左移安全经济学

我和几十个合作过 SecOps 和 检测与响应 在过去的几年里，我已经非常清楚解决尽可能多的安全问题是多么重要 上游. 或者更广为人知的， “左移安全”. 总的来说，我看到三个阵营 “左移安全” — 1) 不明白，2) 明白，不执行，3) 明白，执行。 你可能属于第三阵营，认为左移是显而易见的常识。 让我谦虚地提醒你，外面的世界很大，而普通的组织在安全方面非常不成熟。 换句话说，一号营地和二号营地的总和远远超过三号营地。

这是为什么？ 出色地 “左移安全” 是新的，但更重要的是它很难。 这就像在面对其他含糖的诱惑时坚持吃蔬菜一样。 安全供应商都说左移可以更快地交付和降低成本，但在我看来，永远不要有意义地量化它。 在本次分析中，我将尝试为从业者提供每个执行官和预算控制员都会理解的“左移安全”数据——商业经济学。 这符合一个重要的更广泛的主题，即需要构建关于推动业务成果的安全性——增加你的 TAM、加快销售周期、更快地运送产品——而不仅仅是作为一种降低风险的练习。

首先，定义水平集。 去做 “左移安全” 意味着尽早并经常在组织的开发生命周期中提升安全性，我将其定义为通常的软件开发生命周期的超集。 这包括与组织的员工、供应商、安全控制和数字足迹有关的一切。 在整个组织传播之前，更早地预防或发现的安全问题更容易实施且成本更低。

现在进行分析。 在我看来，这个主题太复杂了，无法进行一些高级分析并声称类似 “向左移动可以让你快 10% 并节省 30%”，变量太多了。 我的方法将建模一个假设组织左移的非常具体的微观示例，并看看可以从中学到什么。

关于下面模型中的参数——当可用数据很差时，我会尝试将一些非常粗略的估计（甚至在某些地方完全估计）汇总在一起。 阅读我的评论来源，如果您知道更值得信赖的研究，请告诉我！ 此外，“数据泄露”并不是唯一需要担心的网络事件形式，我之所以关注它们，是因为与品牌、信任等更模糊的影响相比，围绕成本进行了扎实的研究。

模型 1 — 在整个组织内实施 MFA

开始简单。 如果你在想 “每个组织都在任何地方启用了 MFA”，你需要一个现实检查。 尽管如此，MFA 作为跨组织部署的单一控件是一个很好的直观示例。 MFA 被认为是左移，因为它从一开始就防止了许多危险的凭证行为。 该模型比较了一个假设组织与 MFA 的正确部署，与仅使用 1FA 的组织进行了比较。

模型成本：

• SOC 人员成本 = （仅与 1FA 相关的每位用户每天的登录警报）*（组织规模）*（SOC 分析师平均年度成本）/（每位分析师每天分类的警报）
• SOC 软件成本 = （仅与 1FA 相关的每个用户每天的登录警报）*（组织规模）*（协助调查的每个警报软件成本）*（365 天）
• 生产力的美元损失 =（每个用户每天的 MFA 平均数）*（组织规模）*（MFA 时间，以秒为单位）/（1 分钟/60 秒）/（1 小时/60 分钟）/（1 天/24 小时）*（平均年度员工成本）
• 违约成本的预期值 = （数据泄露的平均成本）*（数据泄露的可能性）

型号参数：

• 组织规模： 10000 名员工（用户）
• 完成 MFA 的时间（Google Auth 或等效项）： 10 秒 [1]
• 每个用户每天平均 MFA 数： 1 [2]
• 平均年度员工成本： $100,000
• 每个用户每天的登录警报仅与 1FA 相关（异常访问、密码共享等）： 0.01 [3]
• 每天按分析师分类的警报： 100 [4]
• 平均每年的 SOC 分析师成本： $100,000
• 协助调查的每个警报软件成本： 0.10 美元 [5]
• 因凭证被盗或损坏而导致的数据泄露百分比： 19％[6]
• 数据泄露的平均成本： 4.35 万美元 [7]
• 数据泄露的基本可能性： 1.13％[8]
• MFA 数据泄露的可能性： 0.92％[9]

老实说，我有点惊讶传统 MFA 的摩擦在这个分析中以美元计算。 更有理由采用隐形 MFA 解决方案。

模型 2——正确执行 DevSecOps

开发安全 可能是最发达的类别 “左移安全”，并且有许多专注于应用程序或 基础设施安全 测试。 在这里看起来很棒，就像工具嵌入到开发人员工作流程中一样，没有摩擦。 糟糕的，或者说安全保持在正确的位置，看起来就像是一个安全团队与开发脱节，并在产品交付生产后发现安全问题。 该模型将进行软件开发的组织与 开发安全 充分部署，而不是采取纯粹的被动方法 软件安全.

模型成本：

• 开发人员成本 = （由组织开发的不同生产应用程序）*（每个生产应用程序的平均漏洞数）*（修复漏洞的平均开发小时数）*（1 年/52 周）*（1 周/40 小时工作）*（平均每年开发商成本）
• 安全分析师成本 = （组织开发的不同生产应用程序）*（每个生产应用程序的平均漏洞数）*（修复生产中发现的漏洞的平均安全团队小时数）*（1 年/52 周）*（1 周/40 小时工作）* （平均年度安全分析师成本）
• 违约成本的预期值 = （数据泄露的平均成本）*（数据泄露的可能性）

型号参数：

• 组织开发的不同生产应用程序： 17 [10]
• 每个生产应用程序的平均漏洞数： 30.59 [11]
• 修复开发中发现的每个漏洞的平均开发时间： 3.61 小时 [12]
• 修复生产中发现的每个漏洞的平均开发时间： 10.71 小时 [13]
• 平均年度开发人员成本： $150,000
• 修复生产中发现的每个漏洞的平均安全团队小时数： 3.10 [14]
• 平均年度安全分析师成本： $100,000
• 修复漏洞的平均平均时间 — 低扫描频率 — 每天 1-12 次扫描（安全性右移）： 217天 [15]
• 修复漏洞的平均平均时间 — 高扫描频率 — 每天 260 多次扫描（左移安全性）： 62天 [15]
• 假设通过高扫描频率减少漏洞： 71％[16]
• 应用程序漏洞导致的数据泄露百分比： 43％[17]
• 数据泄露的平均成本： 4.35 万美元 [6]
• 数据泄露的基本可能性： 1.13％[7]
• 高扫描频率的数据泄露可能性： 0.79％[18]

开发安全 围绕在不同开发阶段（单元测试、集成测试、系统测试、分段、生产等）修复安全漏洞的成本进行了一些很好的支持研究，因此看到左右移动的巨大差异也就不足为奇了在这个模型中。 2022年真的没有理由不成为冠军 开发安全 — 这适用于所有规模的软件开发组织（这些组织可以是更广泛组织内的单位）。

模型 3 — 强大的员工和资产入职和离职

员工和资产的入职和离职是被严重低估的安全工作流程。 如果做得好，它提供了创建干净数据并保证严格控制（EPDR、VPN、电子邮件安全、磁盘加密、由组织控制的浏览器等）和入职和离职时的访问状态的机会。 做得不好，它会产生额外的工作，并将事情留给机会或人工手动工作流程。 有很多系统可以帮助为这些流程设置轨道。 该模型将具有完美安全入职和离职的组织与具有手动、容易出错的工作流的组织进行比较。

模型成本：

• 员工入职工具设置时间成本 = （组织规模）*（组织流动率）*（手动加入 IT 的时间，以分钟为单位）*（1 小时/60 分钟）*（1 周/40 工作小时）*（1 年/52 周）*（平均年度员工成本）
• 可计费的 SOC 成本 = （组织 SOC 规模）*（平均年度 SOC 分析师成本）*（适用效率）
• 违约成本的预期值 = （数据泄露的平均成本）*（数据泄露的可能性）

型号参数：

• 组织规模（一年不变）： 10000 名员工（用户）
• 年度组织更替率： 47.2％[19]
• 平均年度员工成本： $100,000
• 是时候在新笔记本电脑上手动安装和配置 EPDR 和 VPN： 20 分钟 [20]
• 组织 SOC 规模： 3 FTE
• 平均每年的 SOC 分析师成本： $100,000
• 由于员工和资产入职，SOC 效率从“谁拥有什么”的清晰映射中获得： 10％[21]
• 网络钓鱼导致的数据泄露百分比： 16％[22]
• 由于员工离职不当导致的数据泄露百分比： 10％[23]
• 数据泄露的平均成本： 4.35 万美元 [6]
• 数据泄露的基本可能性： 1.13％[7]
• 通过保证对每台员工笔记本电脑进行正确控制和自动离职，数据泄露的可能性： 0.85％[24]

人类会犯错误； 将重复性任务留给机器。 即使您假设在诸如入职和离职之类的任务中，人类只有 5% 的时间会犯错误，但在这个模型中，占所有入职和离职员工的 472 个错误。 这是一个很容易被取消的风险。 投资一个强大的工具来为您的组织管理这个，它会为自己买单。

结论

安全性是一个复杂的权衡网络，向左转移安全性也不例外。 我主要探索了这个分析练习，因为我不敢相信我仍然在野外看到警报，因为一个组织没有实施 MFA。 不过我明白了，在与遗留 IT 债务或官僚作风作斗争之间，基础知识可能具有挑战性。 无论您的角色是什么，希望这能让您了解“左移安全”如何推动业务成果并为仅从经济学所需的任何新工具付费。

现在出去吃你的蔬菜。