Showing posts with label insiders. Show all posts
Showing posts with label insiders. Show all posts

Saturday, February 09, 2019

Forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adversary to Pursue Insider Theft

Jack Crook pointed me toward a story by Christopher Burgess about intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by "Hongjin Tan, a 35 year old Chinese national and U.S. legal permanent resident... [who] was arrested on December 20 and charged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of trade secrets. Tan is alleged to have stolen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade secrets from his employer, a U.S. petroleum company," according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal complaint filed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US DoJ.

Tan's former employer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI allege that Tan "downloaded restricted files to a personal thumb drive." I could not tell from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complaint if Tan downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files at work or at home, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive ended up at Tan's home. His employer asked Tan to bring it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office, which Tan did. However, he had deleted all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Tan's employer recovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files using commercially available forensic software.

This incident, by definition, involves an "insider threat." Tan was an employee who appears to have copied information that was outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of his work responsibilities, resigned from his employer, and was planning to return to China to work for a competitor, having delivered his former employer's intellectual property.

When I started GE-CIRT in 2008 (officially "initial operating capability" on 1 January 2009), one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies we pursued involved insider threats. I've written about insiders on this blog before but I couldn't find a description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy we implemented via GE-CIRT.

We sought to make digital intrusions more expensive than physical intrusions.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, we wanted to make it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using insiders. We wanted to make it more difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using our network.

In a cynical sense, this makes security someone else's problem. Suddenly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team is dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst!

This is a win for everyone, however. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many advantages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team has over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security team.

The physical security team can work with human resources during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hiring process. HR can run background checks and identify suspicious job applicants prior to granting employment and access.

Employees are far more exposed than remote intruders. Employees, even under cover, expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appearance, likely residence, and personalities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and its workers.

Employees can be subject to far more intensive monitoring than remote intruders. Employee endpoints can be instrumented. Employee workspaces are instrumented via access cards, cameras at entry and exit points, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures.

Employers can cooperate with law enforcement to investigate and prosecute employees. They can control and deter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities.

In brief, insider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, like all "close access" activities, is incredibly risky for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. It is a win for everyone when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary must resort to using insiders to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission. Digital and physical security must cooperate to leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advantages, while collaborating with human resources, legal, information technology, and business lines to wring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum results from this advantage.

Saturday, April 14, 2007

Exaggerated Insider Threats

I got a chance to listen to Adam Shostack's talk at ShmooCon. When I heard him slaughter my name my ears perked up. (It's "bate-lik".) :) I hadn't seen his slides (.pdf) until now, but I noticed he cited my post Of Course Insiders Cause Fewer Security Incidents where I questioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preponderance of insider threats. I thought Adam's talk was good, although he really didn't support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of his talk. It seemed more like "security breaches won't really hurt you," racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than breaches benefitting you. That's fine though.

When he mentioned my post he cited a new paper titled A Case of Mistaken Identity? News Accounts of Hacker and Organizational Responsibility for Compromised Digital Records, 1980–2006 by Phil Howard and Kris Erickson. Adam highlighted this excerpt

60 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents involved organizational mismanagement

as a way to question my assertion that insiders account for fewer intrusions than outsiders.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outset let me repeat how my favorite Kennedy School of Government professor, Phil Zelikow, would address this issue. He would say, "That's an empirical question." Exactly -- if we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right data we could know if insiders or outsiders cause more intrusions. I would argue that projects like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month of 0wned Corporations give plenty of data supporting my external hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, but let's take a look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Howard/Erickson paper actually says.

First, what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y studying?

Our list of reported incidents is limited to cases where one or more electronic personal records were compromised through negligence or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft... For this study, we look only at incidents of compromised records that are almost certainly illegal or negligent acts. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of this paper, we define electronic personal records as data containing privileged information about an individual that cannot be readily obtained through ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public means.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are studying disclosure of personal information. They are not analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property like helicopter designs. They are not reviewing cases of fraud, like $10 million of routers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r gear shipped to Romania. They are not reviewing incidents where hosts became parts of botnets and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. All of that activity would put weight in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external column. That's not included here.

Let's get back to that 60% figure. It sounds like my hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis is doomed, right?

Surprisingly, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proportion of incident reports involving hackers is smaller than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proportion of incidents involving organizational action or inaction. While 31 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents reported clearly identify a hacker as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, 60 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents involve missing or stolen hardware, insider abuse or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, administrative error, or accidentally exposing data online.

Now we see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 60% figure includes several categories of "organizational action or inaction". Hmm, I wonder how big cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider abuse or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft figure is, since that to me sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big, bad "insider threat." If we look at this site we can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figures and tables for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. Take a look at Figure 2. (It's too wide to print here.) The Insider Abuse or Theft figure accounts for 5% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident total while Stolen - Hacked accounts for 31%. Sit down, insider threat.

Wait, wait, insider threat devotees might say -- what about Missing or Stolen Hardware, which is responsible for 36% of incidents? I'll get to that.

The numbers I cited were for incidents. You would probably agree you care more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records lost, since who cares if ten companies each lose one hundred records if an eleventh loses one hundred thousand.

If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding percentages for numbers of records lost (instead of number of incidents), Insider Abuse or Theft accounts for 0%, Missing or Stolen Hardware counts for 2% while Stolen - Hacked rings in at 91%. Why are we even debating this issue?

Wait again, insider fans will say. Why don't you listen when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors exclude Axciom from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data? They must be an "outlier," so ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. And now ignore TJX, and... anyone else who skews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion we're trying to reach.

The authors state:

Regardless of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is broken down, hackers never account for even half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume of compromised records.

To quote Prof Zelikow again, "True, but irrelevant." I'll exclude Acxiom too by looking at previous periods. In 1980-1989 Stolen - Hacked accounts for 96% of records and 43% of incidents, while Unspecified accounts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining 4% of records, along with 43% of incidents. Insider Abuse or Theft was 14% of incidents and zero records, meaning no breach. In 1990-1999 Stolen - Hacked accounts for 45% of incidents but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records is dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records lost in Unspecified Breach.

In brief, this report defends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis only in name, and really only when you cloak it in "organizational ineptitude" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than dedicated insiders out to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company intentional harm.

I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report to see if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conclusions buried behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers. It's entirely possible I'm missing something, but I don't see how this report diminishes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat.

Friday, February 16, 2007

Combat Insider Threats with Nontechnical Means

I've written many posts on insider threats, like How Many Spies and Of Course Insiders Cause Fewer Security Incidents. Recently a former Coca-Cola employee was found guilty of trying to steal Coke's trade secrets, with an intent to sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to Pepsi. According to this story, detection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plot was decidedly non-technical:

In May, a letter appeared at Pepsi's New York headquarters offering to sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade secret. But that's how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beverage superpowers learned of common corporate priorities: Pepsi officials immediately notified Coke of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach; in turn, Coke executives contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI and a sting operation was put into play.

Today I read Insider Tries to Steal $400 Million at DuPont. The story claims a technical detection method:

Computer security played a key role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The chemist, Gary Min, was spotted when he began accessing an unusually high volume of abstracts and full-text PDF documents from DuPont's Electronic Data Library (EDL), a Delaware-based database server which is one of DuPont's primary storage repositories for confidential information.

Between Aug. 2005 and Dec. 12, 2005, Min downloaded some 22,000 abstracts and about 16,700 documents -- 15 times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of abstracts and reports accessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-highest user of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EDL, according to documents unsealed yesterday by Colm Connolly, U.S. Attorney for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 District of Delaware...

Min began downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation about two months before he received an official job offer from Victrex, a DuPont competitor, in October 2005. The new job was slated to begin in January of 2006, but Min did not tell DuPont he was leaving until December 2005, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents. It was after he announced his departure that DuPont's IT staff detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high volume of downloads from Min's computer.


That demonstrates DuPont was unaware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity (which started in August) until December. That means DuPont only started looking for odd activity once Min announced his departure, so again we have anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r non-technical detection method. Something similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coke case occurred based on this line from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same story:

Victrex was not accused of conspiring with Min. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company assisted authorities in collecting evidence against him, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents.

So, in both cases nontechnical means identified and caught insider threats.

This follow-up story, 10 Signs an Employee Is About to Go Bad, lists only two technical means to identify insider threats -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining eight are all decidedly analog or physical. I recommend reading this list. It represents one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better arguments I've seen for "convergence" between physical and digital security staffs.

Unfortunately, many companies are spending lots of money on products to supposedly combat insider threats, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best approach is nontechnical. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se same companies are completely 0wn3d by outsiders in .ro, .ru, .cn, etc., but little attention is paid because external threats are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hot topic" right now. The only saving grace is that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical methods that might be helpful against insiders may work against outsiders who control company assets.

Wednesday, December 27, 2006

How Many Spies?

This is a follow-up to Incorrect Insider Threat Perceptions. I think security managers are worrying too much about insider threats compared to outsider threats. Let's assume, however, that I wanted to spend some time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat problem. How would I handle it?

First, I would not seek vulnerability-centric solutions. I would not even really seek technological solutions. Instead, I would focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Insider threats are humans. They are parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability and intention to exploit a vulnerability in an asset. You absolutely cannot stop all insider threats with technical solutions. You can't even stop most insider threats with technical solutions.

You should focus on non-technical solutions. (Ok, step two is technical.)

  1. Personnel screening: Know who you are hiring. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deeper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 check. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for periodic reexamination of a person's threat likelihood. This is common for anyone with a federal security clearance, for example.

  2. Conduct legal monitoring: Make it clear to employees that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are subject to monitoring. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring. Web surfing, email, IM, etc. are subject to inspection and retention within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boundaries of applicable laws.

  3. Develop and publish security policies: Tell employees what is proper and improper. Let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penalties for breaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy. Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m resign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m annually.

  4. Discipline, fire, or prosecute offenders: Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an infraction, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate action. Regulations without enforcement (cough - HIPAA - cough) are worthless.

  5. Deterrence: Tell employees all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above regularly. It is important for employees who might dance with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dark side to fully understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir misdeeds.


At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, you should wonder "how many spies?" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in your organization. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hurdles an insider threat must leap in order to carry out an attack and escape justice.

  • He must pass your background check, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by having a clean record or presenting an airtight fake record.

  • He must provide a false name and mailing address to frustrate attempts to catch him.

  • He must evade detecting by your internal audit systems.

  • He must have an escape plan to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization and resurface elsewhere.


I could continue, but imagine those difficulties compared to a remote cyber intruder in Russia who conducts a successful client-side attack on your company? Now which attack is more likely -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider?

Incorrect Insider Threat Perceptions

Search my blog for "insider threat" and you'll find plenty of previous posts. I wanted to include this post in my earlier holiday reading article, but I'd figure it was important enough to stand alone. I'm donning my flameproof suit for this one.

The cover story for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 December 2006 Information Secuirty magazine, Protect What's Precious by Marcia Savage, clued me into what's wrong with security managment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir perceptions. This is how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article starts:

As IT director at a small manufacturer of specialized yacht equipment, Michael Bartlett worries about protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm's intellectual property from outsiders. But increasingly, he's anxious about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat posed by trusted insiders.

His agenda for 2007 is straightforward: beef up internal security.

"So far, we've been concentrating on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, and protecting ourselves from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world," says Bartlett of Quantum Marine Engineering of Florida. "As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company is growing, we need to take better steps to protect our data inside."

Bartlett voices a common concern for many readers who participated in Information Security's 2007 Priorities Survey. For years, organizations' security efforts focused on shoring up network perimeters. These days, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus has expanded to protecting sensitive corporate data from insiders--trusted employees and business partners--who might eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r maliciously steal or inadvertently leak information.


That sounds reasonable. As I see it, however, this shift to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "inside threat" risks missing threats that are far more abundant.

First things first. Inside threat is not new. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead line from a security story:

You've heard it time and time again: Insiders constitute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest threat to your organization's security. But what can you do about it?

That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead from a July 2000 Information Security article called "Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat from Within".

Let's think about this for a moment. InfoSecMag in Dec 2006 mentioned that "organizations' security efforts focused on shoring up network perimeters," so turning inwards seems like a good idea. Wasn't looking inwards a good idea already in 2000? I'm probably not communicating my point very well, so here is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same Dec 2006 article:

Glen Carson, information security officer for California's Victim Compensation and Govern-ment Claims Board, says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem stems more from a lack of user education than poor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.

His priority is education: explaining to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 350 users in his agency why data security is important and how it will help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run.

"We recently completed a third-party security assessment and got a good test of our exterior shell, but internally our controls were lacking," he says.


I wonder if that "good test of our exterior shell" included client-side exploitation? I doubt it. Do you see where I am going?

Here's one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excerpt.

Mass-mailing worms may have gone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot-sector virus, but that does mean security managers don't have malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir radar...

Yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re hasn't been a major outbreak since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sasser worm in 2004, so what's all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuss? Security managers will tell you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of activity says a lot about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maturation of prevention technologies, advances in automated patch management tools, effectiveness of user awareness campaigns, and overall layered defense strategies.


Ok, are you laughing now? The reason why we're not seeing massive worms is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no money to be made in it. Everything is targeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. Even InfoSecMag admits it:

It's no secret that hacker motivations have changed from notoriety to money. Many of today's worms carry key-logging trojans that make off with your company's most precious assets. Attacks are targeted, often facilitated by insiders. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than relying on social engineering to move infected email attachments from network to network, hackers are exploiting holes in browsers, using Javascript attacks to hijack Web sessions and steal data.

Exactly (minus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "facilitated by insiders" part -- says who, and why bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r when remote client-side attacks are so easy?)

Here's my point: why are security managers so worried about Eva cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Engineer or Stan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary when Renfro cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romanian is stealing data right now. I read somewhere (I can't cite it now) that something like 70 million hosts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet may be under illegitimate control. It may make sense to speak more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hosts not compromised instead of those that are compromised. In 2004 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great book Rootkit claimed all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 500 was 0wned. Why do we think it's any different now?

It's possible that taking steps to control trusted insiders will also slow down outsiders who have gained a foothold inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. However, I don't see too many people clamping down on privileged users, and guess who powerful outsiders will be acting as when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise a site?

Of course we should care about insiders, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only threat you can control. Outsiders are far more likely to cause an incident because, especially with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of client-side attacks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are constantly interacting with your users. The larger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of users you support, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of targets an outsider can exploit. Sure, more employees means more insider threats, but let's put this in perspective!

The fact that you offer a minimal external Internet profile does not mean you're "safe" from outsiders and that you can now shift to inside threats. The outsiders are deadlier now than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've ever been. They are in your networks and acting quietly to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions. Give Eva and Stan a break and don't forget Renfro. He's already in your company.

Saturday, December 16, 2006

Duronio Postscript: 97 Months

In June and July this year I devoted several posts to covering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Duronio intrusion where my friend Keith Jones served as prosecution expert witness. Keith called this week to tell me Roger Duronio was sentenced to 8 years and one month jail time for his crimes. Great work Keith!

Thursday, November 16, 2006

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Reason for Privileged User Monitoring

No sooner did I write about a CEO gone bad do I read this: Ex-IT Chief Busted for Hacking:

Stevan Hoffacker, formerly director of IT and VP of technology for Source Media, was arrested at his home yesterday on charges of breaking into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email system that he once managed.

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Attorney for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn District of New York, Hoffacker hacked into his former company's messaging server, eavesdropped on top executives' emails about employees' job status, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n warned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employees that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were about to lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions.


I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's any real "hacking" involved here. Hoffacker probably retained access or leveraged knowledge of configuration errors to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems.

The FBI did not say exactly how Hoffacker broke into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mail system, but it noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former IT exec had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email accounts of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Source Media employees.

Of course, if Hoffacker was an "ex-IT chief," he wasn't a "true insider." He was an "ex-insider," who should have had all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (hopefully) nonexistent access granted to an outsider. True, he had knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems not possessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical outsider, but just because I created systems for previous employers doesn't mean I can waltz onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks now.

Although I am bringing up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "inside threat" again, please don't forget that you probably have external intruders from all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe inside your organization now. While privileged user monitoring and insider threat deterrence, detection, and ejection are important, keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties who are already abusing your corporate assets.

Friday, November 03, 2006

Real Insider Threats

Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in Cliff Berg's book High-Assurance Design:

Roles should be narrowly defined so that a single role does not have permission for many different functions, at least not without secure traceability.

The CTO of a Fortune 100 financial services company once bragged to me over dinner that if he wanted to, he had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to secretly divert a billion dollars from his firm, erase all traces of his actions, and disappear before it was discovered.

Clearly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles of separation of duties and compartmentalization were not being practiced within his organization.


Now I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in VARBusiness:

Federal law enforcement officials Tuesday arrested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well-known CEO of White Plains, N.Y.-based MSP provider Compulinx on charges of stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of his employees in order to secure fraudulent loans, lines of credit and credit cards, according to an eight-count indictment unsealed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Attorney's office in White Plains.

Terrence D. Chalk, 44, of White Plains was arraigned in federal court in White Plains, along with his nephew, Damon T. Chalk, 35, after an FBI investigation turned up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curious lending and spending habits. The pair are charged with submitting some $1 million worth of credit applications using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names and personal information -- names, addresses and social security numbers -- of some of Compulinx's 50 employees...

Terrence Chalk is also charged with racking up more than $100,000 in unauthorized credit card charges. If convicted, he faces 165 years in prison and $5.5 million in fines, prosecutors say. Damon faces a maximum sentence of 35 years imprisonment and $1.25 million in fines.


These are exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I mentioned earlier. Both cases make me sick. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 100 CEO knew his organization was broken but he thought it was a joke. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter, someone in a position of authority abused his access and ruined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financials lives of his employees.

This is a great example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to implement proper corporate governance by not centralizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roles of CEO, President, and Chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Board in a single person. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, none of those people should have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data abused by Mr Chalk. That level of access should stop at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VP for Human Resources.

Obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smallest of companies (mine included) can't separate certain duties because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are too many roles for too few people! However, organizations with 100 or more employees should certainly be taking steps to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access all employees have -- including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO.

This includes system and security administrators. According to surveys like those conducted by Dark Reading, a certain percentage of those with privileged access are abusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir power.

I often hear that system administrators should be responsible for securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems. I believe that sys admins should configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems as securely as possible, but outside parties (auditors, independent security staffs) should be responsible for auditing system activity and ensuring operation in compliance with security policies.

At some point we will also be able to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of system administrators to access sensitive data, perhaps using role-based access control (RBAC). There is no need for a sys admin who maintains a platform housing Social Security numbers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like to be able to read those records. It will not be popular for current sys admins to relinquish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "godlike" powers, but it will result in more secure operations. Sys admins are data custodians; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not data owners.

Monday, October 23, 2006

Bejtlich Speaking on Insider Threat

I will participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DE Communications Inside Job Webinar at 1100 ET on Thursday 9 November 2006. I plan to discuss why traditional externally-focused security techniques and tools are not well suited to deterring, detecting, and removing insider threats.

By insider threat I do not mean flawed services on desktops. I mean parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit vulnerabilities in assets. I guarantee you will hear me say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80%" figure is a myth.

Even though I am appearing with at least one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r speaker (Jerry Shenk), this is not a debate. It will be a few people discussing an import subject. I have a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Webinars in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 works and all should be free. Please join us if you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and bandwidth.

Update: Here's a press release. I'm glad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y included this quote:

"Insiders do not account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mythical 80% of security incidents, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privileged access allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to inflict devastating harm upon organizations. Security tools and tactics designed to combat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional external threat will not work as well, or at all, against insiders," commented Mr. Bejtlich.

Right on.

Monday, September 18, 2006

Insider Threat Study

I received a copy of a study announced by ArcSight and conducted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ponemon Institute. I mention this for two reasons. One, it highlights issues regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meaning of security terms. Two, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is worth a look.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email I received bore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject "Are Executives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cause of Insider Threats?". I wondered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study examined if executives were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intentions and capabilities to exploit weaknesses in assets. That's what a threat is, and a study that implied executives (and not corporate minions or IT staff) were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problem would be noteworthy in its own right.

Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The survey was sponsored by ArcSight, an enterprise security management company, and queried 461 respondents who are employed in corporate IT departments within U.S.-based organizations.

For purposes of this survey, we define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "insider threat" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misuse or destruction of sensitive or confidential information, as well as IT equipment that houses this data, by employees, contractors and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.


They're actually talking about attacks caused by insiders, not "insider threats." Working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir language, an insider threat would be "those who misuse or destroy sensitive or confidential information, as well as IT equipment that houses this data."

The report continues:

"Insider threats occur because of human error such as mistakes, negligence, reckless behavior, and sometimes even corporate sabotage."

Not really. Insider threats take advantage of vulnerabilities caused by mistakes and negligence. Insider threats employ reckles behavior (if not truly intending to cause harm) or corporate sabotage (if intending to cause harm) as attack methods.

Our survey sought to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three questions.

1. What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root causes of insider threats and how do information security practitioners respond to this pervasive IT and business risk?


They actually mean "what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root causes of vulnerabilities that are exploited by insider threats, and how to infosec practitioners mitigate risks?" To truly address root causes of insider threats, one would analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivations of threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, like greed, malice, etc.

2. What technologies, practices and procedures are employed by organizations to reduce or mitigate insider-related risks?

That's great. Risks is used appropriately.

3. What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues, challenges and possible impediments to effectively detecting and preventing insider threats?

I would say "detecting and preventing attacks by insider threats."

The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most salient findings in our study: Data breaches go unreported. While we seem to be inundated with reports of data breaches, we may not know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. More than 78% of respondents said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been at least one and possibly more unreported insider-related security breaches within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company.

Wow, that's a lot. Let's look for evidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report.

Table 11 reports that over 78% of respondents know of an insider-related security incident that was not publicly disclosed.



Notice Table 11 asks "Do you know of an insider-related incident in your organization (or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organization in your industry) which was not disclosed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public or to law enforcement?" (emphasis added)

That 78% figure doesn't mean that "more than 78% of respondents said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been at least one and possibly more unreported insider-related security breaches within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company" at all! In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be zero unreported breaches in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surveyed companies, and all respondents answering "yes" could be pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same incident at someone else's company.

This idea is backed up by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following finding:

Table 7 shows that over 59% of respondents believe that insider-related problems are more likely to occur outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir departments or organizational units.

So almost 60% of respondents think problems are likely to happen someplace else. That reminds me of surveys that say parents think schools in general are poor, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 school cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir child attends is fine.

While I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some interesting data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey report, I would keep my analysis in mind while reading it.

Friday, July 14, 2006

2006 CSI-FBI Study Confirms Insider Threat Post

Earlier this week I said Of Course Insiders Cause Fewer Security Incidents. I'm taking heat over at Matasano, but I've got some fresh facts to back me up, after getting a pointer from this Dark Reading story. In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 CSI-FBI study is now available, and it confirms my proposition.

The study shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a new significance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number "80%". Check out this chart from page 13. If you add up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two left columns, it shows that a clear majority of survey respondents -- 61% -- believe that "none" or 20% or less of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir losses come from insiders. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clear majority of survey respondents, 80% or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir losses come from external threats.

Why is this? Apparently it's caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number one cause of dollar losses -- "virus contamination." "Unauthorized access to information" is a fairly close second, compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 positions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r dollar losses. It's interesting that "system penetration by outsider" accounts for a fraction of losses -- but maybe external attackers gaining "unauthorized access to information" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem? It's probably not insiders gaining "unauthorized access to information," since (1) most insiders already have access -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just misuse it; and (2) if insiders were such a problem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would account for a bigger proportion of losses.

Again, again -- I agree that insiders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest amount of damage. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 havoc caused by rogue CEOs and CFOs. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers aren't lying -- external problems are bigger. We have ways of dealing with rogue insiders that completely dwawf our options with handling outsiders.

At some point my critics will recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason I am so vocal about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between threats and vulnerabilities. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, we can address vulnerabilities. Secure coding, security infrastructure, configuration management, training, etc. all help reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of vulnerabilities (or at least have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to). After all, we control what we deploy (or at least we should!)

Threats are completely different. Threats are people, people living in basements in Eastern Europe, China, Africa, wherever -- outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of law enforcement and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. While we patch and configure away old vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se same external intruders never stop.

Behind every virus, Trojan, worm, botnet is a person -- a person -- yet we continue to worry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest hole in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux kernel. The only group who can make any difference in this battle against bad people are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police and military. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current police and military infrastructure is currently not capable of addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se threats.

We are not going to code, configure, or patch our way out of this problem, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. Vulnerabilities come and go; at present, threats continue until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get bored.