Ekonomi Keamanan Bergeser ke Kiri

Saya telah bekerja dengan puluhan Operasi Detik dan Deteksi dan Respon tim selama beberapa tahun terakhir dan menjadi sangat jelas bagi saya betapa pentingnya memperbaiki sebanyak mungkin masalah keamanan ke huluAtau lebih dikenal dengan nama “Geser Keamanan Kiri”Secara garis besar, saya melihat tiga kubu “Geser Keamanan Kiri” — 1) tidak memahaminya, 2) memahaminya, tidak menjalankannya, 3) memahaminya, menjalankannya. Anda mungkin berada di kubu ketiga dan berpikir bahwa bergeser ke kiri adalah pengetahuan yang jelas dan umum. Izinkan saya dengan rendah hati mengingatkan Anda bahwa dunia di luar sana sangat luas, dan organisasi rata-rata sangat tidak dewasa dalam hal keamanan. Dengan kata lain, gabungan kubu satu dan dua jauh lebih banyak daripada kubu tiga.

Kenapa begitu? Baiklah “Geser Keamanan Kiri” memang baru, tetapi yang lebih penting lagi, ini sulit. Ini seperti terus-menerus makan sayur saat menghadapi godaan gula lainnya. Semua vendor keamanan mengatakan bahwa menggeser ke kiri memungkinkan pengiriman lebih cepat dan biaya lebih rendah, tetapi menurut saya, tidak pernah mengukurnya secara bermakna. Dalam analisis ini, saya akan mencoba mempersenjatai praktisi dengan data tentang “Shift Left Security” yang dapat dipahami oleh setiap eksekutif dan pengawas anggaran — ekonomi bisnis. Hal ini sesuai dengan tema yang lebih luas dan penting mengenai perlunya membingkai keamanan tentang mendorong hasil bisnis — mengembangkan TAM, mempercepat siklus penjualan, mengirimkan produk lebih cepat — bukan sekadar bertindak sebagai latihan pengurangan risiko.

Pertama, definisi untuk set level. Untuk melakukan “Geser Keamanan Kiri” berarti meningkatkan keamanan lebih awal dan sering dalam Siklus Hidup Pengembangan Organisasi, yang saya definisikan sebagai superset dari Siklus Hidup Pengembangan Perangkat Lunak yang biasa. Ini mencakup segala hal yang berkaitan dengan karyawan, vendor, kontrol keamanan, dan jejak digital suatu organisasi. Masalah keamanan yang dicegah atau ditemukan lebih awal, sebelum menyebar ke seluruh organisasi, lebih mudah dan murah untuk diterapkan.

Sekarang untuk analisisnya. Menurut pendapat saya, subjek ini terlalu rumit untuk melakukan analisis tingkat tinggi dan mengklaim sesuatu seperti “Berpindah ke kiri membuat Anda 10% lebih cepat dan menghemat 30%”, ada terlalu banyak variabel. Pendekatan saya akan memodelkan contoh-contoh mikro yang sangat spesifik dari organisasi hipotetis yang bergeser ke kiri, dan melihat apa yang dapat dipelajari darinya.

Mengenai parameter dalam model di bawah ini — ada beberapa estimasi yang sangat kasar (atau bahkan perkiraan yang lengkap di beberapa tempat) yang saya coba kumpulkan ketika data yang tersedia kurang memadai. Baca sumber untuk komentar saya, dan beri tahu saya jika Anda mengetahui penelitian yang lebih dapat dipercaya! Selain itu, "Pelanggaran Data" bukanlah satu-satunya bentuk peristiwa dunia maya yang perlu dikhawatirkan, saya mengandalkannya karena ada penelitian yang solid seputar biaya dibandingkan dengan efek yang lebih samar dari merek, kepercayaan, dll.

Model 1 — MFA Diterapkan di Seluruh Organisasi

Mulailah dengan sederhana. Jika Anda berpikir “setiap organisasi memiliki MFA yang diaktifkan di mana-mana”, Anda perlu memeriksa kenyataan. Meskipun demikian, MFA sebagai kontrol tunggal yang diterapkan di seluruh organisasi adalah contoh intuitif yang hebat. MFA dianggap bergeser ke kiri karena mencegah banyak perilaku kredensial yang berisiko terjadi sejak awal. Model ini membandingkan organisasi hipotetis dengan MFA yang diterapkan di mana-mana dengan benar, versus organisasi yang hanya menggunakan 1FA.

Biaya Model:

• SOC Biaya Personil = (Peringatan Login Per Pengguna Per Hari Terkait dengan 1FA Saja) * (Ukuran Organisasi) * (Rata-rata Tahunan) SOC (Biaya Analis) / (Peringatan yang Diprioritaskan Per Analis Per Hari)
• SOC Biaya Perangkat Lunak = (Peringatan Masuk Per Pengguna Per Hari Hanya Terkait dengan 1FA) * (Ukuran Organisasi) * (Biaya Per Perangkat Lunak Peringatan Untuk Membantu Investigasi) * (365 Hari)
• Kerugian Produktivitas Dolar = (Rata-rata Jumlah MFA Per Hari Per Pengguna) * (Ukuran Organisasi) * (Waktu Untuk MFA Dalam Detik) / (1 Menit / 60 Detik) / (1 Jam / 60 Menit) / (1 Hari / 24 Jam) * (Rata-rata Biaya Karyawan Tahunan)
• Nilai Harapan Biaya Pelanggaran = (Biaya Rata-rata Pelanggaran Data) * (Kemungkinan Pelanggaran Data)

Parameter Model:

• Ukuran Organisasi: 10000 Karyawan (Pengguna)
• Waktu Untuk MFA (Google Auth Atau Setara): 10 Detik [1]
• Jumlah Rata-rata MFA Per Hari Per Pengguna: 1 [2]
• Biaya Karyawan Tahunan Rata-rata: $100,000
• Peringatan Login Per Pengguna Per Hari Terkait dengan 1FA Saja (Akses Anomali, Pembagian Kata Sandi, dll.): 0.01 [3]
• Peringatan yang Diseleksi Per Analis Per Hari: 100 [4]
• Rata rata tahunan SOC Biaya Analis: $100,000
• Biaya Per Perangkat Lunak Peringatan Untuk Membantu Investigasi: $0.10 [5]
• Persentase Pelanggaran Data Akibat Pencurian atau Pelanggaran Data Pribadi: 19% [6]
• Rata-rata Biaya Pelanggaran Data: $4.35 juta [7]
• Kemungkinan Dasar Pelanggaran Data: 1.13% [8]
• Kemungkinan Pelanggaran Data Dengan MFA: 0.92% [9]

Sejujurnya saya agak terkejut melihat betapa besarnya gesekan MFA tradisional yang bertambah dalam hal dolar dari analisis ini. Semakin banyak alasan untuk mengadopsi solusi MFA yang tidak terlihat.

Model 2 — DevSecOps Dieksekusi dengan Benar

DevSecOps mungkin merupakan kategori yang paling berkembang dengan baik “Geser Keamanan Kiri”, dan ada sejumlah alat hebat yang difokuskan pada aplikasi atau keamanan infrastruktur pengujian. Bagus di sini terlihat seperti perkakas yang tertanam dalam alur kerja pengembang tanpa gesekan. Buruk, atau keamanan tetap terjaga, terlihat seperti tim keamanan yang terputus dari pengembangan dan menemukan masalah keamanan setelah semuanya dikirim ke produksi. Model ini membandingkan organisasi yang melakukan pengembangan perangkat lunak dengan DevSecOps dikerahkan secara maksimal, dibandingkan dengan pendekatan yang hanya bersifat reaktif keamanan perangkat lunak.

Biaya Model:

• Biaya Pengembang = (Aplikasi Produksi Berbeda yang Dikembangkan oleh Organisasi) * (Jumlah Rata-rata Kerentanan Per Aplikasi Produksi) * (Rata-rata Jam Pengembangan untuk Memperbaiki Kerentanan dalam Jam) * (1 Tahun / 52 Minggu) * (1 Minggu / 40 Jam Kerja) * (Rata-rata Biaya Pengembang Tahunan)
• Biaya Analis Keamanan = (Aplikasi Produksi Berbeda yang Dikembangkan oleh Organisasi) * (Rata-rata Jumlah Kerentanan Per Aplikasi Produksi) * (Rata-rata Jam Kerja Tim Keamanan untuk Memperbaiki Kerentanan yang Ditemukan dalam Produksi dalam Jam) * (1 Tahun / 52 Minggu) * (1 Minggu / 40 Jam Kerja) * (Rata-rata Biaya Analis Keamanan Tahunan)
• Nilai Harapan Biaya Pelanggaran = (Biaya Rata-rata Pelanggaran Data) * (Kemungkinan Pelanggaran Data)

Parameter Model:

• Aplikasi Produksi Berbeda yang Dikembangkan Oleh Organisasi: 17 [10]
• Jumlah Rata-rata Kerentanan Per Aplikasi Produksi: 30.59 [11]
• Rata-rata Jam Pengembangan Untuk Memperbaiki Setiap Kerentanan Yang Ditemukan Dalam Pengembangan: 3.61 Jam [12]
• Rata-rata Jam Pengembangan Untuk Memperbaiki Setiap Kerentanan Yang Ditemukan Dalam Produksi: 10.71 Jam [13]
• Biaya Pengembang Tahunan Rata-rata: $150,000
• Rata-rata Jam Kerja Tim Keamanan Untuk Memperbaiki Setiap Kerentanan Yang Ditemukan Dalam Produksi: 3.10 [14]
• Biaya Analis Keamanan Rata-rata Tahunan: $100,000
• Rata-rata Waktu Rata-rata untuk Memperbaiki Kerentanan — Frekuensi Pemindaian Rendah — 1–12 Pemindaian Per Hari (Shift Right Security): 217 Hari [15]
• Rata-rata Waktu Rata-rata untuk Memperbaiki Kerentanan — Frekuensi Pemindaian Tinggi — 260+ Pemindaian Per Hari (Shift Left Security): 62 Hari [15]
• Asumsi Pengurangan Kerentanan Melalui Frekuensi Pemindaian Tinggi: 71% [16]
• Persentase Pelanggaran Data Akibat Kerentanan Aplikasi: 43% [17]
• Rata-rata Biaya Pelanggaran Data: $4.35 juta [6]
• Kemungkinan Dasar Pelanggaran Data: 1.13% [7]
• Kemungkinan Pelanggaran Data dengan Frekuensi Pemindaian Tinggi: 0.79% [18]

DevSecOps memiliki beberapa penelitian pendukung hebat seputar biaya untuk memperbaiki kelemahan keamanan pada berbagai tahap pengembangan (pengujian unit, pengujian integrasi, pengujian sistem, pementasan, produksi, dll.), jadi tidak mengherankan melihat perbedaan dramatis dari pergeseran ke kiri versus kanan dalam model ini. Tidak ada alasan di tahun 2022 untuk tidak menjadi juara DevSecOps — yang berlaku untuk semua ukuran organisasi pengembangan perangkat lunak (organisasi ini dapat berupa unit dalam organisasi yang lebih luas).

Model 3 — Onboarding dan Offboarding Karyawan dan Aset yang Kuat

Proses Orientasi dan pelepasan karyawan dan aset merupakan alur kerja keamanan yang sangat diremehkan. Jika dilakukan dengan benar, proses ini menawarkan peluang untuk membuat data yang bersih dan menjamin kontrol yang ketat (EPDR, VPN, Keamanan Email, disk terenkripsi, browser dikontrol oleh organisasi, dll.) dan status akses pada waktu Orientasi dan Pelepasan. Jika dilakukan dengan buruk, proses ini menciptakan pekerjaan tambahan dan membiarkan semuanya berjalan secara kebetulan atau alur kerja manual manusia. Ada banyak sistem di luar sana yang membantu mengatur proses ini. Model ini membandingkan organisasi dengan proses Orientasi dan Pelepasan keamanan yang sempurna, dengan organisasi dengan alur kerja manual yang rawan kesalahan.

Biaya Model:

• Waktu Biaya Penyiapan Alat Orientasi Karyawan = (Ukuran Organisasi) * (Tingkat Perputaran Organisasi) * (Waktu Untuk Melakukan Onboarding TI Secara Manual Dalam Menit) * (1 Jam / 60 Menit) * (1 Minggu / 40 Jam Kerja) * (1 Tahun / 52 Minggu) * (Biaya Karyawan Tahunan Rata-rata)
• Dapat ditagih SOC Biaya = (Organisasi SOC Ukuran) * (Rata-rata Tahunan) SOC Biaya Analis) * (Efisiensi yang Berlaku)
• Nilai Harapan Biaya Pelanggaran = (Biaya Rata-rata Pelanggaran Data) * (Kemungkinan Pelanggaran Data)

Parameter Model:

• Ukuran Organisasi (Konstan Selama Setahun): 10000 Karyawan (Pengguna)
• Tingkat Pergantian Organisasi Tahunan: 47.2% [19]
• Biaya Karyawan Tahunan Rata-rata: $100,000
• Saatnya Menginstal dan Mengonfigurasi EPDR dan VPN Secara Manual di Laptop Baru: 20 Menit [20]
• Organisasi SOC Ukuran: 3 FTE
• Rata rata tahunan SOC Biaya Analis: $100,000
• SOC Peningkatan Efisiensi yang Diperoleh dari Pemetaan yang Jelas tentang “Siapa yang Memiliki Apa”, Sebagai Hasil dari Proses Pengaktifan Karyawan dan Aset: 10% [21]
• Persentase Pelanggaran Data Akibat Phishing: 16% [22]
• Persentase Pelanggaran Data Akibat Pemberhentian Karyawan yang Tidak Tepat: 10% [23]
• Rata-rata Biaya Pelanggaran Data: $4.35 juta [6]
• Kemungkinan Dasar Pelanggaran Data: 1.13% [7]
• Kemungkinan Pelanggaran Data Dengan Kontrol yang Dijamin Benar pada Setiap Laptop Karyawan, dan Offboarding Otomatis: 0.85% [24]

Manusia membuat kesalahan; serahkan tugas-tugas yang berulang-ulang kepada mesin. Bahkan jika Anda berasumsi dalam tugas seperti orientasi dan pemberhentian manusia hanya membuat kesalahan 5% dari waktu, itu berarti 472 kesalahan dalam model ini yang mencakup semua karyawan yang melakukan orientasi dan pemberhentian. Itu adalah risiko yang sangat kecil untuk disingkirkan. Berinvestasilah pada alat yang kuat yang mengelola hal ini untuk organisasi Anda, itu akan menguntungkan Anda.

Kesimpulan

Keamanan adalah jaringan rumit yang penuh dengan berbagai pilihan, menggeser keamanan ke kiri juga tidak berbeda. Saya kebanyakan mengeksplorasi latihan analitis ini karena saya tidak percaya saya masih melihat peringatan di alam liar yang hanya mungkin terjadi karena suatu organisasi tidak menerapkan MFA. Namun saya mengerti, hal-hal mendasar bisa jadi menantang, antara memerangi utang TI lama atau birokrasi. Apa pun peran Anda, semoga ini memberi Anda beberapa amunisi baru tentang bagaimana "Menggeser Keamanan ke Kiri" dapat mendorong hasil bisnis dan membiayai perkakas baru yang dibutuhkan dari segi ekonomi saja.

Sekarang pergilah dan makanlah sayur-sayuranmu.