Hackerone müşterileri, güvenlik katılımlarının başarısını ölçerken maliyet tasarrufunu sürekli olarak hesaba katar,% 59’u itibar veya müşteri ile ilgili olayların tahmini tasarruflarına değer verir ve% 54’ü riskten kaçınma tahmin edilen finansal tasarruflara değer verir. Bununla birlikte, güvenlik kontrol testi için YG’nin ölçülmesi, siber güvenlik yardımlarının maddi olmayan doğası nedeniyle zor olabilir. Bir şeyin olmasını önlemenin değerini nasıl ölçüyorsunuz?
ROM ile YG’yi takviye etmek
Geleneksel YG hesaplamaları genellikle güvenlik yatırımlarının tam değerini yakalamakta yetersiz kalır. Alternatif olarak çekiş kazanmak ve çoğu durumda tamamlayıcı değerlendirme mekanizması, bir güvenlik ihlalinin beklenen maliyetlerini, azaltma stratejilerinin uygulanmasının maliyetleriyle karşılaştıran azaltma geri dönüşüdür (ROM). Proaktif güvenlik önlemlerinin nitel ve nicel faydaları hakkında daha nüanslı bir anlayış sağlar. ROM Faktörler:
- Meyveden çıkarılmış sistemleri geri yükleme
- Kesinti nedeniyle kaybedilen gelir
- Yasal ve düzenleyici cezalar
- Kamu güvenine ve itibarına verilen hasar
ROM, azaltma veya önleme stratejilerinin potansiyel finansal sonuçlar açısından etkinliğini değerlendirerek, paydaşların güvenlik yatırımlarının somut ve somut olmayan değerini değerlendirmeleri için pratik bir çerçeve sunmaktadır. Ayrıca, odağı anında maliyet tasarrufundan uzun vadeli esnekliğe kaydırır ve risk yönetimi üzerinde büyüteç.
“Bug Bounty programı, tüm harcamalarımızdaki en yüksek yatırım getirisidir. YG’yi göstermek gerçekten zor, ama böcek ödülüyle bir taban çizgim var. ‘Bu kırılganlık, kuruluş dışındaki biri tarafından bulunabildi. Bu sisteme erişme yetkisi olmayan biri buna erişebildi. ‘ Programımızda olmayan güvenlik açıklarıyla bile, Bug Bounty onlara bir fiyat etiketi koymama izin veriyor. Bu iş vakasını açıklayabilirim ve paydaşlarımız, ROI üreten diğer araçlardan daha yüksek hata ödülüne öncelik verebiliyorlar. ”
– Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
YG ve ROM hesaplamaları
İnsan destekli güvenlik testi ve YG ve ROM hesaplamalarının pratik faydalarını göstermek için finansal hizmetler sektöründen bir vaka çalışması düşünün. Büyük bir finans kurumu, mevcut kırmızı takım çabalarının yanı sıra bir böcek ödül programı uyguladı. Bir yıl boyunca, program önceki testler tarafından göz ardı edilen birkaç kritik güvenlik açıkını belirledi.
Senaryo
- İlk Güvenlik Yatırım: Kurum, böcek ödül programına 200.000 dolar ve kırmızı takım egzersizlerine 100.000 dolar daha yatırım yaptı.
- Potansiyel ihlal maliyetleri: Potansiyel bir ihlalin, güvenliği ihlal edilmiş sistemlerin geri kazanılması, gelir kaybı, yasal cezalar ve itibar hasarı ile ilgili maliyetler de dahil olmak üzere 5 milyon dolara mal olacağı tahmin edildi.
Yatırım Getirisi (YG)
Basit bir YG hesaplaması, potansiyel 5 milyon dolarlık bir ihlale karşı 300.000 dolar geri dönüşüne bakıyor.
- İhlal Önleme: Güvenlik açıklarını belirleyerek ve hafifleterek kurum, potansiyel 5 milyon dolarlık bir ihlalden kaçındı.
- Test Maliyeti: Proaktif güvenlik testine yapılan toplam yatırım 300.000 dolardı.
Geleneksel YG hesaplamalarını kullanmak
Geleneksel YG veya maliyet-fayda analizleri YG’de yaklaşık 15,67 dolar veriyor.
ROM’a bakarsak, güvenlik önlemlerini uygulama maliyetini beklenen ihlal maliyetiyle karşılaştırırız.
Bu senaryoda ROM, hafifletme için harcanan her dolar için kuruluşun potansiyel olarak ihlal maliyetlerinde 16,67 dolar tasarruf ettiğini göstermektedir. Bu vaka örneği için bu maliyetleri basit tuttuk. Bununla birlikte, bu günlerde ihlal maliyetlerinin basit bir düz dolar miktarından çok daha fazlasını içerdiğini hatırlamak önemlidir. Ayrıca potansiyel fidye ödemeleri, uyumluluk gereksinimleri, düzenleyici para cezaları, yasal ücretler, marka hasarı ve çok daha fazlasını içerir. Örneğin, finansal hizmetler sektöründeki ihlaller ortalama 6.08 milyon dolara mal oldu.
Gerçek Dünya Rom
8. Yıllık Hacker destekli güvenlik raporuna göre, hackerone platformundaki bir hatanın ortalama fiyatı, 2023’te% 5 artışla 1.066 $. Ödül maliyetinden 4.500 kat daha fazla – ortalama 4,88 milyon dolar.
“2019’dan bu yana Zoom, 300’ü hızla devam etmemiz gereken güvenlik açıkları sunan 900 hacker ile çalıştı. 7 milyon doların üzerinde ödeme yaptık. Bu önemli bir yatırım ama getiriler buna değer: Gerçek dünya sorunları olmadan önce gerçek dünyadaki çözümler bulmak için birinci sınıf yetenek buluyoruz. ”
– Michael Adams, Ciso, Zoom
Hackerone ile güvenlik girişimlerinden stratejik değer sağlayın
Hackerone olarak, sadece yüksek kaliteli, tekrarlanabilir güvenlik sözleşmelerinde lider değiliz, aynı zamanda ortakların daha sağlam güvenlik bütçeleri ve başarılı programlar için bu katılımların değerini ölçmelerine ve nitelendirmelerine yardımcı olan uzmanlarız. ROI ve ROM hakkında daha fazla bilgi edinmek ve insan destekli güvenliğe sahip paydaşlara proaktif güvenlik değerini ifade etmenin en iyi yollarını öğrenmek için SANS Beyaz Kağıt: İnsan Powered Güvenlik Testi’ni indirin.