<div dir="ltr">On Tue, Dec 10, 2013 at 12:24 PM, Dave Aitel <span dir="ltr">&lt;<a href="mailto:dave@immunityinc.com" target="_blank">dave@immunityinc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
People are strange. For example, they often say &quot;You have to assume you<br>are compromised!&quot; and then in the very next breath they are buying more<br>perimeter equipment like Fireeye and WAF and whatnot. </blockquote>
<div> </div><div>To your first point, I would rephrase it as &quot;You have to assume YOU CAN BE BREACHED&quot; and then accept that of {protection,detection,reaction} (or per NIST, {identify, protect, detect, respond, and recover}), you spent far too much money on trivially defeatable &quot;protection&quot; and &quot;detection&quot;, and seriously (to your detriment) UNDERFUNDED &quot;reaction&quot; or &quot;respond and recover.&quot; Information sharing helps inform when &quot;protection&quot; and &quot;detection&quot; fail, but you still are left with needing to shift resources to the neglected &quot;respond and recover&quot; capabilities.</div>
<div><br></div><div>And yes, people are &quot;strange&quot; to keep buying more detection capabilities, as if the new ones are any more of a silver bullet than were the old ones.</div><div class="gmail_extra"><div><br></div>
-- <br>Dave Dittrich<br><a href="mailto:dave.dittrich@gmail.com">dave.dittrich@gmail.com</a>
</div></div>