Ökonomie der linken Sicherheitsverschiebung

Ich habe mit Dutzenden gearbeitet SecOps und Erkennung und Reaktion Teams in den letzten Jahren und es ist mir klar geworden, wie wichtig es ist, so viele Sicherheitsprobleme wie möglich zu beheben flussaufwärts. Oder wie es allgemein bekannt ist, „Sicherheit nach links verschieben“. Im Großen und Ganzen sehe ich drei Lager auf „Sicherheit nach links verschieben“ — 1) nicht verstehen, 2) verstehen, nicht ausführen, 3) verstehen, ausführen. Sie könnten in diesem dritten Lager sein und denken, dass ein Linksruck offensichtlich und allgemein bekannt ist. Lassen Sie mich Sie demütig daran erinnern, dass die Welt da draußen groß ist und die durchschnittliche Organisation in Sachen Sicherheit beklagenswert unausgereift ist. Anders ausgedrückt, die Lager eins und zwei zusammengenommen sind Lager drei weit überlegen.

Warum ist das so? Brunnen „Sicherheit nach links verschieben“ ist neu, aber was noch wichtiger ist, es ist schwer. Es ist, als würde man angesichts anderer zuckerhaltiger Versuchungen konsequent Gemüse essen. Sicherheitsanbieter sagen alle, dass die Verschiebung nach links eine schnellere Bereitstellung und niedrigere Kosten ermöglicht, aber meiner Meinung nach nie sinnvoll quantifiziert. In dieser Analyse werde ich versuchen, Praktiker mit Daten zum Thema „Sicherheitsverschiebung nach links“ auszustatten, die jede Führungskraft und jeder Budgetkontrolleur verstehen wird – Betriebswirtschaftslehre. Dies passt zu einem wichtigen breiteren Thema der Notwendigkeit, Sicherheit für die Steigerung von Geschäftsergebnissen zu definieren – Ihren TAM zu erweitern, Verkaufszyklen zu beschleunigen, Produkte schneller zu versenden – und nicht nur als Maßnahme zur Risikominderung zu fungieren.

Zunächst eine Definition zum Levelset. Machen „Sicherheit nach links verschieben“ bedeutet, die Sicherheit früh und oft im Entwicklungslebenszyklus der Organisation nach oben zu verschieben, was ich als eine Obermenge des üblichen Softwareentwicklungslebenszyklus definieren würde. Dies umfasst alles, was mit Mitarbeitern, Lieferanten, Sicherheitskontrollen und dem digitalen Fußabdruck einer Organisation zu tun hat. Sicherheitsprobleme, die früher verhindert oder entdeckt werden, bevor sie sich im gesamten Unternehmen ausbreiten, sind einfacher und kostengünstiger zu implementieren.

Nun zur Analyse. Meiner Meinung nach ist dieses Thema zu kompliziert, um eine Analyse auf hohem Niveau durchzuführen und so etwas zu behaupten „Linksschalten macht Sie 10 % schneller und spart 30 %“, gibt es zu viele Variablen. Mein Ansatz wird darin bestehen, sehr spezifische Mikrobeispiele einer hypothetischen Organisation zu modellieren, die sich nach links bewegt, und zu sehen, was daraus gelernt werden kann.

Zu den Parametern in den folgenden Modellen gibt es einige sehr grobe Schätzungen (oder stellenweise sogar vollständige Vermutungen), die ich zusammenzutragen versuche, wenn die verfügbaren Daten schlecht sind. Lesen Sie die Quellen für meinen Kommentar und lassen Sie mich wissen, wenn Sie vertrauenswürdigere Forschungsergebnisse kennen! Darüber hinaus sind „Datenpannen“ nicht die einzige Form von Cyber-Ereignissen, über die man sich Sorgen machen muss. Ich habe mich darauf konzentriert, weil es solide Untersuchungen zu Kosten im Vergleich zu eher nebulösen Auswirkungen von Marke, Vertrauen usw. gibt.

Modell 1 – MFA im gesamten Unternehmen implementiert

Einfach anfangen. Wenn Sie denken „Jede Organisation hat MFA überall aktiviert“, brauchen Sie einen Realitätscheck. Dennoch ist MFA als einzelnes Steuerelement, das in einer gesamten Organisation bereitgestellt wird, ein großartiges intuitives Beispiel. MFA wird als Linksverschiebung betrachtet, weil es verhindert, dass viele riskante Anmeldeinformationen überhaupt erst möglich sind. Dieses Modell vergleicht eine hypothetische Organisation mit MFA, die überall ordnungsgemäß eingesetzt wird, mit einer Organisation, die nur 1FA verwendet.

Modellkosten:

• SOC Personalkosten = (Anmeldebenachrichtigungen pro Benutzer und Tag, nur im Zusammenhang mit 1FA) * (Organisationsgröße) * (Durchschnitt jährlich) SOC Analystenkosten) / (Jeder Analyst und Tag bearbeitete Warnmeldungen)
• SOC Softwarekosten = (Anmeldewarnungen pro Benutzer und Tag, nur bezogen auf 1FA) * (Organisationsgröße) * (Softwarekosten pro Warnung zur Unterstützung der Untersuchung) * (365 Tage)
• Dollar Verlust an Produktivität = (Durchschnittliche Anzahl von MFAs pro Tag und Benutzer) * (Organisationsgröße) * (Zeit bis MFA in Sekunden) / (1 Minute / 60 Sekunden) / (1 Stunde / 60 Minuten) / (1 Tag / 24 Stunden) * ( Durchschnittliche jährliche Personalkosten)
• Erwarteter Wert der Verletzungskosten = (Durchschnittliche Kosten einer Datenschutzverletzung) * (Wahrscheinlichkeit einer Datenschutzverletzung)

Modellparameter:

• Organisationsgröße: 10000 Mitarbeiter (Benutzer)
• Zeit bis MFA (Google Auth oder Äquivalent): 10 Sekunden [1]
• Durchschnittliche Anzahl von MFAs pro Tag und Benutzer: 1 [2]
• Durchschnittliche jährliche Personalkosten: $100,000
• Anmeldewarnungen pro Benutzer und Tag nur in Bezug auf 1FA (anomaler Zugriff, gemeinsame Nutzung von Passwörtern usw.): 0.01 [3]
• Pro Analyst pro Tag gesichtete Warnungen: 100 [4]
• Durchschnittliches jährliches SOC Analystenkosten: $100,000
• Softwarekosten pro Warnung zur Unterstützung der Untersuchung: 0.10 $ [5]
• Prozentsatz der Datenschutzverletzungen aufgrund gestohlener oder kompromittierter Anmeldeinformationen: 19 % [6]
• Durchschnittliche Kosten einer Datenschutzverletzung: 4.35 Millionen $ [7]
• Basiswahrscheinlichkeit einer Datenverletzung: 1.13 % [8]
• Wahrscheinlichkeit einer Datenverletzung mit MFA: 0.92 % [9]

Ehrlich gesagt war ich ein wenig überrascht, wie viel sich die Reibung der traditionellen MFA in dieser Analyse in Dollar summierte. Ein Grund mehr, unsichtbare MFA-Lösungen einzusetzen.

Modell 2 – DevSecOps ordnungsgemäß ausgeführt

DevSecOps ist wahrscheinlich die am weitesten entwickelte Kategorie von „Sicherheit nach links verschieben“, und es gibt eine Reihe großartiger Tools, die sich auf die Anwendung konzentrieren oder Infrastruktursicherheit testen. Großartig sieht hier aus, wie Tools, die reibungslos in den Entwickler-Workflow eingebettet sind. Schlechte oder auf der rechten Seite gehaltene Sicherheit sieht aus wie ein Sicherheitsteam, das von der Entwicklung getrennt ist und Sicherheitsprobleme findet, nachdem die Dinge an die Produktion geliefert wurden. Dieses Modell vergleicht eine Organisation, die Softwareentwicklung durchführt DevSecOps in vollem Umfang eingesetzt wird, im Gegensatz zu einem, der einen rein reaktiven Ansatz verfolgt Software-Sicherheit.

Modellkosten:

• Entwicklerkosten = (Eindeutige, von der Organisation entwickelte Produktionsanwendungen) * (Durchschnittliche Anzahl von Schwachstellen pro Produktionsanwendung) * (Durchschnittliche Entwicklungsstunden zur Behebung der Schwachstelle in Stunden) * (1 Jahr / 52 Wochen) * (1 Woche / 40 Arbeitsstunden) * (Durchschnittlich jährlich Entwicklerkosten)
• Kosten für Sicherheitsanalysten = (Eindeutige Produktionsanwendungen, die von der Organisation entwickelt wurden) * (Durchschnittliche Anzahl von Schwachstellen pro Produktionsanwendung) * (Durchschnittliche Stunden des Sicherheitsteams zur Behebung einer in der Produktion gefundenen Schwachstelle in Stunden) * (1 Jahr / 52 Wochen) * (1 Woche / 40 Arbeitsstunden) * (Durchschnittliche jährliche Kosten für Sicherheitsanalysten)
• Erwarteter Wert der Verletzungskosten = (Durchschnittliche Kosten einer Datenschutzverletzung) * (Wahrscheinlichkeit einer Datenschutzverletzung)

Modellparameter:

• Einzelne Produktionsanwendungen, die von der Organisation entwickelt wurden: 17 [10]
• Durchschnittliche Anzahl von Schwachstellen pro Produktionsanwendung: 30.59 [11]
• Durchschnittliche Entwicklungsstunden zur Behebung jeder in der Entwicklung gefundenen Schwachstelle: 3.61 Stunden [12]
• Durchschnittliche Entwicklungsstunden zur Behebung jeder in der Produktion gefundenen Schwachstelle: 10.71 Stunden [13]
• Durchschnittliche jährliche Entwicklerkosten: $150,000
• Durchschnittliche Stunden des Sicherheitsteams zur Behebung jeder in der Produktion gefundenen Schwachstelle: 3.10 [14]
• Durchschnittliche jährliche Kosten für Sicherheitsanalysten: $100,000
• Durchschnittliche durchschnittliche Zeit zum Beheben von Schwachstellen – Niedrige Scan-Häufigkeit – 1–12 Scans pro Tag (Shift Right Security): 217 Tage [15]
• Durchschnittliche durchschnittliche Zeit zum Beheben von Schwachstellen – Hohe Scan-Häufigkeit – 260+ Scans pro Tag (Shift Left Security): 62 Tage [15]
• Angenommene Verringerung der Schwachstellen durch hohe Scanfrequenz: 71 % [16]
• Prozentsatz der Datenschutzverletzungen aufgrund von Anwendungsschwachstellen: 43 % [17]
• Durchschnittliche Kosten einer Datenschutzverletzung: 4.35 Millionen $ [6]
• Basiswahrscheinlichkeit einer Datenverletzung: 1.13 % [7]
• Wahrscheinlichkeit einer Datenschutzverletzung bei hoher Scanfrequenz: 0.79 % [18]

DevSecOps hat einige großartige unterstützende Untersuchungen zu den Kosten für die Behebung von Sicherheitslücken in verschiedenen Phasen der Entwicklung (Einheitentests, Integrationstests, Systemtests, Staging, Produktion usw.), sodass es nicht überraschend war, die dramatischen Unterschiede zwischen Links- und Rechtsverschiebungen zu sehen bei diesem Modell. Es gibt wirklich keine Entschuldigung dafür, im Jahr 2022 kein Champion zu sein DevSecOps – das gilt für alle Größen von Softwareentwicklungsorganisationen (diese Organisationen können Einheiten innerhalb größerer Organisationen sein).

Modell 3 – Robustes Onboarding und Offboarding von Mitarbeitern und Assets

Das Onboarding und Offboarding von Mitarbeitern und Vermögenswerten sind stark unterschätzte Sicherheitsworkflows. Richtig gemacht, bietet es die Möglichkeit, saubere Daten zu erstellen und eine strenge Kontrolle (EPDR, VPN, E-Mail-Sicherheit, festplattenverschlüsselt, von der Organisation kontrollierter Browser usw.) und Zugriffszustände beim Onboarding und Offboarding zu gewährleisten. Schlecht gemacht, schafft es zusätzliche Arbeit und überlässt die Dinge dem Zufall oder menschlichen manuellen Arbeitsabläufen. Es gibt viele Systeme, die dabei helfen, diese Prozesse auf Schienen zu bringen. Dieses Modell vergleicht ein Unternehmen mit perfektem Sicherheits-Onboarding und -Offboarding mit einem Unternehmen mit manuellen, fehleranfälligen Arbeitsabläufen.

Modellkosten:

• Kosten für die Einrichtung des Mitarbeiter-Onboarding-Tools = (Organisationsgröße) * (Organisationsfluktuationsrate) * (Zeit für manuelles IT-Onboarding in Minuten) * (1 Stunde / 60 Minuten) * (1 Woche / 40 Arbeitsstunden) * (1 Jahr / 52 Wochen) * (Durchschnittlicher Jahresmitarbeiter Kosten)
• Abrechenbar SOC Kosten = (Organisation SOC Größe) * (Durchschnitt jährlich SOC Analystenkosten) * (Anwendbare Effizienzgewinne)
• Erwarteter Wert der Verletzungskosten = (Durchschnittliche Kosten einer Datenschutzverletzung) * (Wahrscheinlichkeit einer Datenschutzverletzung)

Modellparameter:

• Organisationsgröße (konstant für ein Jahr): 10000 Mitarbeiter (Benutzer)
• Jährliche Fluktuationsrate der Organisation: 47.2 % [19]
• Durchschnittliche jährliche Personalkosten: $100,000
• Zeit für die manuelle Installation und Konfiguration von EPDR und VPN auf neuen Laptops: 20 Minuten [20]
• Organisation SOC Größe 3 FTE
• Durchschnittliches jährliches SOC Analystenkosten: $100,000
• SOC Effizienzgewinne durch klare Zuordnung von Eigentumsverhältnissen als Folge der Mitarbeiter- und Anlagenintegration: 10 % [21]
• Prozentsatz der Datenschutzverletzungen als Folge von Phishing: 16 % [22]
• Prozentsatz der Datenschutzverletzungen als Folge von unsachgemäßem Offboarding von Mitarbeitern: 10 % [23]
• Durchschnittliche Kosten einer Datenschutzverletzung: 4.35 Millionen $ [6]
• Basiswahrscheinlichkeit einer Datenverletzung: 1.13 % [7]
• Wahrscheinlichkeit von Datenschutzverletzungen mit garantiert korrekten Kontrollen auf jedem Mitarbeiter-Laptop und automatisiertem Offboarding: 0.85 % [24]

Menschen machen Fehler; Behalten Sie die sich wiederholenden Aufgaben bei Maschinen. Selbst wenn Sie davon ausgehen, dass bei einer Aufgabe wie dem Onboarding und Offboarding Menschen nur 5 % der Zeit Fehler machen, sind das in diesem Modell 472 Fehler, die das Onboarding und Offboarding all dieser Mitarbeiter berücksichtigen. Das ist eine Menge niedrig hängender Fruchtrisiken, die vom Tisch genommen werden müssen. Investieren Sie in ein robustes Tool, das dies für Ihr Unternehmen verwaltet, es wird sich auszahlen.

Schlussfolgerungen

Sicherheit ist ein kompliziertes Netz von Kompromissen, die Verschiebung der Sicherheit nach links ist nicht anders. Ich habe diese analytische Übung hauptsächlich untersucht, weil ich nicht glauben kann, dass ich immer noch Warnungen in freier Wildbahn sehe, die nur möglich sind, weil eine Organisation MFA nicht implementiert. Ich verstehe jedoch, die Grundlagen können eine Herausforderung sein, zwischen dem Kampf gegen alte IT-Schulden oder Bürokratie. Was auch immer Ihre Rolle ist, hoffentlich hat Ihnen dies neue Munition dafür gegeben, wie „Shift Left Security“ die Geschäftsergebnisse steigern und alle neuen Tools bezahlen kann, die allein aus der Wirtschaftlichkeit erforderlich sind.

Nun geh und iss dein Gemüse.