Kinh tế của sự chuyển dịch sang trái An ninh

Tôi đã làm việc với hàng tá giây và Phát hiện và phản hồi trong vài năm qua và tôi đã trở nên rõ ràng tầm quan trọng của việc khắc phục càng nhiều vấn đề bảo mật càng tốt Thượng nguồn. Hay như nó thường được biết đến nhiều hơn, “Chuyển trái bảo mật”. Nói chung, tôi thấy ba trại trên “Chuyển trái bảo mật” - 1) không hiểu nó, 2) hiểu nó, không thực thi nó, 3) hiểu nó, thực thi nó. Bạn có thể đang ở trong trại thứ ba và nghĩ rằng dịch chuyển sang trái là kiến ​​thức hiển nhiên và phổ biến. Hãy để tôi khiêm tốn nhắc bạn rằng đó là một thế giới rộng lớn ngoài kia, và một tổ chức trung bình còn non nớt về an ninh một cách đáng kinh ngạc. Nói cách khác, trại một và hai cộng lại đông hơn hẳn trại ba.

Tại sao vậy? Tốt “Chuyển trái bảo mật” là mới, nhưng quan trọng hơn là nó khó. Nó cũng giống như việc liên tục ăn rau khi đối mặt với những cám dỗ có đường khác. Các nhà cung cấp bảo mật đều nói rằng dịch chuyển sang trái cho phép giao hàng nhanh hơn và chi phí thấp hơn, nhưng theo tôi, không bao giờ định lượng một cách có ý nghĩa. Trong phân tích này, tôi sẽ cố gắng cung cấp cho các học viên dữ liệu về “Bảo mật sang trái” mà mọi nhà điều hành và kiểm soát ngân sách sẽ hiểu - kinh tế kinh doanh. Điều này phù hợp với một chủ đề quan trọng rộng lớn hơn về nhu cầu định khung bảo mật để thúc đẩy kết quả kinh doanh - tăng TAM của bạn, thúc đẩy chu kỳ bán hàng, vận chuyển sản phẩm nhanh hơn - không chỉ hoạt động như một bài tập giảm thiểu rủi ro.

Đầu tiên, một định nghĩa cho mức độ được thiết lập. Làm “Chuyển trái bảo mật” có nghĩa là tăng cường bảo mật sớm và thường xuyên trong Vòng đời phát triển của Tổ chức, mà tôi sẽ định nghĩa là một tập hợp chính của Vòng đời phát triển phần mềm thông thường. Điều này bao gồm mọi thứ cần làm với nhân viên, nhà cung cấp, kiểm soát bảo mật và dấu ấn kỹ thuật số của một tổ chức. Các vấn đề bảo mật được ngăn chặn hoặc phát hiện sớm hơn, trước khi chúng được phổ biến trong toàn tổ chức, sẽ dễ dàng hơn và rẻ hơn để thực hiện.

Bây giờ để phân tích. Theo ý kiến ​​của tôi, chủ đề này quá phức tạp để thực hiện một số phân tích cấp cao và yêu cầu một số thứ như "Chuyển sang trái giúp bạn nhanh hơn 10% và tiết kiệm 30%", có quá nhiều biến. Cách tiếp cận của tôi sẽ là mô hình hóa các ví dụ rất cụ thể, vi mô về một tổ chức giả định đang dịch chuyển sang trái, và xem có thể học được gì từ đó.

Về các tham số trong các mô hình bên dưới - có một số ước tính rất thô sơ (hoặc thậm chí ước tính hoàn chỉnh ở các vị trí) mà tôi cố gắng tổng hợp lại khi dữ liệu có sẵn kém. Đọc các nguồn cho bài bình luận của tôi và cho tôi biết nếu bạn biết về nghiên cứu đáng tin cậy hơn! Ngoài ra, “Vi phạm dữ liệu” không phải là dạng sự kiện mạng duy nhất đáng lo ngại, tôi tin tưởng vào chúng vì đã có nghiên cứu vững chắc về chi phí so với những ảnh hưởng sâu sắc hơn của thương hiệu, lòng tin, v.v.

Mô hình 1 - MFA được triển khai trong toàn tổ chức

Bắt đầu đơn giản. Nếu bạn đang nghĩ “Mọi tổ chức đã bật MFA ở mọi nơi”, bạn cần kiểm tra thực tế. Tuy nhiên, MFA dưới dạng một kiểm soát duy nhất được triển khai trong một tổ chức là một ví dụ trực quan tuyệt vời. MFA được coi là dịch chuyển sang trái vì nó ngăn chặn nhiều hành vi xác thực rủi ro không bao giờ có thể xảy ra ngay từ đầu. Mô hình này so sánh một tổ chức giả định với MFA được triển khai ở mọi nơi một cách hợp lý, so với một tổ chức chỉ sử dụng 1FA.

Chi phí mô hình:

• SOC Chi phí nhân sự = (Số lượng cảnh báo đăng nhập mỗi người dùng mỗi ngày liên quan đến xác thực một yếu tố) * (Quy mô tổ chức) * (Trung bình hàng năm) SOC (Chi phí phân tích viên) / (Số cảnh báo được phân loại mỗi phân tích viên mỗi ngày)
• SOC Chi phí phần mềm = (Cảnh báo đăng nhập cho mỗi người dùng mỗi ngày Chỉ liên quan đến 1FA) * (Quy mô tổ chức) * (Chi phí phần mềm cho mỗi cảnh báo để hỗ trợ điều tra) * (365 ngày)
• Dollar mất năng suất = (Số MFA trung bình mỗi ngày trên mỗi người dùng) * (Quy mô tổ chức) * (Thời gian để MFA tính bằng giây) / (1 phút / 60 giây) / (1 giờ / 60 phút) / (1 ngày / 24 giờ) * ( Chi phí nhân viên trung bình hàng năm)
• Giá trị Dự kiến ​​của Chi phí Vi phạm = (Chi phí vi phạm dữ liệu trung bình) * (Khả năng vi phạm dữ liệu)

Thông số mô hình:

• Quy mô tổ chức: 10000 nhân viên (người dùng)
• Thời gian đến MFA (Google Auth hoặc tương đương): 10 giây [1]
• Số lượng MFA trung bình mỗi ngày cho mỗi người dùng: 1 [2]
• Chi phí nhân viên trung bình hàng năm: $100,000
• Cảnh báo đăng nhập cho mỗi người dùng mỗi ngày Chỉ liên quan đến 1FA (Truy cập bất thường, Chia sẻ mật khẩu, v.v.): 0.01 [3]
• Cảnh báo được thử nghiệm cho mỗi nhà phân tích mỗi ngày: 100 [4]
• Trung bình hàng năm SOC Chi phí phân tích: $100,000
• Chi phí cho mỗi phần mềm cảnh báo để hỗ trợ điều tra: 0.10 đô la [5]
• Phần trăm vi phạm dữ liệu do kết quả của thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm: 19% [6]
• Chi phí vi phạm dữ liệu trung bình: 4.35 triệu đô la [7]
• Khả năng xảy ra vi phạm dữ liệu cơ bản: 1.13% [8]
• Khả năng vi phạm dữ liệu với MFA: 0.92% [9]

Thành thật mà nói, tôi hơi ngạc nhiên về mức độ ma sát của MFA truyền thống tính theo đô la từ phân tích này. Tất cả càng có nhiều lý do để áp dụng các giải pháp MFA vô hình.

Mô hình 2 - DevSecOps được thực thi đúng cách

DevSecOps có lẽ là danh mục được phát triển tốt nhất trong số “Chuyển trái bảo mật”và có một số công cụ tuyệt vời tập trung vào ứng dụng hoặc an ninh cơ sở hạ tầng thử nghiệm. Tuyệt vời ở đây trông giống như công cụ được nhúng vào quy trình làm việc của nhà phát triển mà không gặp khó khăn. Kém, hoặc bảo mật được giữ ở bên phải, có vẻ như một nhóm bảo mật bị tách rời khỏi quá trình phát triển và tìm ra các vấn đề bảo mật sau khi mọi thứ đã được chuyển đến sản xuất. Mô hình này so sánh một tổ chức tiến hành phát triển phần mềm với DevSecOps được triển khai hết mức, so với một phương pháp có cách tiếp cận phản ứng hoàn toàn để bảo mật phần mềm.

Chi phí mô hình:

• Chi phí cho nhà phát triển = (Các ứng dụng sản xuất riêng biệt được phát triển bởi tổ chức) * (Số lượng lỗ hổng trung bình trên mỗi ứng dụng sản xuất) * (Số giờ phát triển trung bình để khắc phục lỗ hổng trong giờ) * (1 năm / 52 tuần) * (1 tuần / 40 giờ làm việc) * (Trung bình hàng năm Chi phí nhà phát triển)
• Chi phí cho nhà phân tích bảo mật = (Các ứng dụng sản xuất riêng biệt do tổ chức phát triển) * (Số lỗ hổng trung bình trên mỗi ứng dụng sản xuất) * (Đội bảo mật trung bình (Chi phí nhà phân tích bảo mật trung bình hàng năm)
• Giá trị Dự kiến ​​của Chi phí Vi phạm = (Chi phí vi phạm dữ liệu trung bình) * (Khả năng vi phạm dữ liệu)

Thông số mô hình:

• Các ứng dụng sản xuất riêng biệt do tổ chức phát triển: 17 [10]
• Số lỗ hổng trung bình trên mỗi ứng dụng sản xuất: 30.59 [11]
• Số giờ phát triển trung bình để khắc phục từng lỗ hổng được tìm thấy trong quá trình phát triển: 3.61 giờ [12]
• Số giờ phát triển trung bình để khắc phục từng lỗ hổng được tìm thấy trong quá trình sản xuất: 10.71 giờ [13]
• Chi phí nhà phát triển trung bình hàng năm: $150,000
• Số giờ trung bình của đội bảo mật để khắc phục từng lỗ hổng bảo mật được tìm thấy trong quá trình sản xuất: 3.10 [14]
• Chi phí phân tích bảo mật trung bình hàng năm: $100,000
• Thời gian trung bình trung bình để khắc phục lỗ hổng - Tần suất quét thấp - 1–12 lần quét mỗi ngày (Shift Right Security): 217 ngày [15]
• Thời gian trung bình trung bình để khắc phục các lỗ hổng - Tần suất quét cao - hơn 260 lần quét mỗi ngày (Shift Left Security): 62 ngày [15]
• Giả sử giảm lỗ hổng bằng tần số quét cao: 71% [16]
• Phần trăm vi phạm dữ liệu do kết quả của lỗ hổng ứng dụng: 43% [17]
• Chi phí vi phạm dữ liệu trung bình: 4.35 triệu đô la [6]
• Khả năng xảy ra vi phạm dữ liệu cơ bản: 1.13% [7]
• Khả năng vi phạm dữ liệu với tần số quét cao: 0.79% [18]

DevSecOps có một số nghiên cứu hỗ trợ tuyệt vời xung quanh chi phí để sửa các lỗi bảo mật ở các giai đoạn phát triển khác nhau (kiểm thử đơn vị, kiểm tra tích hợp, kiểm tra hệ thống, dàn dựng, sản xuất, v.v.), vì vậy không ngạc nhiên khi thấy sự khác biệt đáng kể của việc chuyển sang trái so với phải trong mô hình này. Thực sự không có lý do gì vào năm 2022 để không trở thành nhà vô địch của DevSecOps - điều đó áp dụng cho mọi quy mô của các tổ chức phát triển phần mềm (các tổ chức này có thể là các đơn vị trong các tổ chức rộng lớn hơn).

Mô hình 3 - Giới thiệu và giới thiệu nhân viên và tài sản mạnh mẽ

Giới thiệu và giới thiệu nhân viên và tài sản là quy trình công việc bảo mật được đánh giá thấp. Được thực hiện đúng cách, nó mang lại cơ hội tạo dữ liệu sạch và đảm bảo kiểm soát chặt chẽ (EPDR, VPN, Bảo mật email, đĩa được mã hóa, trình duyệt do tổ chức kiểm soát, v.v.) và trạng thái truy cập tại thời điểm giới thiệu và giới thiệu. Hoàn thành kém, nó tạo ra thêm công việc và để lại những thứ ngẫu nhiên hoặc quy trình làm việc thủ công của con người. Có rất nhiều hệ thống trên mạng giúp đặt đường ray cho các quá trình này. Mô hình này so sánh một tổ chức có quy trình giới thiệu và giới thiệu bảo mật hoàn hảo, so với một tổ chức có quy trình làm việc thủ công, dễ xảy ra lỗi.

Chi phí mô hình:

• Chi phí thời gian thiết lập công cụ giới thiệu cho nhân viên = (Quy mô tổ chức) * (Tỷ lệ doanh thu của tổ chức) * (Thời gian sử dụng CNTT theo cách thủ công trong vài phút) * (1 giờ / 60 phút) * (1 tuần / 40 giờ làm việc) * (1 năm / 52 tuần) * (Nhân viên trung bình hàng năm Phí tổn)
• Có thể thanh toán SOC Chi phí = (Tổ chức SOC Kích thước) * (Trung bình hàng năm) SOC (Chi phí phân tích) * (Các khoản tiết kiệm áp dụng)
• Giá trị Dự kiến ​​của Chi phí Vi phạm = (Chi phí vi phạm dữ liệu trung bình) * (Khả năng vi phạm dữ liệu)

Thông số mô hình:

• Quy mô tổ chức (Không đổi trong một năm): 10000 nhân viên (người dùng)
• Tỷ lệ Doanh thu Hàng năm của Tổ chức: 47.2% [19]
• Chi phí nhân viên trung bình hàng năm: $100,000
• Thời gian để cài đặt và cấu hình EPDR và ​​VPN theo cách thủ công trên máy tính xách tay mới: 20 phút [20]
• Cơ quan SOC Kích thước: 3 FTE
• Trung bình hàng năm SOC Chi phí phân tích: $100,000
• SOC Hiệu quả được cải thiện nhờ việc lập bản đồ rõ ràng về "Ai sở hữu cái gì", kết quả của quá trình tiếp nhận nhân viên và quản lý tài sản: 10% [21]
• Phần trăm vi phạm dữ liệu do kết quả của lừa đảo: 16% [22]
• Phần trăm vi phạm dữ liệu do kết quả của việc giới thiệu nhân viên không đúng cách: 10% [23]
• Chi phí vi phạm dữ liệu trung bình: 4.35 triệu đô la [6]
• Khả năng xảy ra vi phạm dữ liệu cơ bản: 1.13% [7]
• Khả năng vi phạm dữ liệu với các điều khiển chính xác được đảm bảo trên mọi máy tính xách tay của nhân viên và tự động giới thiệu: 0.85% [24]

Con người mắc sai lầm; giữ các công việc lặp đi lặp lại cho máy móc. Ngay cả khi bạn giả định trong một nhiệm vụ như giới thiệu và giới thiệu con người chỉ mắc lỗi 5% thời gian, thì đó là 472 lỗi trong mô hình này tính cho tất cả những nhân viên giới thiệu và giới thiệu. Đó là rất nhiều rủi ro trái cây thấp để cất cánh. Đầu tư vào một công cụ mạnh mẽ quản lý điều này cho tổ chức của bạn, nó sẽ tự trả tiền.

Kết luận

Bảo mật là một mạng lưới đánh đổi phức tạp, việc thay đổi bảo mật sang trái cũng không khác gì. Tôi chủ yếu khám phá bài tập phân tích này bởi vì tôi không thể tin rằng tôi vẫn nhìn thấy các cảnh báo trong tự nhiên chỉ có thể là do một tổ chức không triển khai MFA. Tuy nhiên, tôi hiểu, những điều cơ bản có thể là thách thức, giữa việc chiến đấu với nợ công nghệ thông tin kế thừa hoặc bộ máy quan liêu. Dù vai trò của bạn là gì, hy vọng điều này đã mang lại cho bạn một số cơ sở mới về cách “Shift Left Security” có thể thúc đẩy kết quả kinh doanh và thanh toán cho bất kỳ công cụ mới nào được yêu cầu từ chỉ tính kinh tế.

Bây giờ đi ra ngoài và ăn rau của bạn.