Economía de la seguridad de cambio a la izquierda

He trabajado con docenas de SecOps y Detección y respuesta equipos en los últimos años y me ha quedado muy claro lo importante que es solucionar tantos problemas de seguridad como sea posible río arriba. O como se le conoce más comúnmente, "Desplazar seguridad a la izquierda". En términos generales, veo tres campamentos en "Desplazar seguridad a la izquierda" — 1) no lo entiendo, 2) lo entiendo, no ejecutándolo, 3) lo entiendo, ejecutándolo. Es posible que esté en ese tercer campo y piense que cambiar a la izquierda es obvio y de conocimiento común. Permítanme recordarles humildemente que el mundo es enorme y que la organización promedio es lamentablemente inmadura en materia de seguridad. Dicho de otra manera, los campamentos uno y dos combinados superan ampliamente en número al campamento tres.

¿Porqué es eso? Bien "Desplazar seguridad a la izquierda" es nuevo, pero lo más importante es que es difícil. Es como comer verduras constantemente frente a otras tentaciones azucaradas. Todos los proveedores de seguridad dicen que el desplazamiento a la izquierda permite una entrega más rápida y costos más bajos, pero en mi opinión, nunca lo cuantifican de manera significativa. En este análisis, intentaré armar a los profesionales con datos sobre "Shift Left Security" que todo ejecutivo y controlador de presupuesto entenderá: economía empresarial. Esto encaja en un tema importante más amplio de la necesidad de enmarcar la seguridad para impulsar los resultados comerciales: hacer crecer su TAM, acelerar los ciclos de ventas, enviar productos más rápido, no solo actuar como un ejercicio de reducción de riesgos.

En primer lugar, una definición a nivel de conjunto. Que hacer "Desplazar seguridad a la izquierda" significa mover la seguridad al principio y con frecuencia en el ciclo de vida de desarrollo de la organización, que yo definiría como un superconjunto del ciclo de vida de desarrollo de software habitual. Esto incluye todo lo relacionado con empleados, proveedores, controles de seguridad y huella digital de una organización. Los problemas de seguridad que se previenen o se descubren antes, antes de que se propaguen por toda la organización, son más fáciles y económicos de implementar.

Ahora para el análisis. En mi opinión, este tema es demasiado complicado para hacer un análisis de alto nivel y afirmar algo como “cambiar a la izquierda te hace un 10 % más rápido y te ahorra un 30 %”, Hay demasiadas variables. Mi enfoque será modelar microejemplos muy específicos de una organización hipotética que se desplaza a la izquierda, y ver qué se puede aprender de eso.

En los parámetros de los modelos a continuación, hay algunas estimaciones muy aproximadas (o incluso estimaciones completas en algunos lugares) que intento reunir cuando los datos disponibles son deficientes. ¡Lea las fuentes de mi comentario y avíseme si conoce una investigación más confiable! Además, las "violaciones de datos" no son la única forma de eventos cibernéticos de los que preocuparse, me ancle en ellos porque existe una investigación sólida sobre los costos en comparación con los efectos más nebulosos de la marca, la confianza, etc.

Modelo 1: MFA implementado en toda la organización

Empezando sencillo. si estas pensando "todas las organizaciones tienen MFA habilitado en todas partes", necesitas un control de la realidad. Sin embargo, MFA como control único implementado en una organización es un gran ejemplo intuitivo. Se considera que MFA se desplaza hacia la izquierda porque, en primer lugar, evita que muchos comportamientos de credenciales riesgosos sean posibles. Este modelo compara una organización hipotética con MFA implementada en todas partes correctamente, versus una que solo usa 1FA.

Costos del modelo:

• SOC Gastos de personal = (Alertas de inicio de sesión por usuario por día relacionadas únicamente con 1FA) * (Tamaño de la organización) * (Promedio anual) SOC Costo del analista) / (Alertas clasificadas por analista por día)
• SOC Costos de software = (Alertas de inicio de sesión por usuario por día relacionadas solo con 1FA) * (Tamaño de la organización) * (Costo de software por alerta para ayudar en la investigación) * (365 días)
• Pérdida de productividad en dólares = (Número promedio de MFA por día por usuario) * (Tamaño de la organización) * (Tiempo para MFA en segundos) / (1 minuto / 60 segundos) / (1 hora / 60 minutos) / (1 día / 24 horas) * ( Costo promedio anual de empleados)
• Valor esperado del costo de incumplimiento = (Costo promedio de la filtración de datos) * (Probabilidad de filtración de datos)

Parámetros del modelo:

• Tamaño de la organización: 10000 Empleados (Usuarios)
• Tiempo para MFA (Google Auth o equivalente): 10 segundos [1]
• Número promedio de MFA por día por usuario: 1 [2]
• Costo promedio anual de empleados: $100,000
• Alertas de inicio de sesión por usuario por día relacionadas solo con 1FA (acceso anómalo, uso compartido de contraseñas, etc.): 0.01 [3]
• Alertas clasificadas por analista por día: 100 [4]
• Promedio anual SOC Costo del analista: $100,000
• Costo por software de alerta para ayudar en la investigación: $0.10 [5]
• Porcentaje de violaciones de datos como resultado de credenciales robadas o comprometidas: 19% [6]
• Costo promedio de la violación de datos: $ 4.35 millones [7]
• Probabilidad base de violación de datos: 1.13% [8]
• Probabilidad de violación de datos con MFA: 0.92% [9]

Honestamente, me sorprendió un poco cuánto sumó la fricción del MFA tradicional en términos de dólares de este análisis. Razón de más para adoptar soluciones MFA invisibles.

Modelo 2: DevSecOps correctamente ejecutado

DevSecOps es probablemente la categoría mejor desarrollada de "Desplazar seguridad a la izquierda", y hay una serie de excelentes herramientas centradas en la aplicación o seguridad de la infraestructura pruebas. Genial aquí se ve como herramientas integradas en el flujo de trabajo del desarrollador sin fricción. Bad, o la seguridad se mantiene a la derecha, parece un equipo de seguridad desconectado del desarrollo y que encuentra problemas de seguridad después de que las cosas se han enviado a producción. Este modelo compara una organización que desarrolla software con DevSecOps desplegado al máximo, frente a uno que adopta un enfoque puramente reactivo para seguridad de software.

Costos del modelo:

• Costos del desarrollador = (Distintas aplicaciones de producción desarrolladas por organización) * (Número promedio de vulnerabilidades por aplicación de producción) * (Promedio de horas de desarrollo para remediar la vulnerabilidad en horas) * (1 año / 52 semanas) * (1 semana / 40 horas trabajadas) * (Promedio anual Costo del desarrollador)
• Costos del analista de seguridad = (Distintas aplicaciones de producción desarrolladas por organización) * (Número promedio de vulnerabilidades por aplicación de producción) * (Promedio de horas del equipo de seguridad para remediar la vulnerabilidad encontrada en producción en horas) * (1 año / 52 semanas) * (1 semana / 40 horas trabajadas) * (Costo promedio anual del analista de seguridad)
• Valor esperado del costo de incumplimiento = (Costo promedio de la filtración de datos) * (Probabilidad de filtración de datos)

Parámetros del modelo:

• Aplicaciones de producción distintas desarrolladas por la organización: 17 [10]
• Número promedio de vulnerabilidades por aplicación de producción: 30.59 [11]
• Horas promedio de desarrollo para remediar cada vulnerabilidad encontrada en el desarrollo: 3.61 horas [12]
• Horas promedio de desarrollo para remediar cada vulnerabilidad encontrada en producción: 10.71 horas [13]
• Costo promedio anual de desarrollador: $150,000
• Horas promedio del equipo de seguridad para remediar cada vulnerabilidad encontrada en producción: 3.10 [14]
• Costo promedio anual del analista de seguridad: $100,000
• Tiempo promedio promedio para remediar vulnerabilidades: baja frecuencia de exploración: 1 a 12 exploraciones por día (desplazamiento a la derecha de seguridad): 217 días [15]
• Tiempo promedio promedio para remediar vulnerabilidades: alta frecuencia de escaneo, más de 260 escaneos por día (desplazamiento a la izquierda, seguridad): 62 días [15]
• Supuesta reducción de vulnerabilidades por alta frecuencia de exploración: 71% [16]
• Porcentaje de filtraciones de datos como resultado de vulnerabilidades de aplicaciones: 43% [17]
• Costo promedio de la violación de datos: $ 4.35 millones [6]
• Probabilidad base de violación de datos: 1.13% [7]
• Probabilidad de violación de datos con alta frecuencia de escaneo: 0.79% [18]

DevSecOps tiene una excelente investigación de apoyo sobre el costo de corregir fallas de seguridad en diferentes etapas de desarrollo (pruebas unitarias, pruebas de integración, pruebas de sistema, puesta en escena, producción, etc.), por lo que no fue sorprendente ver las diferencias dramáticas de cambiar a la izquierda versus a la derecha. en este modelo Realmente no hay excusa en 2022 para no ser campeón de DevSecOps — eso se aplica a organizaciones de desarrollo de software de todos los tamaños (estas organizaciones pueden ser unidades dentro de organizaciones más amplias).

Modelo 3 — Incorporación y desvinculación robusta de empleados y activos

La incorporación y baja de empleados y activos son flujos de trabajo de seguridad enormemente subestimados. Bien hecho, ofrece la oportunidad de crear datos limpios y garantizar un control estricto (EPDR, VPN, Email Security, disco cifrado, navegador controlado por la organización, etc.) y estados de acceso en el momento de la incorporación y la finalización. Si se hace mal, crea trabajo extra y deja las cosas al azar o a los flujos de trabajo manuales humanos. Existen muchos sistemas que ayudan a controlar estos procesos. Este modelo compara una organización con incorporación y desvinculación de seguridad perfecta, versus una con flujos de trabajo manuales y propensos a errores.

Costos del modelo:

• Costos de tiempo de configuración de la herramienta de incorporación de empleados = (Tamaño de la organización) * (Tasa de rotación de la organización) * (Tiempo para incorporar manualmente TI en minutos) * (1 hora / 60 minutos) * (1 semana / 40 horas de trabajo) * (1 año / 52 semanas) * (Empleado anual promedio) Costo)
• Facturable SOC Costes = (Organización SOC Tamaño) * (Promedio anual SOC Costo del analista) * (Eficiencias aplicables)
• Valor esperado del costo de incumplimiento = (Costo promedio de la filtración de datos) * (Probabilidad de filtración de datos)

Parámetros del modelo:

• Tamaño de la organización (constante durante un año): 10000 Empleados (Usuarios)
• Tasa de rotación anual de la organización: 47.2% [19]
• Costo promedio anual de empleados: $100,000
• Es hora de instalar y configurar manualmente EPDR y VPN en nuevas computadoras portátiles: 20 minutos [20]
• Organización SOC Tamaño: 3 FTE
• Promedio anual SOC Costo del analista: $100,000
• SOC Mejoras en la eficiencia gracias a un mapeo claro de "quién posee qué", como resultado de la incorporación de empleados y activos: 10% [21]
• Porcentaje de violaciones de datos como resultado de phishing: 16% [22]
• Porcentaje de filtraciones de datos como resultado de la baja inadecuada de empleados: 10% [23]
• Costo promedio de la violación de datos: $ 4.35 millones [6]
• Probabilidad base de violación de datos: 1.13% [7]
• Probabilidad de violación de datos con controles correctos garantizados en todas las computadoras portátiles de los empleados y eliminación automatizada: 0.85% [24]

Los humanos cometemos errores; mantener las tareas repetitivas a las máquinas. Incluso si asume que en una tarea como la incorporación y el despido, los humanos solo cometen errores el 5 % de las veces, son 472 errores en este modelo que representan todos los empleados que se incorporan y desvinculan. Ese es un gran riesgo de fruta al alcance de la mano para quitar de la mesa. Invierta en una herramienta robusta que gestione esto para su organización, se pagará sola.

Conclusiones

La seguridad es una red complicada de compensaciones, cambiar la seguridad a la izquierda no es diferente. Exploré principalmente este ejercicio analítico porque no puedo creer que siga viendo alertas en la naturaleza solo posible porque una organización no está implementando MFA. Sin embargo, lo entiendo, lo básico puede ser un desafío, entre luchar contra la deuda de TI heredada o la burocracia. Cualquiera que sea su función, es de esperar que esto le haya dado nuevas municiones sobre cómo "Shift Left Security" puede impulsar los resultados comerciales y pagar cualquier herramienta nueva requerida solo desde la economía.

Ahora ve y come tus vegetales.