Economie van Shift Left Security

Ik heb gewerkt met tientallen OB's en Detectie en respons teams in de afgelopen jaren en het is mij glashelder geworden hoe belangrijk het is om zoveel mogelijk beveiligingsproblemen op te lossen stroomopwaarts. Of zoals het beter bekend is, "Shift Left Security". In grote lijnen zie ik drie kampen op "Shift Left Security" — 1) begrijp het niet, 2) snap het, voer het niet uit, 3) snap het, voer het uit. U bevindt zich misschien in dat derde kamp en denkt dat naar links verschuiven voor de hand liggend en algemeen bekend is. Laat me je er nederig aan herinneren dat het een grote wereld is en dat de gemiddelde organisatie hopeloos onvolwassen is op het gebied van beveiliging. Anders gezegd, kampen één en twee samen zijn veel groter dan kamp drie.

Waarom is dat? We zullen "Shift Left Security" is nieuw, maar belangrijker nog, het is moeilijk. Het is alsof je consequent groenten eet terwijl je wordt geconfronteerd met andere zoete verleidingen. Beveiligingsleveranciers zeggen allemaal dat naar links verschuiven snellere levering en lagere kosten mogelijk maakt, maar naar mijn mening nooit zinvol kwantificeren. In deze analyse ga ik proberen om beoefenaars te wapenen met gegevens over "Shift Left Security" die elke leidinggevende en budgetbeheerder zal begrijpen - bedrijfseconomie. Dit past in een belangrijk breder thema van de noodzaak om beveiliging in te kaderen voor het stimuleren van bedrijfsresultaten - het vergroten van uw TAM, het versnellen van verkoopcycli, het sneller verzenden van producten - en niet alleen optreden als een oefening om risico's te verminderen.

Eerst een definitie op niveau ingesteld. Te doen "Shift Left Security" betekent om beveiliging vroeg en vaak naar een hoger niveau te tillen in de ontwikkelingslevenscyclus van de organisatie, die ik zou definiëren als een superset van de gebruikelijke levenscyclus voor softwareontwikkeling. Dit omvat alles wat te maken heeft met werknemers, leveranciers, beveiligingscontroles en digitale voetafdruk van een organisatie. Beveiligingsproblemen die eerder zijn voorkomen of ontdekt, voordat ze zich door een organisatie verspreiden, zijn eenvoudiger en goedkoper te implementeren.

Nu voor de analyse. Naar mijn mening is dit onderwerp te ingewikkeld om een ​​analyse op hoog niveau uit te voeren en zoiets te claimen als: “naar links schakelen maakt je 10% sneller en bespaart je 30%”, er zijn te veel variabelen. Mijn aanpak zal zeer specifieke, microvoorbeelden zijn van een hypothetische organisatie die naar links verschuift, en kijken wat daarvan geleerd kan worden.

Wat betreft de parameters in de onderstaande modellen - er zijn enkele zeer ruwe schattingen (of zelfs volledige schattingen op sommige plaatsen) die ik probeer samen te stellen wanneer de beschikbare gegevens slecht zijn. Lees de bronnen voor mijn commentaar en laat het me weten als je betrouwbaarder onderzoek kent! Bovendien zijn "gegevensinbreuken" niet de enige vorm van cybergebeurtenissen waar ik me zorgen over moet maken, ik heb me erop verankerd omdat er solide onderzoek is naar kosten in vergelijking met meer vage effecten van merk, vertrouwen, enz.

Model 1 — MFA geïmplementeerd in de hele organisatie

Simpel beginnen. Als je denkt “elke organisatie heeft overal MFA ingeschakeld”, je hebt een realiteitscheck nodig. Desalniettemin is MFA als een enkel besturingselement dat in een organisatie wordt geïmplementeerd, een geweldig intuïtief voorbeeld. MFA wordt beschouwd als een verschuiving naar links omdat het voorkomt dat veel risicovol referentiegedrag ooit mogelijk wordt. Dit model vergelijkt een hypothetische organisatie waarbij MFA overal correct is ingezet, versus een organisatie die alleen 1FA gebruikt.

Modelkosten:

• SOC Personeelskosten = (Aanmeldingswaarschuwingen per gebruiker per dag, alleen gerelateerd aan 1FA) * (Organisatiegrootte) * (Gemiddeld jaarlijks) SOC Analistenkosten) / (Aantal meldingen per analist per dag)
• SOC Softwarekosten = (Aanmeldingswaarschuwingen per gebruiker per dag alleen gerelateerd aan 1FA) * (Organisatiegrootte) * (Softwarekosten per waarschuwing om te helpen bij onderzoek) * (365 dagen)
• Dollar verlies van productiviteit = (Gemiddeld aantal MFA's per dag per gebruiker) * (Organisatiegrootte) * (Tijd tot MFA in seconden) / (1 minuut / 60 seconden) / (1 uur / 60 minuten) / (1 dag / 24 uur) * ( Gemiddelde jaarlijkse personeelskosten)
• Verwachte waarde van inbreukkosten = (Gemiddelde kosten van gegevensinbreuk) * (Waarschijnlijkheid van gegevensinbreuk)

Modelparameters:

• Organisatiegrootte: 10000 werknemers (gebruikers)
• Tijd tot MFA (Google-verificatie of gelijkwaardig): 10 seconden [1]
• Gemiddeld aantal MFA's per dag per gebruiker: 1 [2]
• Gemiddelde jaarlijkse personeelskosten: $100,000
• Inlogwaarschuwingen per gebruiker per dag alleen gerelateerd aan 1FA (abnormale toegang, wachtwoord delen, enz.): 0.01 [3]
• Waarschuwingen gerangschikt per analist per dag: 100 [4]
• Gemiddeld jaarlijks SOC Analistenkosten: $100,000
• Softwarekosten per waarschuwing om te helpen bij onderzoek: $ 0.10 [5]
• Percentage gegevensinbreuken als gevolg van gestolen of gecompromitteerde inloggegevens: 19% [6]
• Gemiddelde kosten van gegevensinbreuk: $ 4.35 miljoen [7]
• Basiswaarschijnlijkheid van datalek: 1.13% [8]
• Waarschijnlijkheid van gegevensinbreuk met MFA: 0.92% [9]

Eerlijk gezegd was ik een beetje verbaasd hoeveel de wrijving van traditionele MFA in termen van dollars uit deze analyse optelde. Reden te meer om onzichtbare MFA-oplossingen te gebruiken.

Model 2 — DevSecOps correct uitgevoerd

DevSecOps is waarschijnlijk de best ontwikkelde categorie van "Shift Left Security", en er zijn een aantal geweldige tools gericht op toepassing of infrastructuur beveiliging testen. Geweldig hier ziet eruit als tooling die zonder wrijving is ingebed in de ontwikkelaarsworkflow. Slecht, of beveiliging aan de rechterkant, ziet eruit als een beveiligingsteam dat losstaat van de ontwikkeling en het vinden van beveiligingsproblemen nadat dingen naar productie zijn verzonden. Dit model vergelijkt een organisatie die softwareontwikkeling uitvoert met: DevSecOps ten volle ingezet, versus een die een puur reactieve benadering hanteert om software beveiliging.

Modelkosten:

• Ontwikkelaarskosten = (Verschillende productietoepassingen ontwikkeld door organisatie) * (Gemiddeld aantal kwetsbaarheden per productietoepassing) * (Gemiddelde ontwikkelingsuren om kwetsbaarheid te verhelpen in uren) * (1 jaar / 52 weken) * (1 week / 40 gewerkte uren) * (Gemiddeld jaarlijks Ontwikkelaar kosten)
• Kosten beveiligingsanalist = (Verschillende productietoepassingen ontwikkeld door organisatie) * (Gemiddeld aantal kwetsbaarheden per productietoepassing) * (Gemiddeld aantal beveiligingsteamuren om kwetsbaarheid in productie te verhelpen in uren) * (1 jaar / 52 weken) * (1 week / 40 gewerkte uren) * (Gemiddelde jaarlijkse kosten voor beveiligingsanalisten)
• Verwachte waarde van inbreukkosten = (Gemiddelde kosten van gegevensinbreuk) * (Waarschijnlijkheid van gegevensinbreuk)

Modelparameters:

• Verschillende productietoepassingen ontwikkeld door organisatie: 17 [10]
• Gemiddeld aantal kwetsbaarheden per productietoepassing: 30.59 [11]
• Gemiddelde ontwikkeluren om elke kwetsbaarheid in ontwikkeling te verhelpen: 3.61 uur [12]
• Gemiddelde ontwikkelingsuren om elke kwetsbaarheid in productie te verhelpen: 10.71 uur [13]
• Gemiddelde jaarlijkse ontwikkelaarskosten: $150,000
• Gemiddelde uren beveiligingsteam om elke kwetsbaarheid in productie te verhelpen: 3.10 [14]
• Gemiddelde jaarlijkse kosten voor beveiligingsanalisten: $100,000
• Gemiddelde gemiddelde tijd om kwetsbaarheden te verhelpen — Lage scanfrequentie — 1-12 scans per dag (Shift Right Security): 217 dagen [15]
• Gemiddelde gemiddelde tijd om kwetsbaarheden te verhelpen — Hoge scanfrequentie — 260+ scans per dag (beveiliging naar links): 62 dagen [15]
• Veronderstelde vermindering van kwetsbaarheden door hoge scanfrequentie: 71% [16]
• Percentage datalekken als gevolg van kwetsbaarheden in applicaties: 43% [17]
• Gemiddelde kosten van gegevensinbreuk: $ 4.35 miljoen [6]
• Basiswaarschijnlijkheid van datalek: 1.13% [7]
• Waarschijnlijkheid van gegevensinbreuk met hoge scanfrequentie: 0.79% [18]

DevSecOps heeft geweldig ondersteunend onderzoek naar de kosten om beveiligingsfouten in verschillende ontwikkelingsstadia op te lossen (eenheidstests, integratietests, systeemtests, staging, productie, enz.), dus het was niet verrassend om de dramatische verschillen te zien bij het schakelen naar links en rechts bij dit model. Er is echt geen excuus in 2022 om geen kampioen te zijn van DevSecOps — dat geldt voor softwareontwikkelingsorganisaties van elke omvang (deze organisaties kunnen eenheden zijn binnen bredere organisaties).

Model 3 — Robuuste onboarding en offboarding van medewerkers en activa

Onboarding en offboarding van werknemers en bedrijfsmiddelen zijn enorm onderschatte beveiligingsworkflows. Als het goed wordt gedaan, biedt het de mogelijkheid om schone gegevens te creëren en strikte controle te garanderen (EPDR, VPN, e-mailbeveiliging, schijfversleuteld, browser gecontroleerd door de organisatie, enz.) en toegangsstatussen bij onboarding en offboarding. Als het slecht wordt uitgevoerd, creëert het extra werk en laat het dingen aan het toeval of menselijke handmatige workflows over. Er zijn tal van systemen die helpen bij het aanbrengen van rails op deze processen. Dit model vergelijkt een organisatie met een perfecte beveiliging van onboarding en offboarding, versus een organisatie met handmatige, foutgevoelige workflows.

Modelkosten:

• Onboarding-tool voor medewerkers instellen Tijdskosten = (Organisatiegrootte) * (Organisatieomzet) * (Tijd om IT handmatig aan boord te brengen in minuten) * (1 uur / 60 minuten) * (1 week / 40 werkuren) * (1 jaar / 52 weken) * (gemiddelde jaarlijkse werknemer Kosten)
• Factureerbaar SOC Kosten = (Organisatie SOC Grootte) * (Gemiddelde jaarlijkse SOC Analistenkosten) * (Toepasselijke efficiënties)
• Verwachte waarde van inbreukkosten = (Gemiddelde kosten van gegevensinbreuk) * (Waarschijnlijkheid van gegevensinbreuk)

Modelparameters:

• Organisatiegrootte (constant voor een jaar): 10000 werknemers (gebruikers)
• Jaarlijks omzetpercentage van de organisatie: 47.2% [19]
• Gemiddelde jaarlijkse personeelskosten: $100,000
• Tijd om EPDR en VPN handmatig te installeren en configureren op nieuwe laptops: 20 minuten [20]
• Organisatie SOC Afmetingen: 3 FTE
• Gemiddeld jaarlijks SOC Analistenkosten: $100,000
• SOC Efficiëntiewinst door een heldere inventarisatie van "wie wat bezit", als gevolg van de onboarding van medewerkers en bedrijfsmiddelen: 10% [21]
• Percentage datalekken als gevolg van phishing: 16% [22]
• Percentage gegevensinbreuken als gevolg van ongepaste offboarding van werknemers: 10% [23]
• Gemiddelde kosten van gegevensinbreuk: $ 4.35 miljoen [6]
• Basiswaarschijnlijkheid van datalek: 1.13% [7]
• Waarschijnlijkheid van datalekken met gegarandeerde correcte controles op de laptop van elke werknemer en geautomatiseerde offboarding: 0.85% [24]

Mensen maken fouten; houd de repetitieve taken aan machines. Zelfs als je ervan uitgaat dat mensen in een taak als onboarding en offboarding slechts 5% van de tijd fouten maken, zijn dat 472 fouten in dit model die rekening houden met al die medewerkers aan boord en offboarding. Dat is veel laaghangend fruit om van tafel te halen. Investeer in een robuuste tool die dit voor uw organisatie beheert, het betaalt zichzelf terug.

Conclusies

Beveiliging is een ingewikkeld web van afwegingen, het verschuiven van beveiliging naar links is niet anders. Ik heb deze analytische oefening voornamelijk onderzocht omdat ik niet kan geloven dat ik nog steeds waarschuwingen in het wild zie die alleen mogelijk zijn omdat een organisatie MFA niet implementeert. Ik begrijp het echter, de basis kan een uitdaging zijn, tussen het bestrijden van legacy IT-schulden of bureaucratie. Wat je rol ook is, hopelijk heeft dit je wat nieuwe munitie gegeven over hoe 'Shift Left Security' de bedrijfsresultaten kan stimuleren en kan betalen voor nieuwe tools die alleen al vanuit de economie vereist zijn.

Ga nu heen en eet je groenten.