En mi publicación anterior sobre Cyber Threat Intelligence (CTI), hablé de al menos un beneficio inmediato de CTI como medio para reducir el costo de la administración de vulnerabilidades y parches al obviar potencialmente la necesidad de activar un ejercicio de administración de parches.
Al tener en cuenta la inteligencia procesable proporcionada por CTI en la evaluación de los riesgos planteados por las vulnerabilidades, los CISO pueden reducir la puntuación CVSS interna de una vulnerabilidad y, por lo tanto, eliminar la necesidad de aplicar parches a las aplicaciones y sistemas afectados.
En esta publicación afirmaré que la gestión de vulnerabilidades y parches es un proceso administrativo costoso . Por ‘ administrativo ‘ quiero decir que es un costo para el negocio, es un proceso que no genera ningún valor para el negocio a diferencia de un proceso que sí genera valor que defino como un servicio (según el principio NoIT de KnowIT ).
El costo de cualquier proceso administrativo para una empresa consta de los siguientes componentes:
- El costo de recursos humanos (coste de tiempo unitario de los empleados comprometidos con el proceso multiplicado por su número) – H
- La frecuencia del proceso (con qué frecuencia se ejecuta) – f
- El tiempo necesario para ejecutar el proceso (cuánto tiempo se tarda en completar por completo todas las tareas asociadas con el proceso, incluido el manejo de fallas y reintentos) – T
- El alcance del proceso (cuántas personas/aplicaciones/sistemas se ven afectados por el proceso) – S
- El costo de oportunidad perdido (un reflejo del valor generado si los recursos consumidos e impactados por este proceso administrativo fueran reasignados a un servicio) – O
Reducir cualquiera de estos componentes resultará en una reducción del costo total del proceso y nuestro modelo simplista se puede expresar matemáticamente como:
Costo Total = (f x H x T x S) + O
Nuestro modelo está lejos de ser preciso, sin embargo, es un punto de partida adecuado para identificar y cuantificar formas de reducir los costos de los procesos administrativos. Por ejemplo, veamos cómo CTI impacta el costo de la gestión de vulnerabilidades y parches, como hemos señalado, puede reducir la frecuencia, el tiempo y el alcance del proceso (abordaremos la oportunidad perdida más adelante), sin embargo, podría potencialmente aumentar el recurso humano. costos, al menos en el corto plazo, ya que necesitaremos contratar y formar un equipo de CTI. En general, podemos ver claramente los beneficios de CTI basándose únicamente en este simple análisis.
Como tomadores de decisiones de TI que trabajan para organizaciones con fines de lucro que son propiedad de accionistas, nos corresponde a nosotros identificar la tecnología, los procesos y las personas que pueden ayudar a reducir los costos de los procesos administrativos lo más cerca posible de cero o, idealmente, eliminarlos por completo. Para ver un gran ejemplo de lo que sucede cuando la empresa es chantajeada por “TI excesivamente compleja” que surge de la implementación de un proceso administrativo sucesivo sobre otro durante décadas, no busque más que aquí .
Utilizando el mismo razonamiento se debe evitar cualquier actividad que incremente uno o más de los costos componentes de un proceso administrativo. Un buen ejemplo aquí es lo que sucede cuando una empresa decide remediar todas las vulnerabilidades identificadas, por ejemplo, por SAST. Si bien este es un ejemplo artificial (ninguna empresa podrá sobrevivir al costo de intentar remediar todas las vulnerabilidades que se han identificado en el código sin tecnología que actualmente no existe), el caso extremo es instructivo. Remediar las vulnerabilidades identificadas por SAST puede aumentar los recursos humanos y ciertamente aumentará el tiempo y el alcance requeridos por la gestión de vulnerabilidades y parches. Sin embargo, como veremos más adelante, los costos de oportunidad perdida pueden ser sustanciales.
Entonces, más allá de Cyber Threat Intelligence, ¿qué otras tecnologías deberíamos utilizar para reducir los costos de gestión de vulnerabilidades y parches? La autoprotección de aplicaciones en tiempo de ejecución (RASP) es un candidato obvio. Donde hemos implementado RASP, hemos reducido todos los costos de los componentes de la gestión de vulnerabilidades y parches.
La inversión en RASP ha reducido los recursos humanos asignados a la gestión de vulnerabilidades y parches al reducir la puntuación CVSS interna de las vulnerabilidades del código que poseemos y controlamos. Esto significa que no necesitamos asignar un desarrollador para parchear el código. La vulnerabilidad ya no representa un riesgo lo suficientemente alto como para justificar la asignación del recurso para parchearla. Con nuestra implementación actual de RASP ( Waratek AppSecurity para Java ), esto es especialmente cierto para cualquier vulnerabilidad de Java que explote:
- Inyección de línea de comando
- Inyección SQL
- Secuencias de comandos entre sitios
Como describí anteriormente, reducir la puntuación CVSS también reduce la frecuencia de la administración de parches.
Algunas implementaciones de RASP pueden reducir el tiempo necesario para corregir una vulnerabilidad y también minimizar la interrupción de las aplicaciones en ejecución. El documento técnico “ Tiempo de inactividad cero para vulnerabilidades de día cero ” describe cómo la aplicación de parches virtuales y la detección de contaminación minimizan de manera efectiva las interrupciones en las aplicaciones en ejecución y al mismo tiempo maximizan la seguridad.
Finalmente, hablemos de los costos de oportunidad perdidos . Son las más difíciles de calcular y no existe una única forma correcta de medir la oportunidad perdida. Como mínimo, podríamos considerar el costo de oportunidad perdido como la cantidad que habría ganado la empresa al poner el capital asignado al proceso administrativo en una cuenta de ahorro. En condiciones de libre mercado, esto normalmente daría como resultado una ganancia acorde con la tasa de interés, pero a efectos de argumentación, llamémosla 5%. Entonces podemos decir que el costo mínimo absoluto de un proceso administrativo será:
Costo Total = (f x H x T x S) * 1,05
Sin embargo, en mi opinión, ésta es una estimación muy conservadora del coste de oportunidad perdida. Quizás una mejor manera de calcular el costo de oportunidad sea utilizar la tasa de ganancia del servicio más rentable dentro del negocio, suponiendo que si el capital asignado al proceso administrativo se hubiera dirigido a este servicio generador de valor, los ingresos aumentará proporcionalmente y, con toda probabilidad, considerablemente.
Espero que esta publicación haya elaborado el argumento a favor de una mayor automatización e innovación dentro del ámbito de la seguridad cibernética e invito a los lectores a compartir sus pensamientos y sugerencias para reducir costos.
Esta es una publicación invitada de Hussein Badakhchani.