Economia do deslocamento à esquerda da segurança

Trabalhei com dezenas de Operações de segurança e Detecção e Resposta equipes ao longo dos últimos anos e ficou claro para mim o quão importante é corrigir o maior número possível de problemas de segurança rio acima. Ou como é mais conhecido, “Mudar a Segurança Esquerda”. Em termos gerais, vejo três campos em “Mudar a Segurança Esquerda” — 1) não entende, 2) pega, não executa, 3) pega, executa. Você pode estar nesse terceiro campo e pensar que mudar para a esquerda é óbvio e de conhecimento comum. Deixe-me humildemente lembrá-lo de que existe um grande mundo lá fora, e a organização média é lamentavelmente imatura em segurança. Dito de outra forma, os campos um e dois combinados superam em muito o campo três.

Por que é que? Nós iremos “Mudar a Segurança Esquerda” é novo, mas o mais importante é difícil. É como comer vegetais consistentemente diante de outras tentações açucaradas. Todos os fornecedores de segurança dizem que a mudança para a esquerda permite uma entrega mais rápida e custos mais baixos, mas, na minha opinião, nunca quantifica isso de forma significativa. Nesta análise, tentarei armar os profissionais com dados sobre “Shift Left Security” que todo executivo e controlador de orçamento entenderá – economia empresarial. Isso se encaixa em um importante tema mais amplo da necessidade de estruturar a segurança para gerar resultados de negócios — aumentar seu TAM, acelerar os ciclos de vendas, enviar produtos mais rapidamente — e não apenas agir como um exercício de redução de risco.

Primeiro, uma definição para definir o nível. Façam “Mudar a Segurança Esquerda” significa aumentar a segurança cedo e frequentemente no Ciclo de Vida de Desenvolvimento da Organização, que eu definiria como um superconjunto do Ciclo de Vida de Desenvolvimento de Software usual. Isso inclui tudo a ver com funcionários, fornecedores, controles de segurança e pegada digital de uma organização. Problemas de segurança prevenidos ou descobertos mais cedo, antes que se propaguem por toda a organização, são mais fáceis e baratos de implementar.

Agora para a análise. Na minha opinião, este assunto é muito complicado para fazer alguma análise de alto nível e reivindicar algo como “deslocar para a esquerda torna você 10% mais rápido e economiza 30%”, existem muitas variáveis. Minha abordagem será modelar micro exemplos muito específicos de uma organização hipotética mudando para a esquerda e ver o que pode ser aprendido com isso.

Sobre os parâmetros nos modelos abaixo - existem algumas estimativas muito aproximadas (ou mesmo estimativas completas em alguns lugares) que tento reunir quando os dados disponíveis são ruins. Leia as fontes do meu comentário e deixe-me saber se você conhece uma pesquisa mais confiável! Além disso, “Violações de dados” não são a única forma de eventos cibernéticos com os quais se preocupar, eu ancorei neles porque há pesquisas sólidas sobre custos em comparação com efeitos mais nebulosos de marca, confiança etc.

Modelo 1 - MFA implementado em toda a organização

Começando simples. Se você está pensando “toda organização tem MFA habilitado em todos os lugares”, você precisa de uma verificação da realidade. No entanto, o MFA como um único controle implantado em uma organização é um ótimo exemplo intuitivo. A MFA é considerada uma mudança para a esquerda porque impede que muitos comportamentos de credenciais arriscados sejam possíveis em primeiro lugar. Esse modelo compara uma organização hipotética com MFA implantado em todos os lugares corretamente, versus uma que usa apenas 1FA.

Custos do modelo:

• SOC Custos pessoais = (Alertas de login por usuário por dia relacionados apenas à autenticação de um fator) * (Tamanho da organização) * (Média anual) SOC Custo do analista) / (Alertas triados por analista por dia)
• SOC Custos de software = (Alertas de login por usuário por dia relacionados apenas a 1FA) * (Tamanho da organização) * (Custo por software de alerta para auxiliar na investigação) * (365 dias)
• Perda de produtividade em dólares = (Número médio de MFAs por dia por usuário) * (Tamanho da organização) * (Tempo para MFA em segundos) / (1 minuto / 60 segundos) / (1 hora / 60 minutos) / (1 dia / 24 horas) * ( Custo médio anual do funcionário)
• Valor Esperado do Custo da Violação = (Custo médio de violação de dados) * (Probabilidade de violação de dados)

Parâmetros do modelo:

• Tamanho da organização: 10000 Funcionários (Usuários)
• Tempo para MFA (autenticação do Google ou equivalente): 10 segundos [1]
• Número médio de MFAs por dia por usuário: 1 [2]
• Custo médio anual do funcionário: $100,000
• Alertas de login por usuário por dia relacionados apenas a 1FA (acesso anômalo, compartilhamento de senha etc.): 0.01 [3]
• Alertas triados por analista por dia: 100 [4]
• Média anual SOC Custo do analista: $100,000
• Custo por software de alerta para auxiliar na investigação: $ 0.10 [5]
• Porcentagem de violações de dados como resultado de credenciais roubadas ou comprometidas: 19% [6]
• Custo médio de violação de dados: US$ 4.35 milhões [7]
• Probabilidade básica de violação de dados: 1.13% [8]
• Probabilidade de violação de dados com MFA: 0.92% [9]

Honestamente, fiquei um pouco surpreso com o quanto o atrito da MFA tradicional aumentou em termos de dólares dessa análise. Mais uma razão para adotar soluções de MFA invisíveis.

Modelo 2 — DevSecOps Executado Corretamente

DevSecOps é provavelmente a categoria mais bem desenvolvida de “Mudar a Segurança Esquerda”, e há uma série de ótimas ferramentas focadas na aplicação ou segurança de infra-estrutura teste. Ótimo aqui parece ferramentas incorporadas ao fluxo de trabalho do desenvolvedor sem atrito. Ruim, ou segurança mantida à direita, parece uma equipe de segurança desarticulada do desenvolvimento e encontrando problemas de segurança depois que as coisas foram enviadas para a produção. Este modelo compara uma organização que realiza o desenvolvimento de software com DevSecOps implantado ao máximo, versus um que adota uma abordagem puramente reativa para segurança de software.

Custos do modelo:

• Custos do desenvolvedor = (Aplicativos de produção distintos desenvolvidos pela organização) * (Número médio de vulnerabilidades por aplicativo de produção) * (Média de horas de desenvolvimento para corrigir a vulnerabilidade em horas) * (1 ano / 52 semanas) * (1 semana / 40 horas trabalhadas) * (média anual Custo do desenvolvedor)
• Custos do analista de segurança = (Aplicativos de produção distintos desenvolvidos pela organização) * (Número médio de vulnerabilidades por aplicativo de produção) * (Equipe de segurança médiaHoras para corrigir a vulnerabilidade encontrada na produção em horas) * (1 ano / 52 semanas) * (1 semana / 40 horas trabalhadas) * (Custo médio anual do analista de segurança)
• Valor Esperado do Custo da Violação = (Custo médio de violação de dados) * (Probabilidade de violação de dados)

Parâmetros do modelo:

• Aplicativos de produção distintos desenvolvidos pela organização: 17 [10]
• Número médio de vulnerabilidades por aplicativo de produção: 30.59 [11]
• Horas médias de desenvolvimento para corrigir cada vulnerabilidade encontrada no desenvolvimento: 3.61 Horas [12]
• Horas médias de desenvolvimento para corrigir cada vulnerabilidade encontrada na produção: 10.71 Horas [13]
• Custo médio anual do desenvolvedor: $150,000
• Horas médias da equipe de segurança para corrigir cada vulnerabilidade encontrada na produção: 3.10 [14]
• Custo médio anual do analista de segurança: $100,000
• Tempo médio médio para corrigir vulnerabilidades — Baixa frequência de varredura — 1–12 varreduras por dia (Shift Right Security): 217 dias [15]
• Tempo médio médio para corrigir vulnerabilidades — alta frequência de varredura — mais de 260 varreduras por dia (Shift Left Security): 62 dias [15]
• Redução Assumida de Vulnerabilidades por Alta Frequência de Varredura: 71% [16]
• Porcentagem de violações de dados como resultado de vulnerabilidades de aplicativos: 43% [17]
• Custo médio de violação de dados: US$ 4.35 milhões [6]
• Probabilidade básica de violação de dados: 1.13% [7]
• Probabilidade de violação de dados com alta frequência de varredura: 0.79% [18]

DevSecOps tem ótimas pesquisas de apoio em torno do custo para corrigir falhas de segurança em diferentes estágios de desenvolvimento (teste de unidade, teste de integração, teste de sistema, preparação, produção etc.), portanto, não foi surpreendente ver as diferenças dramáticas de deslocamento para a esquerda e para a direita neste modelo. Realmente não há desculpa em 2022 para não ser campeão de DevSecOps — isso vale para organizações de desenvolvimento de software de todos os tamanhos (essas organizações podem ser unidades dentro de organizações mais amplas).

Modelo 3 – Integração e desligamento de funcionários e ativos robustos

A integração e a demissão de funcionários e ativos são fluxos de trabalho de segurança extremamente subestimados. Feito corretamente, oferece a oportunidade de criar dados limpos e garantir controle rigoroso (EPDR, VPN, Segurança de e-mail, disco criptografado, navegador controlado pela organização, etc.) e estados de acesso no momento de integração e desligamento. Feito mal, cria trabalho extra e deixa as coisas ao acaso ou fluxos de trabalho manuais humanos. Existem muitos sistemas por aí que ajudam a colocar trilhos nesses processos. Esse modelo compara uma organização com integração e desativação de segurança perfeita, versus uma com fluxos de trabalho manuais e propensos a erros.

Custos do modelo:

• Custos de tempo de configuração da ferramenta de integração de funcionários = (Tamanho da organização) * (Taxa de rotatividade da organização) * (Tempo para integrar manualmente a TI em minutos) * (1 hora / 60 minutos) * (1 semana / 40 horas de trabalho) * (1 ano / 52 semanas) * (empregado médio anual Custo)
• Faturável SOC custos = (Organização SOC Tamanho) * (Média Anual SOC Custo do analista) * (Eficiências aplicáveis)
• Valor Esperado do Custo da Violação = (Custo médio de violação de dados) * (Probabilidade de violação de dados)

Parâmetros do modelo:

• Tamanho da organização (constante por um ano): 10000 Funcionários (Usuários)
• Taxa de rotatividade anual da organização: 47.2% [19]
• Custo médio anual do funcionário: $100,000
• Tempo para instalar e configurar manualmente o EPDR e a VPN em novos laptops: 20 Minutos [20]
• Organização SOC Tamanho 3 FTE
• Média anual SOC Custo do analista: $100,000
• SOC Ganhos de eficiência resultantes do mapeamento claro de "quem é o dono de quê", como consequência da integração de funcionários e ativos: 10% [21]
• Porcentagem de violações de dados como resultado de phishing: 16% [22]
• Porcentagem de violações de dados como resultado do desligamento inadequado de funcionários: 10% [23]
• Custo médio de violação de dados: US$ 4.35 milhões [6]
• Probabilidade básica de violação de dados: 1.13% [7]
• Probabilidade de violação de dados com controles corretos garantidos em todos os laptops de funcionários e desligamento automatizado: 0.85% [24]

Humanos cometem erros; manter as tarefas repetitivas para as máquinas. Mesmo que você assuma em uma tarefa como onboarding e offboarding os humanos cometem erros apenas 5% das vezes, são 472 erros neste modelo, contabilizando todos os funcionários onboarding e offboarding. Isso é muito baixo risco de frutas para tirar da mesa. Invista em uma ferramenta robusta que gerencie isso para sua organização, ela se pagará.

Conclusões

A segurança é uma teia complicada de compensações, mudar a segurança para a esquerda não é diferente. Eu explorei esse exercício analítico principalmente porque não posso acreditar que ainda estou vendo alertas na natureza, só possíveis porque uma organização não está implementando a MFA. Eu entendo, porém, o básico pode ser desafiador, entre lutar contra dívidas de TI herdadas ou burocracia. Seja qual for o seu papel, espero que isso tenha lhe dado uma nova munição sobre como o “Shift Left Security” pode gerar resultados de negócios e pagar por qualquer nova ferramenta necessária apenas da economia.

Agora vá em frente e coma seus vegetais.