Interview with One of My Three Wise Men

Tony Sager from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA is one of my Three Wise Men. (Dan Geer and Ross Anderson are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two.) Eric Parizo from SearchSecurity.com interviewed Tony this week and posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video online.

Tony notes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 escalation in threat activity during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years is real. He is in a position to know, given he has worked at NSA since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. Tony says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat activity is getting people's attention now, especially at more senior levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and industry. Now targeted organizations are thinking beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "does this affect my company" to "does this affect my industry?"

Tony explains that a generational effect may account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change in awareness. More senior leaders grew up with technology, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to think about it. There is also more public reporting on serious security incidents today.

My favorite quote was:

"If you're not a little concerned, you haven't been paying attention."

Since Tony is Mr Reasonable, I think that's a significant statement!

Eric asked Tony for his opinion on APT, and he replied that APT isn't that useful a concept for his line of work. That's possibly because his agency uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original intrusion set names to manage threat intelligence, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than an unclassified, "umbrella" term for discussing threat actors in private industry. Tony did explain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" aspect for him means conducting operations in multiple "domains," e.g., escalating to physical, non-digital attacks when necessary.
Tweet

Brief Thoughts on WEIS 2010

Last month I attended my first Workshop on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economics of Information Security (WEIS 2010) at Harvard. It was cool to visit and it reminded me that I probably spent too much time playing ice hockey and learning martial arts during graduate school, and not enough time taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Hah-vahd experience." Oh well, as Mr Shaw said, "Youth is wasted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 young."

So what about WEIS? I attended because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "big brains" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience. Seriously, how often do you get Dan Geer, Ross Anderson, Whit Diffie, Bruce Schneier, Hal Varian, etc., in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same room? I should have taken a picture. Dumb security groupie.

I'll share a few thoughts.

• Tracey Vispoli from Chubb Insurance spoke about cyber insurance. Wow, what an interesting perspective. She said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry has "no expected loss data" and "no financial impact data." Put that in your pipe and smoke it, Annualized Loss Expectancy (ALE) fans! So how does Chubb price risk without any data, in order to sell polcies? Easy -- price cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m high and see what happens. This is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry did when legislators started creating laws on employment discrimination. Companies wanted insurance, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m pay through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nose. Later, to compete, insurers dropped rates -- but too low. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y started losing money cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y jacked up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rates again. Eventually insurers have some data, but only after years of offering a service in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketplace. That floored me but it makes sense now.


• Again on insurance, Tracey said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry insures for incidents whose impact can be concretely and quickly measured. What does that mean? Insurance against economic espionage, national security incidents, and related events is unlikely because you can't really measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact, at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short term!


• After spending two days with academics, I'd like to add to Allan Schiffman's famous phrase "Amateurs study cryptography; professionals study economics":
  
  Amateurs study cryptography; professionals study economics. Operators work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world.
  
  Seriously, I think economics will help mitigate many security problems, but some researchers need to visit living, breathing enterprise environments before publishing papers. I won't name names, but if you're writing a paper that relies on raw IDS alerts to measure "attacks on open source software," you need to spend some time in a SOC or CIRT to see what analysts think of that kind of "evidence."


• It seems researchers have a suit of academic tools (math, statistics, functions, models, game cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory, simulations, previous research, etc.) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look for data to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can apply those tools. They formulate a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, and at that point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applicability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is probably out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window. Very quickly in several talks I noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic at hand was implementation of an analytical technique, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying problem somewhere several slides back. This seemed a little weird, but it makes sense in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of researchers doing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to do -- identify an issue, develop a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, collect data, etc.

Overall I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience very interesting, but I'm not sure if I will try to return next year.

"Cyber insecurity is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paramount national security risk."

Thanks to @borroff I read a fascinating article titled Cybersecurity and National Policy by Dan Geer. The title of my blog post is an excerpt from this article, posted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Harvard National Security Journal on 7 April. This could be my favorite article of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, and it proves to me that Dan Geer's writing has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest signal-to-noise ratio of any security author, period.

(Personal note: I remember seeing Dan speak at a conference, and he apologized for reading his remarks racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than speaking extemporaneously. He said he respected our time too much to not read his remarks, since he wanted to conserve time and words.)

I've reproduced my favorite excerpts and tried to thus summarize his argument.

First, security is a means, not an end. Therefore, a cybersecurity policy discussion must necessarily be about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means to a set of desirable ends and about affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Accordingly, security is about risk management, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate purpose of risk management is to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, not to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past.

Second, unless and until we devise a scorekeeping mechanism that apprises spectators of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of play on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, security will remain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 province of “The Few”. Sometimes leaving everything to The Few is positive, but not here as, amongst ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, demand for security expertise so outstrips supply that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 charlatan fraction is rising.

Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems of cybersecurity are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems in certain respects, yet critically different in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se differences include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original owner continuing to possess stolen data after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief takes it, and law enforcement lacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to work at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed of light.

Security is a forward-looking function, requiring a scorecard (sound familiar?) with problems that are both common and unique.

[B]ecause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States’s ability to project power depends on information technology, cyber insecurity is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paramount national security risk...

[R]emember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of a free country: a place where that which is not forbidden is permitted. As we consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pursuit of cybersecurity, we will return to that idea time and time again; I believe that we are now faced with “Freedom, Security, Convenience: Choose Two”

Dan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n outlines three national security risks:

[W]hat types of risks rose to such a level that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could legitimately be considered national security concerns[?]...

The first is any mechanism that, to operate correctly, must be a single point of function, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby containing a single point of failure...

[The second] national security scale risk is cascade failure, and cascade failure is so much easier to detonate in a monoculture...

[The third is that it] is simply not possible to provide product or supply chain assurance without a surveillance state...

Dan next provides us with what I may adopt as my own definition of security:

I currently define security as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of unmitigatable surprise.

This definition resonates with me, although it could be twisted for some odd consequences. Could one simply choose to never feel surprised in order to feel secure? I hope not! Dan provides some conclusions next:

[1] our paramount aim cannot be risk avoidance but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r risk absorption — cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to operate in degraded states, in both micro and macro spheres, to take as an axiom that our opponents have and will penetrate our systems at all levels, and to be prepared to adjust accordingly...

[2] free society rulemaking will trail modalities of risk by increasing margins...

[3] if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tariff of security is paid, it will be paid in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coin of privacy...

[4] market demand is not going to provide, in and of itself, a solution.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are true. While explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third conclusion Dan notes:

It has been said over and over for twenty years, “If only we could make government’s procurement engine drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market toward secure products.” This, ladies and gentlemen, is a pleasant fiction.

That is also true! I'm going to skip his discussion of government action and list three essential capabilities:

[T]he ability to operate in a degraded state is an essential capability for government systems and private sector systems.

A second essential capability is a means to assure broad awareness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gravity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation...

There is a third essential, one that flows from recognizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limits of central action in a decentralized world, and that is some measure of personal responsibility and involvement.

Dan concludes with:

For me, I will take freedom over security and I will take security over convenience.

I highly encourage reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article. I skipped Dan's discussion of "regulation, taxation, and insurance pricing," but that is also worth understanding.

Security Team Permissions

Every so often I receive questions from blog readers. The latest centered on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question:

What level and extent should a security team and investigators be allowed to operate without having to ask for permission?

This is an excellent question, and as with most issues of authority it depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, its history, culture, purpose, and people.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team, I tend to want as much access as is required to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of an asset. That translates into being able to access or discover evidence as quickly and independently as possible, preferably in a way that involves no human intervention aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security analyst can retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information needed to make a decision without asking for human permission or assistance, I call that self-reliant security operations. Anything short of that situation is suboptimal but not uncommon.

Simultaneously, I want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least amount of access needed to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can get what it needs with a read-only mechanism, so much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. I actively avoid powerful or administrative accounts. Possessing such accounts is usually an invitation to being blamed for a problem.

Assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a situation where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team believes it needs a certain elevated level of access in order to do its mission. In my experience, it is rare to obtain that permission by making some sort of intellectual or process-oriented argument. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team should make a plan and justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for such access, but wait for an intrusion to occur that demonstrates why elevated access would improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident detection and response process.

In many cases, management with authority to grant or expedite granting access lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus or mental environment ready to think about making changes until an incident rocks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir world. Once management is ready to devote attention to a problem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are often eager to hear of changes that would improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. At that point one should make a case for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new capability. We see this pattern repeatedly in high-profile security cases; airline travel is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most obvious.

Aside from waiting for a catastrophe, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-best option is to collect some sort of metric that shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current suboptimal state of affairs should be unacceptable to management. If you could show a substantial decrease in response time, an increase in capability, a decrease in cost, etc., you might be able to convince management to make a change without resorting to an incident scenario. This second option is less likely to work than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster method, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least it does lay useful groundwork prior to an incident.

Notes from Tony Sager Keynote at SANS

I took a few notes at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Incident Detection Summit keynote by Tony Sager last week. I thought you might like to see what I recorded.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers made many interesting comments, but it was really only during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second day, when Tony spoke, when I had time to write down some insights.

If you're not familiar with Tony, he is chief of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Analysis and Operations (VAO) Group in NSA.

• These days, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US goes to war with its friends (i.e., allies fight with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 us against a common adversary). However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US doesn't know its friends until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war, and not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US' friends like each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. These realities complicate information assurance.


• Commanders have been trained to accept a certain level of error in physical space. They do not expect to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact number of bullets on hand before a battle, for example. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y often expect to know exactly how many computers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have at hand, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir state. Commanders will need to develop a level of comfort with uncertainty.


• Far too much information assurance is at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front line, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burden rests with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least trained, least experienced, yet well-meaning, people. Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soldier fresh from tech school responsible for "making it work" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. Hence, Tony's emphasis on shifting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burden to vendors where possible.


• "When nations compete, everybody cheats." [Note: this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to remember that with information assurance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent adversary.]


• The bad guy's business model is more efficient than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guy's business model. They are global, competitive, distributed, efficient, and agile. [My take on that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financially-motivated computer criminals actually earn ROI from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activities because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are making money. Defenders are simply avoiding losses.


• The best way to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is to increase his cost, level of uncertainty, and exposure. Introducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, especially uncertainty, causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to stop, wait, and rethink his activity.


• Defenders can't afford perfection, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition changes by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minute anyway. [This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r form of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defender's Dilemma -- what should we try to save, and what should we sacrifice? On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intruder's Dilemma, which Aaron Walters calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Persistence Paradox -- how to accomplish a mission that changes a system while remaining undetected.]


• Our problems are currently characterized by coordination and knowledge management, and less by technical issues.


• Human-to-human contact doesn't scale. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r does narrative text. Hence Tony's promotion of standards-based communication.

Thanks again to Tony and our day one keynote Ron Gula!

Notes from Talk by Michael Hayden

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinct privilege to attend a keynote by retired Air Force General Michael Hayden, most recently CIA director and previously NSA director. NetWitness brought Gen Hayden to its user conference this week, so I was really pleased to attend that event. I worked for Gen Hayden when he was commander of Air Intelligence Agency in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s; I served in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information warfare planning division at that time.

Gen Hayden offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience four main points in his talk.

1. "Cyber" is difficult to understand, so be charitable with those who don't understand it, as well as those who claim "expertise." Cyber is a domain like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r warfighting domains (land, sea, air, space), but it also possesses unique characteristics. Cyber is man-made, and operators can alter its geography -- even potentially to destroy it. Also, cyber conflicts are more likely to affect ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domains, whereas it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically possible to fight an "all-air" battle, or an "all-sea" battle.


2. The rate of change for technology far exceeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of change for policy. Operator activities defy our ability to characterize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. "Computer network defense (CND), exploitation (CNE), and attack (CNA) are operationally indistinguishable."
   
   Gen Hayden compared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rush to develop and deploy technology to consumers and organizations to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land rushes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1890s. When "ease of use," "security," and "privacy" are weighed against each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, ease of use has traditionally dominated.
   
   When making policy, what should apply? Title 10 (military), Title 18 (criminal), Title 50 (intelligence), or international law?
   
   Gen Hayden asked what private organizations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own ballistic missile defense systems. None of course -- meaning, why do we expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector to defend itself against cyber threats, on a "point" basis?


3. Cyber is difficult to discuss. No one wants to talk about it, especially at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national level. The agency with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most capability to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation suffers because it is both secret and powerful, two characteristics it needs to be effective. The public and policymakers (rightfully) distrust secret and powerful organizations.


4. Think like intelligence officers. I should have expected this, coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most distinguished intelligence officer of our age. Gen Hayden says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question he asks when visiting private companies to consult on cyber issues is: who is your intelligence officer?
   
   Gen Hayden offered advice for those with an intelligence mindset who provide advice to policymakers. He said intel officers are traditional inductive thinkers, starting with indicators and developing facts, from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y derive general cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories. Intel officers are often pessimistic and realistic because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deal with operational realities, "as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is."
   
   Policymakers, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, are often deductive thinkers, starting with a "vison," with facts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking. "No one elects a politician for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir command of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts. We elect politicians who have a vision of where we should be, not where we are." Policymakers are often optimistic and idealistic, looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir end goal, "as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 would should be."
   
   When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two world views meet, say when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel officer briefs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policymaker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result can be jarring. It's up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel officer to figure out how to present findings in a way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policymaker can relate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts.

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prepared remarks I asked Gen Hayden what he thought of threat-centric defenses. He said it is not outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of possibility to support giving private organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to more aggressively defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Private forces already perform guard duties; police forces don't carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole burden for preventing crime, for example.

Gen Hayden also discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developments which led from military use of air power to a separate Air Force in 1947. He said "no one in cyber has sunk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ostfriesland yet," which was a great analogy. He also says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no intellectual equivalents to Herman Kahn or Paul Nitze in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber thought landscape.

Excerpts from Ross Anderson / Tyler Moore Paper

I got a chance to read a new paper by one of my three wise men (Ross Anderson) and his colleague (Tyler Moore): Information Security Economics - and Beyond. The following are my favorite sections.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years, people have realised that security failure is caused by bad incentives at least as often as by bad design. Systems are particularly prone to failure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person guarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m does not suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full cost of failure...

[R]isks cannot be managed better until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be measured better. Most users cannot tell good security from bad, so developers are not compensated for efforts to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code. Some evaluation schemes are so badly managed that ‘approved’ products are less secure than random ones. Insurance is also problematic; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local and global correlations exhibited by different attack types largely determine what sort of insurance markets are feasible. Cyber-risk markets are thus generally uncompetitive, underdeveloped or specialised...

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observations that sparked interest in information security economics came from banking. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA, banks are generally liable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of card fraud; when a customer disputes a transaction, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank must eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r show she is trying to cheat it, or refund her money. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banks had a much easier ride: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y generally got away with claiming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems were ‘secure’, and telling customers who complained that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be mistaken or lying. “Lucky bankers,” one might think; yet UK banks spent more on security and suffered more fraud. This may have been what economists call a moral-hazard effect: UK bank staff knew that customer complaints would not be taken seriously, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y became lazy and careless, leading to an epidemic of fraud.

In 1997, Ayres and Levitt analysed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lojack car-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft prevention system and found that once a threshold of car owners in a city had installed it, auto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft plummeted, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen car trade became too hazardous. This is a classic example of an externality, a side-effect of an economic transaction that may have positive or negative effects on third parties. Camp and Wolfram built on this in 2000 to analyze information security vulnerabilities as negative externalities, like air pollution: someone who connects an insecure PC to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet does not face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full economic costs of that, any more than someone burning a coal fire. They proposed trading vulnerability credits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as carbon credits...

Asymmetric information plays a large role in information security. Moore showed that we can classify many problems as hidden-information or hidden-action problems. The classic case of hidden information is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘market for lemons'. Akerlof won a Nobel prize for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following simple yet profound insight: suppose that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 100 used cars for sale in a town: 50 well-maintained cars worth $2000 each, and 50 ‘lemons’ worth $1000. The sellers know which is which, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buyers don’t. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market price of a used car? You might think $1500; but at that price no good cars will be offered for sale. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market price will be close to $1000.

Hidden information, about product quality, is one reason poor security products predominate. When users can’t tell good from bad, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might as well buy a cheap antivirus product for $10 as a better one for $20, and we may expect a race to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom on price.

Hidden-action problems arise when two parties wish to transact, but one party’s unobservable actions can impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome. The classic example is insurance, where a policyholder may behave recklessly without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance company observing this...

[W]hy do so many vulnerabilities exist in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place? A useful analogy might come from considering large software project failures: it has been known for years that perhaps 30% of large development projects fail, and this figure does not seem to change despite improvements in tools and training: people just built much bigger disasters nowadays than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. This suggests that project failure is not fundamentally about technical risk but about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surrounding socio-economic factors (a point to which we will return later).

Similarly, when considering security, software writers have better tools and training than ten years ago, and are capable of creating more secure software, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software industry provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with little incentive to do so.

In many markets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitude of ‘ship it Tuesday and get it right by version 3’ is perfectly rational behaviour. Many software markets have dominant firms thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combination of high fixed and low marginal costs, network externalities and client lock-in noted above, so winning market races is all-important. In such races, competitors must appeal to complementers, such as application developers, for whom security gets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way; and security tends to be a lemons market anyway. So platform vendors start off with too little security, and such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide tends to be designed so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compliance costs are dumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end users. Once a dominant position has been established, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor may add more security than is needed, but engineered in such a way as to maximise customer lock-in.

In some cases, security is even worse than a lemons market: even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor does not know how secure its software is. So buyers have no reason to pay more for protection, and vendors are disinclined to invest in it.

How can this be tackled? Economics has suggested two novel approaches to software security metrics: vulnerability markets and insurance...

Several variations on vulnerability markets have been proposed. Bohme has argued that software derivatives might be better. Contracts for software would be issued in pairs: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pays a fixed value if no vulnerability is found in a program by a specific date, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pays anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r value if one is found. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contracts can be traded, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir price should reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consensus on software quality. Software vendors, software company investors, and insurance companies could use such derivatives to hedge risks. A third possibility, due to Ozment, is to design a vulnerability market as an auction...

An alternative approach is insurance. Underwriters often use expert assessors to look at a client firm’s IT infrastructure and management; this provides data to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insured and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run, insurers learn to value risks more accurately. Right now, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber-insurance market is both underdeveloped and underutilised. One reason, according to Bohme and Kataria, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdependence of risk, which takes both local and global forms. Firms’ IT infrastructure is connected to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r entities – so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts may be undermined by failures elsewhere.

Cyber-attacks often exploit a vulnerability in a program used by many firms. Interdependence can make some cyber-risks unattractive to insurers – particularly those risks that are globally racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than locally correlated, such as worm and virus attacks, and systemic risks such as Y2K.

Many writers have called for software risks to be transferred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors; but if this were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, it is unlikely that Microsoft would be able to buy insurance. So far, vendors have succeeded in dumping most software risks; but this outcome is also far from being socially optimal. Even at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of customer firms, correlated risk makes firms under-invest in both security technology and cyber-insurance. Cyber-insurance markets may in any case lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume and liquidity to become efficient. (emphasis added)

If you made it this far, here's my small contribution to this paper: what about breach derivatives? To paraphrase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, contracts for companies would be issued in pairs: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pays a fixed value if no breach is reported by a company by a specific date, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pays anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r value if one is reported. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contracts can be traded, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir price should reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consensus on company security.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incentives for companies to stay quiet about breaches, but this market could encourage people to report. I imagine it could also encourage intruders to compromise a company intentionally, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention:

One criticism of all market-based approaches is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of identified vulnerabilities by motivating more people to search for flaws.

What do you think?

Wisdom from Ranum

The Face-Off article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 September 2007 Information Security Magazine contains a great closing thought by Marcus Ranum:

Will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future be more secure? It'll be just as insecure as it possibly can, while still continuing to function. Just like it is today.

"Continuing to function" is an interesting concept. The reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Internet" hasn't been destroyed by terrorists, organized crime, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs is that doing so would cut off a major communication and funding resource. Criminals and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r adversaries have a distinct interest in keeping computing infrastructure working just well enough to exploit it.

Being "secure" is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wonderful idea. Marcus clearly shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no secure -- i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no end game. None of us can retire "when our work is done." We will retire when we can hand off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r generation.

Marcus Ranum Highlights from USENIX Class

Because I was teaching at USENIX Security this month I didn't get to attend Marcus Ranum's tutorial They Really Are Out to Get You: How to Think About Computer Security. I did manage to read a copy of Marcus' slides.

Because he is one of my Three Wise Men of digital security, I thought I would share some of my favorite excerpts. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material paraphrases his slides to improve readability here.

• Marcus asked how can one make decisions when likelihood of attack, attack consequences, target value, and countermeasure cost are not well understood. His answer helps explain why so many digital security people quote Sun Tzu:
  
  The art of war is a problem domain in which successful practitioners have to make critical decisions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of similar intangibles.
  
  I would add that malicious adversaries are also present in war, but not present in certain ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scenarios misapplied to security (like car analogies) where intelligent adversaries aren't present.


• Marcus continues this thought by contrasting "The Warrior vs The Quant":
  
  Statistics and demographics (i.e., insurance industry analysis of automobile driver performance by group) [fails in digital security] because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no enemy perturbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actuarial data... and "perturbing your likelihoods" is what an enemy does! It's "innovation in attack or defense. (emphasis added)


• Marcus offers two definitions for security which I may quote in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future:
  
  A system is secure when it behaves as expected; no less and certainly no more.
  
  A system is secure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of trust we place in it matches its trustworthiness.


• Marcus debunks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de-perimeterization movement by explaining that a perimeter isn't just a security tool:
  
  A perimeter is a complexity management tool.
  
  In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, a perimeter is a place where one makes a stand regarding what is and what is not allowed. I've also called that a channel reduction tool.


• Here's an incredible insight regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many "advanced" inspection and filtering devices that are supposed to be adding "security" by "understanding" more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and making blocking decisions:
  
  At a certain point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity [of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall/filter] makes you just as likely to be insecure as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original application.
  
  He says you're replacing "known bugs" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app) with "unknown bugs" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "prevention" device).


• I love this point:
  
  Insiders and counter-intelligence: What to do about insider threat?
  
  
  
  • Against professionals: lose
  
  
  • Against idiots: IDS (Idiot Detection System) works; detect stupidity in action

This is so true. I'd extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "idiot" paradigm furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by adding EDS (Eee-diot Detection System). (Cue "Stimpy, you eee-diot!" if you need pronunciation help here.)

Finally, Marcus slams cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that one can use an equation to quantify risk. He calls "Risk = Threat X Vulnerability X Asset Value" one wild guess times anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wild guess times anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wild guess. I agree with this but I would say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of separating out those variables helps one understand how Risk changes as one variable changes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs held constant.

Marcus also offers two approaches to dealing with risk:

1. Think of all possible disasters, rank by likelihood, prepare for Top 10. (9/11 showed this doesn't work.


2. Build nimble response teams and command/control structures for fast and effective reaction to threats as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y materialize.

Regarding number one, Marcus obviously thinks that is a waste of time. However, one could argue that if policymakers had paid attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence that was available and prepared, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation could have been different. That's where threat intelligence on capabilities and intentions and attack patterns can be helpful for modeling attacks.

Regarding number two, I am so pleased to read this. It's why I'm building a CIRT at my new job. This comment also resonates with something Gadi Evron said during his talk on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Estonia Cyberwar":

No one is judged anymore by how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y prevent incidents. Everyone gets hacked. Instead, organizations are judged by how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect, respond, and recover.

Third of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men

I just listened to my third of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men, Ross Anderson, courtesy of Gary McGraw's Silver Bullet Podcast. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r must-heed. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 podcast Prof. Anderson mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

• With respect to secure software development: As tools improve, we continue to "build bigger and better disasters." That echoes a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me in my previous posts.


• "If someone is going to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves a security engineer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to learn how things fail." This means studying history and contemporary security disasters. That's an argument for my National Digital Security Board.


• Prof. Anderson mentioned potential compulsory registration for security professionals in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK as a consequence of legislation requiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration of bouncers at clubs. Beware such an event here. Talk about unintended consequences.


• Finally, Prof. Anderson warned of vulnerabilities in Near Field Communication (NFC) technology. For goodness sake, can we slow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of fundamentally broken technologies?

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, not only is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent Security Engineering now online, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first 7 chapters can be downloaded in .mp3 format.

Second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men

I just blogged about a new podcast by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of my Three Wise Men, namely Marcus Ranum. My second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men for today is Dan Geer. I just noticed his testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology last month has been published. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r must-heed collection of smart ideas. Brian Krebs summarized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing in his story Nation's Cyber Plan Outdated, Lawmakers Told. Dr. Geer's testimony included this gem:

I urge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congress to put explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, particularly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of assigning blame, behind itself. Demanding report cards, legislating under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 influence of adrenaline, imagining that cybersecurity is an end racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than merely a means — all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and more inevitably prolong a world in which we are procedurally correct but factually stupid.

Amen. Also:

Information security is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest technical field on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet. Nothing is stable, surprise is constant, and all defenders work at a permanent, structural disadvantage compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demands for expertise so outstrip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraction of all practitioners who are charlatans is rising. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demands of expertise are so difficult, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training deficit is critical. We do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to create, as if from scratch, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills required. We must steal
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields where parallel challenges exist.

I wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraction of all practitioners with CISSP certifications is rising too?

The opposition is professional. It is no longer joyriders or braggarts. Because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer complexity of modern, distributed, interdigitated, networked computer systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hiding places for unwanted software and unwanted visitors is very large.

The complexity, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, comes from competitive pressure to add feature-richness to products; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no market-leading product where one or a small group of people knows it in its entirety, and components from any pervasive system tend to be used and re-used in ways that even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir designers did not anticipate.

Were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re no attackers, this would be a miracle of efficiency and goodness. But unlike any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industrial product, information systems are at risk not from accident, not from cosmic radiation, and not from clumsy operation but from sentient opponents. The risk is not, as some would blicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ly say, “evolving” if by evolving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker means to invoke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of Nature. The risk is due to intelligent design, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing random about it.

This is why one cannot legislate "security" for computers as one could try to legislate "safety" for automobiles. If people were crushing cars with boulders off bridges, shooting out car windows with AK-47s, or running over cars with tanks, no one would be blaming car manufacturers. They would (rightly!) be blaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, as we should be doing with software and digital intruders.

I could easily cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire published testimony. Please read it.

Dan Geer on Converging Physical and Digital Security

Dan Geer published an interesting article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 May/June 2006 issue of IEEE Privacy and Security. He questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility of converging physical and digital security "within a common reporting structure." In brief:

This observer says convergence is a mirage. The reason is time. Everything about digital security has time constants that are three orders of magnitude different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time constants of physical security: break into my computer in 500 milliseconds but into my house in 5 to 10 minutes...

That is true, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of compromising a system doesn't necessarily come from just getting a root shell. This is especially true when organized crime, corporate espionage, and foreign intelligence activities are involved. Achieving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of each of those groups usually takes more than a few minutes, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, Dan is probably still right. What he says later is even more compelling:

Human-scale time and rate constants underlie cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement model of security. The crime happens and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheels of detection, analysis, pursuit, apprehension, jurisprudence, and, perhaps, penal servitude... law enforcement generally has all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, and its opponent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal, thus must commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect crime to cleanly profit from that crime.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world, crime must be prevented; once committed, it's likely never ameliorable -- data is never unexposed, for example. It's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal who must commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect crime but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender who must commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect defense.

Time is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason.

Consequently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world strategies of law enforcement are of limited value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital sphere. Law enforcement officials (or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military) are not our natural allies or even mentors.

At first I accepted this argument. Then I thought more closely about it. Time has nothing to do with this argument. Preventing crime is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key. The analog world example makes it sound acceptable that a crime has occurred. The digital world example makes it sound unacceptable that a crime has occurred -- "data is never unexposed, for example." Well, death is never reversed if a murder is committed. For horrible crimes like murder, as with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world "crime must be prevented; once committed, it's likely never ameliorable."

Geer doesn't see this, but he reaches a conclusion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world that is already happening in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog:

[The] only answer is preemption. Preemption requires intelligence. Intelligence requires surveillance. If, as digital security people, we have any natural allies or even mentors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're to be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence model of security, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement model where this talk of "convergence" has itself converged.

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re we are -- London's Cameras:

British authorities have sought to reassure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public that no effort will be spared to prevent furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r atrocities. For that promise to become a reality, however, London needs to move more from after-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-event analysis to before-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-event anticipation.

Intelligence is one way to prevent risks from occurring, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent that intelligence can identify threats and direct counter-threat activities. Removing vulnerabilities is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to prevent risks from occurring, but that is far more difficult in most circumstances.

Risk-Based Security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Emperor's New Clocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s

Donn Parker published an excellent article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest issue of The ISSA Journal titled Making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Case for Replacing Risk-Based Security. This article carried a curious disclaimer I had not seen in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r articles:

This article contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author, which are not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISSA or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISSA Journal.

I knew immediately I needed to read this article. It starts with a wonderful observation:

What are we doing wrong? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of support for adequate security linked to our risk-based approach to security? Why can't we make a successful case to management to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support for information security to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs? Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is that management deals with risk every day, and it is too easy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to accept security risk racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than reducing it by increasing security that is inconvenient and interferes with business.

I would argue that management decides to "accept security risk" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot envisage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of security incidents. I've written about this before.

However, Donn Parker's core argument is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

CISOs have tried to justify spending resources on security by claiming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can manage and reduce security risks by assessing, reporting, and controlling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. They try to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of information security "scientifically" based on risk reduction. This doesn't work... I propose that intangible risk management and risk-based security must be replaced with practical, doable security management with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new objectives of due diligence, compliance consistency, and enablement.

I agree. Here is a perfect example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem:

One CISO told me [Parker] that he performs risk assessment backwards. He says that he already knows what he needs to do for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next five years to develop adequate security. So he creates some risk numbers that support his contention. Then he works backwards to create types of loss incidents, frequencies, and impacts that produce those numbers. He cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n refines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 input and output to make it all seem plausible. I suggested that his efforts are unethical since his input data and calculations are all fake. He was offended and said that I didn't understand. The numbers are understood by top management to be a convenient way to express cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO's expert opinion of security needs.

This is my question: what makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se shenanigans possible? Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation (Risk = Threat X Vulnerability X Asset Value) and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assertions:

• Hardly anyone can assess threats.


• Few can identify vulnerabilities comprehensively.


• Some can measure asset value.

As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an incredible amount of "play" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation. Therefore, you can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results anything you want -- just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example CISO shows.

It is tough enough to assign values to threats and vulnerabilities, even if time froze. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, threats are constantly evolving and growing in number, while new vulnerabilities appear in both old and new software and assets on a daily basis. A network that looked like it held a low risk of compromise on Monday could be completely prone to disaster on Tuesday when a major new vulnerability is found in a core application.

Parker's alternative includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Due diligence: We can show management cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of our threat and vulnerability analysis (using examples and scenarios) by giving examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ulnerabilities and solutions that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have employed (not including estimated intangible probabilities and impacts). Then we can show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m easily researched benchmark comparisons of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security relative to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r well-run enterprises and especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors under similar circumstances. We cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m what would have to be done to adopt good practices and safeguards to assure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enterprises.

Bottom line: be as good as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next guy.

Compliance: We are finding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing body of security compliance legislation such as SOX, GLBA, and HIPAA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 associated personal and corporate liability of managers is rapidly becoming a strong and dominant security motivation...(The current legislation is poorly written and has a sledgehammer effect as written by unknowing legislative assistants but will probably improve with experience, as has computer crime legislation.)

Bottom line: compliance has turned out to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major incentive I've seen for security initiatives. I am getting incident response consulting work because clients do not want to go to jail for failing to disclose breaches.

Enablement: It is easily shown in products and services planning that security is required for obvious and competitive purposes and from case studies, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft experience of being forced by market and government pressures to build security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact.

Bottom line: this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest argument of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three, and maybe why it is last. Microsoft may be feeling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heat, but it took five years and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is still rough. Oracle is now under fire, but how long will it take for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take security seriously? And so on.

I think Donn Parker is making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right point here. He is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Emperor has no clocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legions of security firms providing "risk assessments" are not happy. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can deliver a product that has bearing on reality and receive money for it! That's consequence-free consulting. Try doing that in an incident response scenario where failure to do your job means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder remains embedded in a client's infrastructure.

As security professionals I agree we are trying to reduce risk, but trying to measure it is a waste of time. I am sad to think organizations spend hundreds of thousands of dollars on pricey risk assessments and hardly any money on real inspection of network traffic for signs of intrusions. The sorts of measurements I recommend are performance-based, as I learned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. We determine how good we are by drilling and exercising capabilities, preferably against a simulated enemy. We don't write formulas guestimating our defense posture.

This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last I have to say on this issue, but I hope to be boarding a flight soon. I commend The ISSA Journal for publishing an article that undermines a pillar of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach to security. I bet (ISC)2 will also love Donn's approach. :)