시프트 레프트 보안의 경제학

나는 수십 가지와 함께 일했다. 보안요원 탐지 및 대응 지난 몇 년 동안 팀을 구성하고 가능한 한 많은 보안 문제를 해결하는 것이 얼마나 중요한지 분명해졌습니다. 상류에. 또는 더 일반적으로 알려진 것처럼, "왼쪽으로 시프트 보안". 대체로 XNUMX개의 캠프가 있습니다. "왼쪽으로 시프트 보안" — 1) 이해하지 못함, 2) 이해하고, 실행하지 않고, 3) 이해하고, 실행합니다. 당신은 세 번째 진영에 있고 왼쪽으로 이동하는 것이 당연하고 일반적인 지식이라고 생각할 수 있습니다. 세상은 넓고 일반 조직은 보안에 대해 매우 미숙하다는 점을 겸손하게 상기시켜 드리겠습니다. 다시 말해, 캠프 XNUMX과 XNUMX를 합친 숫자는 캠프 XNUMX보다 훨씬 많습니다.

왜 그런 겁니까? 잘 "왼쪽으로 시프트 보안" 새롭지만 더 중요한 것은 어렵습니다. 그것은 다른 달콤한 유혹에도 불구하고 지속적으로 야채를 먹는 것과 같습니다. 보안 공급업체는 모두 왼쪽으로 이동하면 더 빠르게 제공하고 비용을 절감할 수 있다고 말합니다. 이 분석에서 저는 모든 경영진과 예산 관리자가 이해할 수 있는 "Shift Left Security"에 대한 데이터, 즉 비즈니스 경제학을 실무자들에게 제공하려고 합니다. 이는 단순히 위험 감소의 역할을 하는 것이 아니라 TAM 성장, 판매 주기 가속화, 제품 출하 속도 향상과 같은 비즈니스 결과를 이끌어내기 위한 보안의 틀을 마련해야 하는 중요하고 폭넓은 주제에 부합합니다.

먼저, 레벨 세트에 대한 정의입니다. 할 것 "왼쪽으로 시프트 보안" 이는 조직의 개발 수명 주기에서 초기에 자주 보안을 향상시키는 것을 의미합니다. 이는 일반적인 소프트웨어 개발 수명 주기의 상위 집합으로 정의합니다. 여기에는 직원, 공급업체, 보안 제어 및 조직의 디지털 발자국과 관련된 모든 것이 포함됩니다. 조직 전체에 전파되기 전에 미리 예방하거나 발견한 보안 문제를 구현하는 것이 더 쉽고 저렴합니다.

이제 분석을 위해. 제 생각에 이 주제는 높은 수준의 분석을 수행하고 다음과 같은 것을 주장하기에는 너무 복잡합니다. "왼쪽으로 이동하면 10% 빨라지고 30% 절약됩니다.", 변수가 너무 많습니다. 내 접근 방식은 왼쪽으로 이동하는 가상 조직의 매우 구체적이고 미시적인 예를 모델링하고 그로부터 무엇을 배울 수 있는지 확인합니다.

아래 모델의 매개변수에는 사용 가능한 데이터가 부족할 때 함께 가져오려고 하는 매우 대략적인 추정(또는 완전한 추측)이 있습니다. 내 논평의 출처를 읽고 더 신뢰할 수 있는 연구를 알고 있으면 알려주십시오! 또한 "데이터 침해"가 걱정할 유일한 형태의 사이버 이벤트는 아닙니다. 브랜드, 신뢰 등의 모호한 효과에 비해 비용에 대한 확실한 연구가 있기 때문에 저는 이에 고정했습니다.

모델 1 — 조직 전체에 구현된 MFA

간단하게 시작합니다. 당신이 생각하는 경우 "모든 조직은 모든 ​​곳에서 MFA를 활성화했습니다.", 현실 확인이 필요합니다. 그럼에도 불구하고 조직 전체에 배포된 단일 컨트롤로서의 MFA는 매우 직관적인 예입니다. MFA는 처음부터 가능한 많은 위험한 자격 증명 동작을 방지하기 때문에 왼쪽으로 이동하는 것으로 간주됩니다. 이 모델은 1FA만 사용하는 조직과 MFA가 모든 곳에 적절히 배포된 가상 조직을 비교합니다.

모델 비용:

• SOC 인건비 = (1FA 관련 사용자별 일일 로그인 알림 수) * (조직 규모) * (연평균) SOC 분석가 비용) / (분석가별 하루 분류 알림 수)
• SOC 소프트웨어 비용 = (1FA에만 관련된 일별 사용자별 로그인 알림) * (조직 규모) * (경보별 소프트웨어 조사 지원 비용) * (365일)
• 생산성 저하 = (사용자당 하루 평균 MFA 수) * (조직 크기) * (MFA 완료 시간(초)) / (1분 / 60초) / (1시간 / 60분) / (1일 / 24시간) * ( 평균 연간 직원 비용)
• 위반 비용의 예상 가치 = (데이터 유출의 평균 비용) * (데이터 유출 가능성)

모델 매개 변수 :

• 조직 규모: 10000명의 직원(사용자)
• MFA까지의 시간(Google 인증 또는 이에 상응하는 항목): 10초 [1]
• 사용자당 하루 평균 MFA 수: 1 [2]
• 평균 연간 직원 비용: $100,000
• 1FA 전용(비정상 액세스, 비밀번호 공유 등)과 관련된 사용자당 일일 로그인 알림: 0.01 [3]
• 하루에 분석가별로 분류된 경고: 100 [4]
• 평균 연간 SOC 분석가 비용: $100,000
• 조사에 도움이 되는 경고별 소프트웨어 비용: $0.10 [5]
• 자격 증명 도난 또는 손상으로 인한 데이터 침해 비율: 19% [6]
• 데이터 유출의 평균 비용: $4.35만 [7]
• 데이터 침해의 기본 가능성: 1.13% [8]
• MFA를 통한 데이터 침해 가능성: 0.92% [9]

솔직히 나는 전통적인 MFA의 마찰이 이 분석에서 얼마나 많은 돈을 합산했는지 조금 놀랐습니다. 보이지 않는 MFA 솔루션을 채택해야 하는 더 많은 이유.

모델 2 — DevSecOps가 올바르게 실행됨

DevSecOps 아마도 가장 잘 발달 된 카테고리 일 것입니다. "왼쪽으로 시프트 보안", 응용 프로그램 또는 인프라 보안 테스트. 여기에서 훌륭한 것은 마찰 없이 개발자 워크플로에 포함된 도구처럼 보입니다. 불량 또는 보안이 오른쪽으로 유지되는 것은 보안 팀이 개발에서 분리되어 프로덕션으로 배송된 후 보안 문제를 찾는 것처럼 보입니다. 이 모델은 소프트웨어 개발을 수행하는 조직을 다음과 비교합니다. DevSecOps 순전히 반응적인 접근 방식을 취하는 것과 비교하여 최대한 배포 소프트웨어 보안.

모델 비용:

• 개발자 비용 = (조직에서 개발한 고유한 프로덕션 애플리케이션) * (프로덕션 애플리케이션당 평균 취약점 수) * (시간 단위로 취약점을 수정하기 위한 평균 개발 시간) * (1년/52주) * (1주/40시간 작업) * (평균 연간 개발자 비용)
• 보안 분석가 비용 = (조직에서 개발한 고유한 프로덕션 애플리케이션) * (프로덕션 애플리케이션당 평균 취약점 수) * (시간 단위로 프로덕션에서 발견된 취약점을 수정하는 평균 보안 팀 시간) * (1년 / 52주) * (1주 / 40시간 근무) * (평균 연간 보안 분석가 비용)
• 위반 비용의 예상 가치 = (데이터 유출의 평균 비용) * (데이터 유출 가능성)

모델 매개 변수 :

• 조직에서 개발한 고유한 생산 응용 프로그램: 17 [10]
• 프로덕션 애플리케이션당 평균 취약점 수: 30.59 [11]
• 개발에서 발견된 각 취약점을 수정하기 위한 평균 개발 시간: 3.61시간 [12]
• 프로덕션에서 발견된 각 취약점을 수정하기 위한 평균 개발 시간: 10.71시간 [13]
• 평균 연간 개발자 비용: $150,000
• 프로덕션에서 발견된 각 취약점을 수정하는 평균 보안 팀 시간: 3.10 [14]
• 평균 연간 보안 분석 비용: $100,000
• 취약점을 수정하는 평균 평균 시간 — 낮은 스캔 빈도 — 하루에 1-12개 스캔(Shift Right Security): 217일 [15]
• 취약점을 수정하는 평균 평균 시간 — 높은 스캔 빈도 — 하루에 260개 이상의 스캔(왼쪽으로 이동 보안): 62일 [15]
• 높은 스캔 빈도에 따른 취약점 감소 추정: 71% [16]
• 애플리케이션 취약점으로 인한 데이터 침해 비율: 43% [17]
• 데이터 유출의 평균 비용: $4.35만 [6]
• 데이터 침해의 기본 가능성: 1.13% [7]
• 높은 스캔 빈도로 데이터 유출 가능성: 0.79% [18]

DevSecOps 다양한 개발 단계(단위 테스트, 통합 테스트, 시스템 테스트, 스테이징, 프로덕션 등)에서 보안 결함을 수정하는 데 드는 비용에 관한 훌륭한 지원 연구를 가지고 있으므로 왼쪽과 오른쪽으로 이동할 때의 극적인 차이를 보는 것은 놀라운 일이 아닙니다. 이 모델에서. 2022년에 챔피언이 아닌 것은 변명의 여지가 없습니다. DevSecOps — 이는 모든 규모의 소프트웨어 개발 조직에 적용됩니다(이러한 조직은 더 넓은 조직 내의 단위일 수 있음).

모델 3 — 강력한 직원 및 자산 온보딩 및 오프보딩

직원 및 자산의 온보딩 및 오프보딩은 매우 과소평가된 보안 워크플로입니다. 제대로 수행하면 깨끗한 데이터를 생성하고 온보딩 및 오프보딩 시 엄격한 제어(EPDR, VPN, 이메일 보안, 디스크 암호화, 브라우저 제어 조직 등) 및 액세스 상태를 보장할 수 있는 기회를 제공합니다. 제대로 수행되지 않으면 추가 작업이 발생하고 일을 우연이나 사람의 수동 워크플로에 맡깁니다. 이러한 프로세스에 레일을 설치하는 데 도움이 되는 많은 시스템이 있습니다. 이 모델은 완벽한 보안 온보딩 및 오프보딩이 있는 조직과 오류가 발생하기 쉬운 수동 워크플로를 가진 조직을 비교합니다.

모델 비용:

• 직원 온보딩 도구 설정 시간 비용 = (조직 규모) * (조직 회전율) * (수동으로 IT를 온보딩하는 데 걸리는 시간(분)) * (1시간/60분) * (1주/40 근무 시간) * (1년/52주) * (평균 연간 직원 비용)
• 청구 가능 SOC 비용 = (조직 SOC 규모) * (연평균) SOC 분석가 비용) * (적용 가능한 효율성)
• 위반 비용의 예상 가치 = (데이터 유출의 평균 비용) * (데이터 유출 가능성)

모델 매개 변수 :

• 조직 규모(XNUMX년 동안 일정): 10000명의 직원(사용자)
• 연간 조직 회전율: 47.2% [19]
• 평균 연간 직원 비용: $100,000
• 새 노트북에 EPDR 및 VPN을 수동으로 설치하고 구성하는 데 걸리는 시간: 20분 [20]
• 회사조직 SOC 크기 : 3 FTE
• 평균 연간 SOC 분석가 비용: $100,000
• SOC 직원 및 자산 온보딩을 통해 "누가 무엇을 소유하는지"를 명확하게 파악함으로써 효율성이 향상되었습니다. 10% [21]
• 피싱으로 인한 데이터 침해 비율: 16% [22]
• 부적절한 직원 오프보딩으로 인한 데이터 유출 비율: 10% [23]
• 데이터 유출의 평균 비용: $4.35만 [6]
• 데이터 침해의 기본 가능성: 1.13% [7]
• 모든 직원 노트북에 대한 올바른 제어가 보장되고 자동화된 오프보딩이 있는 데이터 유출 가능성: 0.85% [24]

인간은 실수를 한다. 반복적인 작업을 기계에 맡깁니다. 온보딩 및 오프보딩과 같은 작업에서 사람이 실수를 하는 경우는 5%에 불과하다고 가정하더라도 이 모델에서는 온보딩 및 오프보딩에 해당하는 모든 직원을 설명하는 472개의 오류입니다. 그것은 테이블을 벗어 버릴 위험이 낮은 매달린 과일입니다. 조직을 위해 이를 관리하는 강력한 도구에 투자하십시오.

결론

보안은 트레이드오프의 복잡한 그물이며 보안을 왼쪽으로 이동하는 것도 다르지 않습니다. 조직에서 MFA를 구현하지 않기 때문에 가능한 경고를 여전히 보고 있다는 것이 믿기지 않기 때문에 이 분석 작업을 주로 조사했습니다. 하지만 레거시 IT 부채와 싸우거나 관료주의와 싸우는 것 사이에서 기본이 어려울 수 있습니다. 귀하의 역할이 무엇이든 간에 "Shift Left Security"가 비즈니스 결과를 주도하고 경제적 측면에서만 필요한 모든 새로운 도구에 대한 비용을 지불할 수 있는 방법에 대한 새로운 정보를 얻었기를 바랍니다.

이제 나가서 야채를 먹습니다.