Economics Of Shift Kaliwang Seguridad

Nakatrabaho ko na ang dose-dosenang mga SecOps at Pagtuklas at Tugon mga koponan sa nakalipas na ilang taon at naging malinaw sa akin kung gaano kahalaga na ayusin ang pinakamaraming isyu sa seguridad hangga't maaari salungat sa agos. O gaya ng mas kilala, "Shift Kaliwa Seguridad". Sa pangkalahatan, nakikita ko ang tatlong kampo sa "Shift Kaliwa Seguridad" — 1) huwag mong unawain, 2) kunin, hindi isagawa, 3) kunin, isagawa. Maaaring nasa ikatlong kampo ka na at iniisip na ang paglipat sa kaliwa ay halata at karaniwang kaalaman. Hayaan mong mapagpakumbabang ipaalala sa iyo na ito ay isang malaking mundo sa labas, at ang karaniwang organisasyon ay hindi pa sapat sa seguridad. Sa ibang paraan, ang kampo ng isa at dalawa ay pinagsama-samang higit sa bilang ng kampo na tatlo.

Bakit ganon? Well "Shift Kaliwa Seguridad" ay bago, ngunit mas mahalaga ito ay mahirap. Ito ay tulad ng patuloy na pagkain ng mga gulay sa harap ng iba pang matamis na tukso. Ang lahat ng mga nagbebenta ng seguridad ay nagsasabi na ang paglipat sa kaliwa ay nagbibigay-daan sa mas mabilis na paghahatid at mas mababang mga gastos, ngunit sa aking opinyon, hindi ito mabibilang nang makahulugan. Sa pagsusuring ito, susubukan kong tulungan ang mga practitioner ng data sa “Shift Left Security” na mauunawaan ng bawat executive at controller ng badyet — business economics. Ito ay umaangkop sa isang mahalagang mas malawak na tema ng pangangailangang i-frame ang seguridad tungkol sa paghimok ng mga resulta ng negosyo — pagpapalaki ng iyong TAM, pagpapabilis ng mga cycle ng benta, pagpapadala ng produkto nang mas mabilis — hindi lamang kumikilos bilang ehersisyo sa pagbabawas ng panganib.

Una, isang kahulugan sa antas na itinakda. Gagawin "Shift Kaliwa Seguridad" ibig sabihin ay itaas ang seguridad nang maaga at madalas sa Ikot ng Buhay ng Pag-unlad ng Organisasyon, na tutukuyin ko bilang isang superset ng karaniwang Ikot ng Buhay ng Pag-unlad ng Software. Kabilang dito ang lahat ng gagawin sa mga empleyado, vendor, kontrol sa seguridad, at digital footprint ng isang organisasyon. Ang mga isyu sa seguridad na napigilan o nadiskubre nang mas maaga, bago sila kumalat sa isang organisasyon, ay mas madali at mas murang ipatupad.

Ngayon para sa pagsusuri. Sa aking opinyon, ang paksang ito ay masyadong kumplikado upang gumawa ng ilang mataas na antas ng pagsusuri at mag-claim ng katulad nito "Ang paglipat sa kaliwa ay ginagawa kang 10% na mas mabilis at nakakatipid sa iyo ng 30%", napakaraming variable. Ang aking diskarte ay ang pagmomodelo ng napakaespesipiko, mga micro na halimbawa ng isang hypothetical na organisasyon na lumilipat pakaliwa, at tingnan kung ano ang matututuhan mula doon.

Sa mga parameter sa mga modelo sa ibaba — may ilang napakahirap na pagtatantya (o kahit na kumpletong hula sa mga lugar) na sinusubukan kong pagsama-samahin kapag mahina ang available na data. Basahin ang mga source para sa aking komentaryo, at ipaalam sa akin kung may alam kang mas mapagkakatiwalaang pananaliksik! Bukod pa rito, ang "Mga Paglabag sa Data" ay hindi lamang ang anyo ng mga kaganapan sa cyber na dapat ipag-alala, iniangkla ko ang mga ito dahil may matatag na pananaliksik sa mga gastos kumpara sa mas malabong epekto ng tatak, tiwala, atbp.

Modelo 1 — Ipinatupad ang MFA sa Buong Organisasyon

Simula sa simple. Kung iniisip mo "bawat organisasyon ay may pinaganang MFA kahit saan", kailangan mo ng reality check. Gayunpaman, ang MFA bilang iisang kontrol na naka-deploy sa isang organisasyon ay isang mahusay na intuitive na halimbawa. Itinuturing ang MFA na lumilipat pakaliwa dahil pinipigilan nito ang maraming peligrosong gawi sa kredensyal na maging posible sa simula pa lang. Inihahambing ng modelong ito ang isang hypothetical na organisasyon na may MFA na naka-deploy nang maayos sa lahat ng dako, kumpara sa isa na gumagamit lang ng 1FA.

Mga Gastos sa Modelo:

• SOC Mga Gastos sa Tauhan = (Mga Alerto sa Pag-login Bawat Gumagamit Bawat Araw na May Kaugnayan sa 1FA Lamang) * (Laki ng Organisasyon) * (Karaniwang Taunang SOC Gastos ng Analyst) / (Mga Alerto na Sinuri Bawat Analyst Bawat Araw)
• SOC Mga Gastos sa Software = (Mga Alerto sa Pag-login Bawat User Bawat Araw na May Kaugnayan Sa 1FA Lamang) * (Laki ng Organisasyon) * (Bawat Alerto na Gastos sa Software Upang Tulong sa Pagsisiyasat) * (365 Araw)
• Dolyar Pagkawala Ng Produktibo = (Average na Bilang ng MFA Bawat Araw Bawat User) * (Laki ng Organisasyon) * (Oras Upang MFA Sa Mga Segundo) / (1 Minuto / 60 Segundo) / (1 Oras / 60 Minuto) / (1 Araw / 24 Oras) * ( Average na Taunang Gastos ng Empleyado)
• Inaasahang Halaga ng Halaga ng Paglabag = (Average na Halaga Ng Paglabag sa Data) * (Kalamangan Ng Paglabag sa Data)

Mga Parameter ng Modelo:

• Laki ng Organisasyon: 10000 Empleyado (Mga Gumagamit)
• Oras Upang MFA (Google Auth O Katumbas): 10 Segundo [1]
• Average na Bilang ng MFA Bawat Araw Bawat User: 1 [2]
• Average na Taunang Gastos ng Empleyado: $100,000
• Mga Alerto sa Pag-login Bawat User Bawat Araw na May Kaugnayan Sa 1FA Lamang (Anomalyang Access, Pagbabahagi ng Password, atbp.): 0.01 [3]
• Mga Alerto na Triaged Bawat Analyst Bawat Araw: 100 [4]
• Karaniwang Taunang SOC Gastos ng Analista: $100,000
• Gastos ng Software sa Bawat Alert Para Tumulong sa Pagsisiyasat: $0.10 [5]
• Porsiyento Ng Mga Paglabag sa Data Bilang Resulta Ng Ninakaw O Nakompromisong Mga Kredensyal: 19% [6]
• Average na Halaga ng Paglabag sa Data: $4.35M [7]
• Base Likelihood Ng Data Breach: 1.13% [8]
• Posibilidad ng Data Breach Sa MFA: 0.92% [9]

Sa totoo lang, medyo nagulat ako kung gaano kalaki ang idinagdag ng friction ng tradisyonal na MFA sa mga tuntunin ng mga dolyar mula sa pagsusuring ito. Ang lahat ng higit pang dahilan upang magpatibay ng mga invisible na solusyon sa MFA.

Modelo 2 — Wastong Naisagawa ang DevSecOps

Mga DevSecOps ay marahil ang pinaka mahusay na binuo kategorya ng "Shift Kaliwa Seguridad", at mayroong maraming mahuhusay na tool na nakatuon sa aplikasyon o seguridad sa imprastraktura pagsubok. Mahusay dito mukhang tooling na naka-embed sa workflow ng developer nang walang alitan. Ang masama, o ang seguridad ay pinananatiling nasa kanan, ay mukhang isang security team na hindi nakakonekta sa pag-develop at paghahanap ng mga isyu sa seguridad pagkatapos na maipadala ang mga bagay sa produksyon. Inihahambing ng modelong ito ang isang organisasyong nagsasagawa ng software development sa Mga DevSecOps naka-deploy sa kabuuan nito, kumpara sa isa na kumukuha ng puro reaktibong diskarte seguridad ng software.

Mga Gastos sa Modelo:

• Mga Gastos ng Developer = (Mga Katangi-tanging Aplikasyon sa Produksyon na Binuo Ng Organisasyon) * (Average na Bilang ng Mga Kahinaan sa Bawat Aplikasyon ng Produksyon) * (Katamtamang Oras ng Pag-unlad Upang Mabawi ang Kahinaan Sa Mga Oras) * (1 Taon / 52 Linggo) * (1 Linggo / 40 Oras na Nagtrabaho) * (Average na Taunang Gastos ng Developer)
• Mga Gastos ng Security Analyst = (Mga Katangi-tanging Aplikasyon sa Produksyon na Binuo Ng Organisasyon) * (Average na Bilang ng Mga Kahinaan Bawat Aplikasyon sa Produksyon) * (Average na Koponan ng SeguridadMga Oras Para Maremediate ang Kahinaan sa Produksyon Sa Mga Oras) * (1 Taon / 52 Linggo) * (1 Linggo / 40 Oras na Nagtrabaho) * (Average na Halaga ng Annual Security Analyst)
• Inaasahang Halaga ng Halaga ng Paglabag = (Average na Halaga Ng Paglabag sa Data) * (Kalamangan Ng Paglabag sa Data)

Mga Parameter ng Modelo:

• Mga Natatanging Aplikasyon sa Produksyon na Binuo ng Organisasyon: 17 [10]
• Average na Bilang ng Mga Kahinaan Bawat Application ng Produksyon: 30.59 [11]
• Mga Average na Oras ng Pag-unlad Upang Mabawi ang Bawat Kahinaan na Matatagpuan Sa Pag-unlad: 3.61 Oras [12]
• Average na Oras ng Pag-unlad Upang Mabawi ang Bawat Kahinaan na Matatagpuan Sa Produksyon: 10.71 Oras [13]
• Average na Taunang Gastos ng Developer: $150,000
• Average na Mga Oras ng Koponan ng Seguridad Para Maremediate ang Bawat Kahinaan na Matatagpuan Sa Produksyon: 3.10 [14]
• Average na Halaga ng Annual Security Analyst: $100,000
• Average Mean Time To Remediate Vulnerabilities — Mababang Dalas ng Pag-scan — 1–12 Scan Bawat Araw (Shift Right Security): 217 Araw [15]
• Average Mean Time To Remediate Vulnerabilities — High Scan Frequency — 260+ Scans Bawat Araw (Shift Left Security): 62 Araw [15]
• Ipinapalagay na Pagbawas Sa Mga Kahinaan Sa pamamagitan ng Mataas na Dalas ng Pag-scan: 71% [16]
• Porsiyento Ng Mga Paglabag sa Data Bilang Resulta Ng Mga Kahinaan sa Application: 43% [17]
• Average na Halaga ng Paglabag sa Data: $4.35M [6]
• Base Likelihood Ng Data Breach: 1.13% [7]
• Posibilidad ng Paglabag sa Data na May Mataas na Dalas ng Pag-scan: 0.79% [18]

Mga DevSecOps ay may ilang mahusay na pansuportang pananaliksik na nakapalibot sa gastos upang ayusin ang mga bahid ng seguridad sa iba't ibang yugto ng pag-unlad (pagsusuri sa yunit, pagsubok ng integrasyon, pagsubok sa system, pagtatanghal ng dula, produksyon, atbp.), kaya hindi nakakagulat na makita ang mga kapansin-pansing pagkakaiba ng paglilipat sa kaliwa kumpara sa kanan sa modelong ito. Wala talagang dahilan sa 2022 para hindi maging kampeon Mga DevSecOps — na napupunta sa lahat ng laki ng mga organisasyon ng software development (maaaring mga unit ang mga organisasyong ito sa loob ng mas malawak na mga organisasyon).

Modelo 3 — Matatag na Empleyado at Asset Onboarding At Offboarding

Ang onboarding at offboarding ng mga empleyado at asset ay napakaliit na mga daloy ng trabaho sa seguridad. Tapos nang tama, nag-aalok ito ng pagkakataong lumikha ng malinis na data at ginagarantiyahan ang mahigpit na kontrol (EPDR, VPN, Email Security, disk encrypted, browser na kontrolado ng organisasyon, atbp.) at i-access ang mga estado sa oras ng onboarding at offboarding. Kung nagawa nang hindi maganda, lumilikha ito ng dagdag na trabaho at iniiwan ang mga bagay sa pagkakataon o mga manual na daloy ng trabaho ng tao. Mayroong maraming mga sistema sa labas na tumutulong sa paglalagay ng mga riles sa mga prosesong ito. Ang modelong ito ay naghahambing ng isang organisasyon na may perpektong seguridad sa onboarding at offboarding, kumpara sa isa na may manu-mano, madaling error sa daloy ng trabaho.

Mga Gastos sa Modelo:

• Gastos sa Oras ng Pag-setup ng Tool sa Onboarding ng Empleyado = (Organization Size) * (Organization Turnover Rate) * (Oras Upang Manu-manong Onboard IT Sa Minuto) * (1 Oras / 60 Minuto) * (1 Linggo / 40 Oras ng Trabaho) * (1 Taon / 52 Linggo) * (Average na Taunang Empleyado Gastos)
• Sisingilin SOC Mga Gastos = (Organisasyon SOC Sukat) * (Karaniwang Taunang SOC Gastos ng Analyst) * (Mga Naaangkop na Kahusayan)
• Inaasahang Halaga ng Halaga ng Paglabag = (Average na Halaga Ng Paglabag sa Data) * (Kalamangan Ng Paglabag sa Data)

Mga Parameter ng Modelo:

• Sukat ng Organisasyon (Patuloy sa Isang Taon): 10000 Empleyado (Mga Gumagamit)
• Rate ng Paglipat ng Taunang Organisasyon: 47.2% [19]
• Average na Taunang Gastos ng Empleyado: $100,000
• Oras Para Manu-manong I-install At I-configure ang EPDR at VPN Sa Mga Bagong Laptop: 20 Minuto [20]
• samahan SOC laki: 3 FTE
• Karaniwang Taunang SOC Gastos ng Analista: $100,000
• SOC Mga Natatamong Kahusayan Mula sa Malinis na Pagmamapa ng "Sino ang Nagmamay-ari ng Ano", Bilang Resulta ng Pag-onboard ng Empleyado at Asset: 10% [21]
• Porsiyento ng Mga Paglabag sa Data Bilang Resulta ng Phishing: 16% [22]
• Porsiyento ng Mga Paglabag sa Data Bilang Resulta ng Hindi Tamang Pag-offboard ng Empleyado: 10% [23]
• Average na Halaga ng Paglabag sa Data: $4.35M [6]
• Base Likelihood Ng Data Breach: 1.13% [7]
• Posibilidad ng Paglabag sa Data na May Garantisadong Mga Tamang Kontrol sa Bawat Laptop ng Empleyado, At Automated Offboarding: 0.85% [24]

Ang mga tao ay nagkakamali; panatilihin ang mga paulit-ulit na gawain sa mga makina. Kahit na ipinapalagay mo sa isang gawain tulad ng onboarding at offboarding na mga tao ay nagkakamali lang ng 5% ng oras, iyon ay 472 error sa modelong ito na isinasaalang-alang ang lahat ng mga empleyadong onboarding at offboarding. Iyon ay isang pulutong ng mababang hanging prutas panganib na alisin sa mesa. Mamuhunan sa isang mahusay na tool na namamahala nito para sa iyong organisasyon, babayaran nito ang sarili nito.

Konklusyon

Ang seguridad ay isang kumplikadong web ng mga tradeoff, ang paglipat ng seguridad sa kaliwa ay hindi naiiba. Madalas kong ginalugad ang analytical exercise na ito dahil hindi ako makapaniwala na nakakakita pa rin ako ng mga alerto sa ligaw na posible lang dahil hindi nagpapatupad ng MFA ang isang organisasyon. Naiintindihan ko, ang mga pangunahing kaalaman ay maaaring maging mahirap, sa pagitan ng pakikipaglaban sa legacy na utang sa IT o burukrasya. Anuman ang iyong tungkulin, sana ay nagbigay ito sa iyo ng ilang bagong bala sa kung paano ang "Shift Left Security" ay maaaring humimok ng mga resulta ng negosyo at magbayad para sa anumang bagong tool na kinakailangan mula sa ekonomiya lamang.

Ngayon pumunta ka at kumain ng iyong mga gulay.