ฉันได้ทำงานกับหลายสิบคน กลต และ การตรวจจับและการตอบสนอง ทีมงานในช่วงไม่กี่ปีที่ผ่านมา และมันชัดเจนสำหรับฉันว่าการแก้ไขปัญหาด้านความปลอดภัยให้ได้มากที่สุดมีความสำคัญเพียงใด ต้นน้ำลำธาร. หรือที่รู้จักกันทั่วไปว่า “กะซ้ายรักษาความปลอดภัย”. ในวงกว้างฉันเห็นสามค่ายบน “กะซ้ายรักษาความปลอดภัย” — 1) ไม่เข้าใจ 2) เข้าใจแล้ว ไม่ดำเนินการ 3) รับแล้ว ดำเนินการ คุณอาจอยู่ในค่ายที่สามและคิดว่าการเปลี่ยนซ้ายเป็นความรู้ทั่วไปที่ชัดเจน ให้ฉันเตือนคุณอย่างถ่อมตนว่านี่เป็นโลกใบใหญ่ และองค์กรทั่วไปก็ยังไม่บรรลุนิติภาวะในเรื่องความปลอดภัย กล่าวอีกนัยหนึ่ง ค่ายที่หนึ่งและสองรวมกันมีจำนวนมากกว่าค่ายที่สามอย่างมากมาย
ทำไมถึงเป็นอย่างนั้น? ดี “กะซ้ายรักษาความปลอดภัย” เป็นของใหม่ แต่ที่สำคัญกว่านั้นยาก มันเหมือนกับการกินผักอย่างต่อเนื่องเมื่อเผชิญกับสิ่งล่อใจอื่นๆ ผู้ค้าระบบรักษาความปลอดภัยต่างบอกว่าการเลื่อนไปทางซ้ายช่วยให้จัดส่งได้เร็วขึ้นและลดต้นทุนได้ แต่ในความคิดของฉัน ในการวิเคราะห์นี้ ฉันจะพยายามให้ข้อมูลเกี่ยวกับ “Shift Left Security” แก่ผู้ปฏิบัติงานซึ่งผู้บริหารและผู้ควบคุมงบประมาณทุกคนจะเข้าใจ — เศรษฐศาสตร์ธุรกิจ สิ่งนี้สอดคล้องกับประเด็นสำคัญที่กว้างขึ้นของความจำเป็นในการกำหนดกรอบความปลอดภัยในการขับเคลื่อนผลลัพธ์ทางธุรกิจ — ขยาย TAM ของคุณ เร่งวงจรการขาย จัดส่งผลิตภัณฑ์ให้เร็วขึ้น — ไม่เพียงทำหน้าที่เป็นแบบฝึกหัดการลดความเสี่ยงเท่านั้น
ขั้นแรกให้กำหนดระดับ ทำ “กะซ้ายรักษาความปลอดภัย” หมายถึงการเพิ่มความปลอดภัยให้เร็วขึ้นและบ่อยครั้งในวัฏจักรการพัฒนาขององค์กร ซึ่งฉันจะนิยามว่าเป็นซูเปอร์เซ็ตของวัฏจักรการพัฒนาซอฟต์แวร์ตามปกติ ซึ่งรวมถึงทุกอย่างที่เกี่ยวข้องกับพนักงาน ผู้ขาย การควบคุมความปลอดภัย และรอยเท้าดิจิทัลขององค์กร ปัญหาด้านความปลอดภัยที่ป้องกันหรือค้นพบก่อนหน้านี้ ก่อนที่ปัญหาจะแพร่กระจายไปทั่วทั้งองค์กร จะง่ายกว่าและถูกกว่าในการดำเนินการ
ตอนนี้สำหรับการวิเคราะห์ ในความคิดของฉัน วิชานี้ซับซ้อนเกินไปที่จะทำการวิเคราะห์ระดับสูงและอ้างสิทธิ์บางอย่างเช่น “การขยับไปทางซ้ายทำให้คุณเร็วขึ้น 10% และช่วยคุณประหยัด 30%”มีตัวแปรมากเกินไป วิธีการของฉันคือการสร้างแบบจำลองที่เฉพาะเจาะจงมาก ตัวอย่างเล็กๆ ขององค์กรสมมุติที่ขยับไปทางซ้าย และดูสิ่งที่สามารถเรียนรู้ได้จากสิ่งนั้น
เกี่ยวกับพารามิเตอร์ในแบบจำลองด้านล่าง — มีการประมาณค่าคร่าวๆ (หรือแม้แต่การเดาแบบสมบูรณ์ในสถานที่ต่างๆ) ที่ฉันพยายามจะรวมเข้าด้วยกันเมื่อข้อมูลที่มีอยู่ไม่ดี อ่านแหล่งที่มาสำหรับความคิดเห็นของฉัน และแจ้งให้เราทราบหากคุณทราบงานวิจัยที่น่าเชื่อถือกว่านี้! นอกจากนี้ “การละเมิดข้อมูล” ไม่ได้เป็นเพียงรูปแบบเดียวของเหตุการณ์ในโลกไซเบอร์ที่ต้องกังวล ฉันให้ความสำคัญกับเหตุการณ์เหล่านี้เพราะมีการวิจัยที่มั่นคงเกี่ยวกับค่าใช้จ่ายเมื่อเทียบกับผลกระทบที่คลุมเครือมากขึ้นของแบรนด์ ความไว้วางใจ ฯลฯ
แบบจำลอง 1 — MFA ดำเนินการทั่วทั้งองค์กร
เริ่มต้นง่ายๆ. หากคุณกำลังคิด “ทุกองค์กรเปิดใช้งาน MFA ได้ทุกที่”คุณต้องมีการตรวจสอบความเป็นจริง อย่างไรก็ตาม MFA เป็นตัวควบคุมเดียวที่ปรับใช้ทั่วทั้งองค์กร เป็นตัวอย่างที่ดีที่เข้าใจง่าย MFA ถือเป็นการเลื่อนไปทางซ้ายเพราะจะป้องกันไม่ให้พฤติกรรมการรับรองที่มีความเสี่ยงหลายอย่างเกิดขึ้นได้ตั้งแต่แรก โมเดลนี้เปรียบเทียบองค์กรสมมุติที่มีการปรับใช้ MFA ในทุกที่ กับองค์กรที่ใช้เพียง 1FA เท่านั้น
ต้นทุนแบบจำลอง:
- ต้นทุนบุคลากร SOC = (การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น) * (ขนาดองค์กร) * (ค่าใช้จ่ายนักวิเคราะห์ SOC ประจำปีโดยเฉลี่ย) / (การตรวจสอบการแจ้งเตือนต่อนักวิเคราะห์ต่อวัน)
- ต้นทุนซอฟต์แวร์ SOC = (การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น) * (ขนาดองค์กร) * (ค่าบริการต่อซอฟต์แวร์แจ้งเตือนต่อการตรวจสอบ) * (365 วัน)
- ดอลลาร์สูญเสียผลผลิต = (จำนวน MFA เฉลี่ยต่อวันต่อผู้ใช้) * (ขนาดองค์กร) * (Time To MFA เป็นวินาที) / (1 นาที / 60 วินาที) / (1 ชั่วโมง / 60 นาที) / (1 วัน / 24 ชั่วโมง) * ( ค่าใช้จ่ายพนักงานเฉลี่ยต่อปี)
- มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
พารามิเตอร์รุ่น:
- ขนาดองค์กร: พนักงาน 10000 คน (ผู้ใช้)
- Time To MFA (Google Auth หรือเทียบเท่า): 10 วินาที [1]
- จำนวน MFA เฉลี่ยต่อวันต่อผู้ใช้: 1 [2]
- ต้นทุนพนักงานเฉลี่ยต่อปี: $100,000
- การแจ้งเตือนการเข้าสู่ระบบต่อผู้ใช้ต่อวันที่เกี่ยวข้องกับ 1FA เท่านั้น (การเข้าถึงที่ผิดปกติ การแชร์รหัสผ่าน ฯลฯ): 0.01 [3]
- การแจ้งเตือนที่ Triaged ต่อนักวิเคราะห์ต่อวัน: 100 [4]
- ต้นทุนนักวิเคราะห์ SOC เฉลี่ยรายปี: $100,000
- ต้นทุนซอฟต์แวร์ต่อการแจ้งเตือนเพื่อช่วยในการตรวจสอบ: $0.10 [5]
- เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากข้อมูลรับรองที่ถูกขโมยหรือถูกบุกรุก: 19% [6]
- ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [7]
- ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [8]
- โอกาสในการละเมิดข้อมูลด้วย MFA: 0.92% [9]
สุจริตฉันรู้สึกประหลาดใจเล็กน้อยที่ความขัดแย้งของ MFA แบบดั้งเดิมเพิ่มขึ้นในแง่ของดอลลาร์จากการวิเคราะห์นี้ ยิ่งมีเหตุผลมากขึ้นในการนำโซลูชัน MFA ที่มองไม่เห็นมาใช้
รุ่น 2 — DevSecOps ดำเนินการอย่างเหมาะสม
DevSecOps น่าจะเป็นหมวดที่พัฒนาดีที่สุดของ “กะซ้ายรักษาความปลอดภัย”และมีเครื่องมือที่ยอดเยี่ยมมากมายที่เน้นการใช้งานหรือ ความปลอดภัยโครงสร้างพื้นฐาน การทดสอบ เยี่ยมมากที่นี่ดูเหมือนเครื่องมือที่ฝังอยู่ในเวิร์กโฟลว์ของนักพัฒนาซอฟต์แวร์โดยไม่มีการเสียดสี แย่ หรือการรักษาความปลอดภัยถูกเก็บไว้ทางด้านขวา ดูเหมือนว่าทีมรักษาความปลอดภัยจะแยกออกจากการพัฒนาและพบปัญหาด้านความปลอดภัยหลังจากที่ได้จัดส่งสิ่งของไปยังการผลิตแล้ว โมเดลนี้เปรียบเทียบองค์กรที่ดำเนินการพัฒนาซอฟต์แวร์กับ DevSecOps ปรับใช้อย่างเต็มที่ เทียบกับแนวทางที่ตอบสนองอย่างหมดจดเพื่อ ความปลอดภัยของซอฟต์แวร์.
ต้นทุนแบบจำลอง:
- ต้นทุนนักพัฒนา = (แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร) * (จำนวนช่องโหว่โดยเฉลี่ยต่อแอปพลิเคชันการผลิต) * (ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขช่องโหว่ในชั่วโมง) * (1 ปี / 52 สัปดาห์) * (1 สัปดาห์ / 40 ชั่วโมงทำงาน) * (รายปีโดยเฉลี่ย ต้นทุนนักพัฒนา)
- ต้นทุนนักวิเคราะห์ความปลอดภัย = (แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร) * (จำนวนช่องโหว่เฉลี่ยต่อแอปพลิเคชันการผลิต) * (ชั่วโมงทีมรักษาความปลอดภัยเฉลี่ยในการแก้ไขช่องโหว่ที่พบในการผลิตในเวลาไม่กี่ชั่วโมง) * (1 ปี / 52 สัปดาห์) * (ทำงาน 1 สัปดาห์ / 40 ชั่วโมง) * (ค่าใช้จ่ายนักวิเคราะห์ความปลอดภัยประจำปีโดยเฉลี่ย)
- มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
พารามิเตอร์รุ่น:
- แอปพลิเคชันการผลิตที่แตกต่างซึ่งพัฒนาโดยองค์กร: 17 [10]
- จำนวนช่องโหว่โดยเฉลี่ยต่อแอปพลิเคชันการผลิต: 30.59 [11]
- ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขจุดอ่อนแต่ละจุดที่พบในการพัฒนา: 3.61 ชั่วโมง [12]
- ชั่วโมงการพัฒนาโดยเฉลี่ยเพื่อแก้ไขจุดอ่อนแต่ละจุดที่พบในการผลิต: 10.71 ชั่วโมง [13]
- ต้นทุนนักพัฒนารายปีเฉลี่ย: $150,000
- ชั่วโมงโดยเฉลี่ยของทีมรักษาความปลอดภัยในการแก้ไขจุดอ่อนแต่ละจุดที่พบในการผลิต: 3.10 [14]
- ค่าใช้จ่ายนักวิเคราะห์ความปลอดภัยประจำปีโดยเฉลี่ย: $100,000
- เวลาเฉลี่ยในการแก้ไขช่องโหว่ — ความถี่ในการสแกนต่ำ — 1–12 การสแกนต่อวัน (Shift Right Security): 217 วัน [15]
- เวลาเฉลี่ยในการแก้ไขช่องโหว่ — ความถี่ในการสแกนสูง — 260+ การสแกนต่อวัน (Shift Left Security): 62 วัน [15]
- สันนิษฐานว่าลดช่องโหว่ด้วยความถี่การสแกนสูง: 71% [16]
- เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากช่องโหว่ของแอปพลิเคชัน: 43% [17]
- ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [6]
- ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [7]
- โอกาสที่ข้อมูลจะถูกละเมิดด้วยความถี่ในการสแกนสูง: 0.79% [18]
DevSecOps มีงานวิจัยสนับสนุนที่ยอดเยี่ยมเกี่ยวกับค่าใช้จ่ายในการแก้ไขข้อบกพร่องด้านความปลอดภัยในขั้นตอนต่างๆ ของการพัฒนา (การทดสอบหน่วย การทดสอบการรวม การทดสอบระบบ การจัดเตรียม การผลิต ฯลฯ) ดังนั้นจึงไม่น่าแปลกใจที่จะเห็นความแตกต่างอย่างมากของการขยับซ้ายขวา ในรุ่นนี้ ไม่มีข้อแก้ตัวใดๆ ในปี 2022 ที่จะไม่เป็นแชมป์ของ DevSecOps — ที่ใช้ได้กับองค์กรพัฒนาซอฟต์แวร์ทุกขนาด (องค์กรเหล่านี้สามารถเป็นหน่วยภายในองค์กรที่กว้างกว่าได้)
แบบจำลอง 3 — การเริ่มต้นใช้งานและการเลิกจ้างพนักงานที่แข็งแกร่งและทรัพย์สิน
การปฐมนิเทศและการลาออกจากงานของพนักงานและทรัพย์สินเป็นเวิร์กโฟลว์การรักษาความปลอดภัยที่ประเมินค่าต่ำเกินไป ทำถูกต้องแล้ว เปิดโอกาสให้สร้างข้อมูลที่สะอาดและรับประกันการควบคุมที่เข้มงวด (EPDR, VPN, ความปลอดภัยของอีเมล, การเข้ารหัสดิสก์, เบราว์เซอร์ที่ควบคุมโดยองค์กร ฯลฯ) และสถานะการเข้าถึงในเวลาเริ่มต้นและนอกเวลาทำการ ทำได้ไม่ดี จะสร้างงานพิเศษและปล่อยให้สิ่งต่าง ๆ เป็นไปตามโอกาสหรือเวิร์กโฟลว์ของมนุษย์ มีระบบมากมายที่ช่วยวางรางในกระบวนการเหล่านี้ โมเดลนี้เปรียบเทียบองค์กรที่มีการปฐมนิเทศและเริ่มต้นการรักษาความปลอดภัยที่สมบูรณ์แบบ เทียบกับแบบที่มีขั้นตอนการทำงานด้วยตนเองและมีแนวโน้มที่จะเกิดข้อผิดพลาด
ต้นทุนแบบจำลอง:
- ค่าใช้จ่ายในการติดตั้งเครื่องมือในการเตรียมความพร้อมของพนักงาน = (ขนาดองค์กร) * (อัตราการหมุนเวียนขององค์กร) * (ระยะเวลาในการออนบอร์ดไอทีด้วยตนเองเป็นนาที) * (1 ชั่วโมง / 60 นาที) * (1 สัปดาห์ / 40 ชั่วโมงทำงาน) * (1 ปี / 52 สัปดาห์) * (พนักงานประจำปีโดยเฉลี่ย ค่าใช้จ่าย)
- ค่าใช้จ่าย SOC ที่เรียกเก็บเงินได้ = (ขนาด SOC ขององค์กร) * (ค่าใช้จ่ายนักวิเคราะห์ SOC ประจำปีโดยเฉลี่ย) * (ประสิทธิภาพที่เกี่ยวข้อง)
- มูลค่าที่คาดหวังของต้นทุนการละเมิด = (ต้นทุนเฉลี่ยของการละเมิดข้อมูล) * (โอกาสในการละเมิดข้อมูล)
พารามิเตอร์รุ่น:
- ขนาดองค์กร (คงที่ต่อปี): พนักงาน 10000 คน (ผู้ใช้)
- อัตราการหมุนเวียนองค์กรประจำปี: 47.2% [19]
- ต้นทุนพนักงานเฉลี่ยต่อปี: $100,000
- เวลาในการติดตั้งและกำหนดค่า EPDR และ VPN ด้วยตนเองบนแล็ปท็อปเครื่องใหม่: 20 นาที (20)
- ขนาด SOC ขององค์กร: 3 FTE
- ต้นทุนนักวิเคราะห์ SOC เฉลี่ยรายปี: $100,000
- ประสิทธิภาพ SOC เพิ่มขึ้นจากการทำแผนที่ที่ชัดเจนของ "ใครเป็นเจ้าของอะไร" อันเป็นผลมาจากการเริ่มต้นใช้งานของพนักงานและทรัพย์สิน: 10% [21]
- เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากฟิชชิ่ง: 16% [22]
- เปอร์เซ็นต์ของการละเมิดข้อมูลอันเป็นผลมาจากการออกจากงานของพนักงานที่ไม่เหมาะสม: 10% [23]
- ต้นทุนเฉลี่ยของการละเมิดข้อมูล: $4.35 ล้าน [6]
- ความเป็นไปได้พื้นฐานของการละเมิดข้อมูล: 1.13% [7]
- โอกาสในการละเมิดข้อมูลด้วยการรับประกันการควบคุมที่ถูกต้องบนแล็ปท็อปของพนักงานทุกเครื่อง และการออกจากงานอัตโนมัติ: 0.85% [24]
มนุษย์ทำผิดพลาด เก็บงานซ้ำ ๆ ไว้กับเครื่อง แม้ว่าคุณจะถือว่าในงาน เช่น การเริ่มใช้งานและการออกจากงาน มนุษย์ทำผิดพลาดได้เพียง 5% ของเวลาทั้งหมด นั่นคือข้อผิดพลาด 472 รายการในแบบจำลองนี้ที่บัญชีสำหรับพนักงานทุกคนที่เข้าทำงานและออกจากงาน นั่นเป็นความเสี่ยงที่ผลไม้ห้อยต่ำมากที่จะออกจากโต๊ะ ลงทุนในเครื่องมือที่มีประสิทธิภาพซึ่งจัดการสิ่งนี้สำหรับองค์กรของคุณ มันจะจ่ายเอง
สรุป
ความปลอดภัยเป็นเว็บที่ซับซ้อนของการประนีประนอม การขยับความปลอดภัยไปทางซ้ายก็ไม่ต่างกัน ฉันสำรวจแบบฝึกหัดการวิเคราะห์นี้เป็นส่วนใหญ่เพราะฉันไม่อยากเชื่อเลยว่าฉันยังคงเห็นการแจ้งเตือนในป่าเท่านั้นที่ทำได้เพราะองค์กรไม่ได้ใช้ MFA ฉันเข้าใจแล้ว พื้นฐานอาจเป็นเรื่องที่ท้าทาย ระหว่างการต่อสู้กับหนี้ไอทีแบบเดิมหรือระบบราชการ ไม่ว่าบทบาทของคุณจะเป็นอย่างไร หวังว่านี่จะทำให้คุณมีอาวุธใหม่ในการที่ “Shift Left Security” สามารถขับเคลื่อนผลลัพธ์ทางธุรกิจและจ่ายค่าเครื่องมือใหม่ที่จำเป็นจากเศรษฐศาสตร์เพียงอย่างเดียว
ตอนนี้ออกไปกินผักของคุณ