शिफ्ट लेफ्ट सिक्योरिटी का अर्थशास्त्र

By /

ब्रीच डिटेक्शन, साइबर सुरक्षा, डेटा ब्रीच, डेटा संग्रहण, आधार सामग्री भंडारण, सुरक्षा संचालन केंद्र (SOC), सुरक्षा प्रौद्योगिकी, SOC, SOCकम

शिफ्ट लेफ्ट सिक्योरिटी का अर्थशास्त्र

शिफ्ट लेफ्ट सिक्योरिटी का अर्थशास्त्रऐसा क्यों? कुंआ "बाएं सुरक्षा शिफ्ट करें" नया-ईश है, लेकिन इससे भी महत्वपूर्ण बात यह है कि यह कठिन है। यह अन्य मीठे प्रलोभनों के सामने लगातार सब्जियां खाने जैसा है। सुरक्षा विक्रेताओं का कहना है कि बाईं ओर शिफ्ट करने से तेजी से वितरण और कम लागत में मदद मिलती है, लेकिन मेरी राय में, इसे कभी भी सार्थक रूप से निर्धारित न करें। इस विश्लेषण में, मैं "शिफ्ट लेफ्ट सिक्योरिटी" पर डेटा के साथ चिकित्सकों को बांटने का प्रयास करने जा रहा हूं, जिसे बजट के प्रत्येक कार्यकारी और नियंत्रक समझेंगे - व्यावसायिक अर्थशास्त्र। यह व्यवसाय के परिणामों को चलाने के बारे में सुरक्षा को फ्रेम करने की आवश्यकता के एक महत्वपूर्ण व्यापक विषय में फिट बैठता है - अपने TAM को बढ़ाना, बिक्री चक्र में तेजी लाना, उत्पाद को तेजी से शिपिंग करना - न केवल जोखिम कम करने के अभ्यास के रूप में कार्य करना।

मॉडल 1 - पूरे संगठन में एमएफए लागू किया गया

सरल शुरुआत। अगर आप सोच रहे हैं "हर संगठन में हर जगह एमएफए सक्षम है", आपको एक रियलिटी चेक की आवश्यकता है। फिर भी, एक संगठन में तैनात एकल नियंत्रण के रूप में एमएफए एक महान सहज उदाहरण है। एमएफए को बाईं ओर शिफ्टिंग माना जाता है क्योंकि यह कई जोखिम भरे क्रेडेंशियल व्यवहारों को पहले स्थान पर संभव होने से रोकता है। यह मॉडल एक काल्पनिक संगठन की तुलना हर जगह ठीक से तैनात एमएफए के साथ करता है, बनाम वह जो केवल 1FA का उपयोग करता है।

  • SOC कर्मियों की लागत (केवल 1FA से संबंधित प्रति उपयोगकर्ता प्रति दिन लॉगिन अलर्ट) * (संगठन का आकार) * (औसत वार्षिक) SOC विश्लेषक लागत) / (प्रति विश्लेषक प्रति दिन छांटे गए अलर्ट)
  • SOC सॉफ्टवेयर लागत = (केवल 1FA से संबंधित प्रति उपयोगकर्ता प्रति दिन लॉगिन अलर्ट) * (संगठन का आकार) * (जांच में सहायता के लिए प्रति अलर्ट सॉफ़्टवेयर लागत) * (365 दिन)
  • उत्पादकता का डॉलर नुकसान = (प्रति उपयोगकर्ता प्रति दिन एमएफए की औसत संख्या) * (संगठन का आकार) * (सेकंड में एमएफए का समय) / (1 मिनट / 60 सेकंड) / (1 घंटा / 60 मिनट) / (1 दिन / 24 घंटे) * ( औसत वार्षिक कर्मचारी लागत)
  • उल्लंघन लागत का अपेक्षित मूल्य = (डेटा उल्लंघन की औसत लागत) * (डेटा उल्लंघन की संभावना)
  • संगठन का आकार: 10000 कर्मचारी (उपयोगकर्ता)
  • एमएफए का समय (गूगल प्रामाणिक या समकक्ष): 10 सेकंड [1]
  • प्रति उपयोगकर्ता प्रति दिन एमएफए की औसत संख्या: 1 [2]
  • औसत वार्षिक कर्मचारी लागत: $100,000
  • केवल 1FA से संबंधित प्रति उपयोगकर्ता प्रति दिन लॉगिन अलर्ट (विसंगत पहुंच, पासवर्ड साझाकरण, आदि): 0.01 [3]
  • प्रति विश्लेषक प्रति दिन चेतावनियाँ: 100 [4]
  • औसत वार्षिक SOC विश्लेषक लागत: $100,000
  • जांच में सहायता के लिए प्रति अलर्ट सॉफ़्टवेयर लागत: $0.10 [5]
  • चोरी या समझौता किए गए क्रेडेंशियल्स के परिणामस्वरूप डेटा उल्लंघनों का प्रतिशत: ९२% [२०१५]
  • डेटा उल्लंघन की औसत लागत: $4.35 मिलियन [7]
  • डेटा उल्लंघन की आधार संभावना: ९२% [२०१५]
  • एमएफए के साथ डेटा उल्लंघन की संभावना: ९२% [२०१५]

मॉडल 2 — DevSecOps ठीक से निष्पादित

देवसेकऑप्स संभवतः सबसे अच्छी तरह से विकसित श्रेणी है "बाएं सुरक्षा शिफ्ट करें", और एप्लिकेशन पर केंद्रित कई बेहतरीन टूल हैं या अवसंरचना सुरक्षा परिक्षण। यहां बढ़िया टूलींग बिना किसी घर्षण के डेवलपर वर्कफ़्लो में एम्बेडेड टूलिंग जैसा दिखता है। खराब, या सुरक्षा को दाईं ओर रखा गया है, ऐसा लगता है कि सुरक्षा टीम विकास से अलग हो गई है और चीजों को उत्पादन में भेज दिए जाने के बाद सुरक्षा मुद्दों को ढूंढ रही है। यह मॉडल सॉफ्टवेयर विकास करने वाले संगठन की तुलना करता है देवसेकऑप्स पूरी तरह से तैनात, बनाम एक जो पूरी तरह प्रतिक्रियाशील दृष्टिकोण लेता है सॉफ्टवेयर सुरक्षा.

  • डेवलपर लागत (संगठन द्वारा विकसित विशिष्ट उत्पादन अनुप्रयोग) * (प्रति उत्पादन अनुप्रयोग में कमजोरियों की औसत संख्या) * (घंटों में भेद्यता को दूर करने के लिए औसत विकास घंटे) * (1 वर्ष / 52 सप्ताह) * (1 सप्ताह / 40 घंटे काम किया गया) * (औसत वार्षिक डेवलपर लागत)
  • सुरक्षा विश्लेषक लागत = (संगठन द्वारा विकसित विशिष्ट उत्पादन अनुप्रयोग) * (प्रति उत्पादन अनुप्रयोग में कमजोरियों की औसत संख्या) * (औसत सुरक्षा टीम घंटे में उत्पादन में मिली भेद्यता को दूर करने के लिए घंटे) * (1 वर्ष / 52 सप्ताह) * (1 सप्ताह / 40 घंटे काम किया) * (औसत वार्षिक सुरक्षा विश्लेषक लागत)
  • उल्लंघन लागत का अपेक्षित मूल्य = (डेटा उल्लंघन की औसत लागत) * (डेटा उल्लंघन की संभावना)
  • संगठन द्वारा विकसित विशिष्ट उत्पादन अनुप्रयोग: 17 [10]
  • प्रति उत्पादन अनुप्रयोग में कमजोरियों की औसत संख्या: 30.59 [11]
  • विकास में पाई गई प्रत्येक भेद्यता को दूर करने के लिए औसत विकास घंटे: 3.61 घंटे [12]
  • उत्पादन में पाई गई प्रत्येक भेद्यता को दूर करने के लिए औसत विकास घंटे: 10.71 घंटे [13]
  • औसत वार्षिक डेवलपर लागत: $150,000
  • उत्पादन में पाई गई प्रत्येक भेद्यता को दूर करने के लिए औसत सुरक्षा टीम के घंटे: 3.10 [14]
  • औसत वार्षिक सुरक्षा विश्लेषक लागत: $100,000
  • कमजोरियों को दूर करने के लिए औसत औसत समय - कम स्कैन आवृत्ति - प्रति दिन 1-12 स्कैन (शिफ्ट राइट सिक्योरिटी): 217 दिन [15]
  • कमजोरियों को दूर करने के लिए औसत औसत समय - उच्च स्कैन आवृत्ति - प्रति दिन 260+ स्कैन (बाएं सुरक्षा शिफ्ट करें): 62 दिन [15]
  • उच्च स्कैन फ़्रीक्वेंसी द्वारा भेद्यता में अनुमानित कमी: ९२% [२०१५]
  • एप्लिकेशन भेद्यता के परिणामस्वरूप डेटा उल्लंघनों का प्रतिशत: ९२% [२०१५]
  • डेटा उल्लंघन की औसत लागत: $4.35 मिलियन [6]
  • डेटा उल्लंघन की आधार संभावना: ९२% [२०१५]
  • उच्च स्कैन आवृत्ति के साथ डेटा उल्लंघन की संभावना: ९२% [२०१५]

मॉडल 3 - मजबूत कर्मचारी और एसेट ऑनबोर्डिंग और ऑफबोर्डिंग

कर्मचारियों और संपत्तियों की ऑनबोर्डिंग और ऑफबोर्डिंग बेहद कम सुरक्षा वाले वर्कफ़्लो हैं। सही किया, यह स्वच्छ डेटा बनाने और सख्त नियंत्रण (ईपीडीआर, वीपीएन, ईमेल सुरक्षा, डिस्क एन्क्रिप्टेड, संगठन द्वारा नियंत्रित ब्राउज़र, आदि) की गारंटी और ऑनबोर्डिंग और ऑफबोर्डिंग समय पर राज्यों तक पहुंचने का अवसर प्रदान करता है। खराब तरीके से किया गया, यह अतिरिक्त काम बनाता है और चीजों को मौका या मानव मैनुअल वर्कफ़्लो पर छोड़ देता है। वहाँ बहुत सारी प्रणालियाँ हैं जो इन प्रक्रियाओं पर रेल लगाने में मदद करती हैं। यह मॉडल एक संगठन की तुलना पूर्ण सुरक्षा ऑनबोर्डिंग और ऑफबोर्डिंग के साथ करता है, बनाम एक मैनुअल, त्रुटि प्रवण वर्कफ़्लो के साथ।

  • कर्मचारी ऑनबोर्डिंग टूल सेटअप समय लागत (संगठन का आकार) * (संगठन टर्नओवर दर) * (मिनटों में आईटी को मैन्युअल रूप से ऑनबोर्ड करने का समय) * (1 घंटा / 60 मिनट) * (1 सप्ताह / 40 कार्य घंटे) * (1 वर्ष / 52 सप्ताह) * (औसत वार्षिक कर्मचारी लागत)
  • बिल योग्य SOC लागत (संगठन SOC आकार) * (औसत वार्षिक SOC विश्लेषक लागत) * (लागू दक्षताएँ)
  • उल्लंघन लागत का अपेक्षित मूल्य = (डेटा उल्लंघन की औसत लागत) * (डेटा उल्लंघन की संभावना)
  • संगठन का आकार (एक वर्ष के लिए स्थिर): 10000 कर्मचारी (उपयोगकर्ता)
  • वार्षिक संगठन कारोबार दर: ९२% [२०१५]
  • औसत वार्षिक कर्मचारी लागत: $100,000
  • नए लैपटॉप पर ईपीडीआर और वीपीएन को मैन्युअल रूप से स्थापित और कॉन्फ़िगर करने का समय: 20 मिनट [20]
  • संगठन" SOC आकार: 3 FTE
  • औसत वार्षिक SOC विश्लेषक लागत: $100,000
  • SOC कर्मचारी और परिसंपत्ति ऑनबोर्डिंग के परिणामस्वरूप, "किसका क्या स्वामित्व है" की स्पष्ट मैपिंग से दक्षता में वृद्धि: ९२% [२०१५]
  • फ़िशिंग के परिणामस्वरूप डेटा उल्लंघनों का प्रतिशत: ९२% [२०१५]
  • अनुचित कर्मचारी ऑफबोर्डिंग के परिणामस्वरूप डेटा उल्लंघनों का प्रतिशत: ९२% [२०१५]
  • डेटा उल्लंघन की औसत लागत: $4.35 मिलियन [6]
  • डेटा उल्लंघन की आधार संभावना: ९२% [२०१५]
  • प्रत्येक कर्मचारी लैपटॉप और स्वचालित ऑफबोर्डिंग पर गारंटीकृत सही नियंत्रण के साथ डेटा उल्लंघन की संभावना: ९२% [२०१५]

निष्कर्ष

सुरक्षा ट्रेडऑफ़ का एक जटिल वेब है, सुरक्षा को बाईं ओर स्थानांतरित करना अलग नहीं है। मैंने ज्यादातर इस विश्लेषणात्मक अभ्यास की खोज की क्योंकि मुझे विश्वास नहीं हो रहा है कि मैं अभी भी जंगली में अलर्ट देख रहा हूं क्योंकि कोई संगठन एमएफए लागू नहीं कर रहा है। मुझे यह समझ में आता है, मूल बातें चुनौतीपूर्ण हो सकती हैं, विरासत आईटी ऋण या नौकरशाही से जूझने के बीच। आपकी भूमिका जो भी हो, उम्मीद है कि इसने आपको कुछ नया गोला-बारूद दिया है कि कैसे "शिफ्ट लेफ्ट सिक्योरिटी" व्यावसायिक परिणाम चला सकता है और अकेले अर्थशास्त्र से आवश्यक किसी भी नए टूलिंग के लिए भुगतान कर सकता है।

संबंधित पोस्ट

स्टेलर साइबर की डेटा पाइपलाइन के अंदर: बेहतर सुरक्षा के पीछे छिपा इंजन

स्टेलर साइबर की डेटा पाइपलाइन के अंदर: बेहतर सुरक्षा के पीछे छिपा इंजन

एआई द्वारा संचालित सुरक्षा, साइबर सुरक्षा, आईटी प्रौद्योगिकी, एमएसएसपी, नेटवर्क सुरक्षा, Open XDR, Open XDR मंच / द्वारा
ऊपर स्क्रॉल करें
न्यूज़लेटर्स के लिए साइन अप करें