Download the Full Version of textbook for Fast Typing at textbookfull.

com

Engineering Trustworthy Systems: Get Cybersecurity

Design Right the First Time 1st Edition O Sami
Saydjari

https://textbookfull.com/product/engineering-trustworthy-
systems-get-cybersecurity-design-right-the-first-time-1st-
edition-o-sami-saydjari/

OR CLICK BUTTON

DOWNLOAD NOW

Download More textbook Instantly Today - Get Yours Now at textbookfull.com

 Recommended digital products (PDF, EPUB, MOBI) that
you can download immediately if you are interested.

Right Man, Right Time. 1st Edition Meghan Quinn.

https://textbookfull.com/product/right-man-right-time-1st-edition-
meghan-quinn/

textboxfull.com

Lean development and innovation hitting the market with

the right products at the right time First Edition
Attolico
https://textbookfull.com/product/lean-development-and-innovation-
hitting-the-market-with-the-right-products-at-the-right-time-first-
edition-attolico/
textboxfull.com

Engineering Trustworthy Software Systems First

International School SETSS 2014 Chongqing China September
8 13 2014 Tutorial Lectures 1st Edition Zhiming Liu
https://textbookfull.com/product/engineering-trustworthy-software-
systems-first-international-school-setss-2014-chongqing-china-
september-8-13-2014-tutorial-lectures-1st-edition-zhiming-liu/
textboxfull.com

Digital Control Engineering 3rd Edition M. Sami Fadali

https://textbookfull.com/product/digital-control-engineering-3rd-
edition-m-sami-fadali/

textboxfull.com
Operations Excellence Management System (OEMS)-Getting It
Right the First Time 1st Edition Chitram Lutchman (Author)

https://textbookfull.com/product/operations-excellence-management-
system-oems-getting-it-right-the-first-time-1st-edition-chitram-
lutchman-author/
textboxfull.com

A First Course in Systems Biology 2nd Edition Eberhard O.

Voit

https://textbookfull.com/product/a-first-course-in-systems-
biology-2nd-edition-eberhard-o-voit/

textboxfull.com

Coulson and Richardson’s Chemical Engineering, Fourth

Edition: Volume 3A: Chemical and Biochemical Reactors and
Reaction Engineering R. Ravi
https://textbookfull.com/product/coulson-and-richardsons-chemical-
engineering-fourth-edition-volume-3a-chemical-and-biochemical-
reactors-and-reaction-engineering-r-ravi/
textboxfull.com

Secure and Trustworthy Transportation Cyber Physical

Systems 1st Edition Yunchuan Sun

https://textbookfull.com/product/secure-and-trustworthy-
transportation-cyber-physical-systems-1st-edition-yunchuan-sun/

textboxfull.com

Multidisciplinary Systems Engineering Architecting the

Design Process 1st Edition James A. Crowder

https://textbookfull.com/product/multidisciplinary-systems-
engineering-architecting-the-design-process-1st-edition-james-a-
crowder/
textboxfull.com
 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: i

Praise for Engineering Trustworthy Systems

“This is the ‘bible’ for cybersecurity, which needs to be consulted as we struggle to
solve this enormous threat to our national security.”
—John M. Poindexter, PhD, VADM, U.S. Navy (ret.),
Former National Security Advisor to President Reagan

“This book is a technical tour de force! Neatly organized between these covers is a
comprehensive review of how to think about designing and building trusted
(secure) systems, representing decades of experience and deep thought by the
author. Sami presents the material clearly, including diagrams, charts, and extensive
pointers to outside references. He has also crafted useful summaries and questions
for further thought, making this book useful as either a valued reference or as an
advanced textbook. Not only does Sami describe techniques to use in designing
trustworthy systems, but he also describes shortcomings—he’s not trying to ‘sell’ a
particular method.
This is the book I have wanted for over a decade, for use in my advanced
information security systems course. This will occupy an honored position on my
bookshelf between Ross Anderson’s Security Engineering and Michael Howard’s
Writing Secure Code. If you are involved with any aspect of designing or evaluating
trustworthy systems, it should be on your bookshelf too.”
—Eugene Spafford,
Professor of Computer Science and
leader of the CERIAS Project, Purdue University

“Sami Saydjari is today’s cybersecurity Renaissance man. Sami was the first to
recognize that failed cybersecurity could one day deliver societal existential change
equivalent to nuclear warfare. His early tenacity led to DARPA’s first cybersecurity
research investment. This book is a definitive textbook on cybersecurity, and will
become the instructional foundation for future trustworthy systems. Like the genius
of Da Vinci, this book delivers insightful philosophy, deep understanding, practical
guidance, and detailed instruction for building future systems that mitigate
cybersecurity threats!”
—Dr. Marv Langston, cybersecurity technologies consultant;
former Naval Officer, DARPA office director,
U.S. Navy’s first CIO, and U.S. Defense Department Deputy CIO

“Sami is one of the great experts in our field and he has produced one of the finest
and most complete works in our field. It should be your priority to purchase and
read this amazing book! For anyone desiring a comprehensive treatment of the
cybersecurity discipline, this is definitely the book. It’s an impressive work that
covers the important issues in a complete and accurate manner.”
—Dr. Edward G. Amoroso, CEO of TAG Cyber, and former CSO, AT&T

00-FM.indd 1 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: ii

Praise for Engineering Trustworthy Systems (cont.)

“Sami Saydjari’s career has spanned most of the history of cybersecurity, and in this
book he distills the lessons of a lifetime. This book is both comprehensive and easy
to read, making its concepts widely accessible. It is notable for its emphasis on
looking at a system as a whole, not just an aggregation of components, and for
helping readers understand how to value information and how to deal with risk. I
urge those building the systems that will be part of tomorrow’s critical
cyberinfrastructure, which now extends into our factories, airplanes, cars, and
homes, to read this book and apply its techniques. Until we learn to build on the
lessons of the past, the future of cybersecurity will continue to resemble the present.”
—Carl Landwehr, IEEE Fellow and member of
the National Cybersecurity Hall of Fame

“Saydjari has written an authoritative, timeless, and practical guide to cybersecurity.

The architecture of the book allows the reader to gain knowledge across a wide
range of areas from strategy and risk management, to the technical design concepts
of engineering a trustworthy system with security and safety at its core. Each chapter
concludes with a set of critical thinking questions. If organizations—corporate or
government—take a disciplined approach in answering these questions, their
understanding of the risks to their mission can only increase. We are reminded that
society’s dependency on information technology is growing and new technologies
are introducing even more risk to our way of life. Saydjari presents multiple methods
to assess risk and diagnose an organization’s strengths and weaknesses. He then
presents a thoughtful approach to effective risk reduction, taking into account cost
and mission impact. This book underscores that our opponent’s reach, speed, and
understanding of our vulnerabilities currently outmatch our defenses, which is why
we must learn how to invest in creating/designing/engineering the most trustworthy
systems. Our future depends on it.”
—Melissa Hathaway, cyber advisor to Presidents George W. Bush and
Barack H. Obama, now President of Hathaway Global Strategies
advising countries and companies around the world

“In Engineering Trustworthy Systems, Sami perfectly captures the asymmetrical

nature of cyberwarfare. This text will help level the playing field and put the adversary
on their heels and is required reading for any organization building or running a
security testing team. Focusing on the ‘hack’ is a mistake, and Sami explains how
and why bringing the strategist and tactician together builds a truly effective test
team. Following the lessons from this text will transform test teams from hackers to
cyber guardians.”
—Jim Carnes, former Chief of Security Testing Center at the DOD

“Sami Saydjari’s valuable new book reflects decades of experience in designing and
building secure computer systems. His approach to risk management for secure
system design is innovative and well worth reading.”
—Steven B. Lipner, member of the National Cybersecurity Hall of Fame

00-FM.indd 2 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: iii

“This book brings together all of the important aspects in cybersecurity design for
the first time to include all of the myriad cybersecurity perspectives, the types and
impact of failure, and the latest thinking in mitigation strategy. I can see this book
becoming an essential and complete reference for the new student of cybersecurity
as well as for the well-experienced professional. Sami’s thoughts and insights give
the book an excellent structure and relevant examples that make even the most
difficult concepts easy to digest.”
—Tom Longstaff, Chair, Computer Science, Cybersecurity,
and Information Systems Engineering Programs,
The Johns Hopkins University Engineering for Professionals

“As a long-standing proponent of rigorous, first principles design, I can endorse this
book with unbridled enthusiasm. Cybersecurity practitioners, designers, and
researchers will all find that the lessons in this book add inestimable, tangible value
to their missions. The depth and breadth of this book are truly impressive.”
—Roy Maxion, PhD, Research Professor,
Computer Science Department, Carnegie Mellon University

“‘Yet another cybersecurity book’ this is not. Its real strength lies in going beyond
the requisite scary attack stories and empty claims straight to the heart of very real
operational problems that undermine current defensive capabilities and strategies.
It does this to encourage the reader to think more carefully about the kinds of
strategic design and planning that are so often lacking in building sustainable,
evolvable, and comprehensive cyber protections. I highly recommend this book to
those who actually have to make cyber defense work.”
—Kymie Tan, Systems Engineer, Jet Propulsion Lab

“O. Sami Saydjari addresses cybersecurity using a comprehensive and straightforward

approach that draws on examples from other fields, such as biology and astronomy,
to enhance clarity and purpose. Engineering Trustworthy Systems is a well-timed
tome that strikes a balance between Saydjari’s many years of experience as one of
DARPA’s top cybersecurity experts and the ubiquitous nature of technology in our
daily lives. His style is personable and digestible for those without any formal
computer science training. Read this book—and learn from one of the best.”
—Teri Shors, Professor, Dept. of Biology, University of Wisconsin Oshkosh;
Author of Understanding Viruses

“This book provides a refreshing look at cybersecurity by acknowledging the need

for systems engineering. The book also emphasizes that cybersecurity is important
for the sake of mission assurance, which is very important, but all too often
overlooked by IT security personnel.”
—Joe Weiss, PE, CISM, CRISC, ISA Fellow, IEEE Senior Member,
Managing Director ISA99 (Industrial Automation and Control Systems Security)

00-FM.indd 3 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: iv

This page intentionally left blank

00-FM.indd 4 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: v

ENGINEERING
TRUSTWORTHY
SYSTEMS
Get Cybersecurity
Design Right the First Time

O. Sami Saydjari

New York Chicago San Francisco

Athens London Madrid Mexico City
Milan New Delhi Singapore Sydney Toronto

00-FM.indd 5 15/06/18 5:06 PM

Copyright © 2018 by O. Sami Saydjari. All rights reserved. Except as permitted under the United States Copyright Act of 1976,
no part of this publication may be reproduced or distributed in any form or by any means, or stored in a database or retrieval
system, without the prior written permission of the publisher, with the exception that the program listings may be entered, stored,
and executed in a computer system, but they may not be reproduced for publication.

ISBN: 978-1-26-011818-6
MHID: 1-26-011818-5

The material in this eBook also appears in the print version of this title: ISBN: 978-1-26-011817-9,
MHID: 1-26-011817-7.

eBook conversion by codeMantra

Version 1.0

All trademarks are trademarks of their respective owners. Rather than put a trademark symbol after every occurrence of a trade-
marked name, we use names in an editorial fashion only, and to the benefit of the trademark owner, with no intention of infringe-
ment of the trademark. Where such designations appear in this book, they have been printed with initial caps.

McGraw-Hill Education eBooks are available at special quantity discounts to use as premiums and sales promotions or for use in
corporate training programs. To contact a representative, please visit the Contact Us page at www.mhprofessional.com.

Information has been obtained by McGraw-Hill Education from sources believed to be reliable. However, because of the pos-
sibility of human or mechanical error by our sources, McGraw-Hill Education, or others, McGraw-Hill Education does not
guarantee the accuracy, adequacy, or completeness of any information and is not responsible for any errors or omissions or the
results obtained from the use of such information.

TERMS OF USE

This is a copyrighted work and McGraw-Hill Education and its licensors reserve all rights in and to the work. Use of this work
is subject to these terms. Except as permitted under the Copyright Act of 1976 and the right to store and retrieve one copy of the
work, you may not decompile, disassemble, reverse engineer, reproduce, modify, create derivative works based upon, transmit,
distribute, disseminate, sell, publish or sublicense the work or any part of it without McGraw-Hill Education’s prior consent. You
may use the work for your own noncommercial and personal use; any other use of the work is strictly prohibited. Your right to
use the work may be terminated if you fail to comply with these terms.

THE WORK IS PROVIDED “AS IS.” McGRAW-HILL EDUCATION AND ITS LICENSORS MAKE NO GUARANTEES
OR WARRANTIES AS TO THE ACCURACY, ADEQUACY OR COMPLETENESS OF OR RESULTS TO BE OBTAINED
FROM USING THE WORK, INCLUDING ANY INFORMATION THAT CAN BE ACCESSED THROUGH THE WORK VIA
HYPERLINK OR OTHERWISE, AND EXPRESSLY DISCLAIM ANY WARRANTY, EXPRESS OR IMPLIED, INCLUD-
ING BUT NOT LIMITED TO IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR
PURPOSE. McGraw-Hill Education and its licensors do not warrant or guarantee that the functions contained in the work will
meet your requirements or that its operation will be uninterrupted or error free. Neither McGraw-Hill Education nor its licensors
shall be liable to you or anyone else for any inaccuracy, error or omission, regardless of cause, in the work or for any damages
resulting therefrom. McGraw-Hill Education has no responsibility for the content of any information accessed through the work.
Under no circumstances shall McGraw-Hill Education and/or its licensors be liable for any indirect, incidental, special, punitive,
consequential or similar damages that result from the use of or inability to use the work, even if any of them has been advised of
the possibility of such damages. This limitation of liability shall apply to any claim or cause whatsoever whether such claim or
cause arises in contract, tort or otherwise.
 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: vii

This book is dedicated to Andrew Saydjari, my amazing son, and

his brilliant peers who will shape the future during what will surely
be a tumultuous time in human history.

00-FM.indd 7 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: viii

About the Author

Mr. O. Sami Saydjari has been a visionary thought-
leader in cybersecurity for over three decades,
working for elite organizations, including the Defense
Advanced Research Projects Agency (DARPA),
National Security Agency, and NASA, among others.
He has published more than a dozen landmark papers
in the field, provided consultation to national
leadership on cybersecurity policy, and educated the
public through interviews with major media such as
CNN, PBS, ABC, the New York Times, Financial Times, the Wall Street Journal,
and Time magazine. Follow the author on Twitter @SamiSaydjari and visit
www.samisaydjari.com and www.EngineeringTrustworthySystems.com for
more information.

About the Technical Editors

Earl Boebert wrote his first computer program as an undergraduate at Stanford
in 1958. He then served in the U.S. Air Force as an EDP Officer, where he was
awarded the Air Force Commendation Medal for an Air Force–wide project.
He then joined Honeywell, where he worked on military, aerospace, and security
systems, and received Honeywell’s highest award for technical achievement. He
was the Chief Scientist and technical founder of Secure Computing Corporation,
where he led the development of the Sidewinder security server. He then
finished his career as a Senior Scientist at Sandia National Laboratories.
He is listed as an inventor on 13 patents and is coauthor of a book on formal
software verification and another which analyzes the causes of the Deepwater
Horizon disaster. He has participated in 11 studies and workshops of the
National Academies of Sciences, Engineering, and Medicine and in 2011
was named a National Associate of the Academies.

Peter G. Neumann (Neumann@CSL.sri.com) is in his 47th year at SRI

International, where he is Chief Scientist of the Computer Science Lab. Prior to
that, he was at Bell Labs in Murray Hill, New Jersey, throughout the 1960s, with
extensive involvement in the Multics development. He has AM, SM, and PhD
degrees from Harvard, and a Dr rerum naturalium from Darmstadt. He is a
Fellow of the ACM, IEEE, and AAAS. In 1985, he created the ACM Risks Forum
(http://catless.ncl.ac.uk/Risks/), which he moderates. His 1995 book, Computer-
Related Risks, is still timely! He has taught at Darmstadt, Stanford, U.C. Berkeley,
and the University of Maryland. See his website (http://www.csl.sri.com/users/
neumann/) for further background and URLs for papers, reports, testimonies,
and musings.

00-FM.indd 8 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents at a Glance
Part I What Do You Want?
1 What’s the Problem? 3
2 Cybersecurity Right-Think 25
3 Value and Mission: Know Thyself 37
4 Harm: Mission in Peril 51
5 Approximating Reality 65
Part II What Could Go Wrong?
6 Adversaries: Know Thy Enemy 89
7 Forests of Attack Trees 115
Part III What Are the Building Blocks
of Mitigating Risk?
8 Countermeasures: Security Controls 131
9 Trustworthy Hardware: Bedrock 155
10 Cryptography: A Sharp and Fragile Tool 167
11 Authentication 189
12 Authorization 199
13 Detection Foundation 225
14 Detection Systems 237
15 Detection Strategy 257
16 Deterrence and Adversarial Risk 273
Part IV How Do You Orchestrate Cybersecurity?
17 Cybersecurity Risk Assessment 287
18 Risk Mitigation and Optimization 313
19 Engineering Fundamentals 331
20 Architecting Cybersecurity 351
21 Assuring Cybersecurity: Getting It Right 369
22 Cyber Situation Understanding: What’s Going On 381
23 Command and Control: What to Do About Attacks 401

ix

00-FM.indd 9 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

x  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

Part V Moving Cybersecurity Forward

24 Strategic Policy and Investment 429
25 Thoughts on the Future of Cybersecurity 443
Part VI Appendix and Glossary
A Resources 467
Glossary 483

Index 523

00-FM.indd 10 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents
Foreword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xli
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliii

Part I What Do You Want?

Chapter 1 What’s the Problem? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1 Baking in Trustworthiness: Design-Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1.1 What Is Trust? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1.2 Trust and Belief . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1.3 Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1.4 Why Trust? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.2 Operational Perspective: Basic Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2.1 Am I Under Attack? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2.2 What Is the Nature of the Attack? . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2.3 What Is the Mission Impact So Far? . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.4 What Is the Potential Mission Impact? . . . . . . . . . . . . . . . . . . . . . . 13
1.2.5 When Did It Start? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.6 Who Is Attacking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.7 What Are They Trying to Do? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.2.8 What Is the Attacker’s Next Step? . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.2.9 What Can I Do About It? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.2.10 What Are My Options and How Effective Will
Each Option Be? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.2.11 How Will My Mitigation Actions Affect Operation? . . . . . . . . . 15
1.2.12 How Do I Better Defend Myself in the Future? . . . . . . . . . . . . . . 15
1.3 Asymmetry of Cyberspace Effects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.1 Dimensionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.2 Nonlinearity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3.3 Coupling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3.4 Velocity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3.5 Manifestation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.3.6 Detectability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

xi

00-FM.indd 11 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xii  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

1.4 The Cybersecurity Solution Landscape . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.4.1 Information Assurance Science and Engineering . . . . . . . . . . . . . 19
1.4.2 Defensive Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.3 Cybersensors and Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.4 Cyber Situation Understanding . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.5 Cyber Actuation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.6 Cyber Command and Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.4.7 Cyber Defense Strategy and Tactics . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.5 Ounces of Prevention and Pounds of Cure . . . . . . . . . . . . . . . . . . . . . . . . . 21
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Chapter 2 Cybersecurity Right-Think . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1 It’s About Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.2 The Cybersecurity Trade-off: Performance and Functionality . . . . . . . . 26
2.2.1 User-Friendliness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2.2 Time to Market . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.3 Employee Morale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.4 Missed Opportunity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.2.5 Opportunity Cost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.2.6 Quantity of Service or Product . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.2.7 Quality of Service or Product . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.2.8 Cost of Service or Product . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.2.9 Limited Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.3 Theories of Security Come from Theories of Insecurity . . . . . . . . . . . . . . 33
2.4 They Come at You Through the Weeds . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.5 Top-Down Meets Bottom-Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.6 Cybersecurity Is a Live Orchestra, Not a Recorded Instrument . . . . . . . 35
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Chapter 3 Value and Mission: Know Thyself . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1 Focus on Mission and Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.1 Avoid Concentrating Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.2 Beware the Complacency of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2 Confidentiality: Value of Secrecy from Adversaries . . . . . . . . . . . . . . . . . 40
3.2.1 Acquired-Knowledge Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.2.2 Planning Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.3 Stolen Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.2.4 Means-of-Stealing-Secrets Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . 43

00-FM.indd 12 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xiii

3.3 Confidentiality: Beware the Tyranny of Secrecy . . . . . . . . . . . . . . . . . . . . 44

3.3.1 Secrecy Is Tenuous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.2 Secrecy Is Expensive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.3 Secrecy Can Be Self-Defeating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.3.4 Secrecy Is Self-Breeding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.3.5 Secrecy Creates a Form of Corrupting Power
and Impediment to Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4 Confidentiality: Changing the Value Proposition . . . . . . . . . . . . . . . . . . . 46
3.4.1 Minimize Secrecy and Dependency on Secrecy . . . . . . . . . . . . . . 46
3.4.2 Minimize Impact of Loss of Secrecy . . . . . . . . . . . . . . . . . . . . . . . . 47
3.5 Integrity: The Root of All Trustworthiness Value . . . . . . . . . . . . . . . . . . . 47
3.6 Availability: An Essential Yet Tenuous Value . . . . . . . . . . . . . . . . . . . . . . . 48
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Chapter 4 Harm: Mission in Peril . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.1 Focus on Strategic Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.1.1 What Is Strategic Risk? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.1.2 Expected Harm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.1.3 The Range of Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.1.4 The Meaning of Focus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.2 Harm Is About Mission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.2.1 Elicitation of Harm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2.2 Aggregating Harm Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2.3 Representative Harm Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3 Critical Asset Inventory: Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3.1 Data Asset Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.2 Data Value Spectrum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.3 Criticality Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.4 Criticality Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.4 A Template for Exploring Mission Harm . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.5 Harm Is in the Eye of the Beholder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.5.1 Gravity of Harm: Consensus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.5.2 Drawing Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.6 Sometimes Belief Is More Powerful than Truth . . . . . . . . . . . . . . . . . . . . . 61
4.6.1 Destroying Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.6.2 Frustrating to Address: Life Is Unfair . . . . . . . . . . . . . . . . . . . . . . . 62
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

00-FM.indd 13 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xiv  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

Chapter 5 Approximating Reality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.1 The Complexity of State: Why Model? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.2 Levels of Abstraction: At What Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.3 What to Model and Why . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3.1 The Target System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3.2 Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.3.3 Adversaries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.3.4 Measures/Countermeasures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.4 Models Are Always Wrong, Sometimes Useful . . . . . . . . . . . . . . . . . . . . . 71
5.4.1 Incompleteness of Essentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
5.4.2 Inaccuracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.4.3 Non-Timeliness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.5 Model Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.5.1 Defender’s View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.5.2 Adversary’s View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.5.3 Attacking the Views Themselves . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
5.6 Defense Models Must Consider Failure Modes . . . . . . . . . . . . . . . . . . . . . 80
5.7 Assume Adversaries Know Defender’s System . . . . . . . . . . . . . . . . . . . . . . 82
5.8 Assume Adversaries Are Inside Defender’s System . . . . . . . . . . . . . . . . . . 83
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Part II What Could Go Wrong?

Chapter 6 Adversaries: Know Thy Enemy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.1 Know Your Adversaries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.1.1 Intentions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.1.2 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
6.1.3 Attacker Resources and Defender Resources . . . . . . . . . . . . . . . . . 92
6.1.4 Risk Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
6.1.5 Strategic Goals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
6.1.6 Tactics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
6.2 Assume Smart Adversaries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
6.3 Assume Adversaries Don’t Play Fair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
6.3.1 Going Around Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
6.3.2 Going Beneath Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
6.3.3 Attacking the Weakest Link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
6.3.4 Violating a Design Assumption . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
6.3.5 Using Maintenance Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

00-FM.indd 14 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xv

6.3.6 Using Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

6.3.7 Using Bribery and Blackmail to Subvert Insiders . . . . . . . . . . . . 101
6.3.8 Taking Advantage of Temporary Bypasses . . . . . . . . . . . . . . . . . . 101
6.3.9 Taking Advantage of Temporary Connections . . . . . . . . . . . . . . 102
6.3.10 Taking Advantage of Natural System Failure . . . . . . . . . . . . . . . 103
6.3.11 Exploiting Bugs You Did Not Even Know You Had . . . . . . . . . 104
6.3.12 Compromising External Systems that a System Trusts . . . . . . 104
6.4 Anticipate Attack Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6.5 Red Teams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
6.5.1 Opposing Force . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.5.2 Red Team Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.5.3 Other Types of Red Teams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6.6 Cyberspace Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.6.1 Red Versus Blue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.6.2 Pure Versus Hybrid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
6.6.3 Purple Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.7 Red Team Work Factor: Measuring Difficulty . . . . . . . . . . . . . . . . . . . . . 112
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Chapter 7 Forests of Attack Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7.1 Attack Trees and Forests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7.1.1 Attack Tree Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7.1.2 Deriving Attack Scenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
7.1.3 From Trees to Forests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
7.2 System Failures Predict Cybersecurity Failures . . . . . . . . . . . . . . . . . . . . 119
7.2.1 Inspirational Catastrophes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.2.2 The 10x Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.2.3 Feigning Failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
7.3 Understanding Failure Is the Key to Success: The Five Whys . . . . . . . . 120
7.3.1 Why Five Whys? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
7.3.2 Projecting Fishbones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
7.4 Forests Should Be Representative, Not Exhaustive . . . . . . . . . . . . . . . . . 121
7.5 Drive Each Attack Tree Layer by Asking How . . . . . . . . . . . . . . . . . . . . . 123
7.6 Go as Deep as Needed and No Deeper . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
7.7 Beware of External Dependencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
7.7.1 Just in Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
7.7.2 Information Dependency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
7.7.3 Creating Redundancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

00-FM.indd 15 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xvi  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

Part III What Are the Building Blocks of Mitigating Risk?

Chapter 8 Countermeasures: Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.1 Countermeasures: Design to Purpose . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
8.2 Ensure Attack-Space Coverage (Defense in Breadth) . . . . . . . . . . . . . . . 133
8.3 Defense in Depth and Breadth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
8.4 Multilevel Security, Trusted Code, Security Kernels . . . . . . . . . . . . . . . . 136
8.4.1 Multilevel Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
8.4.2 Trusted Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
8.4.3 Security Kernel and the Reference Monitor . . . . . . . . . . . . . . . . . 138
8.5 Integrity and Type Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
8.5.1 Multilevel Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
8.5.2 Type Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
8.6 Cybersecurity Usability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
8.6.1 Invisible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
8.6.2 Transparent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
8.6.3 Clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
8.6.4 Easy to Understand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
8.6.5 Reliable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
8.6.6 Fast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
8.6.7 Reversible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
8.6.8 Adaptable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
8.6.9 Traceable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
8.6.10 Reviewable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
8.7 Deploy Default Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
8.8 Costs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
8.8.1 Cost Always Matters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
8.8.2 Time-to-Deploy Matters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
8.8.3 Impact to Mission Matters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
8.8.4 Pareto Rule: 80/20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
8.8.5 Opportunity Cost Is a Key Part of Cost . . . . . . . . . . . . . . . . . . . . 151
8.8.6 How Much to Invest in Cybersecurity . . . . . . . . . . . . . . . . . . . . . . 151
8.8.7 Optimizing Zero-Sum Cybersecurity Budgets . . . . . . . . . . . . . . 152
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Chapter 9 Trustworthy Hardware: Bedrock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
9.1 Foundation of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
9.2 Instruction Set Architectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
9.3 Supervisors with Rings and Things . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

00-FM.indd 16 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xvii

9.4 Controlling Memory: Mapping, Capabilities, and Tagging . . . . . . . . . . 159

9.4.1 Memory Mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
9.4.2 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
9.4.3 Tagging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
9.5 Software in Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
9.5.1 Microcode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
9.5.2 Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
9.5.3 Secure Bootstrapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
9.6 Buses and Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Chapter 10 Cryptography: A Sharp and Fragile Tool . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
10.1 What Is Cryptography? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
10.2 Key Space . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
10.3 Key Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
10.4 Key Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
10.4.1 Transmission to Intended Recipients . . . . . . . . . . . . . . . . . . . . . 173
10.4.2 Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
10.4.3 Loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
10.5 Public-Key Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
10.5.1 The Math . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
10.5.2 Certificates and Certificate Authorities . . . . . . . . . . . . . . . . . . . 177
10.5.3 Performance and Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
10.5.4 Side Effect of Public-Key Cryptography . . . . . . . . . . . . . . . . . . . 179
10.6 Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
10.7 Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
10.7.1 Positive Effects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
10.7.2 Negative Effects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
10.8 Chinks in the Cryptographic Armor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
10.8.1 Quantum Cryptanalytics: Disruptive Technology . . . . . . . . . . 184
10.8.2 P=NP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
10.9 Cryptography Is Not a Panacea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
10.10 Beware of Homegrown Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Chapter 11 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
11.1 Entity Identification: Phase 1 of Authentication . . . . . . . . . . . . . . . . . . 191
11.2 Identity Certification: Phase 2 of Authentication . . . . . . . . . . . . . . . . . 191
11.3 Identity Resolution: Phase 3 of Authentication . . . . . . . . . . . . . . . . . . . 193

00-FM.indd 17 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xviii  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

11.4 Identity Assertion and Identity Proving:

Phases 4 and 5 of Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
11.5 Identity Decertification: Phase 6 of Authentication . . . . . . . . . . . . . . . 194
11.6 Machine-to-Machine Authentication Chaining . . . . . . . . . . . . . . . . . . 195
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Chapter 12 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
12.1 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
12.1.1 Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
12.1.2 Mandatory Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
12.1.3 Covert Channels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
12.1.4 Identity-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
12.1.5 Attribute-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 207
12.2 Attribute Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
12.2.1 User Attributes and Privilege Assignment . . . . . . . . . . . . . . . . . 210
12.2.2 Resource Attribute Assignment . . . . . . . . . . . . . . . . . . . . . . . . . . 211
12.2.3 Attribute Collection and Aggregation . . . . . . . . . . . . . . . . . . . . . 211
12.2.4 Attribute Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
12.2.5 Attribute Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
12.3 Digital Policy Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
12.3.1 Policy Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
12.3.2 Policy Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
12.3.3 Policy Decision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
12.3.4 Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
12.4 Authorization Adoption Schemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
12.4.1 Direct Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
12.4.2 Indirect Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
12.4.3 Alternative Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Chapter 13 Detection Foundation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
13.1 The Role of Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
13.2 How Detection Systems Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
13.3 Feature Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
13.3.1 Attack Manifestation in Features . . . . . . . . . . . . . . . . . . . . . . . . . 229
13.3.2 Manifestation Strength . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
13.3.3 Mapping Attacks to Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
13.3.4 Criteria for Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

00-FM.indd 18 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xix

13.4 Feature Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

13.5 Event Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
13.6 Event Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.7 Attack Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.8 Attack Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
13.9 Attack Alarming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
13.10 Know Operational Performance Characteristics for Sensors . . . . . . 233
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Chapter 14 Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
14.1 Types of Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
14.1.1 Signature-Based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
14.1.2 Anomaly Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
14.2 Detection Performance: False Positives,
False Negatives, and ROCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
14.2.1 Feature Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
14.2.2 Feature Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
14.2.3 Event Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
14.2.4 Attack Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
14.2.5 Attack Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
14.2.6 Attack Alarming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
14.3 Drive Detection Requirements from Attacks . . . . . . . . . . . . . . . . . . . . . 251
14.4 Detection Failures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
14.4.1 Blind Sensors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
14.4.2 Below Noise Floor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
14.4.3 Below Alert Threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
14.4.4 Improper Placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
14.4.5 Natural Failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
14.4.6 Successfully Attacked . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
14.4.7 Blocked Sensor Input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
14.4.8 Blocked Report Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Chapter 15 Detection Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
15.1 Detect in Depth and Breadth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
15.1.1 Breadth: Network Expanse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
15.1.2 Depth: Network Expanse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
15.1.3 Breadth: Attack Space . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
15.1.4 Depth: Attack Space . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

00-FM.indd 19 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xx  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

15.2 Herd the Adversary to Defender’s Advantage . . . . . . . . . . . . . . . . . . . . 262

15.3 Attack Epidemiology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
15.4 Detection Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
15.5 Refining Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
15.5.1 Running Alerts to Ground . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
15.5.2 Learning More About an Attack . . . . . . . . . . . . . . . . . . . . . . . . . 265
15.6 Enhancing Attack Signal and Reducing Background Noise . . . . . . . . . 266
15.6.1 Reducing the Noise Floor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
15.6.2 Boosting Attack Signal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
15.6.3 Lowering the Alert Threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Chapter 16 Deterrence and Adversarial Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
16.1 Deterrence Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
16.1.1 Reliable Detection: Risk of Getting Caught . . . . . . . . . . . . . . . . 274
16.1.2 Reliable Attribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
16.1.3 Meaningful Consequences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
16.2 All Adversaries Have Risk Thresholds . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
16.3 System Design Can Modulate Adversary Risk . . . . . . . . . . . . . . . . . . . . 277
16.3.1 Detection Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
16.3.2 Attribution Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
16.3.3 Consequence Capability and Probability . . . . . . . . . . . . . . . . . . 278
16.3.4 Retaliation Capability and Probability . . . . . . . . . . . . . . . . . . . . . 279
16.3.5 Risky Behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
16.4 Uncertainty and Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
16.4.1 Uncertainty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
16.4.2 Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
16.5 When Detection and Deterrence Do Not Work . . . . . . . . . . . . . . . . . . 280
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Part IV How Do You Orchestrate Cybersecurity?

Chapter 17 Cybersecurity Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
17.1 A Case for Quantitative Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . 288
17.2 Risk as a Primary Metric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
17.3 Why Measure? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
17.3.1 Characterize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
17.3.2 Evaluate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
17.3.3 Predict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
17.3.4 Improve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

00-FM.indd 20 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xxi

17.4 Evaluate Defenses from an Attacker’s Value Perspective . . . . . . . . . . . 292

17.5 The Role of Risk Assessment and Metrics in Design . . . . . . . . . . . . . . 293
17.6 Risk Assessment Analysis Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
17.6.1 Develop Mission Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
17.6.2 Develop System Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
17.6.3 Develop Adversary Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
17.6.4 Choose Representative Strategic Attack Goals . . . . . . . . . . . . . 297
17.6.5 Estimate Harm Using Wisdom of Crowds . . . . . . . . . . . . . . . . . 298
17.6.6 Estimate Probability Using Wisdom of Crowds . . . . . . . . . . . . 299
17.6.7 Choose Representative Subset . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.6.8 Develop Deep Attack Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.6.9 Estimate Leaf Probabilities and Compute Root . . . . . . . . . . . . . 303
17.6.10 Refine Baseline Expected Harm . . . . . . . . . . . . . . . . . . . . . . . . . 305
17.6.11 Harvest Attack Sequence Cut Sets => Risk Source . . . . . . . . 306
17.6.12 Infer Attack Mitigation Candidates from
Attack Sequences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
17.7 Attacker Cost and Risk of Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
17.7.1 Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
17.7.2 Risk Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Chapter 18 Risk Mitigation and Optimization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
18.1 Develop Candidate Mitigation Packages . . . . . . . . . . . . . . . . . . . . . . . . . 315
18.2 Assess Cost of Mitigation Packages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
18.2.1 Direct Cost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
18.2.2 Mission Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
18.3 Re-estimate Leaf Node Probabilities and
Compute Root Node Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
18.4 Optimize at Various Practical Budget Levels . . . . . . . . . . . . . . . . . . . . . 323
18.4.1 Knapsack Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
18.4.2 Sensitivity Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
18.5 Decide Investment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
18.6 Execute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Chapter 19 Engineering Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
19.1 Systems Engineering Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
19.1.1 Murphy’s Law . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
19.1.2 Margin of Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
19.1.3 Conservation of Energy and Risk . . . . . . . . . . . . . . . . . . . . . . . . . 336

00-FM.indd 21 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xxii  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

19.1.4 Keep It Simple, Stupid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

19.1.5 Development Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
19.1.6 Incremental Development and Agility . . . . . . . . . . . . . . . . . . . . 339
19.2 Computer Science Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
19.2.1 Modularity and Abstraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
19.2.2 Layering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
19.2.3 Time and Space Complexity: Understanding Scalability . . . . . 343
19.2.4 Focus on What Matters: Loops and Locality . . . . . . . . . . . . . . . 344
19.2.5 Divide and Conquer and Recursion . . . . . . . . . . . . . . . . . . . . . . . 345
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Chapter 20 Architecting Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
20.1 Reference Monitor Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
20.1.1 Functional Correctness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
20.1.2 Non-Bypassable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
20.1.3 Tamperproof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
20.2 Simplicity and Minimality Breed Confidence . . . . . . . . . . . . . . . . . . . . . 355
20.3 Separation of Concerns and Evolvability . . . . . . . . . . . . . . . . . . . . . . . . . 356
20.4 Security Policy Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
20.4.1 Policy Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
20.4.2 Policy Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
20.4.3 Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
20.5 Dependability and Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
20.5.1 Cybersecurity Requires Fail Safety . . . . . . . . . . . . . . . . . . . . . . . . 360
20.5.2 Expect Failure: Confine Damages Using Bulkheads . . . . . . . . . 361
20.5.3 Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
20.5.4 Synergize Prevention, Detect-Response, and Tolerance . . . . . 364
20.6 Cloud Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Chapter 21 Assuring Cybersecurity: Getting It Right . . . . . . . . . . . . . . . . . . . . . . . . . 369
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
21.1 Cybersecurity Functionality Without Assurance Is Insecure . . . . . . . 370
21.2 Treat Cybersecurity Subsystems as Critical Systems . . . . . . . . . . . . . . 371
21.3 Formal Assurance Arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
21.3.1 Cybersecurity Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
21.3.2 Formal Security Policy Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
21.3.3 Formal Top-Level Specification . . . . . . . . . . . . . . . . . . . . . . . . . . 374
21.3.4 Security-Critical Subsystem Implementation . . . . . . . . . . . . . . 375
21.4 Assurance-in-the-Large and Composition . . . . . . . . . . . . . . . . . . . . . . . 376
21.4.1 Composition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
21.4.2 Trustworthiness Dependencies . . . . . . . . . . . . . . . . . . . . . . . . . . 376

00-FM.indd 22 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xxiii

21.4.3 Avoiding Dependency Circularity . . . . . . . . . . . . . . . . . . . . . . . . 377

21.4.4 Beware of the Inputs, Outputs, and Dependencies . . . . . . . . . 378
21.4.5 Violating Unstated Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . 378
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Chapter 22 Cyber Situation Understanding: What’s Going On . . . . . . . . . . . . . . . . . 381
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
22.1 Situation Understanding Interplay with Command and Control . . . . 382
22.2 Situation-Based Decision Making: The OODA Loop . . . . . . . . . . . . . . 383
22.3 Grasping the Nature of the Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
22.3.1 What Vulnerability Is It Exploiting? . . . . . . . . . . . . . . . . . . . . . . 385
22.3.2 Which Paths Are the Attacks Using? . . . . . . . . . . . . . . . . . . . . . . 385
22.3.3 Are the Attack Paths Still Open? . . . . . . . . . . . . . . . . . . . . . . . . . 387
22.3.4 How Can the Infiltration,
Exfiltration, and Propagation Paths Be Closed? . . . . . . . . . . . . . . . . 388
22.4 The Implication to Mission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
22.4.1 Increased Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
22.4.2 Contingency Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
22.4.3 Nature and Locus Guiding Defense . . . . . . . . . . . . . . . . . . . . . . . 392
22.5 Assessing Attack Damages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
22.6 Threat Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
22.7 The State of Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
22.7.1 Health, Stress, and Duress . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
22.7.2 Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
22.7.3 Configuration Maneuverability . . . . . . . . . . . . . . . . . . . . . . . . . . 395
22.7.4 Progress and Failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
22.8 Dynamic Defense Effectiveness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Chapter 23 Command and Control: What to Do About Attacks . . . . . . . . . . . . . . . . 401
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
23.1 The Nature of Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
23.1.1 Decision Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
23.1.2 Speed Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
23.1.3 Hybrid Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
23.2 Strategy: Acquiring Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
23.2.1 Analogy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
23.2.2 Direct Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
23.2.3 Vicarious Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
23.2.4 Simulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
23.3 Playbooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
23.3.1 Game Theory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
23.3.2 Courses of Action in Advance . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

00-FM.indd 23 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xxiv  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

23.3.3 Criteria for Choosing Best Action . . . . . . . . . . . . . . . . . . . . . . . . 412

23.3.4 Planning Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
23.4 Autonomic Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
23.4.1 Control Theory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
23.4.2 Role of Autonomic Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
23.4.3 Autonomic Action Palette . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
23.5 Meta-Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
23.5.1 Don’t Overreact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
23.5.2 Don’t Be Predictable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
23.5.3 Stay Ahead of the Attackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

Part V Moving Cybersecurity Forward

Chapter 24 Strategic Policy and Investment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
24.1 Cyberwar: How Bad Can Bad Get? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
24.1.1 Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
24.1.2 Call to Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
24.1.3 Barriers to Preparation Action . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
24.1.4 Smoking Gun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
24.2 Increasing Dependency, Fragility, and the Internet of Things . . . . . . . 434
24.2.1 Societal Dependency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
24.2.2 Just-in-Time Everything . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
24.2.3 The Internet of Things . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
24.2.4 Propagated Weakness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
24.3 Cybersecurity in the Virtual World: Virtual Economy . . . . . . . . . . . . . 436
24.3.1 Booming Game Economy: Virtual Gold Rush . . . . . . . . . . . . . . 436
24.3.2 Digital Currency Such as Bitcoin . . . . . . . . . . . . . . . . . . . . . . . . . 436
24.3.3 Virtual High-Value Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
24.3.4 Start from Scratch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
24.4 Disinformation and Influence Operations: Fake News . . . . . . . . . . . . . 437
24.4.1 What’s New? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
24.4.2 Hacking Wetware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
24.4.3 Polluting the Infosphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Chapter 25 Thoughts on the Future of Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . 443
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Learning Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
25.1 A World Without Secrecy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
25.1.1 Timed Release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
25.1.2 Minimize Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
25.1.3 Zero-Secrecy Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

00-FM.indd 24 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Contents   xxv

25.2 Coevolution of Measures and Countermeasures . . . . . . . . . . . . . . . . . . 446

25.3 Cybersecurity Space Race and Sputnik . . . . . . . . . . . . . . . . . . . . . . . . . . 447
25.3.1 Gaining the Ultimate Low Ground . . . . . . . . . . . . . . . . . . . . . . . 447
25.3.2 Stuxnet and the Cyberattack Genie . . . . . . . . . . . . . . . . . . . . . . . 447
25.3.3 Georgia and Hybrid Warfare . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
25.3.4 Estonia and Live-Fire Experiments . . . . . . . . . . . . . . . . . . . . . . . 448
25.3.5 Responsibility for Defending Critical
Information Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
25.4 Cybersecurity Science and Experimentation . . . . . . . . . . . . . . . . . . . . . 450
25.4.1 Hypothesis Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
25.4.2 Experimental Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
25.4.3 Experiment Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
25.5 The Great Unknown: Research Directions . . . . . . . . . . . . . . . . . . . . . . . 454
25.5.1 Hard Research Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
25.5.2 Are Cybersecurity Problems Too Hard? . . . . . . . . . . . . . . . . . . . 456
25.5.3 Research Impact and the Heilmeier Catechism . . . . . . . . . . . . 456
25.5.4 Research Results Dependability . . . . . . . . . . . . . . . . . . . . . . . . . . 459
25.5.5 Research Culture: A Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
25.6 Cybersecurity and Artificial Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . 460
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Part VI Appendix and Glossary

Appendix Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523

00-FM.indd 25 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7 / blind folio: xxvi

This page intentionally left blank

00-FM.indd 26 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

Table of Figures
1-1 History of cybersecurity technologies and attacks . . . . . . . . . . . . . . . . . 5
1-2 Anatomy of a top-down attack design . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1-3 Physiology of a bottom-up attack execution example . . . . . . . . . . . . . 11
1-4 Attack description: Code Red Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1-5 Determining the nature of a network-based cyberattack . . . . . . . . . . 12
1-6 Defense description: Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1-7 The cybersecurity solution landscape and interrelationships . . . . . . . . 19
2-1 The cybersecurity-functionality-performance trade-off . . . . . . . . . . 27
3-1 Attack description: secrecy attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4-1 Attack description: distributed denial of service . . . . . . . . . . . . . . . . . 53
4-2 Levels of data criticality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5-1 Attack description: buffer overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5-2 U.S. classification hierarchy in which a person cleared
at a given level can see data at that level and lower. . . . . . . . . . . . . . . 69
5-3 Attack description: social engineering and phishing . . . . . . . . . . . . . . 70
5-4 A model of a system including users, adversaries,
and dynamic measures/countermeasures. Users (defense operators)
apply measures/countermeasures to keep the system in a secure state,
while the adversary applies measures/countermeasures to achieve
their attack goals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
5-5 Attack description: supply chain attack . . . . . . . . . . . . . . . . . . . . . . . . . 72
5-6 Systems engineering “V” showing steps of design
and mapping in which faults can be introduced . . . . . . . . . . . . . . . . . 72
5-7 Issuing cybersecurity commands involves a complex
and hidden sequence of actions that are subject to attack, error,
and delay at each step. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5-8 The processing path of data packet showing delay,
error, and attack opportunity to consider . . . . . . . . . . . . . . . . . . . . . . . 75
5-9 A defender’s model of a real system can be thought
of as a projection of the complex real system onto a simpler
abstract model system. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
5-10 Cybersecurity-relevant security state is complex
and dynamic. The adversary and the defender both have models
approximating the state that are inaccurate in some ways and useful.
These models derive decision making. . . . . . . . . . . . . . . . . . . . . . . . . . . 78

xxvii

00-FM.indd 27 15/06/18 5:06 PM

 CompRef_2010 / Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time / Saydjari / 126011 817-7

xxviii  Engineering Trustworthy Systems: Get Cybersecurity Design Right the First Time

5-11 Chain of dependability threats [ALVI90] . . . . . . . . . . . . . . . . . . . . . . . 81

5-12 Programming tools used in the creation of executable
programs are all subject to attack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6-1 Attack description: ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
6-2 Security controls are like slats in a fence; attacks
from outside a system can go around the fence, through
the lowest slat, or underneath the fence. . . . . . . . . . . . . . . . . . . . . . . . . 97
6-3 Degree to which security controls depend on a variety
of different underlying mechanisms to work correctly . . . . . . . . . . . . 98
6-4 Cross-site scripting attack description . . . . . . . . . . . . . . . . . . . . . . . . 103
6-5 Attack description: cyber-physical systems . . . . . . . . . . . . . . . . . . . . 106
6-6 An example process of a vulnerability assessment team . . . . . . . . . 109
7-1 The OR and AND symbols borrowed from digital
logic gates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7-2 Simple example of a goal-directed tree using the
“Three Little Pigs” fairy tale story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
7-3 The simple attack tree example with the alternative
of using dynamite added to the mix, making the tree deeper
and more complex. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
7-4 Linear five-whys style failure analysis on
a fatal airplane crash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
7-5 A more complex fishbone-style five-whys analysis
considering multiple systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
7-6 Abstract view of attacker goal space, where proximity
means similarity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
7-7 Strategic attacker goals placed into equivalence classes . . . . . . . . . . 123
7-8 Example of using a process-sequence pattern to refine
a goal from one level to the next . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
7-9 Example showing a device type enumeration analysis
pattern for refining an attack goal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8-1 Abstract representation of the attack space where
dots represent attack classes and size represents attack likelihood . . . 134
8-2 Illustration of the concept of defense in breadth
with the regions showing coverage of a subset of the attack
space that each of several security controls address . . . . . . . . . . . . . 135
8-3 Illustration of defense-in-depth where each region
represents a security control’s coverage and overlaps show
multiple coverage and therefore depth . . . . . . . . . . . . . . . . . . . . . . . . 136
8-4 Simple security—users with a given clearance
can read data classified at their clearance level or below. . . . . . . . . . 137
8-5 Layering of traditional operating system to
create differing trust requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
8-6 Depiction of rings of trust and privilege in hardware
modes supporting software of varying degrees
of trustworthiness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

00-FM.indd 28 15/06/18 5:06 PM

Discovering Diverse Content Through
Random Scribd Documents
 7.

Kesä tuli niin varhain, että Urpona jo lehmät päästettiin

kesälaitumille. Näin varhaista kesää ei ollut tämän miespolven aikana
sattunut kuin kaksi ennen, ja viimeisestäkin varhaisesta kesästä oli jo
aikaa toistakymmentä vuotta.

Pappilan kesäkartano oli Kyläharjun takana, louhikkoisen

Airijyppyrän päivänpuolisella rinteellä. Siellä oli kylän muidenkin
talojen kesämajoja mikä loitompana mikä likempänä korkeaa, laaja-
alustaista Kontiovaaraa, jonka ympärillä verrattomat jänkät ja
ruohoiset ahteet olivat karjan mieluisia kesälaitumia. Sinne vietiin
karja kaikista kirkonkylän taloista kultaisen kesän ajaksi, jota ei
kestänyt kuin vajaat kolme kuukautta, mutta se olikin sitä
ihanampaa valon ja riemun aikaa.

Kevätkylvöt oli jo toimitettu, ja jyrkimpäin päiväpaisteisten

peltojen sileäksi pölkytyltä pinnalta pilkisti jo hentona ujo ohran oras.
Kevättulva oli laskenut, valtaväylä virtaili entisessä uomassaan,
kaukaisen Lapin kirkkaita kirsivesiä meren suulle kuljetellen.

Erkin päivänä oli ollut kylmä. Paksun pilven takana pysyi aurinko,
ja pohjoinen puhalsi purevasti. Tuntui kuin Lapin taivas vielä
viimeisiä talven vihoja karistelisi pois kylmiltä kulmiltaan ja kuin
erämaa huokuisi viimeisiä routia kevenevästä rinnastaan. Mutta Urpo
tulikin »paita päällä», ja yhteen sanaan loppuivat Lapilta voimat ja
kiveliön povi sykki lämpimästi.

Urvon aamuna helisivät lehmäin kellot jokaisen kirkonkylän talon

pihalla.
 Karjaa laskettiin laitumelle.

*****

Martti ja Anna olivat varustautuneet saattamaan lehmiä

kesäkartanolle. Sinne vei kärrytie keskikylältä yli kyläharjun, jänkkien
rantoja pitkin ja vaarojen häntäin yli, kierrellen leviä, maisia maita
hakien. Mutta lehmät laskettiin suoraan vainioaidan takaa metsään,
josta vanhat karjan polut johtivat Airijyppyrän rinteelle.

Karjakko kulki edellä, lehmiä nimeltään huutaen, Martti ja Anna

seurasivat perässä, Martilla kontti selässä ja keppi kädessä, Annalla
nyytti ja keppi kädessä. Hyppien ja teutaroiden juoksi karja tuttavan
äänen perässä. Kellot kalkkuivat, että metsä raikui, ja suuri, juureva
sonni mylvi vapautensa kunniaksi.

Pian loittoni karja kyläharjun kuusikkoon, ja kellojen kalkatukset

haihtuivat vaaroille ja metsiin. Pitkin hietaisia polkuja, jotka nousivat
loivimpia rinteitä kyläharjulle, seurasi karja kutsujaansa, ja Martti ja
Anna menivät juoksujalkaa perässä. Karjapolut johtivat yli harjun
loitompaa Haltiain kiveä ja Jäkälärovan torppaa. Mutta kun harjun
laelle nousivat, näkyi kivestä hitunen nurkkaa ja pirtistä vähän
harmajaa malkokattoa.

»Milloin kerrot sen tarinan Haltiain kivestä?» kysyi Martti.

»Nyt kun palaamme», lupasi Anna.

He olivat puolijuoksua seuranneet lehmiä, ja molemmat olivat

hengästyksissään, kun harjun laelle pääsivät. Annan posket
punoittivat, ja silmistä loisti lapsellinen ilo. Hän oli niin kovin sievä
keveässä kesäpuvussaan ja valkoisessa huivissaan, joka vähä väliä
pyrki niskaan valumaan. Martti katseli häntä ihastuneesti, kun he
hetkeksi seisahtuivat huoahtamaan. Karjan kellot kuuluivat jo toiselta
puolen harjun, ja Kontiovaaran suuri puuton laki välkkyi
päiväpaisteessa.

Nyt tuntuu niin hauskalta kuin ennenkin, kun veimme lehmiä

tänne», sanoi Anna, ja koko hänen olennostaan säteili ilo ja valui
kuin kirkas virta suoraan Martin sydämeen.

»Onko sinusta niin hauskaa kuin ennen?» kysyi Anna sitten,

kävellen edellä harjun takaa rinnettä alas.

Mutta kun Martti ei heti vastannut, kääntyi hän katsomaan…

»On kyllä niin hauskaa kuin ennenkin», ehätti Martti sitten

vastaamaan.

Hän näki Annan sievän varren notkeana pujahtelevan mutkaista

polkua pitkin ja puiden oksain alla kumartuvan. Jalka nousi keveästi,
nilkka sujui kauniisti, ja vaalea, vankka palmikko heilahteli virkusti.

Kun ehtivät harjun alle, josta polut maanrantaa pitkin lähtivät

kiertämään Airijyppyrään päin, sanoi Anna, kävelyään
hidastuttamatta:

Kun sinun ystäväsi saapuu Pohjolaan, niin tänne hänetkin

viemme… ehkä hänkin rakastaa kiveliötä ja kesäisiä öitä…»

Martti säpsähti. Anna ei ollut siihen asiaan kertaakaan viitannut. Ja

nyt suoraan puhui niinkuin olisi jo monesti ennen samasta asiasta
puhe ollut! Hän ei ehtinyt mitään vastaamaan ennenkun Anna taas
sanoi:
 »Sinä ikävöit ystävääsi nyt… Mutta kun hän tulee, onkin ilosi sitä
suurempi…»

Anna riensi edellä niin nopeaan, että Martin oli kiire pysytellä
perässä.

Mutta Annan puheisiin ei hän vastannut mitään ja jäi tahallaan

vähän jälkeen.

Anna jäi häntä odottamaan kivelle polun viereen.

»Väsyttääkö?» kysyi hän naurusuin. Hänen hampaansa välkkyivät

kuin helmet, punaisten huulten alta.

»Ei toki, vaikka sinähän riennät kuin varjo», sanoi Martti hikeä
pyyhkien ja kontin kannikkeita nostellen.

Mutta nyt hän taas muisti, että Ellin hampaat olivat paikatut ja
huulet vaaleammat.

He jatkoivat matkaa.

»Miten onkaan runosi laita? Lupasit minulle sen lukea!» huomautti

Martti, kun he lähtivät liikkeelle.

»Se on huono», virkkoi Anna. »Mutta ihanaa olisi osata runoilla…

Jospa saattaisi kertoa kaikki, mitä sydän tuntee kesäyönä… tai
hitusenkaan niin, että sen muutkin ymmärtäisivät… Kuinka
onnellinen olet sinä, joka voit kankaalle kiinnittää niin ihanan
maiseman…»

»Oletko nähnyt tauluani?»

 »Olen. Kun sitä katselee, tuntuu aivan kuin seisoisi Kontiovaaran
laella kevätaamuna, kun valkoiset hanget vielä peittävät erämaan…
Mutta vielä ihanampi olisi kesäyö, joka valaisisi jyrkkätörmäistä
maisemaa… Viime kesänä jo sellaista ajattelin… Oletko sinä koskaan
sitä ajatellut…»

Anna kääntyi nyt katsomaan Marttia suoraan silmiin.

»Olen paljonkin ajatellut… nyt viime aikoina varsinkin… Ja kerran

vielä koetankin…»

He saapuivat jyrkälle hietaiselle ahteelle, josta näki kauas

Kontiovaaralle ja sen eteläiselle rinteelle; sieltä jo kesämajoilta nousi
savu. Lehmäin kellot kalkkasivat notkossa ahteen ja Airijyppyrän
välillä. Pappilan kesäkartanosta näkyi jo pienen pirtin eteläinen seinä
ja maitokellarin pääty.

Annallekin oli tullut väri. Huivi oli valunut kokonaan niskaan, ja

hiukset olivat käpristyneet ohimoilta ja otsalta.

»Jopahan tulit palaviisi sinäkin», sanoi Martti.

Hänelle tuli ääretön halu koskettaa kädellään Annan hiuksia ja

silittää niitä.

»Muistatko, kun kerran eksyimme tänne, palatessamme

kesäkartanolta?» kysyi Anna. »Itkimme molemmin, mutta lopulta
osasimme kärrytielle.»

Martti muisti sen vallan hyvin.

»Sinä olit silloin noin pieni!» sanoi hän ja samalla laski kätensä
Annan hiuksille. Ne tuntuivat pehmeiltä kuin silkki.
 »Joko lähdemme?» kysyi Anna, mutta hän ei katsonut Marttia
silmiin.

»Kohtahan olemmekin perillä», vastasi Martti, sydämen sykkiessä

rajusti.

Anna riensi edellä niin nopeaan, ettei Martti nähnyt häntä kuin
vilahdukselta puiden välitse. Hänen ajatuksensa olivat kuin sekaisin,
ja sydän sykki rajusti. Ellin viime kirje poltti hänen povitaskussaan
kuin tuli, ja samalla muistui mieleen unikin…

Anna oli jo ehtinyt kesäkartanolle. Lehmät laskettiin vainiolle nyt

ensi päivänä, sillä niin oli ollut ikivanha tapa, ja karjakko kävi niille
evästä valmistamaan navettaan, joka oli melkein pirtin vieressä.
Anna oli avannut pirtin oven sepposen selälleen ja oli tulta takkaan
sytyttämässä, kun Martti saapui konttia kantaen.

Hauskalta ja kodikkaalta tuntui tämä pienoinen maja täällä kiveliön

keskellä. Yksin oli täällä talo ollut paksun lumen peitossa, mutta nyt
yhtäkkiä ilmestyi elämää ja liikettä. Päivä paistoi kirkkaasti, karjan
kellot kilkattivat, käet kukkuivat, ja pienet laululinnut ilmestyivät
pihan puihin…

»Kuinka täällä on suloista ja rauhallista», sanoi Martti, ottaen

kontin hartioiltaan ja avonaisesta ovesta katsellen ulos. Siihen näkyi
korkean Kontiovaaran laki ja muita kesäkartanoita laajojen harjujen
metsiköistä.

»Niin… täällä on niin hauskaa… olisin koko kesän täällä, jos

joutaisin… Viime kesänä olin täällä kokonaisen viikon enkä nukkunut
yhtenäkään yönä… päivillä vähäisen… Sattuivatkin niin äärettömän
kauniit yöt… valoisat ja lämpimät… niinkuin nytkin… Mutta silloin oli
jo kesäkuu alussa… nyt on vasta Urvon päivä…»

Anna puhui iloisella äänellä, ja minkä vuoksi olikin häneen nyt tällä
retkellä tullut entinen iloisuus, jota ei pitkään aikaan ollut tuntenut!

Hän toimitti kahvipannun tulelle, siistisi pöydän, aukoi ikkunat ja

hommaili minkä mitäkin.

Rengit olivat tulleet kärrytietä hevosilla, matkassaan tuoden

kaikenlaisia tarpeita kesää varten, ja ryhtyivät töihinsä: kauran
kylvöön vihantarehuksi karjalle kesäksi.

Martti läksi ulos ympäristöä katselemaan.

Kolmeen kesään ei hän ollut täällä käynyt, mutta usein oli

muistanut tätä rauhallista paikkaa, kun kulki suurkaupungin
vilinässä. Täällä oli kuin linnoituksen sisällä, suurien vaarojen
ympäröimänä. Tänne eivät mitkään viestit maailmalta tunkeutuneet
eikä muu maailma täältä mitään kuullut.

Hän istahti vanhan petäjän alle, joka oli keskelle pihaa jätetty
käelle kukkumapuuksi. Suuri, siintävä kiveliö oli siinä hänen
edessään rannattoman laajana, vasta puhjenneessa tehdessään
riemuiten. Käet kukkuivat, linnut lauloivat. Karjakko asteli kiuluineen
navetan ja lähteen väliä, muutamat lehmistä olivat panneet maata
märehtimään, toiset puskivat leikillään toisiaan, mutta vasikat
ynisivät juomaansa karjakon luo pyrkien. Alempana notkossa, jossa
oli muutamia peltosarkoja, olivat rengit sytyttäneet nuotion, siinä
polttaen syksyllä kuokitusta sarasta risuja ja kantoja.
 Martin silmä, joka aina haki kaunista ja alkuperäistä, havaitsi
edessään viehättävän idyllisen kuvan. Ja hänen mieleensä tuli uusi
ajatus ja salainen toivo. Hänen mielensä lämpeni, ja näin hän
haaveksi:

Tänne hän kultaisen kesän ajaksi muuttaa, erämaan hiljaisessa

huminassa taidettaan jatkamaan… Anna on kumppanina… Syksyllä
vasta, kun lehdet kellastuvat, he muuttavat Kirkonkylään… Kun hän
lankeaa epätoivoon työn menestymisestä, silloin Anna laskee
pehmeän käsivartensa hänen kaulaansa, puhuu toiveista ja innostaa
ja terästää lannistunutta mieltä…

Kesäyö!

Siitä tulee hienon hieno taulu, jossa yön kirkkaus valaisee joen ja
metsät ja kaukaisten vaarojen harmaat huiput…

Eikä hän enää koskaan halua pois Pohjolasta, ei takaisin

riettaaseen maailmaan, jonka jo tuntee. Täällä elämänsä elää, loihtii
maailman nähtäväksi unhoitetun, kylmän maan kauneuksia…
yhdessä Annan kanssa…

Mutta kesken onnellisia haaveitaan hän muisti Elliä ja untaan, ja

hänen tuli niin paha olla, että täytyi nousta ylös. Ja nyt hän tunsi
itsensä onnettomaksi. Sillä hän oli aivan varma, ettei hän Elliä
rakastanut. Ei ollut koskaan rakastanutkaan. Eivät hänen tunteensa
Elliä kohtaan olleet koskaan olleetkaan niin puhtaita ja niin hyviä
kuin…

Rakastiko hän Annaa?

 Hän tunsi sen niin selvästi, ettei siitä voinut olla epäilemistä. Joka
päivä oli hän tullut likemmäksi Annaa, joka päivä saanut yhä
syvemmälle kurkistaa Annan sydämeen…

Kuta enemmän hän Annassa hyvää löysi, sitä etemmäksi hän

loittoni Ellistä ja sitä enemmän hän kärsi. Hän kyllä tunsi, että hänen
olisi pitänyt jotakin tehdä päästäkseen taas rauhaan ja vapauteen,
mutta ei hän ollut mitään yrittänyt…

Onnettomana heikkona hetkenä oli hän Ellille rakkautensa

tunnustanut!

Ellin kirje poltti taskussa, ja hän näki Annan virkkuna, notkeana ja

avopäin lakaisevan pirtin edustalta puista varisseita syyslehtiä.

Kuinka ihmeen suloiselta Anna näytti!

Martti pani nyt merkille, ettei hän ollut koskaan nähnyt niin siroa,
niin hentoa ja notkeaa vartta… ei noin kauniita, tuuheita,
kullankellertäviä hiuksia…

Hän läksi kävelemään renkien luo saroille, josta miellyttävän savun

haju risuläjistä hitaasti ja melkein maata myöten hajaantui pitkin
vainiota.

»Elä mene kauas, Martti! Kahvi on pian valmis! Saatte pian kaikki
tulla kahvin juontiin», huusi Anna Martille.

Martti kääntyi katsomaan ja näki Annan seisovan luuta kädessä

pirtin ovella.

— Siitä tulisi kaunis taulu! — ajatteli hän.

 Mutta päästessään nuotion viereen hän paiskasi Ellin kirjeen
hiiltyvien risujen sekaan ja tunsi helpotusta rinnassaan.

Silloin he kuulivat Annan huutavan ja näkivät huiskivan huivillaan,

ja he läksivät kolmisin nousemaan loivaa vastaletta pirtille. Navetasta
tuli karjakkokin miehiin liittyen, ja niin kävivät pirttiin.

Anna oli jo ehtinyt pirttiäkin siistitä, kattanut kahvipöydän ja

matkassaan tuomansa vehnäset asettanut kasaan. Oli ripotellut
katajahavuja lattialle ja tuonut nurkkiin pienet koivut, joiden nuorista
lehdistä tuoksui varhaisen kesän lemu.

Niin oli ollut aina pappilan kesäkartanolle karjaa tuotaessa tapana,

että ensi päivänä kaikille vehnäkahvit annettiin, olipa väkeä
enemmän tai vähemmän.

Rengit, ikäihmisiä kumpainenkin samoin kuin karjakko, alkoivat

siinä entisiä aikoja muistella. Mutta eivät muistaneet kuin kaksi
kertaa ennen Urpona lehmiä Airijyppyrään tuoduksi.

»Vaan muistaa välisti Jumala tätä Pohjan perääkin», jutteli

vanhempi mies. »Lähettää joskus kesänsä varkainkin, niinkuin
nytkin; vaan muistan minä kesiä, jolloin vasta juhannusviikolla
päästiin kylvön tekoon ja hädin saivat elukat ravintonsa metsiltä… Ne
ovat raskaita rangaistuksia sellaiset kesät tämän perän ihmisille,
eivätkä sinä kesänä muualla viljat hallalta säilyneetkään kuin
pappilan niemessä ja muutamissa kirkonkylän taloissa…»

»Pappilan niemellä ja kirkonkylällä ovatkin omat haltiansa, joita

ajavat hallan ha'an taakse», tiesi karjakko.

Anna ja Martti vaihtoivat silmäyksiä.

 »Mutta eipä tiedä Kaisa, missä ne hyvät haltiat vieläkin asuvat!»
sanoi
Anna.

»En tuota muista, ja lienenkö sen enempää kuullutkaan, vaan

Jäkälärovan
Erkki, äijävaarisi, kuuluu muistavan ja tietävän.»

»Tiedän minäkin nyt», ilmoitti Anna.

»Tiennet hyvinkin. — Vaan laskehan nyt lisää kahvia… Minun pitää

lähteä lehmät kytkemään», arveli Kaisa, kävellen kuppineen takan
luokse.

Ja kun oli kahvit juotu, poistuivat kukin toimiinsa. Martti aikoi

mennä katselemaan mäenlakiharjulle entisiä linnunpyyntipaikkoja, ja
Anna jäi hommaamaan pirttiin.

8.

Loistava ilta tuli, valoisa ja lämmin.

Siintävänä, nuoren lehden peitossa, uinahti kiveliö, välkkyvien

valojen sitä suudellessa. Kaiku kierteli salojen halki, ja vaarojen
huiput kimaltelivat. Aukeat jänkätkin paistoivat vihannilta, ja
erämaassa sykki nuori elämä.

Samoja polkuja, joita olivat tulleetkin, menivät Martti ja Anna

takaisin. Anna kulki taas edellä, Martti perässä. Metsässä vallitsi
suuri rauha, sanaton ilo, joka kuiski jokaisesta puusta, välkkyi
jokaisen vaaran huipulta ja sykki erämaan riemuitsevasta sydämestä.

Ilta kului ja alkoi yö, vaikka kumpikaan ei sitä huomannut. Eikä

kukaan tiedäkään, koska yö alkaa, sillä päivä ei käy mailleen, linnun
laulu ei lakkaa. Ainoastaan taivaan valot muuttuvat pehmeämmiksi ja
ikäänkuin uneksi, joka hienoudellaan peittää taivaan ja maan ja
kietoo läpinäkyvään harsoon.

He seisahtuivat siihen, josta sopi kesäkartano näkymään. Sieltä

nousi paksu savu, kohoten puiden latvoja korkeammalle. Rengit
siellä polttivat rankoja.

He katsoivat ääneti sinne päin, josta olivat tulleet. Martti katsahti

Annaan, ja heistä tuntui kuin olisivat molemmin ajatelleet samaa
asiaa:
Sinne jäit, onnen ja lemmen salainen lymypaikka!

Annan kasvot olivat kuin hienostuneet. Posket eivät punoittaneet,

— mutta silmissä väreili sielun sisin ajatus, ja koko hänen
olemuksensa oli kuin kietoutunut yön pehmeään varjoon, niinkuin
maa ja taivas heidän ympärillään. Martin tapasi villi riemu. Hän aikoi
tarttua Annaan, sanoa kaikki, tunnustaa rakkautensa, joka kasvoi ja
paisui joka hetki. Mutta Annasta virtasi jotakin pyhää, kirkastettua
surua, joka kaunisti, mutta ei kärsinyt käsin koskea.

»Joko lähdemme?» sanoi Martti melkein soinnuttomalla äänellä.

Hänestä tuntui kuin häntä pyörryttäisi, ja tuska vihloi rinnassa.

Rakastiko Anna häntä, mutta tuon toisen takia ei uskaltanut sitä

ilmaista? ajatteli hän, eikä hän huomannut, että hän taas jäi jälkeen
Annasta.
 Anna mietti:

— Hän muistaa morsiantaan, toivoo, että hän olisi nyt täällä… tänä
ihmeellisenä yönä… Minä olen nyt onnellinen… tämä on elämäni
onnellisin yö… Hän ei aavista, että häntä aina olen rakastanut ja
rakastan aina ja iäti ja hänen onnensa vuoksi kärsin kaikki… kaikki!…
Anna, Jumala, hänen tulla onnelliseksi!

Anna sai kuin uusia voimia, ja vaikka hän äsken tunsi, kuinka
likellä hänen sydämensä sykki toisen sydäntä ja että hänen
voimansa loppuisivat, sai hän vielä viime hetkellä voimia, ettei
tarttunut Marttia kaulaan. Nyt hän tunsi tyyntyneensä ja jäi Marttia
vartomaan.

»Menemmekö Haltiain kiven kautta?» kysyi hän, kun Martti hänet

saavutti.

»Niin menemme! — — — Katsos, minkälainen yö! Voi kiveliötä, voi

taivaan kirkkautta!»

Anna oli taas iloinen. Äskeinen kalpeus oli kadonnut poskilta, ja

hänestä virtasi iloa Marttiinkin.

Kun ehtivät kyläharjun laelle, saattoi olla jo puolessa yö. He

nousivat korkeimman huipun nokkaan, josta näköala oli avarin.

Sieltä näki joen ja pappilan kirkon ja tapulin mustat katot ja siellä

täällä viiruja kylän taloista.

Siihen istahtivat ja ympärilleen katselivat.

Näkivät koskea alas tulla vilistävän tukkilauttoja ja suvannolla

hitaasti kulkevan. Koko lännenpuolinen kukkulainen kiveliö oli kuin
hienon usvan peittämä, mutta pohjoinen taivaankansi oli kirkas,
tietäen auringon nousua. Muu ympäristö oli yön ihmeverhoon
kietoutunut ja taikavaloon uponnut.

He istuivat vierekkäin. Joen rannalta välkkyi kapea viiru, kirkkaan

päivän nouseva säde, joka oli päässyt pujahtamaan jostakin vuorien
välitse ennenkuin päivä kerkisi korkeammalle. Alempaa harjun
rinteeltä häämöitti Haltiain kivestä palanen sammalpintaa, mutta
Jäkälärovan pirtistä ei näkynyt mitään. Viiritanko, jonka latvassa oli
pienoinen hauenpään muotoinen rautainen lippa, piipatti harmaana
kuusien latvain yli.

»Tässä istuin viime kesänäkin, kun palasin kesäkartanolta», sanoi

Anna.

»Muistitko silloin minua?»

Martin ääni pyrki väräjämään.

»Muistin minä ja ajattelin, että kun kerran vielä tänne saapuisi,

niin sanoisin: kuvaa kesäyötä… Pohjolan kirkasta kesäyötä, jonka
vertaa ei luonnossa ole… se on iankaikkinen ilo keskellä maan
katoavaa kevättä… Nyt sen sanoin…»

Annan kasvot loistivat.

»Kuka sinut opetti rakastamaan tätä kummallista luontoa, tätä

selittämätöntä valoa… Minä luulin, ettei kukaan tätä luontoa
ymmärtäisi…»

»Luonto itse ja oman mieleni ikävä…»

Anna nousi ylös lähteäkseen.

 »Istumme hetkisen vielä!» pyysi Martti.

»Menemme Haltiain kivelle ja sytytämme sääskensavun entiseen

kuoppaan!» ehdotti Anna.

He riensivät juosten alas rinnettä Haltiain kivelle päin ja kokosivat

risuja syliinsä. Yhtäkkiä tuli heille molemmille niin hauska, että he
nauroivat kuivia oksia kerätessään.

*****

He sytyttivät sääskentulen samaan paikkaan, jossa ennen lapsina

leikkiessään tulta pitivät, ja se alkoi tupruta paksua savua, joka
hitaasti eteni pohjoiseen päin.

»Aurinko nousee jo… katso, kuinka kotisuvanto jo välkkyy sen

paisteessa…»

»Kerro nyt se tarina tästä kivestä», pyysi Martti. »Koko kylä

nukkuu, Jäkälärovassa nukutaan, pappilassa ja joka talossa… Mikä
ihmeellinen yö!»

He istuivat vierekkäin kivelle.

»Minä kerron nyt», lupasi Anna.

Annan käsi oli polvella, melkein Martin käden vieressä.

»Saanko pitää kättäsi omassani niin kauan kuin kerrot?» pyysi

Martti.

Anna laski kätensä Martin käteen, mutta kun Martin sormet

koskivat ranteeseen, tunsi hän, kuinka valtimo löi rajusti.
 »Kerro nyt… minun on nyt niin äärettömän hyvä olla», sanoi hän,
mutta nyt hän tunsi Annan käden vapisevan.

Kumpikaan ei katsonut toistaan silmiin, ja Anna aloitti:

Maailman alussa oli kaksi veljestä, Pakkanen ja Halla. Pakkanen

joutui pohjoisille maille ja Jäämerelle asti, mutta Halla siirtyi
vähitellen pohjoiseen sen mukaan kuin ihmisetkin ympäri maailmaa
hajaantuivat. Pakkasella oli töitä joka talvi, mutta Halla näki nälkää
etelässä ja siirtyi vähitellen pohjoiseen, sen mukaan kuin viljan
viljelyskin. Halla kokosi rikkauksia tullessaan ja siirtyi vihdoin tänne
Lapin perukoille. Halla ja hänen väkensä asuivat silloin niinkuin
nytkin asuvat — suurten puuttomien jänkkien ja soiden kylmissä
kaltioissa.

Ennen vanhaan, silloin kun tälle perälle ensimmäiset asukkaat

vakinaisesti asettuivat asumaan ja ensimmäiset kylvöt kylvettiin, ei
Halla tänne rantamaille asti uskaltautunut, eikä ollut silloin vielä
viljelyksiäkään, joita vainusteli. Vanhat metsänkävijät, jotka yksiin
aikoihin täällä elivät lappalaisten kanssa, tiesivät kertoa paljon
Hallasta ja hänen väestään. Syys-iltoina, kun tuulenhenki oli
pohjoisessa ja taivas ensi kerran kävi tähteen, olivat he nähneet itse
Halla-ukon kantaisän, Kontiovaaran alla, jänkän laidassa mättäällä
istumassa. Siinä oli kolkon näköisenä istunut hirveän paksu harteva
ukko, jäinen, kiiltävä kauhtana yllään ja pitkä, jääpuikkoinen parta
valkoisessa huurteessa. Rohkeimmat olivat nähneet hänet hyvin
likeltä, kun olivat metsän peitossa jänkän laitaa lähestyneet.
Kummaa oli ollut katsella maanalaisen ruhtinaan toimia ja liikkeitä.
Pohjoiseen, josta kävi kylmä tuulen henki, oli katsellut ja
partajouhiaan tuulta vasten pitänyt, ja taivaalle, jossa tähdet
vilkkuivat, oli näyttänyt hyvillään silmäilevän. Tuon tuostakin oli
noussut seisomaan mättäältään ja kaikille suunnille katsellut
ikäänkuin nuuskien ilmaa. Mutta heti kun tuulten palkeet kääntyivät
pois pohjoisesta, lauha henkäys kävi etelästä ja tähdet yön verhoon
peittyivät, silloin kylmä ruhtinas äkkiä katosi jääpartoineen
maanalaiseen kaltioonsa.

Nuoret metsänkävijät olivat nähneet Hallan ihmeen kauniin

tyttären Sallan, joka joskus kylminä aamuina nousi metsän rantaan
maailmaa katselemaan. Mutta Sallaa likelle ei kukaan ollut päässyt.

Siinä, jossa nyt on pappila, oli ensimmäinen talo näillä mailla.

Siihen olivat asukkaat tulleet koskista jokea pitkin etelästä päin, ja
toiset olivat maisin kulkeneet joen rantoja noudattaen ja asettuneet
pitkin joen viettäviä rantoja asumaan. Pappilan nientä nimitettiin
silloin Noidanniemeksi. Uudet tulokkaat olivat nimen antaneet, sillä
siinä oli heidän tullessaan asunut Lapin noita, mustassa kodassaan.
Kota poltettiin, ja noita pakeni Taka-Lappiin. Ja siihen paikkaan,
jossa kota oli ollut, kylvettiin ensimmäinen ohra näillä mailla.

Isännän nimi kuului olleen Lassi, ja hänellä oli kaksi poikaa, joista
Juho-niminen oli kaunis ja uljas ja rakasti metsästystä. Pian teki
Lassi poikineen Noidanniemestä elettävän talon, jossa oli
ensimmäinen karja tällä perällä ja suurimmat kylvöt. Mutta kun
viljelykset talossa laajenivat, arvasi Hallakin aikansa tulleen, sillä
Halla tuntee syys-iltoina sieraimiinsa kypsyvän viljan hajun
penikulmien päähän. Mutta tämä kyläharju teki haittaa Hallan
matkalle, kun ei ollut taloon asti ulottuvaa jänkkää, jota pitkin olisi
päässyt lähemmäksi vainioita. Ja taas toiselta puolelta pelotti joen
suvanto, josta levisi lämmintä usvaa pitkin rantoja, aina tämän
harjun alle saakka…
 Ja monta vuotta sai vilja Noidanniemessä rauhassa tuleentua eikä
Halla uskaltanut sitä lähestyä, sillä se pelkää kuivia metsäisiä vaaroja
ja vesien lämmintä usvaa. Silloin turvautui Halla viekkauteen, sillä
hän tiesi, mikä hyvä saalis hänellä Noidanniemen vainioilla olisi.
Salla, hänen tyttärensä, joka taisi muotoansa muuttaa, rupesi
apulaiseksi. Ukko neuvoi tytärtään. Ei saanut Salla lintuna lentää, ei
sutena ulvoa, ei karhuna karjua, vaikka olisi niin muotonsa voinut
muuttaa. Nuorena valkoisena impenä oli hänen vainiolle päästävä,
maattava yönsä kiven takana ja aamulla auringon noustessa
avattava jäinen pussi, jonka ukko Halla hänen povelleen kätki. Siitä
pussista leviäisi kylmä pitkin peltoja, ja silloin he saisivat parhaat
viljojen mehut. Mutta ylen arveluttava oli Sallan retki, sillä
monenlaiset vaarat olivat väijymässä. Ei saanut Sallaan kukaan
ihminen koskea, salaa kuin varjo oli hänen kuljettava yli Kyläharjun
ja hämyn tullen vasta vainion laitaan kiven taakse asetuttava.
Varoitteli Halla tytärtään, neuvoi ja opasteli eikä kenenkään kanssa
luvannut tarinoimaan käydä. Jos joku hänet huomaisi ja
haastattelemaan tulisi, pitäisi Sallan pysytellä loitolla, nimensä
metsänneidoksi sanoa, Tapion nuorimmaksi tyttäreksi, joka vartioi
riistaa ketuilta syys-yönä. Sillä samalla hetkellä, jona ihminen häneen
koskisi, kadottaisi hän voimansa eikä enää voisi muotoaan muuttaa,
vaan ikipäiviksi jäisi ihmiseksi eikä koskaan enää pääsisi palaamaan
takaisin jäiseen linnaansa syvälle soiden kaltioihin. Ja moneksi
vuodeksi menettäisi vanha Hallakin hyistä voimaansa, jos tyttärelle
huonosti kävisi.

Isänsä neuvoja seuraten läksi Salla, ihmeen kauniiksi neitoseksi

laittautuneena, syys-iltana liikkeelle. Kylmä oli ja taivas jo tähdessä.
Vanha Halla oli oikean hetken valinnut. Kontiovaaran alta kaltiosta
nousi Salla ja läksi astumaan rantaan päin, povellaan jäistä pussiaan
säilyttäen niinkuin silmäteräänsä. Uteliaana Salla asteli, sillä hän ei
ollut koskaan vielä viljelyksiä nähnyt eikä rantamailla käynyt. Nuoria
metsästäjiä oli hän syys-iltoina vilahdukselta metsänrannasta nähnyt,
mutta silloin oli hänen aina täytynyt paeta takaisin kaltioonsa.

Onnellisesti Salla pääsi tämän harjun yli, ja illan hämyssä hän hiipi
pellon laitaan kiven taakse niinkuin isä oli neuvonut. Häntä ei ollut
kukaan ihminen nähnyt, ja Salla asettui aamua odottamaan. Hän
kuuli ihmisten ääniä kartanolta, ja niiden joukossa hän tunsi sen
nuoren metsästäjän äänen, joka retkillään lauleli, kun salojen halki
kulki. Hän tuli uteliaaksi. Olisi tehnyt mieli nähdä sitä, joka niin
kauniisti lauloi. Hän nousi kiven takaa ja meni ojan pohjaa
likemmäksi. Silloin tunsi hän, että hänen povellaan oleva pussi alkoi
lämmetä, ja pelästyneenä hän palasi kiven taakse, auringon nousua
vartomaan. Mutta hänen oli ikävä ja paha olla koko yö. Sillä aina oli
hänen mielessään se nuori metsästäjä, joka niin kauniisti lauloi
metsäretkillään saloja kulkiessaan. Ja ikävissään hän nousi kiven
päälle istumaan.

Mutta jo ennen auringon nousua läksi nuori metsästäjä, Juho

nimeltään, riistan pyyntiin. Ja Juhon metsäpolku johti kivelle, jolla
Salla ikävissään istui. Silloin havaitsi hänet Juho ja ihastui ensi
näkemällä. Hän riensi luokse, eikä Salla huomannut hänen tuloaan
ennenkuin hän jo oli aivan vieressä…

Kerran vain ehtivät nuoret toisiansa silmiin vilkaista, ja molempien

lempi syttyi yhtaikaa. Mutta muistaen isänsä ankarat varoitukset
Salla läksi kaikin voimin pakenemaan metsään päin. Nopea
metsästäjä seurasi kuitenkin perässä ihastuksen rakkauden
valtaamana ja pyyteli ihanaa impeä viipymään. Salla tunsi, kuinka
taikapussi, joka hänen povellaan riippui, alkoi taas lämmetä ja hänen
voimansa vähetä. Hän kuuli jälessään nuoren metsämiehen
sointuvan äänen ja lempeän rukouksen, ja hän unohti isänsä
varoitukset…

Tälle paikalle, tähän harjun laitaan, jossa tämä kivi nyt on, Salla
ehti, mutta silloin uljas metsästäjä hänet saavutti ja lämpimään
syliinsä sulki valkoisen immen…

Samalla hetkellä hän muuttui oikeaksi ihmiseksi ja taikapussi

katosi. Mutta samalla hetkellä tiesi myös vanha Halla, kuinka hänen
tyttärelleen oli käynyt. Mutta voimaton oli hän auttamaan tytärtään.
Sillä lämmin eteläinen alkoi puhallella auringon noustessa, ja lännen
taivas lienteli. Ja silloin ei Halla uskalla kylmästä kaltiostaan nousta,
peläten lämmön vähentävän hänen voimansa ja kykynsä.
Hirmuisessa vihassaan hän näki, että hänen tyttärensä istui nuoren
metsästäjän sylissä… että taikapussi oli hävinnyt ja Salla muuttunut
oikeaksi ihmiseksi…

Viimeiset voimansa ponnistaen hän nousi kaltiostaan Kontiovaaran

alta. Vaaran kyljestä hän tempasi jättiläisvoimallaan suurimman
kalliokappaleen, minkä jaksoi irti kiskoa, ja heitti sen armottomalla
vauhdilla sitä suuntaa kohden, jossa rakastavien tiesi syleilevän
toisiaan leudon aamuauringon paisteessa. Hirveällä voimalla viskattu
kallio viilsi ilmaa viheltäen ja lensi kaaressa yli jänkän ja kyläharjun
ja pudota jyskähti rakastavien nuorten päälle, likistäen heidät
kauhean painonsa alle…

Vanhan Hallan kosto oli julma, mutta rakastavien nuorten sielut

muuttuivat hyviksi haltioiksi, jotka vainioita kylminä aamuina
varjelevat.

»Se on tarina tästä kivestä, jonka päällä istumme ja jonka

äijävaarini on minulle kertonut. Tässä kivessä asuvat vieläkin ne
hyvät haltiat, jotka viljapeltoja hallalta varjelevat, ja sen vuoksi ei ole
pappilan niemessä koskaan halla viljaa vienyt, vaan aina on se
täyteen kypsynyt.»

»Tämä on hyvien haltiain kivi», sanoi Martti, pidellen Annan kättä

omassaan. »Kummallinen tarina! Tämä on merkillinen kivi…»

»Äijävaari uskoo vieläkin, että haltiat syys-iltoina, kun hallaa

pelätään, tulevat tästä kivestä — tuosta rannanpuolisesta sivusta,
jossa on sammalpeite oven päällä, — ja varjelevat vainioita…»

Hetken istuivat, molemmin mietteissään. Sääskensavu oli

sammunut, aurinko oli jo noussut korkeammalle, ja koko jokisuvanto
välkkyi sen kirkkaassa valossa, mutta he itse ja Haltiain kivi olivat
vielä varjossa harjun kupeella. Kylältä ei vielä kuulunut minkäänlaisia
ääniä, mutta kosken pauhu kuului hauskana kohinana tyynen aamun
hiljaa heräävästä povesta.

Silloin uskalsivat he katsoa toisiaan silmiin. Lintujen laulu eneni,

nuoren lehden ja pihkaisen mahlan haju täytti ilman, ja taivaan sini
kirkastui. Koko muu maailma unohtui heidän ympärillään, he näkivät
ja tunsivat vain toisensa, ja kummankin sydän täyttyi suloisilla
tunteilla.

Martti kietoi kätensä Annan hennon varren ympäri ja kallisti

päänsä Annan puoleen. Anna tunsi voimiensa pettävän, ja hän sai
väräjävällä äänellä sanotuksi:

»Lähdemme kotia nyt!»

He laskeusivat alas kiveltä, katselivat vielä kiven kyljessä olevaa

ovenmuotoista, sammalpeittoista kuviota ja tulivat polulle, joka johti
pappilaan. Molemmin puolin polkua kasvaviin mäntyihin olivat
ohikulkijat piirtäneet nimikirjaimia. He katsoivat niitä, joita lapsena
olivat piirtäneet yhdessä.

»Nyt minä tiedän, mikä kesäyössä on selittämätöntä», virkkoi

Martti, ja hänen katseensa kiiti pitkin aamuauringon valaisemia
vaihtelevia maisemia.

»Joko tiedät… joko tunnet», haastoi Anna, innossaan tullen Martin

viereen. »Niin, se on kesäyön kirkkaus. Se ei ole auringon valoa, eikä
kuun valoa, ei tähden valoa eikä hämärätä; se on yön omituinen
hiljainen, kirkastettu hohde, lempeä ja juhlallinen, niinkuin
iankaikkinen ilo keskellä maan katoavaa kevättä…»

Annan silmät säteilivät, ja Martti katsoi häneen kuin kirkastettuun

olentoon, joka oli taivaasta lähetetty hänen omia ajatuksiaan
sanoiksi ja teoiksi saattamaan.

»Anna, Anna… kuule…! Minulla on uusi ajatus, suuri ja ihana! Voi

jospa kerran voisin sen kankaalle kiinnittää!»

»Jumala antaa voimia… Jumalan kunniaksi on Hänen suuren

luontonsa jäljentäminen. Sinun 'Kesäyösi' kerran vielä tekee
kuuluisaksi köyhän perukkamme, sillä henkesi imee voimansa
kesäyön kirkkaudesta… Niin usko, ja sinä tulet onnelliseksi… ja minä
rukouksissani autan sinua… Se on korkein onneni…»

Polku, jota olivat tulleet, johti korkealle kummulle pappilan riihen

taakse. Siihen loppui metsä, ja siihen päättyi polkukin, sillä siitä
alkoivat pellot.
 Pappilassa oltiin liikkeellä, ja suvannolta kuului lauttamiesten
lauluja.

»Minä olen nyt niin onnellinen, ja minun on nyt niin hyvä olla…
sillä minä tiedän, että nyt ymmärrät, miksi minä kesäöitä rakastan…
Voi, usein viime kesänä ajattelin: Jospa Martti kerran vielä Pohjolaan
palajaa… silloin hänelle sanon: Kesäyö on ihanin kaikista… Ja kauas
vieraalle maalle rukoilevan rukoukseni lähetin, sinun luoksesi, että
Pohjolaasi muistaisit…»

»Ja minä muistin… Minun tuli ääretön ikävä tänne… Kaikki

muistin: talviset revontuli-illat, varhaiset hankiaamut ja kesäiset yöt.
Siksi takaisin tulin enkä koskaan pois enää halua…»

»Mutta ystäväsi, joka sinua rakastaa…?»

»Ei hän koskaan ole minua rakastanut eikä minun maailmaani

ymmärtänyt…»

Silloin juuri he saapuivat pappilan kujalle. Kumpikaan ei tiennyt

minkä vuoksi, mutta molempiin tarttui Martin viime puheen jälkeen
semmoinen ilo, että tuntui kuin maasta molemmin irtautuisivat.
Pääskyset kiitivät nuolena poikki ja pitkin pihaa, vilahtivat
avonaisesta ovesta karjalatoon ja suhahtivat pienestä reiästä tallin
ullakolle, visertelivät ja lensivät ihan Annan ja Martin päiden
päällitse.

Ison kuistin ovet olivat auki. Rovasti oli piippuineen tullut kuistille
keinumaan, niinkuin hänen tapansa oli aina ollut. Nouseva
aamuaurinko sopi siihen paistamaan, ja siinä oli hauska keinua, kun
ilmassa oli alkavan kesän lemua, joka kuistinkin täytti, ja huvikseen
katsella pääskysten lentoa halki päiväpaisteisen pihamaan.
 Hän näki nuorten kujalla tulevan ja hymähti. Molemmat olivat
hänelle yhtä rakkaat, sillä Anna oli rovastin mielestä kuin oma lapsi.
Hän arvasi, mitä tietä nuoret olivat kesäkartanolta palanneet, ja
hänellä oli aavistus siitä, että heidän suhteensa ei enää ollutkaan
veljen ja sisaren. Hän oli sen heti huomannut.

Loistavin silmin riensivät Martti ja Anna kertomaan. Molemmat

näyttivät olevan yhtä iloisia ja juttelivat yhtaikaa.

Ruustinna kuuli ruokasaliin heidän tulleen ja riensi hänkin kuistiin.

Häneenkin tarttui heidän ilonsa, ja hän istahti rovastin viereen.

Martti ei ollut vielä yhtään kertaa sittenkun kotia saapui ollut niin
pirteällä tuulella, eikä Annasta ollut semmoinen ilo koskaan loistanut
kuin nyt.

»Juuri tämä aika on kaikkein ihanin täällä Pohjolassa», sanoi

Martti. »Mikä ihmeellinen yö oli! Niitä värivivahduksia! Niitä taivaan
selittämättömiä valoja… Nyt minä ymmärrän, miksi isä ei koskaan ole
täältä etelään ikävöinyt… Tämmöisenä yönä ei saisi kukaan nukkua…
eikä yön ihanuutta näkemättä antaa sen livahtaa menemään…»

Rovasti katseli ihastuneena poikaansa. Noin oli hänkin tuntenut

nuorena! Noin innostunut kaikesta siitä, mikä oli kaunista!

Ruustinna katsoi rovastiin, ja oli kuin hän olisi miehensä

hymyilevistä silmistä lukenut:

— Enkö sitä ole sanonut! Nuo kaksi kuuluvat toisilleen nyt, niinkuin
ennenkin.

Ja hänestäkin tuntui nyt, että niin pitikin olla, eikä toisin.

 9.

Annan päiväkirjasta.

Valoisa kesäyö!

Parin viikon päästä on juhannus.

Ihmeaikaa on tämä, jota elän. On kuin unta ja todellisuutta.

Olen katsellut tästä päiväkirjastani niitä lehtiä, joita kuluneina

vuosina olen kirjoitellut — silloin tällöin — ja enimmäkseen silloin,
kun Marttia muistelin. On hauskaa katsella, mitä silloin tunsin ja
ajattelin, ja verrata siihen, mitä nyt tunnen ja ajattelen.

Olenko nyt onnellisempi kuin silloin, kun häntä palavissa

ajatuksissani muistelin ja rukoilin, että Jumala hänen taiteensa tien
tasoittaisi? Ehkä olen, ehkä en.

Ei, onnellisempi olen; olisin vielä onnellisempi, jos tietäisin, että

hän on onnellinen.

Mutta en voi sitä uskoa. Siitä asti olen sitä epäillyt, kun
kesäkartanolta palasimme. Mikä äärettömän ihana yö se olikaan!
Siitä kirjoitan vielä joskus eri luvun tähän päiväkirjaani. Kuinka
ihmeellistä se olikaan. Pelkäsin ja vapisin! Voi jos hän olisi
aavistanut, kuinka lähellä oli, etten tarttunut hänen kaulaansa…!

Mutta hän ei sitä tiennyt, ja niin onkin hyvä.

Kuulen hänen kävelevän edestakaisin tuolla huoneessaan ullakolla,

aivan pääni päällä. Hän avaa ikkunan ja katselee kai pohjoisiin
vaaroihin ja koskelle, jonka rantakoivut jo ovat täydessä lehdessä.
Tietääkö, että minäkin valvon ja häntä muistelen? Aavistaako, että
seuraan hänen työtään aivan kuin se olisi omani ja koskisi omaa
iloani ja onneani?

Ehkä ei muista minua. Sitä toista ikävöi — ja pian kai hän on

täällä, hänen ystävänsä, morsiamensa…

Mitä nyt oikeastaan ajattelen ja tunnen? Mitä mietin?

Istun tässä, avoimen ikkunan luona, joka antaa joelle ja

puutarhaan. Tuomi on täydessä kukassa, pian puhkeaa pihlajaankin.
Valoisa, lämmin kesäyö! Täällä pappilassa on hiljaista nyt, siellä
kaikki nukkuvat, paitsi Martti ja minä. Kylällä eivät nuku. Aina on
tiellä joku kulkija, ja korva ottaa ääniä etempää ja likempää. Ei tänä
aikana saakaan nukkua, — niin sanoi Marttikin. — Nyt täytyy imeä
kesäyön kirkkaudesta! Tämä on lyhyt, tämän valon ja riemun aika
poloisessa Pohjolassa! — Mutta minä olen viettänyt ihanan yön
Haltiain kivellä — Martin kanssa.

Jospa näkisin hänen sydämensä syvyyteen! Jospa tietäisin syyn,

jonka vuoksi hän usein on alakuloinen ja hajamielinen. Usein olen
hänet tavannut puutarhan penkillä istumasta. Hän tuijottaa joelle ja
lännen vaaroihin, harmaansinisissä silmissään ikäänkuin
pelonsekainen katse. Kaiketi hän miettii taideteostaan, joka syksyksi
joutuu valmiiksi…

»Ei hän koskaan ole minua rakastanut eikä minun maailmaani

ymmärtänyt.»

Niin hän sanoi, kun palasimme kesäkartanolta. Miksi hän niin

sanoi?
Mitä tarkoitti?
 Usein olen toivonut, että hän ottaisi puheeksi Ellinsä tännetulon.
Mutta hän ei virka siitä mitään. Ehkä hän kuitenkin puhuu paljonkin
asiasta isälleen ja äidilleen. Mitäpä minulle puhuisikaan…

*****

Mutta… mutta! Jumala, anna minulle anteeksi, että ajattelen niin

ja tunnen näin! Olenko niin pohjalta paha ja itsekäs? Raukka, orpo,
köyhä tyttö olen, Jumala yksin turvanani. Onko väärin, että häntä
rakastan? Onko väärin, että rakastan häntä ja hänen taidettaan ja
tahtoisin hänen vierellään aina olla?

Miksi sydämeni ja sieluni toista kuiskaavat? Ja miksi olen nähnyt

hänen silmistään, että hänkin rakastaa minua! Olenko erehtynyt ja
pettynyt? En. Sillä hän ei voisi pettää, ei valheverholla peittää syvien
silmiensä ilmettä. Ei ole Martti luotu tänne pettämään eikä valheen
palvelijaksi. Suurta, valoisaa totuutta on hän tullut luomaan, ja
Jumala kyllä auttaa häntä.

Voi, voi, kun saattaisin häntä lohduttaa! Kun rohkenisin häneltä

kysyä. Mutta en voi. Nämä päivät ovat olleet ikäviä, vaikka on kesän
kaunein aika. Kuinka onnellinen olisin, kun olisin varma siitä, että
hän vartoo, odotettua morsiantansa, häntä ikävöi ja rakastaa. Mutta
sitäpä juuri epäilenkin. Minä uskon niin, että hänen Ellinsä on kova ja
keikaileva maailmannainen, joka kyllä voi Marttia rakastaa, mutta ei
niinkuin Martti tahtoisi. Miksi hän muutoin olisi alakuloinen nyt, kun
otaksuisin hänen elonsa aamun kirkkaimmillaan olevan! Edessään on
hänellä loistava taiteen tie ja vieressään morsian, ystävä ja hoivaaja!

Mutta ehkä hän ei Elliään ajattelekaan, ei minua eikä ketään. Ehkä

hän vain miettii taideteostaan, keväthankien kuultava kirkkaus
mielessään…
 Nyt kuulen hänen kävelevän edestakaisin, väliin yhteen kohti
seisahtuen. Ehkä katselee hän tauluaan, uudistaen, muovaellen…
Rakas, rakas Martti! Hyvä Jumala sinulle parastansa antakoon!

Nyt taukoavat askeleet, hän varmaan koettaa nyt nukkua. Nukkua

pitäisi minunkin. Huomenna on raskas työpäivä. Juhannussiistimiset
alkavat pihasalla ja huoneissa. Kaikki pitää olla puhtoisen puhdasta,
suuren valonjuhlan tullessa. Salin kamari laitetaan kuntoon Martin
morsianta varten…

Nythän on jo aamupuoli. Aurinko paistaa jo joelle, suvannon

luhtasaariin ja lännen vaaroihin. Kesäyö! Kesäyö!

Miksi minä maata pannessani aina muistan Ellin muotokuvaa? Aina

siihen katson, kun Martin huonetta siistiän. On kuin silmäni siihen
väkisin kiintyisivät. Mitä on niin kovalta näyttävää niissä silmissä ja
suupielissä, jotka ovat minusta niinkuin tahtoisivat purra! Minä
varmaan erehdyn. Mutta yksi asia vielä. Ruustinna ei puhu paljon
mitään Martin morsiamesta. Eilen hän kuitenkin sanoi:

»Nyt me, Anna, panemme parastamme, toivottua vierastamme

varten.»

Martti on varmaan nyt unessa, koska ullakolta ei kuulu mitään

liikettä.

Nuku, rakastettuni, unelmieni ja nuoruuteni sulho! Minä rakastan

sinua sittenkin, vaikka täältä siirtynet lämpöisempiin maihin. Lähetän
terveiseni ja palavat rukoukseni sinun luoksesi, — lähetän näin
valoisina kesäöinä ja revontulten hulmutessa talviöinä! Aina, aina.
Sillä sinun onnesi on minunkin onneni.
 Isätön, äiditön, koditon ja turvaton! Uskallanko minä näin ajatella
ja näin kirjoittaa? Mutta ei minua tunto soimaa. Minusta tuntuu
niinkuin hyvä Jumala katsoisi olkani yli jokaista sanaa ja jokaista
kirjainta eikä käske panna pistettä. Miksen siis kirjoittaisi!

*****

Pari päivää on kulunut.

Työtä ja kiirettä on ollut aamusta iltaan. Ilma on edelleen kirkas ja

kuulakka, yö ja päivä ovat yhtä valoisat. Valoisat yöt, joita rakastan!
Ihmeyöt, joina lintujen laulu ei koko yönä lakkaa! Minä olen nuori ja
nautin, enkä tunne väsymystä. Koko viime yönkin olin valveilla. Koko
kirkonkylä valvoi. Kuka tämmöisinä öinä hennoisikaan nukkua!
Iloinnevatko muut nuoret tytöt näin tästä valon ajasta kuin minä! On
niin kummaa olla. On ihanaa ja surullista samalla. Laulaa tekisi
mieleni. Minulla onkin laulu kesäyöstä, jonka jo kansanopistossa tein.
Mutta minulla on nyt siihen paljon lisäämistä, paljon… paljon. Siitä
tulee kaunis laulu — kauniimpi kuin nuoren Sallan ja uljaan Juho
metsästäjän…

Minulla olisi niin kovin paljon kirjoittamista, menisi päiviä, viikkoja,

enkä sittenkään ehtisi sanoa puoltakaan kaikesta siitä, mitä tänä
kesänä olen tuntenut. Säilytät ne vastaisen varalta ja ilokseni niistä
lauluja laadin. Sillä sydämeni on täysi, täysi.

Tänään on Martti siirtynyt pois ullakolla ja jättänyt kevättaulunsa

kesken. Hän on maalausvehkeineen siirtynyt Haltiain kivelle ja
aloittanut suurta tauluaan »Kesäyötä». Kuinka siitä iloitsen! Siitä
taulusta tulee se taikakalu, joka Pohjolan loiston näyttää etelän
ihmisille. Nyt minä ymmärrän, miksi Martti on niin miettiväinen ollut.
»Kesäyötään» on miettinyt. Kesäyön ihmevaloja.
 Hänen katseensa oli kirkas, kun hän aamulla minulle virkkoi:

»Nyt minä siirryn Haltiain kivelle… Luuletko, että hyvät haltiat

minua työssäni auttavat?»

»Auttavat ne… Ne rakastavat sinua, joka olet erämaan ystävä ja

kiveliön veli, metsän poika, jonka hyväksi kaikkensa antavat…»

Niin hänelle vastasin, ja hänen katseensa oli niin kovin lämmin ja

koko hänen olentonsa kuin kirkastettu.

Minä seurasin mukana, ja me kävimme torpassakin, — niinkuin

ennenkin. Martti ja äijävaari ovat hyvät ystävät, vaikkei äijävaari
jaksa ymmärtää Martin yrityksiä. Mutta hauskaa oli.

Nyt on hän varmaan kivellä ja on aloittanut työtänsä, sillä öisin

aikoi hän työskennellä. Rakastettuni, unimaailmani sulho! Onnessa
työskentele, ja antakoon valkeuden Herra siveltimellesi voimaa ja
vauhtia!

Yksi asia on varma. Hän ei näytä isosti huolehtivan morsiamensa

tulosta. Lipposet jalassa hän kulkee paitahihasillaan niinkuin ennen
poikasenakin. Siten onkin hän kaikkein kaunein. Ei minkäänlaisia
herrasvehkeitä. En ole yhtään kertaa nähnyt hänellä tuota kankeaa,
korkeaa kaulusta, joka tekee hänet niin kovin juhlallisen näköiseksi.

Ruustinna on hänelle monta kertaa puvusta muistuttanut, mutta ei

hän näy siitä välittävän. Nauraa vain ja sanoo, että hän tahtoo kaikin
puolin nauttia vapaudestaan.

Tänä aamuna oli viimeksi puhe.

Welcome to our website – the ideal destination for book lovers and
knowledge seekers. With a mission to inspire endlessly, we offer a
vast collection of books, ranging from classic literary works to
specialized publications, self-development books, and children's
literature. Each book is a new journey of discovery, expanding
knowledge and enriching the soul of the reade

Our website is not just a platform for buying books, but a bridge
connecting readers to the timeless values of culture and wisdom. With
an elegant, user-friendly interface and an intelligent search system,
we are committed to providing a quick and convenient shopping
experience. Additionally, our special promotions and home delivery
services ensure that you save time and fully enjoy the joy of reading.

Let us accompany you on the journey of exploring knowledge and

personal growth!

textbookfull.com