Economia della sicurezza del turno a sinistra

Ho lavorato con dozzine di Operazioni secondarie e Rilevazione e risposta team negli ultimi anni ed è diventato estremamente chiaro per me quanto sia importante risolvere il maggior numero possibile di problemi di sicurezza a monte. O come è più comunemente noto, "Sposta a sinistra della sicurezza". In generale, vedo tre accampamenti "Sposta a sinistra della sicurezza" — 1) non lo capisco, 2) lo ottengo, non eseguendolo, 3) lo ottengo, eseguendolo. Potresti essere in quel terzo campo e pensare che lo spostamento a sinistra sia ovvio e comune. Lascia che ti ricordi umilmente che c'è un grande mondo là fuori e l'organizzazione media è tristemente immatura in materia di sicurezza. In altre parole, i campi uno e due messi insieme superano di gran lunga il campo tre.

Perché? Bene "Sposta a sinistra della sicurezza" è nuovo, ma soprattutto è difficile. È come mangiare costantemente verdure di fronte ad altre tentazioni zuccherine. Tutti i fornitori di sicurezza affermano che lo spostamento a sinistra consente consegne più rapide e costi inferiori, ma secondo me non lo quantificano mai in modo significativo. In questa analisi, cercherò di fornire ai professionisti dati su "Shift Left Security" che ogni dirigente e controllore del budget capirà: l'economia aziendale. Ciò si inserisce in un tema più ampio e importante della necessità di inquadrare la sicurezza sulla guida dei risultati aziendali (aumento del TAM, accelerazione dei cicli di vendita, spedizione più rapida dei prodotti) e non solo come esercizio di riduzione del rischio.

In primo luogo, una definizione per impostare il livello. Da fare "Sposta a sinistra della sicurezza" significa aumentare la sicurezza presto e spesso nel ciclo di vita dello sviluppo dell'organizzazione, che definirei un superset del normale ciclo di vita dello sviluppo del software. Ciò include tutto ciò che ha a che fare con dipendenti, fornitori, controlli di sicurezza e impronta digitale di un'organizzazione. I problemi di sicurezza prevenuti o scoperti prima, prima che si propaghino all'interno dell'organizzazione, sono più facili ed economici da implementare.

Ora per l'analisi. Secondo me, questo argomento è troppo complicato per fare un'analisi di alto livello e affermare qualcosa del genere "spostare a sinistra ti rende il 10% più veloce e ti fa risparmiare il 30%", ci sono troppe variabili. Il mio approccio consisterà nel modellare micro esempi molto specifici di un'ipotetica organizzazione che si sposta a sinistra e vedere cosa si può imparare da questo.

Sui parametri nei modelli seguenti, ci sono alcune stime molto approssimative (o anche stime complete in alcuni punti) che provo a mettere insieme quando i dati disponibili sono scarsi. Leggi le fonti per il mio commento e fammi sapere se sei a conoscenza di ricerche più affidabili! Inoltre, le "violazioni dei dati" non sono l'unica forma di eventi informatici di cui preoccuparsi, mi sono ancorato a loro perché esiste una solida ricerca sui costi rispetto agli effetti più nebulosi del marchio, della fiducia, ecc.

Modello 1: AMF implementata in tutta l'organizzazione

Inizio semplice. Se stai pensando "ogni organizzazione ha abilitato l'AMF ovunque", hai bisogno di un controllo di realtà. Tuttavia, l'AMF come controllo singolo distribuito in un'organizzazione è un ottimo esempio intuitivo. L'AMF è considerato uno spostamento a sinistra perché impedisce in primo luogo che molti comportamenti rischiosi delle credenziali siano possibili. Questo modello confronta un'ipotetica organizzazione con MFA distribuita ovunque correttamente, rispetto a una che utilizza solo 1FA.

Costi del modello:

• SOC I costi del personale = (Avvisi di accesso per utente al giorno relativi solo a 1FA) * (Dimensione dell'organizzazione) * (Media annuale SOC Costo analista) / (Avvisi selezionati per analista al giorno)
• SOC Costi del software = (Avvisi di accesso per utente al giorno relativi solo a 1FA) * (dimensione dell'organizzazione) * (costo del software per avviso per aiutare nelle indagini) * (365 giorni)
• Perdita di produttività del dollaro = (Numero medio di MFA al giorno per utente) * (Dimensione dell'organizzazione) * (Tempo per MFA in secondi) / (1 minuto / 60 secondi) / (1 ora / 60 minuti) / (1 giorno / 24 ore) * ( Costo medio annuo del dipendente)
• Valore atteso del costo di violazione = (Costo medio di violazione dei dati) * (Probabilità di violazione dei dati)

Parametri del modello:

• Dimensioni dell'organizzazione: 10000 dipendenti (utenti)
• Time To MFA (Google Auth o equivalente): 10 secondi [1]
• Numero medio di MFA al giorno per utente: 1 [2]
• Costo medio annuo del dipendente: $100,000
• Avvisi di accesso per utente al giorno relativi solo a 1FA (accesso anomalo, condivisione password, ecc.): 0.01 [3]
• Avvisi triage per analista al giorno: 100 [4]
• Media annuale SOC Costo dell'analista: $100,000
• Costo del software per avviso per aiutare nelle indagini: $ 0.10 [5]
• Percentuale di violazioni dei dati a seguito di credenziali rubate o compromesse: 19% [6]
• Costo medio della violazione dei dati: $ 4.35 milioni [7]
• Probabilità di base di violazione dei dati: 1.13% [8]
• Probabilità di violazione dei dati con MFA: 0.92% [9]

Onestamente sono rimasto un po' sorpreso di quanto l'attrito dell'AMF tradizionale si sia sommato in termini di dollari da questa analisi. Motivo in più per adottare soluzioni MFA invisibili.

Modello 2 — DevSecOps eseguito correttamente

DevSecOps è probabilmente la categoria più sviluppata di "Sposta a sinistra della sicurezza"e ci sono una serie di ottimi strumenti focalizzati sull'applicazione o sicurezza dell'infrastruttura test. Ottimo qui sembra che gli strumenti siano incorporati nel flusso di lavoro degli sviluppatori senza attriti. Cattivo, o sicurezza mantenuta a destra, sembra un team di sicurezza disgiunto dallo sviluppo e dalla ricerca di problemi di sicurezza dopo che le cose sono state inviate alla produzione. Questo modello confronta un'organizzazione che conduce lo sviluppo di software con DevSecOps implementato al meglio, rispetto a uno che adotta un approccio puramente reattivo sicurezza del software.

Costi del modello:

• Costi di sviluppo = (Applicazioni di produzione distinte sviluppate dall'organizzazione) * (Numero medio di vulnerabilità per applicazione di produzione) * (Ore medie di sviluppo per rimediare alle vulnerabilità in ore) * (1 anno / 52 settimane) * (1 settimana / 40 ore lavorate) * (Media annuale Costo sviluppatore)
• Costi dell'analista di sicurezza = (Applicazioni di produzione distinte sviluppate dall'organizzazione) * (Numero medio di vulnerabilità per applicazione di produzione) * (Ore medie del team di sicurezza per rimediare alla vulnerabilità riscontrata nella produzione in ore) * (1 anno / 52 settimane) * (1 settimana / 40 ore lavorate) * (Costo medio annuo dell'analista di sicurezza)
• Valore atteso del costo di violazione = (Costo medio di violazione dei dati) * (Probabilità di violazione dei dati)

Parametri del modello:

• Applicazioni di produzione distinte sviluppate dall'organizzazione: 17 [10]
• Numero medio di vulnerabilità per applicazione di produzione: 30.59 [11]
• Ore di sviluppo medie per rimediare a ciascuna vulnerabilità riscontrata durante lo sviluppo: 3.61 ore [12]
• Ore medie di sviluppo per rimediare a ciascuna vulnerabilità riscontrata nella produzione: 10.71 ore [13]
• Costo medio annuo sviluppatore: $150,000
• Ore medie del team di sicurezza per rimediare a ciascuna vulnerabilità riscontrata in produzione: 3.10 [14]
• Costo medio annuo dell'analista di sicurezza: $100,000
• Tempo medio medio per rimediare alle vulnerabilità — Bassa frequenza di scansione — 1–12 scansioni al giorno (sicurezza spostamento a destra): 217 giorni [15]
• Tempo medio medio per rimediare alle vulnerabilità — Alta frequenza di scansione — Oltre 260 scansioni al giorno (Sposta a sinistra di sicurezza): 62 giorni [15]
• Presunta riduzione delle vulnerabilità grazie all'elevata frequenza di scansione: 71% [16]
• Percentuale di violazioni dei dati a causa di vulnerabilità dell'applicazione: 43% [17]
• Costo medio della violazione dei dati: $ 4.35 milioni [6]
• Probabilità di base di violazione dei dati: 1.13% [7]
• Probabilità di violazione dei dati con un'elevata frequenza di scansione: 0.79% [18]

DevSecOps ha una grande ricerca di supporto sul costo per correggere i difetti di sicurezza in diverse fasi di sviluppo (test di unità, test di integrazione, test di sistema, staging, produzione, ecc.), quindi non è stato sorprendente vedere le differenze drammatiche dello spostamento a sinistra rispetto a destra in questo modello. Non ci sono davvero scuse nel 2022 per non essere un campione di DevSecOps — questo vale per organizzazioni di sviluppo software di tutte le dimensioni (queste organizzazioni possono essere unità all'interno di organizzazioni più ampie).

Modello 3: onboarding e offboarding robusti di dipendenti e risorse

L'onboarding e l'offboarding di dipendenti e risorse sono flussi di lavoro di sicurezza estremamente sottovalutati. Se eseguito correttamente, offre l'opportunità di creare dati puliti e garantire un controllo rigoroso (EPDR, VPN, sicurezza e-mail, disco crittografato, browser controllato dall'organizzazione, ecc.) e gli stati di accesso durante l'onboarding e l'offboarding. Fatto male, crea lavoro extra e lascia le cose al caso o ai flussi di lavoro manuali umani. Ci sono molti sistemi là fuori che aiutano a mettere binari su questi processi. Questo modello confronta un'organizzazione con onboarding e offboarding di sicurezza perfetti e un'organizzazione con flussi di lavoro manuali soggetti a errori.

Costi del modello:

• Costo del tempo di installazione dello strumento di inserimento dei dipendenti = (dimensione dell'organizzazione) * (tasso di rotazione dell'organizzazione) * (tempo per l'integrazione manuale dell'IT in minuti) * (1 ora / 60 minuti) * (1 settimana / 40 ore di lavoro) * (1 anno / 52 settimane) * (dipendente medio annuale Costo)
• Fatturabile SOC Costi = (Organizzazione SOC Dimensioni) * (Media annuale SOC Costo dell'analista) * (Efficienze applicabili)
• Valore atteso del costo di violazione = (Costo medio di violazione dei dati) * (Probabilità di violazione dei dati)

Parametri del modello:

• Dimensione dell'organizzazione (costante per un anno): 10000 dipendenti (utenti)
• Tasso di rotazione annuale dell'organizzazione: 47.2% [19]
• Costo medio annuo del dipendente: $100,000
• È ora di installare e configurare manualmente EPDR e VPN sui nuovi laptop: 20 minuti [20]
• Organizzazione SOC Dimensioni: 3 FTE
• Media annuale SOC Costo dell'analista: $100,000
• SOC Guadagni di efficienza derivanti da una mappatura chiara di "chi possiede cosa", come risultato dell'inserimento di dipendenti e risorse: 10% [21]
• Percentuale di violazioni dei dati a seguito di phishing: 16% [22]
• Percentuale di violazioni dei dati a seguito di un'allontanamento improprio dei dipendenti: 10% [23]
• Costo medio della violazione dei dati: $ 4.35 milioni [6]
• Probabilità di base di violazione dei dati: 1.13% [7]
• Probabilità di violazione dei dati con controlli corretti garantiti su ogni laptop dei dipendenti e offboarding automatizzato: 0.85% [24]

Gli esseri umani commettono errori; mantenere le attività ripetitive alle macchine. Anche se si presume che in un'attività come l'onboarding e l'offboarding gli esseri umani commettano errori solo il 5% delle volte, sono 472 errori in questo modello che rappresentano l'onboarding e l'offboarding di tutti quei dipendenti. Questo è un rischio molto basso di frutta appesa da togliere dal tavolo. Investi in uno strumento robusto che gestisca questo per la tua organizzazione, si ripagherà da solo.

Conclusioni

La sicurezza è una complicata rete di compromessi, spostare la sicurezza a sinistra non è diverso. Ho esplorato principalmente questo esercizio analitico perché non riesco a credere di vedere ancora avvisi in natura possibile solo perché un'organizzazione non sta implementando l'autenticazione a più fattori. Ho capito, però, le basi possono essere difficili, tra la lotta contro il debito IT legacy o la burocrazia. Qualunque sia il tuo ruolo, si spera che questo ti abbia dato alcune nuove munizioni su come "Shift Left Security" può guidare i risultati aziendali e pagare per qualsiasi nuovo strumento richiesto solo dall'economia.

Ora vai avanti e mangia le tue verdure.