why johnny can t afford security policies
play

Why Johnny cant afford Security Policies Fabio Massacci - PowerPoint PPT Presentation

Jan 11, 2024 •151 likes •250 views

Why Johnny cant afford Security Policies Fabio Massacci University of Trento Work partly supported by Seven Degrees of SeparaAon 1. Academic at

  1. Why ¡Johnny ¡can’t ¡afford ¡ ¡ Security ¡Policies ¡ Fabio ¡Massacci ¡ University ¡of ¡Trento ¡ Work ¡partly ¡supported ¡by ¡ ¡

  2. Seven ¡Degrees ¡of ¡SeparaAon ¡ 1. Academic ¡at ¡University ¡ 2. Researcher ¡in ¡Industry ¡ 3. Member ¡of ¡ProducAon ¡Group ¡ 4. MarkeAng ¡Salesman ¡ 2002-­‑ 2009 ¡ 5. Maintenance ¡scapegoat ¡ 6. Customer’s ¡IT ¡Technician ¡ 7. Responsible ¡for ¡Business ¡Unit ¡ “The ¡Customer” ¡who ¡shells ¡the ¡money ¡ • In ¡2002-­‑2009 ¡I ¡was ¡parachuted ¡Deputy ¡ Rector ¡for ¡ICT ¡Procurements. ¡3M€++ ¡ budget ¡and ¡70+ ¡people ¡

  3. What ¡My ¡“Customer” ¡really ¡wanted ¡ I ¡want ¡a ¡more ¡flexible ¡ system: ¡each ¡member ¡of ¡ staff ¡should ¡easily ¡ ¡see ¡ and ¡manage ¡his ¡funds ¡ ¡ ¡ DB ¡-­‑ ¡Chairman ¡ I ¡know ¡what ¡he ¡said ¡but ¡this ¡year… ¡ there’s ¡a ¡budget ¡cut ¡of ¡3%. ¡ ¡ You ¡already ¡spent ¡1.5M€ ¡on ¡the ¡MAN. ¡ ¡ Max ¡350K€ ¡for ¡ERP ¡extra ¡add-­‑ons ¡ ¡ MT ¡-­‑ ¡CEO ¡ Our ¡staff ¡is ¡already ¡commiVed ¡to ¡meet ¡ this ¡year’s ¡objecXves. ¡ I ¡can ¡only ¡give ¡you ¡one ¡person ¡part-­‑Xme ¡ to ¡idenXfy ¡business ¡requirements. ¡ ¡ GM ¡-­‑ ¡COO ¡

  4. POLICY ¡people ¡says: ¡All ¡you ¡need ¡is ¡…. ¡ Expressivity ¡ “We ¡make ¡the ¡point ¡for ¡the ¡ need ¡of ¡more ¡expressive ¡policy ¡ languages.” ¡ SamaraA ¡expressive ¡OR ¡flexible ¡OR ¡general ¡OR ¡extensible ¡= ¡220 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ -­‑-­‑ ALL ¡of ¡them ¡= ¡38 ¡ “The ¡proposed ¡language ¡must ¡be ¡ powerful ¡enough ¡to ¡specify ¡any ¡ relevant ¡event ¡of ¡a ¡security ¡policy ¡and ¡ Pretschner ¡+OR= ¡34 ¡ cover ¡several ¡layers ¡of ¡abstracXon.” ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ -­‑-­‑ ALL ¡= ¡11 ¡ “A ¡more ¡elegant ¡and ¡flexible ¡approach ¡is ¡ to ¡express ¡policies ¡in ¡logic ¡that ¡ handles…” ¡ Kephart ¡+OR= ¡16 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ -­‑-­‑ ALL ¡= ¡6 ¡

  5. What ¡does ¡Expressivity ¡Mean? ¡ We ¡need ¡constraints ¡about ¡ ROLE ¡in ¡the ¡organizaXon ¡and ¡ the ¡TIME ¡of ¡access. ¡ You ¡must ¡ consider ¡Invoked ¡ SERVICES ¡ with ¡TRUST ¡ Don’t ¡forget ¡ level ¡and ¡ LOCATION ¡ CREDENTIALS. ¡ and ¡USAGE! ¡ What ¡about ¡ “best” ¡moment ¡ US ¡Patent ¡11/480858 ¡ to ¡have ¡sex? ¡ from ¡07/06/2006 ¡ ¡

  6. What ¡Expressivity ¡Actually ¡Means ¡ • Complex ¡rules ¡do ¡define ¡roles ¡and ¡complex ¡criteria ¡to ¡ dynamically ¡assign ¡users ¡to ¡them ¡based ¡on ¡ 1. Role ¡ à ¡too ¡many ¡citaAons ¡ 2. Time ¡of ¡the ¡day ¡ à ¡39.800 ¡citaAons ¡ “The ¡ Xme -­‑ based ¡constraint ¡limits ¡the ¡ policy ¡to ¡apply ¡between ¡4:00pm ¡and ¡ 6:00pm” ¡ 3. LocaAon ¡ à ¡27.300 ¡citaAons ¡ 4. OrganizaAon ¡ à ¡15.600 ¡citaAons ¡ 5. Task ¡in ¡the ¡workflow ¡ à ¡12.200 ¡citaAons ¡ 6. Usage ¡ager ¡access ¡ à ¡7.300 ¡citaAons ¡ 7. CredenAal ¡submihed ¡ à ¡1.400 ¡citaAons ¡ – … ¡ ¡ N ¡ ¡ ¡Best ¡moment ¡to ¡have ¡sex… ¡ à ¡1 ¡patent ¡… ¡for ¡the ¡moment… ¡

  7. How ¡many ¡people ¡are ¡needed ¡to ¡set ¡ up ¡an ¡“expressive” ¡policy ¡for ¡a ¡user? ¡ • At ¡least ¡6 ¡ – Responsible ¡for ¡HR ¡(sub)Unit ¡costs ¡80€/h ¡ • Assistant ¡who ¡knows ¡potenAal ¡salary ¡implicaAons ¡54€/h ¡ – Responsible ¡for ¡Business ¡(sub)Unit ¡costs ¡80€/h ¡ • Assistant ¡who ¡knows ¡how ¡things ¡really ¡works ¡54€/h ¡ ¡ – IT ¡Project ¡Leader ¡costs ¡70€/h ¡ • Assistant ¡who ¡knows ¡what’s ¡really ¡possible ¡54€/h ¡ ¡ • And ¡they ¡would ¡need ¡at ¡least ¡30’ ¡per ¡user ¡ – ¡(5’ ¡x ¡ROLE, ¡SERVICE, ¡TIME, ¡CREDENTIAL, ¡TRUST, ¡ LOCATION, ¡USAGE, ¡ETC) ¡ • Minimum ¡Policy ¡Set-­‑up ¡Cost ¡= ¡192€/user ¡

  8. The ¡buck ¡doesn’t ¡stop ¡there ¡yet… ¡ • They ¡(ADOBE, ¡IBM, ¡ORACLE, ¡SAP, ¡etc.) ¡are ¡going ¡to ¡bill ¡ you ¡by ¡the ¡role… ¡ – The ¡more ¡complex ¡the ¡role, ¡the ¡more ¡you ¡pay ¡ • “Price ¡is ¡determined ¡by ¡what ¡is ¡managed ¡rather ¡than ¡the ¡number ¡ and ¡type ¡of ¡product ¡components ¡installed ¡[…] ¡ ¡ ¡ • “Products ¡may ¡manage ¡clients, ¡client ¡devices, ¡agents, ¡network ¡ nodes, ¡ users , ¡or ¡other ¡items, ¡and ¡are ¡licensed ¡and ¡priced ¡ accordingly.” ¡ – 3.800€/role ¡for ¡powerful ¡roles ¡across ¡ERP ¡modules ¡ – 400€/user ¡for ¡“employee” ¡(can ¡do ¡almost ¡nothing) ¡ – 17-­‑25% ¡maintenance ¡fee ¡on ¡licenses ¡ • What ¡this ¡actually ¡mean? ¡ – 13 ¡Heads ¡of ¡Departments ¡+ ¡8 ¡Head ¡of ¡Division ¡ – 1.500 ¡Employees ¡ ¡

  9. The ¡Problem ¡is… ¡POLICY ¡Researchers ¡ have ¡forgohen… ¡ArithmeAcs! ¡ Is ¡this ¡a ¡joke? ¡80.000€ ¡for ¡licenses ¡alone ¡and ¡just ¡ for ¡access ¡of ¡Heads ¡of ¡Dept ¡and ¡between ¡ 600.000 ¡€ ¡and ¡1.000.000 ¡€ ¡for ¡the ¡rest? ¡ Plus ¡ 250K ¡Every ¡year ?!? ¡And ¡soiware’s ¡aside! ¡ What? ¡Do ¡you ¡want ¡300.000€ ¡in ¡human ¡ resources ¡and ¡this ¡just ¡for ¡sejng ¡up ¡the ¡ drai ¡of ¡a ¡security ¡policy? ¡ FIVE ¡people?! ¡ ¡ MT ¡Now ¡DG ¡ at ¡Ministry ¡ I ¡see: ¡either ¡I ¡buy ¡your ¡expressive ¡ GM ¡Now ¡CEO ¡ security ¡policy ¡or ¡I ¡hire ¡20 ¡new ¡associate ¡ DB ¡SAll ¡ professors…that’s ¡a ¡new ¡Department! ¡ ¡ Chairman ¡ ¡But ¡I ¡see ¡ a ¡third ¡op9on … ¡for ¡you… ¡ I ¡understand ¡everything ¡but ¡why ¡couldn’t ¡ FM ¡Ex-­‑Deputy ¡ you ¡just ¡give ¡them ¡a ¡flexible ¡system? ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Outline Security Principles and Policies Security terms and concepts CS 239 Security

Outline Security Principles and Policies Security terms and concepts CS 239 Security

Outline Security Principles and Policies Security terms and concepts CS 239 Security policies Computer Security Basic concepts Peter Reiher Security policies for real systems January 13, 2005 Lecture 2 Lecture 2 Page 1

347 views • 9 slides
Security Policies Security Policies for Large Who is allowed to do what when Systems

Security Policies Security Policies for Large Who is allowed to do what when Systems

Security Policies Security Policies for Large Who is allowed to do what when Systems And what happens if they do CS 239 something else Security for Networks and And whos responsible for making sure System Software thats

245 views • 3 slides
SORRY ABOUT YOUR WAF Bypassing the Modern WAF Johnny Xmas Johnny.Xmas@Kasada.io @J0hnnyXm4s

SORRY ABOUT YOUR WAF Bypassing the Modern WAF Johnny Xmas Johnny.Xmas@Kasada.io @J0hnnyXm4s

SORRY ABOUT YOUR WAF Bypassing the Modern WAF Johnny Xmas Johnny.Xmas@Kasada.io @J0hnnyXm4s JOHNNY XMAS Johnny.Xmas@Kasada.io Blade Runner & Director of Field Engineering, North America & Europe @ kasada.io CISSP, GIAC, GPEN

418 views • 22 slides
Experiences on how to p contact with end-users (policies and ISO security (policies and ISO

Experiences on how to p contact with end-users (policies and ISO security (policies and ISO

Experiences on how to p contact with end-users (policies and ISO security (policies and ISO security standards at campuses) p ) Brian OHora, BSc (Hons) & MBA Technology Management Information Systems Services, TCD TERENA E2E

325 views • 15 slides
JOHNNY MERCER award-winning songwriter & lyricist W H O is Johnny Mercer? - Full Name:

JOHNNY MERCER award-winning songwriter & lyricist W H O is Johnny Mercer? - Full Name:

an introduction to: JOHNNY MERCER award-winning songwriter & lyricist W H O is Johnny Mercer? - Full Name: Johnny - John Herndon Mercer Mercer - Born: - November 18, 1909 in Savannah, Georgia - Died: - June 25, 1976 in Beverly Hills,

387 views • 13 slides
Why (Special Agent) Johnny (Still) Cant Encrypt: A Security Analysis of the APCO Project 25

Why (Special Agent) Johnny (Still) Cant Encrypt: A Security Analysis of the APCO Project 25

Why (Special Agent) Johnny (Still) Cant Encrypt: A Security Analysis of the APCO Project 25 Two-Way Radio System Sandy Clark | Travis Goodspeed | Perry Metzger Zachary Wasserman | Kevin Xu | Matt Blaze Usenix 2011 P25 Modulates voice

147 views • 14 slides
Security Summer 2016 Cornell University 1 Today Security policies Enforcement

Security Summer 2016 Cornell University 1 Today Security policies Enforcement

CS 4410 Operating Systems Security Summer 2016 Cornell University 1 Today Security policies Enforcement Authenticating people Passwords 2 Security policy Security policies prescribe what must be done and what must not be

431 views • 13 slides
Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats Security policies Confidentiality Policies Policy The Bell-LaPadula Model Specification Integrity Policies The Biba

698 views • 49 slides
Security Principles, Policies, and Tools CS 236 On-Line MS Program Networks and Systems

Security Principles, Policies, and Tools CS 236 On-Line MS Program Networks and Systems

Security Principles, Policies, and Tools CS 236 On-Line MS Program Networks and Systems Security Peter Reiher Lecture 2 Page 1 CS 236 Online Outline Security design principles Security policies Basic concepts Security

419 views • 12 slides
CREATING LEARNING SPACES THAT AFFORD SECURITY, CONNECTEDNESS, PLAY AND EXPLORATION P RESENTERS :

CREATING LEARNING SPACES THAT AFFORD SECURITY, CONNECTEDNESS, PLAY AND EXPLORATION P RESENTERS :

CREATING LEARNING SPACES THAT AFFORD SECURITY, CONNECTEDNESS, PLAY AND EXPLORATION P RESENTERS : S ERENA P ARK , K HOO A I H OON F ACILITATORS : G EETHA D/O S EGAR , F LORENCE S HEN M OE KINDERGARTEN @ R IVERSIDE E CDA C ONFERENCE | 5 TH OCTOBER

1.06k views • 94 slides
Security Policies CS461/ECE422 Computer Security I Fall 2009 -1 Overview Natural language

Security Policies CS461/ECE422 Computer Security I Fall 2009 -1 Overview Natural language

Security Policies CS461/ECE422 Computer Security I Fall 2009 -1 Overview Natural language policies Example policies Implementation policies High level Low level -2 Reading Material Computer Security,

764 views • 40 slides
Welcome To Our Annual Meeting January 25, 2016 Agenda Call to Order: Johnny Rich

Welcome To Our Annual Meeting January 25, 2016 Agenda Call to Order: Johnny Rich

Welcome To Our Annual Meeting January 25, 2016 Agenda Call to Order: Johnny Rich Prayer: Johnny Rich Pledge Of Allegiance: Kenneth Baskett Welcome/Introduction of Management, Guests, Board of Directors & Committees: Johnny

813 views • 65 slides
Security Policies EGI OMB meeting 27 July 2017 David Kelsey (STFC/RAL) www.egi.eu EGI-Engage

Security Policies EGI OMB meeting 27 July 2017 David Kelsey (STFC/RAL) www.egi.eu EGI-Engage

Updated (VO) Community Security Policies EGI OMB meeting 27 July 2017 David Kelsey (STFC/RAL) www.egi.eu EGI-Engage is co-funded by the Horizon 2020 Framework Programme of the European Union under grant number 654142 EGI security policies

319 views • 12 slides
Complex Security Policy? A Longitudinal Analysis of Deployed Content Security Policies Sebastian

Complex Security Policy? A Longitudinal Analysis of Deployed Content Security Policies Sebastian

Complex Security Policy? A Longitudinal Analysis of Deployed Content Security Policies Sebastian Roth , Timothy Barron, Stefano Calzavara, Nick Nikiforakis & Ben Stock Network and Distributed System Security Symposium (NDSS '20) Cross-Site

878 views • 31 slides
Why Johnny Cant Blow the Whistle: Identifying and Reducing Usability Issues in Anonymity

Why Johnny Cant Blow the Whistle: Identifying and Reducing Usability Issues in Anonymity

Why Johnny Cant Blow the Whistle: Identifying and Reducing Usability Issues in Anonymity Systems Greg Norcie Jim Blythe Kelly Caine L Jean Camp February 23 rd , 2014, NDSS Workshop on Usable Security Outline Tor o What is Tor? o What

437 views • 30 slides
More Enforceable Security Policies by Lujo Bauer, Jarred Ligatti and David W alker Presented by

More Enforceable Security Policies by Lujo Bauer, Jarred Ligatti and David W alker Presented by

More Enforceable Security Policies by Lujo Bauer, Jarred Ligatti and David W alker Presented by Khoo Yit Phang April 21, 2008 To Build Secure Systems... 1.What sort of security policies can and should w e demand of our system? 2.What mechanism

325 views • 15 slides
G.F. Giudice New Frontiers of Theoretical Physics: Cortona GGI 2016 17-20 May 2016 GGI Arcetri,

G.F. Giudice New Frontiers of Theoretical Physics: Cortona GGI 2016 17-20 May 2016 GGI Arcetri,

Exploring fundamental The Galileo Galilei Institute for Theoretical Physics Arcetri, Florence physics with gravitational waves GGI 10th ANNIVERSARY G.F. Giudice New Frontiers of Theoretical Physics: Cortona GGI 2016 17-20 May 2016 GGI

401 views • 26 slides
Joint Certificate Programs Lviv W urzburg W urzburg Lviv IFNUL JMUW LPNU

Joint Certificate Programs Lviv W urzburg W urzburg Lviv IFNUL JMUW LPNU

Joint Certificate Programs Lviv W urzburg W urzburg Lviv IFNUL JMUW LPNU Selected Topics in Computational Mathematics Selected Topics in Computer Science Prof. Dr. Alexander Wolff Chair for Computer Science I Working

698 views • 42 slides
A Context-aware Natural Language Generation Dataset for Dialogue Systems Ondej Duek and Filip

A Context-aware Natural Language Generation Dataset for Dialogue Systems Ondej Duek and Filip

. . . . . . . . . . . . . . A Context-aware Natural Language Generation Dataset for Dialogue Systems Ondej Duek and Filip Jurek Institute of Formal and Applied Linguistics Charles University in Prague May 28, 2016 LREC

911 views • 49 slides
Forward Looking Statements This presentation contains forward-looking statements that involve

Forward Looking Statements This presentation contains forward-looking statements that involve

Forward Looking Statements This presentation contains forward-looking statements that involve risks and uncertainties. These forward-looking statements include statements regarding our outlook for the fiscal year ending October 2, 2021, our

717 views • 28 slides
5+ ffi l(4G)_4(q)t[)ur,,4rq-TJl, V i,J (n aa-^ 4 "^. "d$"dt ytwtu'A /\{X

5+ ffi l(4G)_4(q)t[)ur,,4rq-TJl, V i,J (n aa-^ 4 "^. "d$"dt ytwtu'A /\{X

D;r."'t^"^""^ Rd^^Aio''\ .^) fl"' U{^^-.,,1^ /rr,A^fr,^^"4 !rr" r- [i- a,.', ff^= ^0"^-t 1 B, -- -V- e fC (^,^ fu, \ d' ;^ 9n'*^\ (3^ ^nu.;[ " k- *fi"-i,h-- ^1* %""^^-*tl1 y*^

442 views • 6 slides
Bioethanol in Brazil Industrial Biotechnology Luis Cortez, Vice-rector

Bioethanol in Brazil Industrial Biotechnology Luis Cortez, Vice-rector

Bioethanol in Brazil Industrial Biotechnology Luis Cortez, Vice-rector International Relations, University of Campinas Ethanol-based cars in Brazil Source: ANFAVEA, 2014

321 views • 10 slides
. lci,c,acqio'v)' t''i*ffit**") c "'4 = ,i":[ql^": ?l t c,t);?,'n,d@ s i =

. lci,c,acqio'v)' t''i*ffit**") c "'4 = ,i":[ql^": ?l t c,t);?,'n,d@ s i =

- fi^t w&*z- 71tra1avizance) &g9 o'i ah'<e (s ,r'e-- \ , @ 1 -*^.:olc. o'''n*dn J (Ln L oeri- ^t?\o.-l"h''ne' a@Lt"Ot) @ 2' 0t{'1rd'{ OSuch ++at (^@u)Ec ' m g-isr-L*k-D 6 vcn @ ci',- a . ';:'; *uad ' . @ c'?J&d'

197 views • 5 slides
Before We Begin Ensure your computer is in Windows 7 If in OpenSUSE reboot and select Windows

Before We Begin Ensure your computer is in Windows 7 If in OpenSUSE reboot and select Windows

Before We Begin Ensure your computer is in Windows 7 If in OpenSUSE reboot and select Windows 7 Log into OpenSUSE Computing students use your normal login info Non-computing students Username: caguest Password:

294 views • 12 slides

More recommend