Экономическое обоснование ликвидации «security debt»: практический подход для CISO

безопасность уязвимости риск Remediation управление csoonline.com

Лидеры информационной безопасности добились заметного прогресса в видимости угроз: организации выявляют уязвимости в приложениях, зависимостях и конвейерах разработки с более высокой согласованностью. Но дисбаланс растет: уязвимости обнаруживаются быстрее, чем исправляются; 82% организаций несут задолженность по безопасности.

Лидеры в области информационной безопасности достигли значительного прогресса в обеспечении видимости угроз. Большинство организаций теперь могут выявлять уязвимости во всём их ПО: в приложениях, зависимостях и конвейерах разработки, с гораздо большей последовательностью, чем раньше. Однако остаётся фундаментальный дисбаланс: уязвимости обнаруживаются быстрее, чем их удаётся устранить.

Этот дисбаланс растет. Сегодня 82% организаций несут задолженность по безопасности, определяемую как накопившиеся уязвимости, неразрешённые более года. При этом доля уязвимостей, классифицируемых как «серьезные» и «вероятно эксплуатируемые», продолжает расти.

Эта комбинация имеет реальные последствия. Уязвимости не только накапливаются; они сохраняются в производственных средах достаточно долго, чтобы их обнаружили и могли использовать.

Среди моих коллег—руководителей по информационной безопасности (CISOs)—разговор сместился. Теперь задача состоит в том, чтобы превратить эту реальность в бизнес‑обоснование, понятное руководству и побуждающее к инвестициям в возможности устранения уязвимостей. Ниже приведено шесть способов

Рассматривайте долг по безопасности как финансовый долг

Долг по безопасности ведёт себя гораздо как финансовый долг. Он накапливается со временем, усугубляется при отсутствии управления и создаёт постоянные расходы для бизнеса. Эти расходы проявляются в задержках релизов, аварийных мерах по устранению, результатах аудитов и реагировании на инциденты.

Эффективное управление требует той же дисциплины, которая применяется к финансовому риску. Это означает измерение общего и критического долга, постановку целей по его сокращению и отслеживание прогресса во времени. Это также означает различение допустимого и недопустимого уровней риска, а не равное отношение ко всем уязвимостям.

Я считаю, что долг по безопасности должен быть видим на исполнительном уровне. Руководящие команды регулярно отслеживают финансовые показатели, операционную устойчивость и надёжность сервиса. Долг по безопасности относится к той же категории. Он отражает риск организации и её способность управлять этим риском во времени.

Рамкивайте возможности устранения уязвимостей как бизнес‑ограничение

У большинства организаций высокая осведомлённость об уязвимостях. Ограничивающим фактором выступает способность их устранения.

Возможности устранения уязвимостей определяют, растёт ли долг по безопасности или снижается. Когда объём новых находок превышает способность организации их исправлять, формируется бэклог, увеличивается экспозиция. Эта динамика сохраняется независимо от эффективности средств обнаружения.

По моему опыту, важно количественно оценивать это ограничение. Это включает демонстрацию разрыва между находками и исправлениями, выявление мест, где остаются открытыми уязвимости высокого риска, и демонстрацию того, как долго они сохраняются. Эти данные ясно показывают, что непрерывные улучшения эффективности сами по себе не закроют разрыв.

Представление возможностей устранения в операционных терминах помогает согласовать обсуждение с приоритетами руководства. Лидеры понимают ограничения в пропускной способности инженерии, расходах на облако и доступности услуг. Возможности устранения должны рассматриваться так же.

Сосредоточьтесь на эксплуатируемом риске в критически важных системах

Долг по безопасности становится значимым, когда он связан с бизнес‑воздействием.

Не все уязвимости несут одинаковый уровень риска. Наиболее значимые обладают двумя характеристиками: их скорее всего эксплуатируют, и они существуют в приложениях, важных для бизнеса.

Традиционная система оценки серьёзности не полностью учитывает это. Общая система оценки уязвимостей CVSS остаётся полезной, но она не учитывает доступность пути достижения уязвимости, того, находится ли она в критической системе, или доступны ли техники эксплуатации.

Практический подход — встроить эксплуатируемость и бизнес‑контекст в существующие модели оценки. Это создаёт целевой набор уязвимостей высокого риска, требующих немедленного внимания. В большинстве сред это относительно небольшой процент от общего числа находок, но он охватывает большую часть потенциального воздействия.

Сосредоточив внимание на этой подвыборке, организации могут направлять ресурсы туда, где они дают наибольший эффект. Этот подход также упрощает коммуникацию рисков в бизнес‑терминах.

Приоритизируйте коронные приложения

Риск распределяется не равномерно между приложениями.

У каждой организации есть системы, которые критичнее других. Это могут быть платформы, обращённые к клиентам, сервисы, генерирующие доход, или приложения, обрабатывающие чувствительные данные. Соприкосновение с ними имеет непропорциональное влияние на бизнес.

Сосредоточение усилий по устранению уязвимостей на этих коронных приложениях быстро улучшает результаты. Наше исследование показало, что 11,3% ошибок обладают высокой степенью серьёзности и высокой эксплуатируемостью. Это обеспечивает наивысшую защиту для самых важных систем и снижает вероятность инцидентов с высоким воздействием.

Чёткие цели помогают закрепить этот фокус. За определённый период организации могут сократить критический долг по безопасности, сократить срок жизни уязвимостей высокого риска и поддерживать жёсткие пороги экспозиции в ключевых системах. Эти цели переводят активность по обеспечению безопасности в бизнес‑результаты, которые руководство может понять и поддержать.

Устанавливайте метрики, отражающие риск

Метрики занимают центральное место в формировании поведения.

Многие организации по‑прежнему опираются на количество обнаруженных или исправленных уязвимостей. Хотя эти метрики полезны, они не показывают, растет ли риск или уменьшается.

Более эффективные показатели сосредоточены на экспозиции. Это число критических или эксплуатируемых уязвимостей в ключевых системах, средний возраст этих уязвимостей и тенденции во времени. Вместе эти метрики дают более чёткую картину эволюции риска.

Связывание этих показателей с целями организации усиливает подотчётность. Снижение долга по безопасности можно включить в OKR, установив конкретные цели по снижению критического долга, сокращению возраста уязвимостей и поддержанию допустимых порогов экспозиции в высокорискованных приложениях.

Формализация принятия риска также важна. Высокорискованные уязвимости, которые остаются открытыми, должны требовать бизнес‑одобрения и определённых сроков. Это обеспечивает осознание риска и его целенаправленное управление.

Увеличение инвестиций в возможности устранения уязвимостей

Улучшение результатов в области безопасности требует устойчивых инвестиций в способность действовать.

Возможности устранения уязвимостей можно расширять несколькими путями. Организации могут выделять специальное инженерное время на работу по безопасности, интегрировать устранение уязвимостей в процессы разработки и внедрять автоматизацию для снижения объёмов ручного труда. Решения с поддержкой ИИ и автоматизированные рекомендации помогают командам эффективнее исправлять уязвимости без снижения скорости разработки.

Предотвращение новой задолженности по безопасности не менее важно. Политики, требующие устранения высокорискованных уязвимостей до релиза, помогают ограничить ввод дополнительной экспозиции. Со временем это снижает общую нагрузку на команды устранения.

Эти изменения не тормозят инновации. Они создают условия для безопасной и последовательной поставки ПО.

Согласование бизнеса вокруг снижения риска

Долг по безопасности влияет не только на функцию безопасности. Он влияет на устойчивость, регуляторную позицию и способность организации уверенно поставлять ПО.

Руководители по информационной безопасности играют ключевую роль в объединении заинтересованных сторон вокруг этой проблемы. Раскладывая долг по безопасности в терминах бизнес‑воздействия, ограничений по мощности и измеримых результатов, они могут сместить разговор с управления техническим бэклогом на снижение корпоративного риска.

Это согласование критически важно для обеспечения инвестиций. Когда руководство понимает связь между возможностями устранения и бизнес‑риском, решения о финансировании, приоритетах и компромиссах становятся ясными.

Долг по безопасности будет существовать и дальше. Важно, насколько эффективно он управляется и измеряется. Например, хорошая цель — удвоить возможности по исправлениям через инвестиции в инструменты, а не только за счёт штата сотрудников.

Организации, которые измеряют, управляют и активно инвестируют в его снижение, лучше готовы контролировать риск в масштабе. Те, кто этого не делает, будут видеть, как экспозиция растёт, даже если их видимость улучшается.

Эта статья публикуется в рамках сети экспертов Foundry Expert Contributor Network.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:

Похожие новости: