Showing posts with label football. Show all posts
Showing posts with label football. Show all posts

Saturday, February 14, 2015

Five Reasons Digital Security Is Like American Football

Butler's Interception (left) Made Brady's Touchdowns (right) Count
In Kara Swisher's interview on cyber security with President Obama, he makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comment:

"As I mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO roundtable, a comment that was made by one of my national security team — this is more like basketball than football in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s no clear line between offense and defense. Things are going back and forth all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time,” he said.

I understand why someone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's national security team would use a basketball analogy; we all know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President is a big hoops fan. In this post I will take exception with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's view, although I am glad he is involved in this topic.

The following are five reasons why digital security is like American football, not basketball.

1. Different groups of athletes play offense, defense, and special teams in football. It is rare to see a single player appear on more than one squad. (It does happen, though. Julian Edelman is a punt returner and wide receiver. JJ Watt has caught touchdowns a few times. And so on...) In basketball, five players are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 court, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y play both offense and defense. In digital security, it is exceptionally rare to find professionals who routinely work offensive and defensive operations. I recommend that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, but daily life is generally not a mix of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se disciplines. Digital security pros are more like American football players due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groupings of expertise.

2. Digital security is highly specialized. There are simply too many areas of expertise to expect any single person to master more than one aspect. This is true within American football. It is rare for a player to routinely fill multiple positions, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense or defense. A few athletes come to mind, like Kordell Stewart, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are exceptions. Basketball has positions and specialties as well, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not as distinct as football.

3. Lines and direction of activity in digital security are more like American football than basketball. It is rare for defenders to "score points," compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points scored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense. This is true for digital security and American football. Basketball, like ice hockey, is much more fluid, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flow of play going back and forth. Now, some players in basketball and hockey are more offensive-minded than defensive minded, and vice-versa, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "defense" scoring points against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "offense" doesn't really make sense in those sports.

Sources: Business Insider, Arizona Cardinals
4. Digital security is really complicated. Similarly, American football is extremely complicated compared to basketball. There are 22 players on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field compared to 10, for starters. I found examples of real NFL plays from an old copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arizona Cardinals playbook. It reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gyrations an intruder might have execute in order to accomplish his mission. Obviously basketball has plays, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not as intricate as those in football.

5. Digital security involves progression across territory, in a manner more like football than basketball. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action in a basketball game occurs in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r team's half-court. In football, teams spend time across most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. This reminds me more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progression of actions that must take place for an intruder to accomplish his mission.

Now, those of you with long memories of this blog may remember my 2006 post Digital Security Lessons from Ice Hockey. In that story I emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of "being well-rounded..." having "knowledge and capability in offense and defense." I still advocate that position, but I recognize that it is really tough to achieve it.

Those with slightly longer memories may remember my 2005 post Soccer-Goal Security, showing a player kicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball into a goal, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie looks elsewhere. The point of that post was to focus one's defense on actual attacks, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical concerns.

Bejtlich's Mandiant Helmet
My hope with this post is to offer a counter-example to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 views of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President and some of his staff. As with all analogies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are open to interpretation, and some fail more quickly and spectacularly than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Please try not to get too twisted out of shape or take offense. It's only a game, and this is only a blog post.

Given that we used to get football helmets at Mandiant, you might have predicted this post...


Tuesday, November 22, 2011

Why DIARMF, "Continuous Monitoring," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FISMA-isms Fail

I've posted about twenty FISMA stories over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years on this blog, but I haven't said anything for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year and a half. After reading Goodbye DIACAP, Hello DIARMF by Len Marzigliano, however, I thought it time to reiterate why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly "improved" FISMA is still a colossal failure.

First, a disclaimer: it's easy to be a cynic and a curmudgeon when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and security are involved. However, I think it is important for me to discuss this subject because it represents an incredible divergence between security people. On one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 divide we have "input-centric," "control-compliant," "we-can-prevent-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-threat" folks, and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side we have "output-centric," "field-assessed," "prevention eventually fails" folks. FISMA fans are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with FISMA? In his article Len expertly discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new DoD Information Assurance Risk Management Framework (DIARMF) in comparison to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older DoD Information Assurance Certification and Accreditation Process (DIACAP). DIARMF is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new FISMA" emphasis on "continuous monitoring" which I've discussed before.

Len writes "DIARMF represents DoD adoption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST Risk Management Framework process" and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caption "The six major steps of Risk Management Framework aligned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five phases of a System Development Lifecycle (SDLC)."

Does anything seem to be missing in that diagram? I immediately key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MONITOR Security Controls" box. As I reminded readers in Thoughts on New OMB FISMA Memo, control monitoring is not threat monitoring. The key to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" FISMA and "continuous monitoring" as seen in DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, described by Len:

Equally profound within DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased requirements for Continuous Monitoring activities. Each control (and control enhancement) will be attributed with a refresh rate (daily, weekly, monthly, yearly) and requisite updates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of each control will be packaged into a standardized XML format and uploaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberScope system where analysis, risk management, and correlation activities will be performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregate data.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than checking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture every three years or whatever insane interval that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old FISMA used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FISMA checks security posture more regularly, and centralizes posture reporting.

Wait, isn't that a good idea? Yes, it's a great idea -- but it's still control monitoring. I can't stress this enough; under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, a box can be totally owned but appear "green" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA dashboard because it's compliant with controls. Why? There is no emphasis on threat monitoring -- incident detection and response -- which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only hope we have against any real adversary.

Think I'm wrong? Read Len's words on CyberScope:

CyberScope is akin to a giant federal-wide SEIM system, where high-level incident management teams can quickly pull queries or drill down into system details to add analysis on system defenses and vulnerabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available intelligence on an attack. CyberScope data will also be used to track trends, make risk management decisions, and determine where help is needed to improve security posture.

If you're still not accepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, consider this football analogy.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old system, you measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You checked again three years later. You kept data on all your players but had no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game was.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, you measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You check again more regularly -- maybe even every hour, and store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a central location with a fancy Web UI. You keep data on all your players but still have no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is.

Until DoD, NIST, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r control-compliant cheerleaders figure out that this approach is a failure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's computers will remain compromised.

Note: There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with DIARMF -- read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section where Len says "This shakes out to easily over a hundred different possible control sets that can be attributed to systems" to see what I mean.

Wednesday, May 21, 2008

FISMA 2007 Scores

The great annual exercise of control-compliant security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal government 2007 FISMA report card, has been published. Since I've been reporting on this farce since 2003, I don't see a reason to stop doing so now.

If you're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of sports fan who judges cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success of your American football team by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 40-yard dash time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir undergraduate school, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input metrics, you'll love this report card. If you've got any shred of sanity you'll realize only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scoreboard matters, but unfortunately we don't have a report card on that.

Thanks to Brian Krebs for blogging this news item.

Monday, July 09, 2007

More Engineering Disasters

I've written several times about engineering disasters here and elsewhere.

Watching more man-made failures on The History Channel's "Engineering Disasters," I realized lessons learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard way by safety, mechanical, and structural engineers and operators can be applied to those practicing digital security. >In 1983, en route from Virginia to Massachusetts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World War II-era bulk carrier SS Marine Electric sank in high seas. The almost forty year-old ship was ferrying 24,000 tons of coal and 34 Merchant Mariners, none of whom had survival suits to resist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 February chill of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atlantic. All but three died.

The owner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ship, Marine Transport Lines (MTL), blamed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survivors, Chief Mate Bob Cusick, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. Investigations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wreck and a trial revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Electric's coal hatch covers were in disrepair, as reported by Cusick prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Bureau of Shipping (ABS), an inspection organization upon which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coast Guard relied, but funded by ship operators like MTL, had faked reports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Electric's status. With gaping holes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coal hatches, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ship's coal containers filled with water in high seas and doomed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coast Guard recognized that ABS could not be an impartial investigator because ship owners could essentially pay to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vessels judged seaworthy. Widespread analysis of ship inspections revealed many similar ships and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs were unsound, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were removed from service. Unreliable Coast Guard inspectors were removed. Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coast Guard created its rescue swimmer team (dramatized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent movie "The Guardian") to act as a rapid response unit.

The lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Electric disaster are numerous.

  1. First, be prepared for incidents and have an incident response team equipped and trained for rapid and effective "rescue."

  2. Second, be suspicious of reports done by parties with conflicts of interest. Stories abound of vulnerability assessment companies who find all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients "above average." To rate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise would be to potentially lose future business.

  3. Third, understand how to perform forensics to discover root causes of security incidents, and be willing to act decisively if those findings demonstrate problems applicable to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business assets.

In 1931, a Fokker F-10 Trimotor carrying eight passengers and crew crashed near Kansas City, Kansas. All aboard died, including Notre Dame football coach Knute Rockne. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster, plane crashes were fairly common. Because commercial passenger service had only become popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1920's, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public did not have much experience with flying. The death of Knute Rockne caused shock and outrage.

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crude state of crash forensics in 1931, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil Aeronautics Authority (CAA) determined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane crashed because its wood wing separated from its steel body during bad weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. TWA, operator of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doomed flight, removed all F-10s from service and burned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Public pressure forced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CAA, forerunner of today's Federal Aviation Administration, to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 veil of secrecy applied to its investigation and reporting processes. TWA turned to Donald Douglas for a replacement aircraft, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very successful DC-3 was born.

The crash of TWA flight 599 provides several sad lessons for digital security.

  1. First, few seem to care about disasters involving new technologies until a celebrity dies. While no one would like to see such an event occur, it's possible real change of opinion and technology will not happen until a modern Knute Rockne suffers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of a security incident.

  2. Second, authorities often do not have a real incentive to fix processes and methods until a tragedy like this occurs. Out of this incident came pressure to deploy flight data recorders and more robust aviation organizations.

  3. Third, real inspection regulations and technological innovation followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash, so such momentum may appear after digital wrecks.

The final engineering disaster involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Walt Disney Concert Hall in Los Angeles. This amazing, innovative structure, with a polished stainless steel skin, was completed in October 2003. When finished, visitors immediately realized a problem with its construction. The sweeping curves of its roof acting like a parabolic mirror, focusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sun's ray like laser on nearby buildings, intersections, and sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sidewalk. Temperatures exceeded 140 degrees Fahrenheit in some places, while drivers and passersby were temporarily blinded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glare.

Investigators decided to model cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire facility in a computer simulation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest levels of sunlight over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of a year. Using this data, 2% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building's skin was discovered to be causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reflection problems. The remediation plan, implemented in March 2005, resulted in sanding problematic panels to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sheen. The six-week, $60,000 effort fixed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glare.

The lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concert hall involve complexity and unexpected consequences. Architect Frank Geary wanted to push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 envelope of architecture with his design. His innovation caused a building that no one, prior to its construction, really understood. Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system been modeled before being built, it's possible problems could have been avoided. This situation is similar to those involving enterprise network and software architects who design systems that no single person truly understands. Worse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system may expose services or functionality never expected by its creators. Explicitly taking steps to simulate and test a new design prior to deployment is critical.

Digital security engineers should not ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analog counterparts have to offer. A commitment to learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to avoid disasters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Friday, April 13, 2007

FISMA Dogfights

My favorite show on The History Channel is Dogfights. Although I wore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force uniform for 11 years I was not a pilot. I did get "incentive" rides in T-37, F-16D, and F-15E jets as a USAFA cadet. Those experiences made me appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rigor of being a fighter pilot. After watching Dogfights and learning from pilots who fought MiGs over North Vietnam, one on six, I have a new appreciation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir line of work.

All that matters in a dogfight is winning, which means shooting down your opponent or making him exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight. A draw happens when both adversaries decide to fight anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day. If you lose a dogfight you die or end up as a prisoner of war. If you're lucky you survive ejection and somehow escape capture.

Winning a dogfight is not all about pilot skill vs pilot skill. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dogfights I watched involved American pilots who learned enemy tactics and intentions from earlier combat. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pilots also knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of enemy aircraft, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MiG 17 was inferior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-8 in turns below 450 MPH. Intelligence on enemy aircraft was derived by acquiring planes and flying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy reverse engineered American weapons, as happened with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 K-13/AA-2 Atoll -- a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sidewinder.

All of this relates to FISMA. Imagine if FISMA was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me guiding air combat. Consultants would spend a lot of time and money documenting American aircraft capabilities and equipment. We'd have a count of every rivet on every plane, annotated with someone's idea that fifty rivets per leading edge is better than forty rivets per leading edge. Every plane, every spare part, and every pilot would be nicely documented after a four to six month effort costing millions of dollars. Every year a report card would provide grades on fighter squadrons FISMA reports.

What would happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se planes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y entered combat? The FISMA crowd would not care. American aircraft could be dropping from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky and it would not matter to FISMA. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA effort creates a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical, paper-based dream of how a "system" should perform in an environment. When that system -- say, a jet fighter -- operates under real life combat conditions, it may perform nothing like what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners envisioned. Planners range from generals setting requirements for a new plane, engineers desiging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane, and tacticians imagining how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane in combat.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guns jam in high-G turns. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missiles never acquire lock and always miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir targets. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy has stolen plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft (or an actual aircraft!) and know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jet cannot perform as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy plane doing vertical rolling scissors.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy may not act like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners imagined. This is absolutely crucial. The enemy may have different equipment or tactics, completely overpowering friendly capabilities.

Maybe FISMA would address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues in three years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a FISMA report is due. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has losts all its pilots and aircraft, along with control of its airspace.

Maybe this analogy will help explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I have with FISMA. I already tried an American football analogy in my post Control-compliant vs Field-Assessed Security. My bottom line is that FISMA involves control compliance. That is a prerequisite for security, since no one should field a system known to be full of holes. However, effective, operational security involves field assessment. That means evaluating how a system performs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind of a consultant. Field-assessed security is absolutely missing in FISMA. Don't tell me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests done prior to C&A count. They're static, controlled, and do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changing environment found on real networks attacked by real intruders.

Incidentally, I also really liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BBC series Battlefield Britain and I may check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r History Channel series Shootout!.

Monday, February 12, 2007

FISMA Redux

Late last year I mentioned I planned to read and review FISMA Certification & Accreditation Handbook by Laura Taylor. You know if I read a book on Cisco MARS on one leg of my last trip, I probably read a different book on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 return leg. FISMA was that book. These comments are going to apply most directly to FISMA itself, based on what I learned reading Ms. Taylor's book. I'll save comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book itself for a later date.

Last year I wrote FISMA is a joke.. I was wrong, and I've decided to revise my opinion. Based on my understanding of FISMA as presented in this book,

FISMA is a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems. This doesn't mean that if you happen to conduct FISMA work, you're definitelTy without technical skills. I guarantee my friends at ClearNet Security are solid guys, just based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&A project cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y joined was worthless. Anyway, I guess it's time to put on a flame-retardant suit.

Let's start with p xxiii in FISMA to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process of those who believe in it. Foreword author Sunil James, "Former Staff Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDIC," writes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA "process has been proven to reduce risk to federal information systems." I think he means that FISMA reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of unemployment for those who perform C&A on federal information systems.

Without saying anything else, I think I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA-supporting crowd. I bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not do any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r work, especially not technical work and certainly not incident response work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "certify" and "accredit." If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did have operational security responsibilities for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C&A clients cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd wonder "why are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems repeatedly being 0wned if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C&A packages are up-to-date?" Those that keep one foot in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&A world and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational world realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FISMA feet are wet and smelly and not doing anyone any good, period.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sad truth about FISMA, despite Mr. Porter's unsubstantiated claim, is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is zero connection between high FISMA scores and lower impact or number of intrusions. If you don't believe me, keep your eyes open for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next FISMA report card from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Oversight and Government Reform. A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 scores is interesting. Figure out who has good scores, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fared in this staff report on Federal breaches since January 2003. Hint: everyone's been 0wned, is 0wned, and will continue to be 0wned while money is spent paying consultants to write FISMA C&A packages.

Let's see what this FISMA book has to say about C&A packages. Page 34 claims a good ISSO can maintain C&A packages for 6 systems, and that writing each package can take 3-6 months. They need to be updated every 3 years. The C&A handbook guiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of packages is usally 200+ pages and needs to be kept current. The packages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are usually 500+ (!) pages, and require 2-4 weeks to be read by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accreditors.

On p 34 we come to a root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem:

Since once C&A package could easily take a year for a well-versed security expert to prepare, it is considered standard and acceptable for ISSOs to hire consultants from outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency to prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Certification Package.

Page 38 continues:

Since C&A, if done properly, is usually a much bigger job than most people realize, I cannot emphasize enough cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in using outside consultants. Putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a Certification Package is a full-time job.

I do not have a problem with consultants. Heck, I am a consultant. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of my work does not revolve around writing 500 page reports based on self-assessments every three years.

Laura Taylor writes on pp 8-9:

C&A is essentially a documentation and paperwork nightmare... prepare yourself to write, write, and write some more. If you detest writing, you're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong business.

Basically, preparing a Certification Package is writing about security -- extensive writing about security. When you are preparing a Certification Package, you usually don't perform any sort of hands-on security. You review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing security design and architecture documents, interview various IT support and development folks familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, and document your findings.
(emphasis added)

I am not making this up. The really sad part is this: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n says

...why C&A exists -- it is a process that enables authorizing officials to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security truths about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure so that informed decisions can be made.

Security truths? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y based on?

In chapter 8 we read about "security self-assessments." Maybe those are helpful? Hmm, probably not: "A security self-assessment is a survey-based audit that is essentially a long list of questions." What's worse, page 115 says:

[I]n September 2003 a report put out by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Inspector General at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Environmental Protection Agency found that 36 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses to security self-assessments contained inaccurate information.

Ms. Taylor's recommendation?

Tip: Encourage self-assessment respondents to answer questions truthfully.

Maybe some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of C&A and FISMA shows merit. Chapter 12, discussing Security Tests and Evaluation (ST&E), begins with this:

A Security Test & Evaluation, known among security experts as an ST&E, is a document that demonstrates that an agency has performed due diligence in testing security requirements and evaluation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests.

The ST&E is a C&A document that tends to give agencies lots of trouble. It's not clear to many agencies what tests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be doing, who should be doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests should consist of.


That's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r winner in my book.

FISMA fans out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability scans which are usually part of ST&E as a sign that something technical happens during C&A. Believe me, I am sparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of this book and her "technical editors" by not reproducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir recommendations for assessments. (One word: Strobe.)

We could also look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Privacy Impact Assessment, but guess what -- it's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r self-survey.

The bottom line is that FISMA doesn't mention C&A at all, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author thinks that's ok because C&A fulfill's FISMA's goals. The reality is far different. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act itself, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first "purpose" is to:

provide a comprehensive framework for ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of information security controls over information resources that support Federal operations and assets. (emphasis added)

FISMA is failing miserably. It's ironic that this FISMA book begins each chapter with a quote, and this begins chapter 2:

It is common sense to take a method and try it. If it fails, admit it frankly and try anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. But above all, try something. -- FDR

It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA fans to admit this five year FISMA experiment has been a waste of taxpayer money and agency resources.

Returning to my football analogy, C&A is an expensive, extensive practice session controlled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players and overseen by agents who get paid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. Success is measured not by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next game but by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of worthless statistics written about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first snap. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team takes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are annihilated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposition, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agents don't care because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir money elsewhere.

If you are a C&A Package-writing company, I strongly recommend you gain some operational capabilities or look for a new line of business. I am committed to eliminating your position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. Laura Taylor writes with some apparent regret that "most private and public companies don't put nearly as much time, effort, and resources into documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security as government agencies do." Let's keep it that way. At least it frees up resources for work that has a chance of stopping an intruder.

Do I have anything "nice" to say? Yes -- if you are so cursed as to be responsible for a FISMA C&A project, I do recommend reading this book. Forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects and concentrate on understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA maze. I thought Laura Taylor wrote a clear and well-organized book with lots of practical advice and good templates. I would much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r see her not have to write about this subject again, though!

Friday, November 24, 2006

Digital Security Lessons from Ice Hockey

I'm struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of attention we seem to be paying to discovering vulnerabilities and writing exploits. I call this "offensive" work, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fruits of such labor can be used to attack and compromise targets. This work can be justified as a defensive activity if we accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full disclosure argument that truly bad guys already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and similar vulnerabilities, or that so-called responsible disclosure motivates vendors to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software. This post isn't about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure debate, however. Instead, I'm wondering what this means for those of us who don't do offensive work, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r due to lack of skills or opportunity/responsibility.

It occurred to me today that we are witnessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of change that happened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Hockey League in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1960s and early 1970s. During that time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player pictured at left, Bobby Orr, changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game of ice hockey forever. For those of you unfamiliar with hockey, teams field six players: one goalie, who guards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net; two defensemen, who try to stop opposing players; and three forwards (one center and two wings), who try to score goals.

Prior to Orr, defensemen almost never took offensive roles. (Forwards didn't pay much attention to defense, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Only in 1978 did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Selke Trophy, for best defensive forward, start being awarded.) When Orr began playing, he wasn't satisfied to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puck in his defensive end and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hand it off to one of his forwards. He jumped into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 play, sometimes carrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puck end-to-end, finishing by scoring himself. Twice in his ten year career he even lead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 league in scoring -- scoring more goals than forwards. He didn't neglect his defensive duties, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. He was named league best defensement eight years straight.

What does this mean for digital security? It's easy to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forwards in our game. They discover and write exploits. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m can play defense, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs cannot. Many of us are traditional defensemen. We know how to impede cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposing team, and we know enough offense to understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy forwards operate. A few of us are goalies. Aside from clearing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zone or maybe making a solid pass to a forward, goalies have near-zero ability to score goals. (Yes, I remember Ron Hextall.) That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't skate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ice!

Anyone who plays a sport will probably recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "well-rounded." Being well-rounded means knowledge and capability in offense and defense. I think it applies very well to ice hockey and basketball, less so to soccer, somewhat well to baseball, and not at all to football. I see well-roundedness as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper trait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general security practitioner, i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of person who expects to work in a variety of roles during a career. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ice hockey model.

I do not recommend following what might be called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 [American] football model. Football players are exceptionally specialized and usually ineffective when told to play out of position. (Could you imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kicker playing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive line, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center as a wide receiver?)

Returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hockey model, remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are three positions, with varying degrees of offensive and defensive responsibilities. Goalies focus almost exclusively on defense, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y try to make smart plays that lead to break-outs. Defensemen concentrate on defense but should contribute offensively where possible. Forwards concentrate on offense, but help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensemen as well. How does this model apply to my position in digital security? I consider myself a defenseman, but I'm trying to develop my offensive skills. (At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, better knowledge of offensive tools and techniques helps me better defend against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.) I have no interest in being a goalie. Being a forward would be exciting, but I'm not sure I'll have an opportunity or job responsibility to fully develop those skills.

I suppose it's even possible to become a coach or trainer (like skating guru Laura Stamm). You don't have to actually play cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, but you quickly become irrelevant if you lose touch with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game.

Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extreme specialization of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 football model apply? I think it may for large consultancies (or perhaps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security market as a whole). In a large consultancy, you can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Web app guy" or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident response gal" and make a living. Outside of that environment, perhaps at a general security job for a company, you're expected to be good at almost everything.

I've written before that it's unreasonable to be good at everything, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unrealistic desire of CIOs to hire so-called "multitalented specialists." I recommend choosing to be a goalie, defenseman, forward, or coach/trainer. Be solid in your core responsibilities, but remember Bobby Orr's example.

How do you fit into my hockey model?

Tuesday, August 08, 2006

MSSPs: What Really Matters

Bamm Visscher pointed me to this Security Incite post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new NWC article Managed Security Service Providers by Joanne VanAuken. Ms. VanAuken managed to get five MSSPs -- BT Global Services, Cybertrust, Internet Security Systems, LURHQ and SecureWorks -- to answer. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs?

VeriSign Managed Security Services initially accepted and did an outstanding job completing its RFI, but backed out because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of exposing too much confidential data by publishing its RFI responses online (a requirement to participate). Equant also initially accepted but could not complete our RFI in time due to its rebranding to Orange Business Services. MCI, which has partnered with Verizon Business, declined. Accenture, AT&T Networking Outsourcing Services, Capgemini, Computer Sciences Corp. (CSC), Connetic, EDS, Getronics, IBM Global Services, Perimeter Internetworking, Science Applications International Corp (SAIC), Solutionary, Sprint, Symantec, TruSecure, Unisys and VigilantMinds didn't respond to our invitation.

Symantec didn't respond? And why wasn't Counterpane invited?

Here are a few fun excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story.

The million dollar question is, Which will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safest choice? Investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial health of your MSSP. If a provider meets your SLA (service-level agreement) and technical requirements but its business road map and financial health are questionable, walk away.

"The safest choice?" What about caring if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP can deliver?

[MSSP] vendor relationships mean MSSPs often receive advance notice of worm and viruses outbreaks...

Vendor to MSSP: "Hey, a worm outbreak is coming. Watch out!"
MSSP to Vendor: "Ok, thanks."
This doesn't happen. If anything, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP might be lucky to see worm activity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n notify its customers.

All vendors indicated a focus on preventing, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than detecting, intrusions... In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rare event that an MSSP does suspect a compromise, all vendors said that escalations are immediately executed while potential damage is contained through every countermeasure available until both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP and client agree on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a compromise actually occurred.

Of course "prevention" is king. Unfortunately, focus on "prevention" often drowns out considerations for detection. As a result, compromise is seldom "rare."

After evaluating five RFI proposals, we gave our Editor's Choice to Internet Security Systems because of it wealth of service offerings, outstanding SLA agreements, highly skilled personnel and bundled pricing options.

"Highly skilled" may indeed be true, but how does NWC know this?

My overall assessment of this "review" is that was a large amount of work for NWC to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFI (.doc) and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors to respond. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process identified many plausibly necessary conditions for running a good MSSP, but none are sufficient to assess if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP is any good at its core task: helping customers resist, detect, and respond to intrusions. (I no longer say "prevent" intrusions. "Resist" seems more accurate when prevention eventually fails.)

Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Report Card to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSPs were rated. 25% is assigned to "Service Levels." 20% is "Price." 10% is "Environmental," like physical security and facility features. That's 55% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score based on non-technical metrics. The remaining areas, "Support" at 25% and "Security Practices" at 20%, dance around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core issue. Items like "Technical Expertise/experience," at 10%, appears to have been measured by "certifications." Throw that out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window. A portal at 7%? Again, irrelevant. Aside from 4% for equipment compatibility and 4% for research organization partnerships, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining metrics are all based on plans, policies, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r paperwork.

This is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 football analogy I offered last month. Think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference in focus. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

[Two MSSPs] earned an edge by describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir power, air conditioning and fire-prevention setups in granular detail, including such items as contracts with diesel fuel suppliers, audits of power performance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target temperature for SOC (security operations center) rooms, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time (in seconds) allowed after a smoke alarm sounds for employees to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire-suppression system kicks in.

Great -- will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se MSSPs notice if I use stolen credentials to access a monitored customer resource, install a back door, and remove proprietary information using a stateless covert channel?

It's easy for me to criticize, you might say. How would I have done such a review? Well, I have done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Sometimes I review MSSPs, and sometimes I review in-house teams. My company's NSM Assessment and Evaluation is a two-phase process that works for in-house or outsourced security teams. I use a self-modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA-IAM for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Assessment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA-IEM for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evaluation. The NWC review would be similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Assessment, since it is non-technical and hands-off. The Evaluation is technical and hands-on, and tests how well all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP people, products, and processes actually perform.

I've also trained some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysts at VeriSign (ex-Guardent), and I've met or spoken several times with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at LURHQ and Verizon (ex-NetSec). I also know people at many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r MSSPs.

If you want to know more, email me: richard [at] taosecurity [dot] com.

As far as Mike Rothman's views go, he says this:

Yes, MSS is a Commodity. So what... There seem to be very little outward differentiation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest decision point is probably how long it takes you to wade through all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pricing and packaging options. But this is good news, in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business is mature enough to have tight operational processes - which is pretty much what you want to see in an outsourcing situation.

Ugh, that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no outward differentiation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what's being measured may be irrelevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core problem. As Bamm Visscher asks, "Is your MSSP just a 'Security Device Management Provider'?"

Friday, July 07, 2006

Control-Compliant vs Field-Assessed Security

Last month's ISSA-NoVA meeting featured Dennis Heretick, CISO of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Justice. Mr. Heretick seemed like a sincere, devoted government employee, so I hope no one interprets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following remarks as a personal attack. Instead, I'd like to comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security mindset prevalent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government. Mr. Heretick's talk sharpened my thoughts on this matter.

Imagine a football (American-style) team that wants to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success during a particular season. Team management decides to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height and weight of each player. They time how fast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40 yard dash. They note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 college from which each player graduated. They collect many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r statistics as well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n spend time debating which ones best indicate how successful cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 football team is. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center weigh over 300 pounds? Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wide receivers have a shoe size of 11 or greater? Should players from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 north-west be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting line-up? All of this seems perfectly rational to this team.

An outsider looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation and says: "Check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scoreboard! You're down 42-7 and you have a 1-6 record. You guys are losers!"

In my opinion, this summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of US government information security managers.

Here are some examples from Mr. Heretick's talk. He showed a "dashboard" with various "metrics" that supposedly indicate improved DoJ security. The dashboard listed items like:

  • IRP Reporting: meaning Incident Response Plan reporting, i.e., does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit have an incident response plan? This says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRP.

  • IRP Exercised: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit exercised its IRP? This says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise.

  • CP Developed: meaning Contingency Plan developed, i.e, does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit have a contingency plan should disaster strike? This also says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CP.

  • CP Exercised: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit exercised its CP? Same story as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRP.


Imagine a dashboard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, with all "green" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items. They say absolutely nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

How should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score be measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? Here are a few ideas, which are neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mutually exclusive nor exceedingly well-thought-out:

  • Days since last compromise of type X: This is similar to a manufacturing plant's "days since an accident" report or a highway's "days since a fatality" report. For some sites this number may stay zero if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is always compromised. The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better.

  • System-days compromised: This looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems compromised, and for how many days, during a specified period. The lower, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better.

  • Time for a pen testing team of [low/high] skill with [internal/external] access to obtain unauthorized [unstealthy/stealthy] access to a specified asset using [public/custom] tools and [complete/zero] target knowledge: This is from my earlier penetration testing story.


These are just a few ideas, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y relate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual question management should care about: are we compromised, and how easy is it for us to be compromised?

I explained my football analogy to Mr. Heretick and asked if he would adopt it. He replied that my metrics would discourage DoJ units from reporting incidents, and that reporting incidents was more important to him than anything else. This is ridiculous, and it indicates to me that organizations like this (and probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole government) need independent, Inspector General-style units that roam freely to assess networks and discover intruders.

In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 style of "security" advocated by government managers seems to be "control-compliant." I prefer "field-assessed" security, although I would be happy to replace that term with something more descriptive. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites (link will work shortly) Alan Paller used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "attack-based metrics," saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA laptop fiasco: "if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA security policies are imprecise and untestable, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA doesn't monitor attack-based metrics, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no repercussions for employees who ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important policies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this move [giving authority to CISOs] will have no impact at all."

PS: Mr. Heretick shared an interesting risk equation model. He uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following to measure risk.

  • Vulnerability is measured by assessing exploitability (0-5), along with countermeasure effectiveness (0-2). Total vulnerability is exploitability minus countermeasures.

  • Threat is measured by assessing capability (1-2), history (1-2), gain (1-2), attributability (1-2), and detectability (1-2). Total threat is capability plus history plus gain minus attributability minus detectability.

  • Significance (i.e., impact or cost) is measured by assessing loss of life (0 or 4), sensitivity (0 or 4), operational impact (0 or 2), and equipment loss (0 or 2). Total significance is loss plus op impact plus sensitivity plus equipment loss.

  • Total risk is vulnerability times threat times significance, with < 6 very low, 6-18 low, 19-54 medium, 55-75 high, and >75 very high.

Sunday, August 07, 2005

Soccer Goal Security

I found this ad in Network Computing magazine. It did not address a security concern, but I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image was priceless. I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie as representing most preventative security countermeasures. Player 9 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat. The soccer ball is an exploit. They are attacking an enterprise, represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soccer net.

The goalie is addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat he expects, namely someone trying to score from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net he is defending. In many cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie is "fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last war;" perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time he was scored upon came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side he now defends? The threat is smart and unpredictable, attacking a different part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net.

The net itself (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise) is huge. Not only is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net open, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net itself is riddled with holes. A particularly clever attacker might see his objective as getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net using any means necessary. That might include cutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball into smaller pieces and sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fragments through holes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacker might dig his way under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal and send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball up through a tunnel. Yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacker might wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie to get tired, or drop his guard, or lose his vision at night. A really viscious threat would attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie himself.

Network security monitoring is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device that captured this photo. We might collect indicators of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previously mentioned attacks. A traditional IDS or IPS might alert or try to block attacks (goals) passing from outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net to inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net. NSM data might reveal vibrations from tunneling under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal, or small pieces or soccer ball being infiltrated through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal itself is slightly raised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball is just pushed under!

I would prefer to see a version showing an ice hockey goalie, but I would have to stage and photograph that myself. Apologies to my friends across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pond who call this "football."