CISO-i (direktori informacione sigurnosti) znaju da modeliranje prijetnji pomaže timovima da rano identifikuju rizike i grade sigurnije sisteme. Ali izvan sigurnosnih timova, vrijednost tog pristupa često nije jasna. Kada se takmiče za budžet ili pažnju upravnog odbora, modeliranje prijetnji često izgubi u korist vidljivijih inicijativa poput novih alata ili planova odgovora na prijetnje koji prate naslove iz medija.
Problem nije u samoj praksi – već u načinu na koji se predstavlja. Da bi osigurali podršku, CISO-i moraju pokazati kako modeliranje prijetnji donosi konkretne poslovne rezultate: manje ranjivosti, brži odgovor na incidente i manje prepravki tokom razvoja. Ukratko, modeliranje prijetnji se mora prikazati ne kao luksuz, već kao ulaganje u otpornost.
Smanjenje troškova, ne samo rizika
„Postoji ona stara poslovica: ‘Unca prevencije vrijedi više od funte lijeka’,“ kaže Kasey Best, direktor prijetnji u kompaniji Silent Push. „Ali danas, kada je riječ o sigurnosnim incidentima, ta ‘funta lijeka’ može koštati kao tona ako se pogrešan akter probije.“
Predstavljanje modeliranja prijetnji isključivo kao smanjenja rizika nije uvijek dovoljno. Ali kad se poveže s finansijskim koristima – poput smanjenja vjerovatnoće povreda podataka, kraćih razvojnih ciklusa i manje hitnih zakrpa – razgovor se mijenja.
Best ističe važnost otkrivanja prijetnji prije nego što eskaliraju. Taj pristup, koji nazivaju fokusom na „predoružavanje“, se temelji na identifikaciji prijetnji u najranijim fazama, daleko prije nego što budu iskorištene.
„Ako bi organizacija mogla izabrati da zna za problem unaprijed, izabrala bi to 100% vremena“, kaže Best. „Jer tada može planirati na pravi način.“ Tu proaktivna inteligencija i rano otkrivanje mogu promijeniti tok događaja. „Mi im dajemo opciju preventivnog odgovora“, dodaje Best. „I zaista, zašto bi neko birao drugačije?“
Prosječni trošak povrede podataka je 2024. dosegao 4,88 miliona dolara, prema najnovijem izvještaju IBM-a. Taj iznos uključuje odgovor na incidente, pravne troškove, regulatorne kazne i štetu reputaciji. Iako modeliranje prijetnji neće zaustaviti svaki napad, pomaže u smanjenju broja ranjivih sistema koji su izloženi napadima.
Vrijeme je novac
Prema riječima Jareda Atkinsona, CTO-a u kompaniji SpecterOps, modeliranje prijetnji je u osnovi „razumijevanje kako bi protivnik pristupio vašem okruženju i kako bi mogao iskoristiti ranjivosti“. Za firme, to je razlika između toga da budu zatečene napadom i da imaju strateški plan odbrane spreman unaprijed.
„U poslovnom kontekstu“, objašnjava Atkinson, „to je kao da imate mapu koja pokazuje najopasnije puteve koje napadač može koristiti da kompromituje vaš sistem.“ To modeliranje čini više od tehničke vježbe – postaje alat za prenošenje stvarnih rizika osobama koje nisu tehnički stručnjaci. Umjesto da se guše u žargonu ili apstraktnim metrikama, donosioci odluka dobijaju jasnu sliku o najranjivijim dijelovima sistema i šta to znači za poslovanje.
Da bi to približio, Atkinson koristi poređenje s vojnim strategijama, kroz pojmove „mjere učinka“ (MOPs) i „mjere efikasnosti“ (MOEs). „MOP mjeri je li nešto urađeno ispravno – poput toga je li aparat za gašenje požara pravilno korišten,“ kaže on. „MOE mjeri je li urađena prava stvar da se postigne željeni ishod – je li požar zapravo ugašen?“ U sajber sigurnosti, cilj je raditi na nivou MOE. Modeliranje prijetnji pomaže timovima ne samo da znaju gdje bi požari mogli početi, već i da li će njihovi alati i odgovori moći ugasiti te požare.
Za sigurnosne timove koji su već opterećeni, vrijeme je najvrjedniji resurs. Modeliranje prijetnji može smanjiti vrijeme provedeno u „gašenju požara“, dajući timovima uvid u moguće probleme i kako se pripremiti. Ušteđeno vrijeme može se preusmjeriti na strateško planiranje, procjenu dobavljača ili proaktivni nadzor.
Kako uvjeriti upravni odbor
Odbori žele razumjeti kako sigurnosni program smanjuje rizike, podržava kontinuitet poslovanja i omogućava rast. Za modeliranje prijetnji, to znači izgraditi argument na osnovu mjernih pokazatelja kao što su:
- Manje sigurnosnih grešaka nakon objave softvera
- Kraće vrijeme odgovora na incidente
- Veća produktivnost programera
- Brže otklanjanje ranjivosti
- Niži ukupni trošak sigurnosnih incidenata
Neki CISO-i predstavljaju modeliranje prijetnji i kao „množitelj učinka“. Time što sigurnost postaje vidljiva u ranim fazama, omogućava se razvojnim i inženjerskim timovima da preuzmu veću odgovornost. To dugoročno smanjuje opterećenje sigurnosnog tima i širi sigurnosne prakse kroz cijelu organizaciju.
Početi malo, a brzo skalirati
Modeliranje prijetnji ne mora odmah postati velika inicijativa. Neki CISO-i počinju s jednim ključnim sistemom ili pilot-projektom. Zatim razvijaju šablone, materijale za obuku i interno identifikuju „šampione“ koji pomažu širiti praksu među timovima.
Uključivanje modeliranja prijetnji u razvojni ciklus organizacije ne mora biti zastrašujuće – zapravo, ne bi smjelo biti, kaže David Kellerman, terenski CTO kompanije Cymulate.
„Ključ je da se počne malim koracima i da modeliranje prijetnji bude pristupačno“, kaže Kellerman. Umjesto da se uvodi komplikovan proces s kompleksnim metodologijama, CISO-i bi trebali tražiti načine da ga uklope u postojeće radne tokove – kao što su revizije arhitekture, dizajnerske diskusije ili planiranje sprintova. „Savjetujem da se modeliranje prijetnji ugradi u ono što timovi već rade, umjesto da im se nameće dodatna obaveza.“
Ovakav lagani, integrisani pristup smanjuje otpor i pomaže da se sigurnosno razmišljanje normalizuje unutar inženjerske kulture. „Koristite jednostavne okvire poput STRIDE-a ili osnovne priče o napadačima koje i inženjeri koji nisu iz oblasti sigurnosti mogu lako razumjeti,“ objašnjava Kellerman. „Neka bude saradnički i edukativan proces, a ne kazneni.“
Kako timovi postaju sigurniji i iskusniji, organizacije mogu postepeno razvijati sposobnosti modeliranja prijetnji. „Cilj nije napraviti savršen model prijetnji prvog dana,“ kaže Kellerman. „Cilj je usaditi sigurnosni način razmišljanja koji prirodno raste unutar inženjerske kulture.“
Ključ je u dosljednosti. Kada timovi znaju šta da očekuju i imaju alate koji podržavaju proces, modeliranje prijetnji postaje sastavni dio razvoja softvera – a ne dodatni zadatak.
S vremenom, organizacija prelazi s reaktivnih popravki na proaktivni dizajn. A upravo tu leži prava povratna vrijednost ulaganja.
Izvor:Help Net Security
