was that book. These comments are going to apply most directly to FISMA itself, based on what I learned reading Ms. Taylor's book. I'll save comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book itself for a later date.

Last year I wrote FISMA is a joke.. I was wrong, and I've decided to revise my opinion. Based on my understanding of FISMA as presented in this book,

FISMA is a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems. This doesn't mean that if you happen to conduct FISMA work, you're definitelTy without technical skills. I guarantee my friends at ClearNet Security are solid guys, just based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&A project cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y joined was worthless. Anyway, I guess it's time to put on a flame-retardant suit.

Let's start with p xxiii in FISMA to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process of those who believe in it. Foreword author Sunil James, "Former Staff Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDIC," writes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA "process has been proven to reduce risk to federal information systems." I think he means that FISMA reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of unemployment for those who perform C&A on federal information systems.

Without saying anything else, I think I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA-supporting crowd. I bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not do any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r work, especially not technical work and certainly not incident response work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "certify" and "accredit." If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did have operational security responsibilities for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C&A clients cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd wonder "why are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems repeatedly being 0wned if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C&A packages are up-to-date?" Those that keep one foot in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&A world and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational world realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FISMA feet are wet and smelly and not doing anyone any good, period.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sad truth about FISMA, despite Mr. Porter's unsubstantiated claim, is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is zero connection between high FISMA scores and lower impact or number of intrusions. If you don't believe me, keep your eyes open for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next FISMA report card from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Oversight and Government Reform. A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 scores is interesting. Figure out who has good scores, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fared in this staff report on Federal breaches since January 2003. Hint: everyone's been 0wned, is 0wned, and will continue to be 0wned while money is spent paying consultants to write FISMA C&A packages.

Let's see what this FISMA book has to say about C&A packages. Page 34 claims a good ISSO can maintain C&A packages for 6 systems, and that writing each package can take 3-6 months. They need to be updated every 3 years. The C&A handbook guiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of packages is usally 200+ pages and needs to be kept current. The packages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are usually 500+ (!) pages, and require 2-4 weeks to be read by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accreditors.

On p 34 we come to a root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem:

Since once C&A package could easily take a year for a well-versed security expert to prepare, it is considered standard and acceptable for ISSOs to hire consultants from outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency to prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Certification Package.

Page 38 continues:

Since C&A, if done properly, is usually a much bigger job than most people realize, I cannot emphasize enough cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in using outside consultants. Putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a Certification Package is a full-time job.

I do not have a problem with consultants. Heck, I am a consultant. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of my work does not revolve around writing 500 page reports based on self-assessments every three years.

Laura Taylor writes on pp 8-9:

C&A is essentially a documentation and paperwork nightmare... prepare yourself to write, write, and write some more. If you detest writing, you're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong business.

Basically, preparing a Certification Package is writing about security -- extensive writing about security. When you are preparing a Certification Package, you usually don't perform any sort of hands-on security. You review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing security design and architecture documents, interview various IT support and development folks familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, and document your findings.
(emphasis added)

I am not making this up. The really sad part is this: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n says

...why C&A exists -- it is a process that enables authorizing officials to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security truths about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure so that informed decisions can be made.

Security truths? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y based on?

In chapter 8 we read about "security self-assessments." Maybe those are helpful? Hmm, probably not: "A security self-assessment is a survey-based audit that is essentially a long list of questions." What's worse, page 115 says:

[I]n September 2003 a report put out by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Inspector General at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Environmental Protection Agency found that 36 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses to security self-assessments contained inaccurate information.

Ms. Taylor's recommendation?

Tip: Encourage self-assessment respondents to answer questions truthfully.

Maybe some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of C&A and FISMA shows merit. Chapter 12, discussing Security Tests and Evaluation (ST&E), begins with this:

A Security Test & Evaluation, known among security experts as an ST&E, is a document that demonstrates that an agency has performed due diligence in testing security requirements and evaluation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests.

The ST&E is a C&A document that tends to give agencies lots of trouble. It's not clear to many agencies what tests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be doing, who should be doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests should consist of.


That's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r winner in my book.

FISMA fans out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability scans which are usually part of ST&E as a sign that something technical happens during C&A. Believe me, I am sparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of this book and her "technical editors" by not reproducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir recommendations for assessments. (One word: Strobe.)

We could also look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Privacy Impact Assessment, but guess what -- it's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r self-survey.

The bottom line is that FISMA doesn't mention C&A at all, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author thinks that's ok because C&A fulfill's FISMA's goals. The reality is far different. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act itself, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first "purpose" is to:

provide a comprehensive framework for ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of information security controls over information resources that support Federal operations and assets. (emphasis added)

FISMA is failing miserably. It's ironic that this FISMA book begins each chapter with a quote, and this begins chapter 2:

It is common sense to take a method and try it. If it fails, admit it frankly and try anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. But above all, try something. -- FDR

It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA fans to admit this five year FISMA experiment has been a waste of taxpayer money and agency resources.

Returning to my football analogy, C&A is an expensive, extensive practice session controlled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players and overseen by agents who get paid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. Success is measured not by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next game but by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of worthless statistics written about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first snap. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team takes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are annihilated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposition, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agents don't care because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir money elsewhere.

If you are a C&A Package-writing company, I strongly recommend you gain some operational capabilities or look for a new line of business. I am committed to eliminating your position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. Laura Taylor writes with some apparent regret that "most private and public companies don't put nearly as much time, effort, and resources into documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security as government agencies do." Let's keep it that way. At least it frees up resources for work that has a chance of stopping an intruder.

Do I have anything "nice" to say? Yes -- if you are so cursed as to be responsible for a FISMA C&A project, I do recommend reading this book. Forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects and concentrate on understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA maze. I thought Laura Taylor wrote a clear and well-organized book with lots of practical advice and good templates. I would much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r see her not have to write about this subject again, though!

Monday, September 18, 2006

Thoughts on Latest SANS Whitepaper

I read about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new SANS paper IT Security Industry Changes: Trouble on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Horizon (September 2006) (.pdf) in this NewsBites issue. Here are some excerpts and my reactions.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past six months, SANS Technology Institute's Stephen Northcutt has been gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring data and stories from security managers in more than 100 US organizations searching for patterns in job changes of security managers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consultants who support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The research was triggered by multiple emails from security managers who were facing reorganizations. His conclusions, albeit preliminary, paint a worrisome picture of job prospects for ill-equipped security managers, but also offer promise of some opportunities for success and advancement.

That's an interesting project. Let's read more.

[S]enior executives began to feel more comfortable voicing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir frustration that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were wasting money paying for hugely expensive people and compliance reports that probably were not needed and that often had no impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to stop attacks or avoid disclosure of private information. The senior executives pushed back on budget requests, asking exactly what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would get in decreased risk from each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expenditures. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got answers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't like, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y looked for ways to reorganize. Numerous security managers were pushed out as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities were moved to IT operations or audit or risk management groups.

Stephen continues by implying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fired security managers lacked real technical skills and could not do much more than write reports. However...

Government is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one area where soft security skills, like policy and report writing, are still in demand, both in security staff and in consultants. The US Congress and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House passed and implemented legislation (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act) that rates federal agencies less on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems are protected from attack and more on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies have written security evaluation reports for every system. Consulting firms have gotten rich writing those reports. One CEO reported that his firm had grown from three people doing security evaluations to 175 people writing FISMA reports, in just five years.

Does that make any else sick? It makes me ill.

Recent public disclosure of huge security failings, however, have caused government officials to review FISMA, particularly how it is implemented. Change seems to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air. That same CEO reported that 75% of his 175 FISMA folk today have soft skills and only 25% have solid technical security skills. He sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for that mix of skills to be reversed, within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next year or so, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business "will dry up."

That is awesome. It probably explains why TaoSecurity continues to receive calls from firms inside-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Beltway (and beyond) wishing to "team" to provide technical services to .gov clients, instead of just certification and accreditation.

Saturday, August 19, 2006

Soft Skills: The End is Nigh

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites:

The lead story contains an important notification by Major General Lord of broad-based US federal IT security failure. As senior officials discover how bad federal security really is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have begun looking for solutions (some are also looking for scapegoats.)

The first and most important change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will make is to begin cutting budgets for policy and report writers, and transfer budget and responsibility to operational technical security projects and professionals who can actually protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems. The transformation has already begun.

If you have soft skills (policy writing, security awareness, risk assessment, C&A report writing, etc.) and want to have great, long-term job prospects in security, it makes sense to move quickly to add hands-on technical skills so you can lead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams of people who will be needed to turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tide against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers.


The "lead story" refers to this post.

Alan Paller continues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newsletter:

Major General Lord is simply saying out loud what White House and DoD officials have known for almost three years; that's how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking and data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365fts are known to have been going on. What he did not say was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same techniques (and attackers) have proven successful in penetrating DoD contractors such as Lockheed Martin and Raycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365on, and penetrating many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government agencies including some you would not expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese military to care about.

The failure of federal agencies and contractors to protect sensitive information was instigated by misallocation of resources caused by OMB and Congressional metrics measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things. It is time to revitalize FISMA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&A process.

If Government Reform Chairman Davis doesn't feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is worth his time, he might consider transferring responsibility for FISMA and federal security to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Homeland Security Committee where Chairman King's targeted subcommittee chairs have fostered real progress in improving security of critical infrastructure control systems.


I wonder how much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "soft skills" comment is wishful thinking and how much is based on actual events.

If we're truly realizing that "hard skills" are needed for real defense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n maybe my prediction from January is materializing:

Is this [MBAs instead of techs] why companies continue to be compromised? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBAs running around wondering why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir self-defending networks are failing? I guarantee we will see a "back-to-basics" movement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few years, where "hands-on" tech skills will be emphasized again.

Here's hoping.

Tuesday, August 15, 2006

Notes from Last ISSA-NoVA Meeting

I realized I never published my notes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July ISSA-NoVA meeting. This was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r managerial-type talk, by James Golden, Manager of IT Governance at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USPS. The USPS is huge -- 153,000 desktops, 22,000 servers, 18,000 laptops, 7,000 offices, 175,000 internal email users, and 2,000 external users. Their Web site gets over one million visitors per day.

Mr. Golden said security is like Y2K -- "If everything fails, critics say you spent too little money. If everything works, critics say you spent too much money." He defined "IT governance" as "doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right things right." I had never heard of IT governance, let alone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT Governance Institute. He said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USPS is not covered by FISMA -- "Thank goodness!" -- and that SOX is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest waste of money we spend in IT." By now you could imagine me liking Mr. Golden's style.

Since this was an ISSA meeting, Mr. Golden did discuss aligning COBIT, ITIL, and ISO 17799. Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APWU you can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AS-805 series of manuals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USPS uses for information security.

My ears perked up when Mr. Golden discussed metrics. He said "metrics seek to change behavior," and asked "are you getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 behavior you wanted from your metrics?" and "why is performance changing?" I was amazed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details counts he had for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Number of XP workstations with non-standard service packs

  • Number of workstations with latest anti-virus signatures

  • Number of power users or administrators

  • Days of backups missed

  • Number of workstations with ISS RealSecure Desktop (RSDP)

  • Number of CIRT incidents


That last item drew my attention. I asked how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USPS handles incident reporting, and I got an answer similar to that of Dennis Heretick from DoJ -- USPS wants users to report security incidents. Therefore, USPS doesn't track meaningful metrics like those in my previous post -- days since last compromise of type X, system-days compromised, pen-test time, etc.

Again, this is terrible. Somehow we, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community, must overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of security incidents is outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. I know many of you are screaming at me now, but this is true whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you like it or not. While you cannot have absolute control of your security destiny, you can certainly influence it.

Consider this scenario. What happens to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police chief of a city where crime is out of control? Barring corruption, ignorance, laziness, bureaucratic inertia, and a dozen ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mayor will fire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police chief. What happens to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mayor of a city where crime remains out of control? Barring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems, he/she is voted out of office. I could continue, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that people in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields can be held accountable in security situations. The "customers" of security can exert pressure for improvement, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attention to actually do anything about it. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Do something!" impulse, which in many cases yields unintended or sometimes malicious consequences. The fact remains that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 choices made by those in power are expected to have a positive effect -- or else cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be removed from power.

Bringing this back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security realm, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem? Unlike physical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, murder, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blatantly obvious crimes, it is usually difficult to directly observe digital crime. People are now becoming aware of cybercrime by seeing fraudulent credit card charges (just happened to me again), identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, spyware, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. This is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tip of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iceberg, and it's certainly not clear who is at fault. Therefore, customer pressure is unfocused. At some point we cybercrime victims may inflict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Do something!" impulse, and hold someone accountable.

The CEO of a company that suffered constant intrusion, might direct a "Do something!" impulse at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pressure became too great, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company might decide to abandon its Microsoft Windows systems for something with a better security record. This relates to IT governance, which I've decided is poorly named.

Regarding Mr. Golden's role as "manager, IT governance": those with interests outside security may recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "corporate governance," which in some respects for public companies means safeguarding shareholder interests/assets. Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporation, multiple sources of value are resident:

  1. Physical assets

  2. Financial instruments

  3. Brand

  4. Human resources (employees)

  5. Inventory

  6. Intellectual property

  7. Information


Each of those items has a level of governance associated with it, meaning implementation, operation, and maintenance of value. Of those seven items, however, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last might be considered a mix of value inherent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and value inherent to its customers. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of information is derived from data about customers. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company feels obligated to protect this data to exploit it for sales, but that does not align with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers' desire to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of thieves.

In situations with split incentives, poor information regarding abuse of customer data, and a lack of power on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers' part to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company (aside from avoiding future purchases), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government usually regulates. We are seeing this happen now.

The major thoughts I took from Mr Golden's talk were:

  1. We need an independent group to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of compromise in government agencies. Perhaps GAO?

  2. IT governance is really information governance, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology is far less important than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.


Point one reminds me of problems with business financials, water quality, food and drug safety, and related issues; all involve independent agencies which report upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of affairs. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsible parties would more than likely prefer to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lid on potential problems. Security is no different.

Friday, March 24, 2006

FISMA Is a Joke

Thanks to SANS Newsbites I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article FISMA Fizzles. I've written about FISMA before. The new article points me to a potential wise man who understands that FISMA is a joke: ex-Energy Department CIO Bruce Brody. This comment cut straight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with FISMA:

OMB's FISMA implementation basically boils security down to paperwork exercises, and score card pressure ensures it stays that way. But that's not how cybersecurity works; it requires real-time monitoring, updating and patching, Brody says, which isn't necessarily reducible to a paper trail. (emphasis added)

Did I read "real-time monitoring"? Wow. Mr. Brody "gets it." Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative point of view:

FISMA has its defenders. An agency fully compliant with FISMA is a secure agency, says Scott Charbo, Homeland Security Department CIO. The law and cybersecurity are "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing in my mind," he says.

I see. Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS' grade history shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a perfect F record for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three years. Just because DHS is in a sorry state and its scores are an F doesn't mean that an agency with straight A's is secure!

Let's get back to monitoring. Mr. Brody has correctly recognized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absolute first priority for a security program is to figure out what is happening. If you have no idea what is happening in your enterprise, how can you expect to "secure" it? It doesn't even make sense to figure out what systems you have before you start monitoring. When you start watching traffic, intruders will show you your systems. The most vulnerable and/or interesting targets will get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, and you should address those first.

If you are a federal agency and you want to learn more about implementing monitoring, please contact me: richard at taosecurity dot com. I can teach you what to do, efficiently and cheaply. I may not be wearing my blue uniform any more, but I want to do my part. FISMA is not helping.

Thursday, September 01, 2005

Feds Hurry, Slow Down

In my post Opportunity Costs of Security Clearances I ranted about needing security clearances for assessment work. Now I read Security clearance delays still a problem by Florence Olsen:

"Security clearance delays are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, if not worse, than a year ago, before lawmakers made changes designed to help clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backlog...

[N]ewly enacted reciprocity rules have made no dent in a problem that is creating mounting costs for high-tech companies. Those rules permit agencies to accept clearances initiated by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies."

Wonderful. Not only do agencies not trust employees, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't trust ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government agenices. That is understandable, but pacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic; jobs are left vacant because .gov entities want to play petty games. It gets worse:

"ITAA officials said 27 member companies that responded to a survey are coping with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backlog by hiring cleared employees from one anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, sometimes paying premiums of up to 25 percent."

Great. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same cadre of cleared people are being shuffled among agencies. New blood with potentially more enthusiasm, skill, and (gasp) lower salaries (which would appeal to any commercial endeavor) are left to watch this dance from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside.

So how bad are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delays?

"21 companies, said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had encountered delays of 270 or more days in getting top-secret clearances for employees. Last year, when ITAA conducted a similar survey, 70 percent reported equally lengthy delays.

The longest waits occurred in seeking clearances for employees to work at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department."

So, in places were skilled security practitioners are most needed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not available.

Those that are already in place must cram before 2005 FISMA scores arrive. In my NSA-IAM class last week, a State Dept. worker told us he had to work a disaster recovery scenario on Sunday 28 August in order to meet his 31 August deadline.

Companies that cannot properly manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workforces go out of business. Governments just lumber along. There is no mechanism to correct deficiencies, aside from massive intelligence or defense failures like 9/11, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iraq war, and so on. Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depressing post, but I don't see a light at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this tunnel!