我和几十个合作过 SecOps 和 检测与响应 在过去的几年里,我已经非常清楚解决尽可能多的安全问题是多么重要 上游. 或者更广为人知的, “左移安全”. 总的来说,我看到三个阵营 “左移安全” — 1) 不明白,2) 明白,不执行,3) 明白,执行。 你可能属于第三阵营,认为左移是显而易见的常识。 让我谦虚地提醒你,外面的世界很大,而普通的组织在安全方面非常不成熟。 换句话说,一号营地和二号营地的总和远远超过三号营地。
这是为什么? 出色地 “左移安全” 是新的,但更重要的是它很难。 这就像在面对其他含糖的诱惑时坚持吃蔬菜一样。 安全供应商都说左移可以更快地交付和降低成本,但在我看来,永远不要有意义地量化它。 在本次分析中,我将尝试为从业者提供每个执行官和预算控制员都会理解的“左移安全”数据——商业经济学。 这符合一个重要的更广泛的主题,即需要构建关于推动业务成果的安全性——增加你的 TAM、加快销售周期、更快地运送产品——而不仅仅是作为一种降低风险的练习。
首先,定义水平集。 去做 “左移安全” 意味着尽早并经常在组织的开发生命周期中提升安全性,我将其定义为通常的软件开发生命周期的超集。 这包括与组织的员工、供应商、安全控制和数字足迹有关的一切。 在整个组织传播之前,更早地预防或发现的安全问题更容易实施且成本更低。
现在进行分析。 在我看来,这个主题太复杂了,无法进行一些高级分析并声称类似 “向左移动可以让你快 10% 并节省 30%”,变量太多了。 我的方法将建模一个假设组织左移的非常具体的微观示例,并看看可以从中学到什么。
关于下面模型中的参数——当可用数据很差时,我会尝试将一些非常粗略的估计(甚至在某些地方完全估计)汇总在一起。 阅读我的评论来源,如果您知道更值得信赖的研究,请告诉我! 此外,“数据泄露”并不是唯一需要担心的网络事件形式,我之所以关注它们,是因为与品牌、信任等更模糊的影响相比,围绕成本进行了扎实的研究。
模型 1 — 在整个组织内实施 MFA
开始简单。 如果你在想 “每个组织都在任何地方启用了 MFA”,你需要一个现实检查。 尽管如此,MFA 作为跨组织部署的单一控件是一个很好的直观示例。 MFA 被认为是左移,因为它从一开始就防止了许多危险的凭证行为。 该模型比较了一个假设组织与 MFA 的正确部署,与仅使用 1FA 的组织进行了比较。
模型成本:
- SOC 人员成本 = (仅与 1FA 相关的每位用户每天的登录警报)*(组织规模)*(SOC 分析师平均年度成本)/(每位分析师每天分类的警报)
- SOC 软件成本 = (仅与 1FA 相关的每个用户每天的登录警报)*(组织规模)*(协助调查的每个警报软件成本)*(365 天)
- 生产力的美元损失 =(每个用户每天的 MFA 平均数)*(组织规模)*(MFA 时间,以秒为单位)/(1 分钟/60 秒)/(1 小时/60 分钟)/(1 天/24 小时)*(平均年度员工成本)
- 违约成本的预期值 = (数据泄露的平均成本)*(数据泄露的可能性)
型号参数:
- 组织规模: 10000 名员工(用户)
- 完成 MFA 的时间(Google Auth 或等效项): 10 秒 [1]
- 每个用户每天平均 MFA 数: 1 [2]
- 平均年度员工成本: $100,000
- 每个用户每天的登录警报仅与 1FA 相关(异常访问、密码共享等): 0.01 [3]
- 每天按分析师分类的警报: 100 [4]
- 平均每年的 SOC 分析师成本: $100,000
- 协助调查的每个警报软件成本: 0.10 美元 [5]
- 因凭证被盗或损坏而导致的数据泄露百分比: 19%[6]
- 数据泄露的平均成本: 4.35 万美元 [7]
- 数据泄露的基本可能性: 1.13%[8]
- MFA 数据泄露的可能性: 0.92%[9]
老实说,我有点惊讶传统 MFA 的摩擦在这个分析中以美元计算。 更有理由采用隐形 MFA 解决方案。
模型 2——正确执行 DevSecOps
开发安全 可能是最发达的类别 “左移安全”,并且有许多专注于应用程序或 基础设施安全 测试。 在这里看起来很棒,就像工具嵌入到开发人员工作流程中一样,没有摩擦。 糟糕的,或者说安全保持在正确的位置,看起来就像是一个安全团队与开发脱节,并在产品交付生产后发现安全问题。 该模型将进行软件开发的组织与 开发安全 充分部署,而不是采取纯粹的被动方法 软件安全.
模型成本:
- 开发人员成本 = (由组织开发的不同生产应用程序)*(每个生产应用程序的平均漏洞数)*(修复漏洞的平均开发小时数)*(1 年/52 周)*(1 周/40 小时工作)*(平均每年开发商成本)
- 安全分析师成本 = (组织开发的不同生产应用程序)*(每个生产应用程序的平均漏洞数)*(修复生产中发现的漏洞的平均安全团队小时数)*(1 年/52 周)*(1 周/40 小时工作)* (平均年度安全分析师成本)
- 违约成本的预期值 = (数据泄露的平均成本)*(数据泄露的可能性)
型号参数:
- 组织开发的不同生产应用程序: 17 [10]
- 每个生产应用程序的平均漏洞数: 30.59 [11]
- 修复开发中发现的每个漏洞的平均开发时间: 3.61 小时 [12]
- 修复生产中发现的每个漏洞的平均开发时间: 10.71 小时 [13]
- 平均年度开发人员成本: $150,000
- 修复生产中发现的每个漏洞的平均安全团队小时数: 3.10 [14]
- 平均年度安全分析师成本: $100,000
- 修复漏洞的平均平均时间 — 低扫描频率 — 每天 1-12 次扫描(安全性右移): 217天 [15]
- 修复漏洞的平均平均时间 — 高扫描频率 — 每天 260 多次扫描(左移安全性): 62天 [15]
- 假设通过高扫描频率减少漏洞: 71%[16]
- 应用程序漏洞导致的数据泄露百分比: 43%[17]
- 数据泄露的平均成本: 4.35 万美元 [6]
- 数据泄露的基本可能性: 1.13%[7]
- 高扫描频率的数据泄露可能性: 0.79%[18]
开发安全 围绕在不同开发阶段(单元测试、集成测试、系统测试、分段、生产等)修复安全漏洞的成本进行了一些很好的支持研究,因此看到左右移动的巨大差异也就不足为奇了在这个模型中。 2022年真的没有理由不成为冠军 开发安全 — 这适用于所有规模的软件开发组织(这些组织可以是更广泛组织内的单位)。
模型 3 — 强大的员工和资产入职和离职
员工和资产的入职和离职是被严重低估的安全工作流程。 如果做得好,它提供了创建干净数据并保证严格控制(EPDR、VPN、电子邮件安全、磁盘加密、由组织控制的浏览器等)和入职和离职时的访问状态的机会。 做得不好,它会产生额外的工作,并将事情留给机会或人工手动工作流程。 有很多系统可以帮助为这些流程设置轨道。 该模型将具有完美安全入职和离职的组织与具有手动、容易出错的工作流的组织进行比较。
模型成本:
- 员工入职工具设置时间成本 = (组织规模)*(组织流动率)*(手动加入 IT 的时间,以分钟为单位)*(1 小时/60 分钟)*(1 周/40 工作小时)*(1 年/52 周)*(平均年度员工成本)
- 可计费的 SOC 成本 = (组织 SOC 规模)*(平均年度 SOC 分析师成本)*(适用效率)
- 违约成本的预期值 = (数据泄露的平均成本)*(数据泄露的可能性)
型号参数:
- 组织规模(一年不变): 10000 名员工(用户)
- 年度组织更替率: 47.2%[19]
- 平均年度员工成本: $100,000
- 是时候在新笔记本电脑上手动安装和配置 EPDR 和 VPN: 20 分钟 [20]
- 组织 SOC 规模: 3 FTE
- 平均每年的 SOC 分析师成本: $100,000
- 由于员工和资产入职,SOC 效率从“谁拥有什么”的清晰映射中获得: 10%[21]
- 网络钓鱼导致的数据泄露百分比: 16%[22]
- 由于员工离职不当导致的数据泄露百分比: 10%[23]
- 数据泄露的平均成本: 4.35 万美元 [6]
- 数据泄露的基本可能性: 1.13%[7]
- 通过保证对每台员工笔记本电脑进行正确控制和自动离职,数据泄露的可能性: 0.85%[24]
人类会犯错误; 将重复性任务留给机器。 即使您假设在诸如入职和离职之类的任务中,人类只有 5% 的时间会犯错误,但在这个模型中,占所有入职和离职员工的 472 个错误。 这是一个很容易被取消的风险。 投资一个强大的工具来为您的组织管理这个,它会为自己买单。
结论
安全性是一个复杂的权衡网络,向左转移安全性也不例外。 我主要探索了这个分析练习,因为我不敢相信我仍然在野外看到警报,因为一个组织没有实施 MFA。 不过我明白了,在与遗留 IT 债务或官僚作风作斗争之间,基础知识可能具有挑战性。 无论您的角色是什么,希望这能让您了解“左移安全”如何推动业务成果并为仅从经济学所需的任何新工具付费。
现在出去吃你的蔬菜。