Showing posts with label strategy. Show all posts
Showing posts with label strategy. Show all posts

Wednesday, November 06, 2019

Seven Security Strategies, Summarized

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of story that starts as a comment on Twitter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes a blog post when I realize I can't fit all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas into one or two Tweets. (You know how much I hate Tweet threads, and how I encourage everyone to capture deep thoughts in blog posts!)

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought, and not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of thinking too deeply or comprehensively (at least right now), I offer seven security strategies, summarized.

When I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation, I'm talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that one can conceptually image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of some negative event using this "formula": Risk (of something) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product of some measurements of Vulnerability X Threat X Asset Value, or R = V x T x A.

  1. Denial and/or ignorance. This strategy assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, because those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation are zero or almost zero, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are apacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost.
  2. Loss acceptance. This strategy may assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, or more likely those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of risk realization is low. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, incidents will occur, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is acceptable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.
  3. Loss transferal. This strategy may also assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, but in contrast with risk acceptance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization believes it can buy an insurance policy which will cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of an incident, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy is cheaper than alternative strategies.
  4. Vulnerability elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through secure coding, proper configuration, patching, and similar methods.
  5. Threat elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through deterrence, dissuasion, co-option, bribery, conversion, incarceration, incapacitation, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods that change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent and/or capabilities of threat actors. 
  6. Asset value elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through minimizing data or resources that might be valued by adversaries.
  7. Interdiction. This is a hybrid strategy which welcomes contributions from vulnerability elimination, primarily, but is open to assistance from loss transferal, threat elimination, and asset value elimination. Interdiction assumes that prevention eventually fails, but that security teams can detect and respond to incidents post-compromise and pre-breach. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, some classes of intruders will indeed compromise an organization, but it is possible to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary completes his mission.
As you might expect, I am most closely associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdiction strategy. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denial and/or ignorance and loss acceptance strategies are irresponsible.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss transferal strategy continues to gain momentum with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of cybersecurity breach insurance policies. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability elimination strategy is important but ultimately, on its own, ineffective and historically shown to be impossible. When used in concert with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r strategies, it is absolutely helpful.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat elimination strategy is generally beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of private organizations. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state retains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monopoly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of force, usually only law enforcement, military, and sometimes intelligence agencies can truly eliminate or mitigate threats. (Threats are not vulnerabilities.)

I believe asset value elimination is powerful but has not gained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground I would like to see. This is my "If you can’t protect it, don’t collect it" message. The limitation here is obviously one's raw computing elements. If one were to magically strip down every computing asset into basic operating systems on hardware or cloud infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that those assets exist and are networked means that any adversary can abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for mining cryptocurrencies, or as infrastructure for intrusions, or for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of raw computing power.

Please notice that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies listed tools, techniques, tactics, or operations. Those are important but below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conflict hierarchy. I may have more to say on this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. 

Tuesday, January 05, 2016

2014-2015 Professional Reading Round-Up

At an earlier point in my career, I used to read a lot of technical security books. From 2006 to 2012 I published a series of Best Book Bejtlich Read posts. Beginning in 2013 I became much more interested in military-derived strategy and history, dating back to my studies at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990s. I stopped reviewing books at Amazon.com and didn't talk about my reading.

Last week I read Every Book I Read in 2015 by T. Greer, which inspired me to write my own version of that post. I have records for 2014-2015 thanks to a list I keep at Amazon.com. I'm modifying Greer's approach by not including personal reading, but I am adopting his idea to bold those titles that were my favorites.

The following are presented such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recently read appears first.

2015 Reading (37 books):

Restraint: A New Foundation for U.S. Grand Strategy 
by Barry R. Posen *(I'm joining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "restraint" school. I will say more about this in 2016.)

Learning to Eat Soup with a Knife: Counterinsurge​ncy Lessons from Malaya and Vietnam
by John A. Nagl

On Guerrilla Warfare
by Mao Tse-tung

The Rise of China vs. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Logic of Strategy
by Edward N. Luttwak *(I became a Luttwak fan when I read his book on Rome in 2014. Although I don't agree with everything he writes -- such as his stance on humanitarian assistance -- I find his "logic of strategy" compelling and correct.)

The Dragon Extends its Reach: Chinese Military Power Goes Global
by Larry M. Wortzel

War and Politics
by Bernard Brodie *(I became a huge Brodie fan in 2015, and this book was just as good as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Brodie book I read, listed below.)

Strategy: Second Revised Edition
by B. H. Liddell Hart

Science, Strategy and War: The Strategic Theory of John Boyd
by Frans P.B. Osinga

The U.S.-China Military Scorecard: Forces, Geography, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evolving Balance of Power, 1996-2017
by Eric Heginbotham, Michael Nixon, Forrest E. Morgan

Strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Missile Age
by Bernard Brodie *(This book made me a Brodie fan. I like his clear reasoning and writing style.)

Strategy: The Logic of War and Peace, Revised and Enlarged Edition
by Edward N. Luttwak *(Despite how much I like Brodie's work, this is probably my "book of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year." It gave a voice to many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frustrations with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way my technical- and tactics-obsessed colleagues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world approach offense and defense. Introducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "technical" level of war (below tactics) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "classic delusion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'final move'" described well what happens in traditional digital security practice and thought.)

Boyd: The Fighter Pilot Who Changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of War
by Robert Coram

In Pursuit of Military Excellence: The Evolution of Operational Theory
by Shimon Naveh

The Grey Line: Modern Corporate Espionage and Counter Intelligence
by Andrew Brown *(This book wins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "weirdest book of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year" award. The author makes outrageous claims, with no sourcing, but seems to know what he is talking about.)

Broker, Trader, Lawyer, Spy: The Secret World of Corporate Espionage
by Eamon Javers

The Nature of War in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Age: Clausewitzian Future
by David J. Lonsdale

Cyberspace and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State: Toward a strategy for cyber-power
by David J Betz, Tim Stevens

Grant's Last Battle: The Story Behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Personal Memoirs of Ulysses S. Grant
by Chris Mackowski

There Will Be Cyberwar: How The Move To Network-Centri​c Warfighting Has Set The Stage For Cyberwar
by Richard Stiennon

The Future of Violence: Robots and Germs, Hackers and Drones Confron​ting A New Age of Threat
by Benjamin Wittes, Gabriella Blum *(This book offered valuable insights, including How The World Butchered Benjamin Franklin’s Quote On Liberty Vs. Security.)

Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It
by Marc Goodman *(This book was surprisingly good. After I read past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cyber" parts, I found myself thinking differently about "connectivity" and its effects.)

Cyber Policy in China
by Greg Austin

Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World
by Bruce Schneier *(I like that, after documenting privacy concerns caused by public and private actors, Bruce tells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to work through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 democratic process to reform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system -- not become anarchists.)

Strategic Reassurance and Resolve: U.S.-China Relations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Twenty-First Century
by James Steinberg, Michael E. O`Hanlon *(The first book in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "restraint" school I read in 2015.)

@War: The Rise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Military-Inter​net Complex
by Shane Harris *(I was surprised by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of backroom information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author obtained. Fascinating insights.)

Spam Nation: The Inside Story of Organized Cybercrime-fro​m Global Epidemic to Your Front Door
by Brian Krebs *(So much more than spam! Must-read.)

Cyber War versus Cyber Realities: Cyber Conflict in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International System
by Brandon Valeriano, Ryan C. Maness *(I disagree with a lot of this book, but I appreciate this sort of research.)

Countdown to Zero Day: Stuxnet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Launch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World's First Digital Weapon
by Kim Zetter *(I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of Stuxnet was already well-documented, but this was a great book -- especially during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finalization of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iran nuclear deal.)

The Barefoot Lawyer: A Blind Man's Fight for Justice and Freedom in China
by Chen Guangcheng *(I was so pleased to testify with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barefoot Lawyer himself last year -- awesome experience!)

War
by Lawrence Freedman

Competitive Strategies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st Century: Theory, History, and Practice
by Thomas Mahnken

Computer Capers
by Thomas Whiteside

China and Cybersecurity: Espionage, Strategy, and Politics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Domain
by Jon R. Lindsay, Tai Ming Cheung, Derek S. Reveron

On War
by Carl von Clausewitz, Michael Eliot Howard, Peter Paret

Strategy: A History
by Lawrence Freedman

U.S. Army War College Guide to National Security Issues: Volume II - National Security Policy and Strategy (5th Edition)
by U.S. Army War College

U.S. Army War College Guide to National Security Issues- Volume I: Theory of War and Strategy (5th Edition)
by U.S. Army War College

Talking anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r page from Greer, if I were to add entries to my quantum library, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books by Brodie, Luttwak's Strategy: The Logic of War and Peace. I would probably also have to add Clausewitz, if only because everyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy world obsesses about him.

2014 Reading (24 books):

Forged in Fire: Strategy and Decisions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Airwar over Europe 1940-1945
by Dewitt S. Copp

A Few Great Captains: The Men and Events That Shaped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Development of U.S. Air Power
by Dewitt S. Copp *(The title of this book was derived from one of my favorite quotes: "No army produces more than a few great captains." Army Chief of Staff Gen George Marshall, eulogizing airman Lt Gen Frank Andrews in 1943.)

The Rise of American Air Power: The Creation of Armageddon
by Michael S. Sherry *(This book made a powerful case that airpower was promoted as a less violent way to win wars, in comparison to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slaughter of World War I. Unfortunately, during World War II, it became probably more violent, demonstrated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firebombing of Germany and Japan.)

The Icarus Syndrome: The Role of Air Power Theory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evolution and Fate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force
by Carl H. Builder *(This book helped me understand how and why pilots think as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, and why a separate Cyber Force is likely necessary, from a personnel standpoint alone.)

Airpower for Strategic Effect
by Colin S. Gray *(Gray is a prolific author, but with this book I decided to no longer read his works. His style is difficult for me to follow.)

The American Way of War: A History of United States Military Strategy and Policy
by Russell F. Weigley

Command in War
by Martin Van Creveld

The Masks of War: American Military Styles in Strategy and Analysis: A RAND Corporation Research Study
by Carl Builder *(Builder writes with penetrating insight regarding how military services see each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.)

American Cold War Strategy: Interpreting NSC 68
by Ernest R. May *(NSC 68 is like Clausewitz -- you have to be conversant with it!)

The Wizards of Armageddon 
by Fred Kaplan *(This book introduced me to Brodie and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r early nuclear strategists. I extracted some excellent lessons from my PhD from it, especially concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early Air Force's inability to physically execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft operations it said it could perform to provide retaliatory options. It reminded me of Libicki's erroneous belief that cyber security vulnerability is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's choice.)

History and Strategy
by Marc Trachtenberg

Strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Contemporary World
by John Baylis, James J. Wirtz, Colin S. Gray *(Yes, I read a no-kidding text book.)

The Grand Strategy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Roman Empire: From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 First Century A.D. to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Third
by Edward N. Luttwak *(This book sold me on Luttwak, but I hadn't read about his "logic" yet.)

Historians' Fallacies : Toward a Logic of Historical Thought
by David Hackett Fischer *(This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of book that one can leverage to demolish almost everything you encounter when reading history. It's worth reading several times and I intend to try to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fallacies in my PhD.)

Addressing Cyber Instability
by Cyber Conflict Studies Association

Authoring a PhD Thesis: How to Plan, Draft, Write and Finish a Doctoral Dissertation
by Patrick Dunleavy *(This is a must-read if you are pursuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "big-book" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis as found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 British system, as is my situation.)

The Air Campaign
by John Warden III *(I am a big fan of Boyd, Warden, and Deptula and try to read whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write.)

Alien: How Operational Art Devoured Strategy
by Justin Kelly, Mike Brennan *(I read this book to be familiar with arguments by those who oppose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility of an operational level of war, between strategy and tactics.)

The Sources of Military Doctrine: France, Britain, and Germany Between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World Wars
by Barry R. Posen *(I believe Ian Wallace recommended this book. I thought it was great. I already listed Dr Posen's "restraint" work, which I read much later.)

The Air Campaign, John Warden and Classical Airpower Theorists (Revised Edition)
by David R. Mets

Strategic Stability
by Elbridge Colby *(This was some difficult early reading, before I identified my core interests. The concept of "stability" was helpful when I read later works, however.)

Treasury's War: The Unleashing of a New Era of Financial Warfare
by Juan Zarate *(This is an excellent book that documents anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r major operational mode for US power in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st century.)

Cybersecurity and Cyberwar: What Everyone Needs to Know
by P.W. Singer, Allan Friedman

John Warden and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Renaissance of American Air Power
by John Andreas Olsen

The only book to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "quantum" list, from my 2014 reading, would be Fischer's Historians' Fallacies.

I read a ton of papers and studies in 2014-2015, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books I tracked. I regret that my 2013 reading appears to have disappeared into history. I know that I read Cyber War Will Not Take Place but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise I have no concrete records of professional reading in 2013. It was a very busy year with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye acquisition of Mandiant, so perhaps I didn't read that much.

In any case, I hope you find this list useful and perhaps inspiring, should you share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of interests, or if you are wondering how to get started in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, or at least non-business, strategy world.

Thursday, February 19, 2015

Boards Not Briefed on Strategy?

I'd like to make a quick note on strategy, after reading After high-profile hacks, many companies still nonchalant about cybersecurity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Christian Science Monitor today. The article says:

In a survey commissioned by defense contractor Raycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365on of 1,006 chief information officers, chief information security officers, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technology executives, 78 percent said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boards had not been briefed even once on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization’s cybersecurity strategy over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 12 months...

The findings are similar to those reported by PricewaterhouseCoopers in its Global State of Information Security Survey last year in which fewer that 42 percent of respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir board actively participates in overall security strategy.

Does this worry you? Do you want to introduce strategic thinking into your board discussion? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is yes, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

1. Check out my earlier blog posts on strategy, especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two articles.

2. Watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote I delivered at ArchC0n last year. My section starts around 8:30.

3. For those who want to apply strategic thought to network security monitoring, I addressed that in a Webcast for O'Reilly last year.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, we need to be talking in strategic terms with business leaders, not technical terms. They are not having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need, and too few of us know how to speak a language that aligns with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interests and goals.

We need to convince boards and CxOs that we are understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goals, and that security teams are implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct strategy and running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right campaigns to achieve business objectives. We should not be talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactics and tools to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy and campaigns. Sell executives on your strategy, not your technical knowledge.

Elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Discussion on Security Incidents

I am not a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way many media sources cite "statistics" on digital security incidents. I've noted before that any "statistic" using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "millions" or "billions" to describe "attacks" is probably worthless.

This week, two articles on security incidents caught my attention. First, I'd like to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story at left, published 17 February in The Japan Times, titled Cyberattacks detected in Japan doubled to 25.7 billion in 2014. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The number of computer attacks on government and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations detected in Japan doubled in 2014 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year to a record 25.66 billion, a government agency said Tuesday.

The National Institute of Information and Communications Technology used around 240,000 sensors to detect cyberattacks...

Among countries to which perpetrators’ Internet Protocol addresses were traced, China accounted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest share at 40 percent, while South Korea, Russia and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States also ranked high.

NICT launched a survey on cyberattacks in Japan in 2005, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of such incidents stood at around 310 million. The number rose to about 5.65 billion in 2010 and to 7.79 billion in 2012.

25.66 billion "computer attacks"? That seems ridiculous at first glance. Based on observations from "around 240,000 sensors," that's over 100,000 "attacks" per sensor per year, or nearly 300 per sensor per day. That still seems excessive, although getting closer to an order of magnitude that might make sense.

You might find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend line more interesting, i.e., 310 million to 5.65 billion to 7.79 billion to 25.66 billion. However, it is important to adjust for increased visibility at each point. I doubt that 240,000 sensors were operating prior to 2014.

(On a secondary note, I'm not thrilled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section saying that Chinese IP addresses accounted for 40% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "attacks." While that may be a "fact," it doesn't say anything by itself that helps with attribution.)

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, talking about individual "attacks," especially when counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m discretely, is outmoded thinking, in my opinion. "Attacks" could include anything from transmitting a TCP segment to a specific port, to attempting SQL injection on a Web site, to sending a phishing email.

If properly defined, "attacks" become somewhat interesting, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value as indicators should extend beyond being simple atomic events.

I was much more encouraged by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second article, at right, published 18 February by Reuters, titled Lockheed sees double-digit growth in cyber business. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[Chief Executive Officer Marillyn] Hewson told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's annual media day that Lockheed had faced 50 "coordinated, sophisticated campaign" attacks by hackers in 2014 alone, and she expected those threats to continue growing.

The use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "campaign" is significant here. Campaign aligns with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational level of war, between Tactics and Strategy. (Tactics are employed as actions at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual battle or skirmish level, while Strategy describes matching ways and means to achieve specific ends. See my posts on strategy for more.)

Campaigns are sets of activities pursued over days, weeks, months, and even years to accomplish strategic and policy goals. The term campaign indicates purpose, applied over an extended period of time. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LM CEO speaks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms, she shows that her security team is thinking at an advanced level, likely aligning campaigns with specific threat actors and motives.

When a CEO talks about 50 campaigns, she can have a more meaningful discussion with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executives and board. She can talk about threat actors behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns, what happened during each campaign, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team detected and responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The term Campaign also matches well with business operations; think of "marketing campaigns," "sales campaigns," etc.

I would very much like to see security teams, officials, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs think and talk about campaigns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, and place statistics on "attacks" in proper context. Note that some threat researchers talk about campaigns when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write reports on adversary activity, so that is a good sign already.

Saturday, May 03, 2014

Brainwashed by The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick

Faster is better! Those of us with military backgrounds learned that speed is a "weapon" unto itself, a factor which is "inherently decisive" in military conflict. The benefit of speed was so ingrained into my Air Force training that I didn't recognize I had been brainwashed by what Dr. Thomas Hughes rightly identified as The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick.

Dr. Hughes published his article of this title in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Winter 2001 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aerospace Power Journal. His main point is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At a time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American military has global commitments arrayed at variable threats, both real and potential, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon’s single-minded view of speed leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation’s defenders poorly prepared for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of military opposition and enemies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may face.

Although Dr. Hughes wrote his article in 2001, his prescription is as accurate as ever. I found his integration of Edward Luttwak's point very telling:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quest for swift war, replete with exit strategies and premature cease-fires, has led to less, not more, decisive war, as Edward Luttwak argues. For him, wars nowadays rarely “run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir natural course” to “burn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves out and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preconditions for a lasting settlement.” Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y “become endemic conflicts that never end because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transformative effects of both decisive victory and exhaustion are blocked.” The present struggle against terrorism may well prove an acid test for Luttwak’s point.

These points resonated with me because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reflected what I am learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Civil War. Scott, Grant and Lincoln knew that a quick, early strike against Richmond, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union seized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capital of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy, would not decisively end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War and bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union. Sad as it may seem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels had to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point in fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war. If Richmond had fallen in 1861, only months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack on Fort Sumter, it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy would have transferred cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capital and kept fighting. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quick" would have been a poor strategy during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War. (That doesn't necessarily justify fighting a four year conflict, but I believe a strategy of quickly capturing Richmond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r objectives would have resulted in Civil War 2, and so on, similar to World War II.)

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber side, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article reminded me of an area where speed is often paramount: detection and response. However, I remembered that my guidance on "fast" containment has always integrated one exception, as I noted on page 199 of my newest book, The Practice of Network Security Monitoring:

The speed with which a CIRT and constituent take containment actions is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of hot debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world. Some argue for fast containment in order to limit risk; ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs argue for slower containment, providing more time to learn about an adversary. The best answer is to contain incidents as quickly as possible, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT can scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of its capability.

Scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident means understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach. Is he limited to interacting with only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one computer identified thus far? Does he control more computers, or even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network by virtue of exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Active Directory domain controllers?

The speed with which a CIRT can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containment decision is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary ways to measure its maturity. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT regularly learns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of advanced (or even routine) threats via notification by external parties, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n rapid containment is less likely to be effective. A CIRT that cannot find intrusions within its own environment is not likely to be able to rapidly scope an incident. “Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first identified victim will probably leave dozens, hundreds, or thousands of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r victims online and available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT develops its own threat intelligence, maintains pervasive visibility, and quickly finds intruders on its own, it is more likely to be able to scope an incident in a minimum amount of time. CIRTs with that sort of capability should establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach as rapidly as possible, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just as quickly contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim(s) to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary’s options. (emphasis added)

I highly recommend reading The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick. You may find you have also been brainwashed!

Gunfight picture credits: Popular Mechanics

Thursday, April 24, 2014

Five Thoughts on New China Article

I just read a thoughtful article by Michael O'Hanlon and James Steinberg, posted at Brookings and Foreign Policy titled Don't Be a Menace to South (China Sea).

It addresses thorny questions regarding China as President Obama visits South Korea, Japan, Malaysia, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Philippines.

I wanted to share five quick thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, fully appreciating I don't have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to this complex strategic problem.

1. "Many in China see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. rebalance as ill-disguised containment, while many in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States see Chinese military modernization and territorial assertiveness as strong indications that Beijing seeks to undermine Washington's alliances and drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Western Pacific."

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se statements as being perceptions by both sides, but I also think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth than what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors believe. I recommend Dr Ashley Tellis' monograph Balancing Without Containment: An American Strategy for Managing China as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best strategy I've seen for handling this aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

2. "Compounding this challenge, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-term intentions of both sides are inherently unknowable. The inclination in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of such uncertainty is to prepare for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst -- which all too frequently becomes a self-fulfilling prophecy."

I disagree that long-term intentions are inherently unknowable. Building on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese want to project regional power without US interference, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US wants to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to protect power globally. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two sides will be in conflict in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regional Chinese waters.

3. "That does not mean Washington must immediately unsheacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sword if tensions escalate over China's actions near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senkakus or disputed islands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea, but it must make clear that it is prepared to impose significant costs if red lines are crossed -- which is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response to Russia's actions in Ukraine is so salient to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in East Asia."

I believe many commentators and policymakers cringe at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "red lines" when applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current administration. The President's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term with respect to Syrian weapons of mass destruction has weakened his position. Perhaps more importantly, just what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "red lines" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea? The authors recommend meeting alliance commitments, but what does that mean?

4. "U.S. allies in Asia worry that China's ability to impose economic costs against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States might deter Washington from acting -- a concern exacerbated by U.S. and European caution in imposing costs on Russia. The late March expansion of sanctions against Russia should help reassure U.S. allies of Washington's willingness to accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks of economic retaliation in order to impose costs on those who cross red lines."

There are few similarities between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-Russia and US-China economic relationships. The risks of economic retaliation from Russia are far smaller than those that could be applied by China. US allies should worry about China's ability to impose economic costs against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, but that is tempered somewhat by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects those sanctions could have against China itself.

5. "The United States and its allies also have an interest in reassuring China that if Beijing acts responsibly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not seek to thwart its future prosperity and security... These might include "Open Skies" reconnaissance agreements, where both sides allow territorial overflights to reduce concerns about concealment...

Just as important as formal agreements is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 willingness of both sides to exercise restraint in defensive actions that might appear threatening; to enhance transparency to dispel misunderstandings; and to reciprocate positive actions to stimulate a virtuous circle of enhanced confidence. This might mean Chinese willingness to slow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of its military buildup racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than race for parity." (emphasis added)

What does "act responsibly" mean? In US eyes, it probably means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US to project power globally, including in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea. As I mentioned above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese don't want this to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium and long term.

"Open skies" agreements and "enhanced transparency" are non-starters for China, just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were non-starters for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet Union in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1950s. Strategic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory explains why. China is militarily weaker than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. They fear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US learns about Chinese capabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more accurately and effectively cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US will be able to target and neutralize those capabilities. The Chinese follow this approach with nuclear weapons and cyber weapons, as we saw with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter recently (see Adam Segal's What Briefing Chinese Officials On Cyber Really Accomplishes.)

I see few situations where China would slow its military buildup, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of nuclear weapons. With nuclear weapons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important feature is a first-strike-survivable retaliation capability. The Chinese don't need to match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US warhead-for-warhead if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US knows we can't get away with a first strike against China. (To learn more about this dynamic, see Strategic Stability: Contending Interpretations.)

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conventional side, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese are more likely to try to outbuild cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still lack a qualitative advantage compared to US forces. Given declining US budgets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese should be able to out-spend and out-build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Navy and Air Force, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two most critical services for a future US-China conflict.

Overall, this is a very tough problem, but I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 piece by Dr Tellis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best answer I've read concerning strategic approaches to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-China issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea.

Saturday, February 22, 2014

The Limits of Tool- and Tactics-Centric Thinking

Earlier today I read a post by Dave Aitel to his mailing list titled Drinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cool-aid. Because it includes a chart you should review, I included a screenshot of it in this blog, below. Basically Dave lists several gross categories of defensive digital security technology and tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n lists what he perceives as deficiencies and benefits of each. Embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pluses and minuses are several tactical elements as well. Please take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original or my screenshot.



I had three reactions to this post.

First, I recognized that it's written by someone who is not responsible for defending any network of scale or significance. Network defense is more than tools and tactics. It's more often about people and processes. My initial response is unsatisfying and simplistic, however, even though I agree broadly with his critiques of anti-virus, firewalls, WAFs, and some traditional security technology.

Second, staying within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of tools and tactics, Dave is just wrong on several counts:
  • He emphasizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of encryption to defeat many defensive tools, but ignores that security and information technology architects regularly make deployment decisions to provide visibility in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of encryption.
  • He ignores or is ignorant of technology to defeat obfuscation and encryption used by intruders.
  • He says "archiving large amounts of traffic is insanely expensive and requires massive analytics to process," which is wrong on both counts. On a shoestring budget my team deployed hundreds of open source NSM sensors across my previous employer to capture data on gateways of up to multi-Gbps bandwidth. Had we used commercial packet capture platforms we would have needed a much bigger budget, but open source software like Security Onion has put NSM in everyone's hands, cheaply. Regarding "massive analytics," it's easier all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to get what you need for solid log technology. You can even buy awesome commercial technology to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done in ways you never imagined.
I could make ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r arguments regarding tactics and tools, but you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three I listed.

Third, and this is really my biggest issue with Dave's post, is that he demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all-too-common tendency for security professionals to constrain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 levels of tactics and tools. What do I mean? Consider this diagram from my O'Reilly Webinar on my newest book:


A strategic security program doesn't start with tools and tactics. Instead, it starts with one or more overall program goals. The strategy-minded CISO gets executive buy-in to those goals; this works at a level understood by technicians and non-technicians alike. Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO develops strategies to implement those goals, organizes and runs campaigns and operations to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies, helps his team use tactics to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns and operations, and procures tools and technology to equip his team.

Here is an example of one strategic security approach to minimize loss due to intrusions, using a strategy of rapid detection, response, and containment, and NSM-inspired operations/campaigns, tactics, and tools.




Now I don't want to seem too harsh, because tool- and tactics-centric thinking is not just endemic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world. I read how it played out during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planning and execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Gulf War.

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonderful John Warden and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Renaissance of American Air Power and learned how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems. The Air Force was very tactics- and technology-focused. They cared about how to defeat ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aircraft in aerial combat and sought to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army happy by making close air support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir main contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "joint" fight. The Air Force managed to quickly deploy planes to Saudi Arabia but had little idea how to use those forces in a campaign, let alone to achieve strategic or policy goals. It took visionaries like John Warden and David Deptula to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign a reality, and forever change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of air warfare.

I was a cadet when this all happened and remember my instructors exhibiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contemporary obsession with tactics and tech we've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world for decades. Only later in my Air Force career did I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategic viewpoint gain acceptance.

Expect to hear more from me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategic thinking in digital security. I intend to apply to a PhD program this spring and begin research in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall. I want to apply strategic thinking to private sector digital defense, because that is where a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action is and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need is greatest.

For now, I talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategy in my O'Reilly Webinar.