โลโก้ Stellar Cyber ​​Open XDR
ค้นหา
ปิดช่องค้นหานี้

เศรษฐศาสตร์ของกะซ้ายความปลอดภัย

เศรษฐศาสตร์ของกะซ้ายความปลอดภัย

เศรษฐศาสตร์ของกะซ้ายความปลอดภัยทำไมถึงเป็นอย่างนั้น? ดี “กะซ้ายรักษาความปลอดภัย” เป็นของใหม่ แต่ที่สำคัญกว่านั้นยาก มันเหมือนกับการกินผักอย่างต่อเนื่องเมื่อเผชิญกับสิ่งล่อใจอื่นๆ ผู้ค้าระบบรักษาความปลอดภัยต่างบอกว่าการเลื่อนไปทางซ้ายช่วยให้จัดส่งได้เร็วขึ้นและลดต้นทุนได้ แต่ในความคิดของฉัน ในการวิเคราะห์นี้ ฉันจะพยายามให้ข้อมูลเกี่ยวกับ “Shift Left Security” แก่ผู้ปฏิบัติงานซึ่งผู้บริหารและผู้ควบคุมงบประมาณทุกคนจะเข้าใจ — เศรษฐศาสตร์ธุรกิจ สิ่งนี้สอดคล้องกับประเด็นสำคัญที่กว้างขึ้นของความจำเป็นในการกำหนดกรอบความปลอดภัยในการขับเคลื่อนผลลัพธ์ทางธุรกิจ — ขยาย TAM ของคุณ เร่งวงจรการขาย จัดส่งผลิตภัณฑ์ให้เร็วขึ้น — ไม่เพียงทำหน้าที่เป็นแบบฝึกหัดการลดความเสี่ยงเท่านั้น

แบบจำลอง 1 — MFA ดำเนินการทั่วทั้งองค์กร

เริ่มต้นง่ายๆ. หากคุณกำลังคิด “ทุกองค์กรเปิดใช้งาน MFA ได้ทุกที่”คุณต้องมีการตรวจสอบความเป็นจริง อย่างไรก็ตาม MFA เป็นตัวควบคุมเดียวที่ปรับใช้ทั่วทั้งองค์กร เป็นตัวอย่างที่ดีที่เข้าใจง่าย MFA ถือเป็นการเลื่อนไปทางซ้ายเพราะจะป้องกันไม่ให้พฤติกรรมการรับรองที่มีความเสี่ยงหลายอย่างเกิดขึ้นได้ตั้งแต่แรก โมเดลนี้เปรียบเทียบองค์กรสมมุติที่มีการปรับใช้ MFA ในทุกที่ กับองค์กรที่ใช้เพียง 1FA เท่านั้น

  • ต้นทุนบุคลากร SOC (การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น) * (ขนาดองค์กร) * (ค่าใช้จ่ายนักวิเคราะห์ SOC ประจำปีโดยเฉลี่ย) / (การตรวจสอบการแจ้งเตือนต่อนักวิเคราะห์ต่อวัน)
  • ต้นทุนซอฟต์แวร์ SOC = (การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น) * (ขนาดองค์กร) * (ค่าบริการต่อซอฟต์แวร์แจ้งเตือนต่อการตรวจสอบ) * (365 วัน)
  • ดอลลาร์สูญเสียผลผลิต = (จำนวน MFA เฉลี่ยต่อวันต่อผู้ใช้) * (ขนาดองค์กร) * (Time To MFA เป็นวินาที) / (1 นาที / 60 วินาที) / (1 ชั่วโมง / 60 นาที) / (1 วัน / 24 ชั่วโมง) * ( ค่าใช้จ่ายพนักงานเฉลี่ยต่อปี)
  • มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
  • ขนาดองค์กร: พนักงาน 10000 คน (ผู้ใช้)
  • Time To MFA (Google Auth หรือเทียบเท่า): 10 วินาที [1]
  • จำนวน MFA เฉลี่ยต่อวันต่อผู้ใช้: 1 [2]
  • ต้นทุนพนักงานเฉลี่ยต่อปี: $100,000
  • การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น (การเข้าถึงที่ผิดปกติ การแชร์รหัสผ่าน ฯลฯ): 0.01 [3]
  • การแจ้งเตือนที่ Triaged ต่อนักวิเคราะห์ต่อวัน: 100 [4]
  • ต้นทุนนักวิเคราะห์ SOC เฉลี่ยรายปี: $100,000
  • ต้นทุนซอฟต์แวร์ต่อการแจ้งเตือนเพื่อช่วยในการตรวจสอบ: $0.10 [5]
  • เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากข้อมูลรับรองที่ถูกขโมยหรือถูกบุกรุก: 19% [6]
  • ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [7]
  • ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [8]
  • โอกาสในการละเมิดข้อมูลด้วย MFA: 0.92% [9]

รุ่น 2 — DevSecOps ดำเนินการอย่างเหมาะสม

DevSecOps น่าจะเป็นหมวดที่พัฒนาดีที่สุดของ “กะซ้ายรักษาความปลอดภัย”และมีเครื่องมือที่ยอดเยี่ยมมากมายที่เน้นการใช้งานหรือ ความปลอดภัยโครงสร้างพื้นฐาน การทดสอบ เยี่ยมมากที่นี่ดูเหมือนเครื่องมือที่ฝังอยู่ในเวิร์กโฟลว์ของนักพัฒนาซอฟต์แวร์โดยไม่มีการเสียดสี แย่ หรือการรักษาความปลอดภัยถูกเก็บไว้ทางด้านขวา ดูเหมือนว่าทีมรักษาความปลอดภัยจะแยกออกจากการพัฒนาและพบปัญหาด้านความปลอดภัยหลังจากที่ได้จัดส่งสิ่งของไปยังการผลิตแล้ว โมเดลนี้เปรียบเทียบองค์กรที่ดำเนินการพัฒนาซอฟต์แวร์กับ DevSecOps ปรับใช้อย่างเต็มที่ เทียบกับแนวทางที่ตอบสนองอย่างหมดจดเพื่อ ความปลอดภัยของซอฟต์แวร์.

  • ต้นทุนนักพัฒนา (แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร) * (จำนวนช่องโหว่โดยเฉลี่ยต่อแอปพลิเคชันการผลิต) * (ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขช่องโหว่ในชั่วโมง) * (1 ปี / 52 สัปดาห์) * (1 สัปดาห์ / 40 ชั่วโมงทำงาน) * (รายปีโดยเฉลี่ย ต้นทุนนักพัฒนา)
  • ต้นทุนนักวิเคราะห์ความปลอดภัย = (แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร) * (จำนวนช่องโหว่เฉลี่ยต่อแอปพลิเคชันการผลิต) * (ชั่วโมงทีมรักษาความปลอดภัยเฉลี่ยในการแก้ไขช่องโหว่ที่พบในการผลิตในเวลาไม่กี่ชั่วโมง) * (1 ปี / 52 สัปดาห์) * (ทำงาน 1 สัปดาห์ / 40 ชั่วโมง) * (ค่าใช้จ่ายนักวิเคราะห์ความปลอดภัยประจำปีโดยเฉลี่ย)
  • มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
  • แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร: 17 [10]
  • จำนวนช่องโหว่โดยเฉลี่ยต่อแอปพลิเคชันการผลิต: 30.59 [11]
  • ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขจุดอ่อนแต่ละจุดที่พบในการพัฒนา: 3.61 ชั่วโมง [12]
  • ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขจุดอ่อนแต่ละจุดที่พบในการผลิต: 10.71 ชั่วโมง [13]
  • ต้นทุนนักพัฒนารายปีเฉลี่ย: $150,000
  • ชั่วโมงโดยเฉลี่ยของทีมรักษาความปลอดภัยในการแก้ไขจุดอ่อนแต่ละจุดที่พบในการผลิต: 3.10 [14]
  • ค่าใช้จ่ายนักวิเคราะห์ความปลอดภัยประจำปีโดยเฉลี่ย: $100,000
  • เวลาเฉลี่ยในการแก้ไขช่องโหว่ — ความถี่ในการสแกนต่ำ — 1–12 การสแกนต่อวัน (Shift Right Security): 217 วัน [15]
  • เวลาเฉลี่ยในการแก้ไขช่องโหว่ — ความถี่ในการสแกนสูง — 260+ การสแกนต่อวัน (Shift Left Security): 62 วัน [15]
  • สันนิษฐานว่าลดช่องโหว่ด้วยความถี่การสแกนสูง: 71% [16]
  • เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากช่องโหว่ของแอปพลิเคชัน: 43% [17]
  • ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [6]
  • ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [7]
  • โอกาสที่ข้อมูลจะถูกละเมิดด้วยความถี่ในการสแกนสูง: 0.79% [18]

แบบจำลอง 3 — การเริ่มต้นใช้งานและการเลิกจ้างพนักงานที่แข็งแกร่งและทรัพย์สิน

การปฐมนิเทศและการลาออกจากงานของพนักงานและทรัพย์สินเป็นเวิร์กโฟลว์การรักษาความปลอดภัยที่ประเมินค่าต่ำเกินไป ทำถูกต้องแล้ว เปิดโอกาสให้สร้างข้อมูลที่สะอาดและรับประกันการควบคุมที่เข้มงวด (EPDR, VPN, ความปลอดภัยของอีเมล, การเข้ารหัสดิสก์, เบราว์เซอร์ที่ควบคุมโดยองค์กร ฯลฯ) และสถานะการเข้าถึงในเวลาเริ่มต้นและนอกเวลาทำการ ทำได้ไม่ดี จะสร้างงานพิเศษและปล่อยให้สิ่งต่าง ๆ เป็นไปตามโอกาสหรือเวิร์กโฟลว์ของมนุษย์ มีระบบมากมายที่ช่วยวางรางในกระบวนการเหล่านี้ โมเดลนี้เปรียบเทียบองค์กรที่มีการปฐมนิเทศและเริ่มต้นการรักษาความปลอดภัยที่สมบูรณ์แบบ เทียบกับแบบที่มีขั้นตอนการทำงานด้วยตนเองและมีแนวโน้มที่จะเกิดข้อผิดพลาด

  • ค่าใช้จ่ายในการติดตั้งเครื่องมือในการเตรียมความพร้อมของพนักงาน (ขนาดองค์กร) * (อัตราการหมุนเวียนขององค์กร) * (ระยะเวลาในการออนบอร์ดไอทีด้วยตนเองเป็นนาที) * (1 ชั่วโมง / 60 นาที) * (1 สัปดาห์ / 40 ชั่วโมงทำงาน) * (1 ปี / 52 สัปดาห์) * (พนักงานประจำปีโดยเฉลี่ย ค่าใช้จ่าย)
  • ค่าใช้จ่าย SOC ที่เรียกเก็บเงินได้ (ขนาด SOC ขององค์กร) * (ค่าใช้จ่ายนักวิเคราะห์ SOC ประจำปีโดยเฉลี่ย) * (ประสิทธิภาพที่เกี่ยวข้อง)
  • มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
  • ขนาดองค์กร (คงที่ต่อปี): พนักงาน 10000 คน (ผู้ใช้)
  • อัตราการหมุนเวียนองค์กรประจำปี: 47.2% [19]
  • ต้นทุนพนักงานเฉลี่ยต่อปี: $100,000
  • เวลาในการติดตั้งและกำหนดค่า EPDR และ VPN ด้วยตนเองบนแล็ปท็อปเครื่องใหม่: 20 นาที (20)
  • ขนาด SOC ขององค์กร: 3 FTE
  • ต้นทุนนักวิเคราะห์ SOC เฉลี่ยรายปี: $100,000
  • ประสิทธิภาพ SOC เพิ่มขึ้นจากการทำแผนที่ที่ชัดเจนของ "ใครเป็นเจ้าของอะไร" อันเป็นผลมาจากการเริ่มต้นใช้งานของพนักงานและทรัพย์สิน: 10% [21]
  • เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากฟิชชิ่ง: 16% [22]
  • เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากการออกจากงานของพนักงานที่ไม่เหมาะสม: 10% [23]
  • ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [6]
  • ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [7]
  • โอกาสในการละเมิดข้อมูลด้วยการรับประกันการควบคุมที่ถูกต้องบนแล็ปท็อปของพนักงานทุกเครื่อง และการออกจากงานอัตโนมัติ: 0.85% [24]

สรุป

ความปลอดภัยเป็นเว็บที่ซับซ้อนของการประนีประนอม การขยับความปลอดภัยไปทางซ้ายก็ไม่ต่างกัน ฉันสำรวจแบบฝึกหัดการวิเคราะห์นี้เป็นส่วนใหญ่เพราะฉันไม่อยากเชื่อเลยว่าฉันยังคงเห็นการแจ้งเตือนในป่าเท่านั้นที่ทำได้เพราะองค์กรไม่ได้ใช้ MFA ฉันเข้าใจแล้ว พื้นฐานอาจเป็นเรื่องที่ท้าทาย ระหว่างการต่อสู้กับหนี้ไอทีแบบเดิมหรือระบบราชการ ไม่ว่าบทบาทของคุณจะเป็นอย่างไร หวังว่านี่จะทำให้คุณมีอาวุธใหม่ในการที่ “Shift Left Security” สามารถขับเคลื่อนผลลัพธ์ทางธุรกิจและจ่ายค่าเครื่องมือใหม่ที่จำเป็นจากเศรษฐศาสตร์เพียงอย่างเดียว

เลื่อนไปที่ด้านบน