Организация Sprocket Security поднимает критически важный вопрос о проблеме окупаемости инвестиций (ROI) в управление поверхностью атаки (ASM). Современные инструменты предоставляют огромные объемы информации, включая оповещения, информационные панели и инвентаризацию активов, однако часто не могут дать четкого ответа на главный вопрос руководства: «Снижает ли это количество инцидентов?». Службы безопасности попадают в «ловушку занятости», наблюдая видимую активность в виде растущих списков оборудования и программного обеспечения, но не чувствуя себя более защищенными. Корень проблемы кроется в том, что ROI оценивается преимущественно по количеству активов (входные данные), а не по снижению рисков (результаты). В итоге защищать бюджет на ASM становится сложнее, несмотря на очевидную необходимость прозрачности инфраструктуры.
Существующая парадигма строится на тезисе: «Вы не можете защитить то, о существовании чего не знаете». Это смещает фокус исключительно на обнаружение доменов, поддоменов, IP-адресов, облачных ресурсов, сторонней инфраструктуры и временных активов. Метрики, ориентированные на входные данные — количество обнаруженных активов, зафиксированных изменений и сгенерированных оповещений, — приводят к негативным симптомам. Команды сталкиваются с усталостью от тревог, огромными очередями «известных, но нерешенных» проблем и путаницей с ответственностью. В результате критические уязвимости могут оставаться открытыми месяцами, а программы ASM измеряют то, что видит система, а не то, что улучшает организация.
Для решения проблемы необходимо переосмыслить подход к ROI, сместив акцент с вопроса «Сколько активов мы обнаружили?» на «Насколько быстрее и безопаснее мы стали справляться с угрозами?». Цель состоит в том, чтобы сделать поверхность атаки «скучной», превращая находки в конкретные действия. Качество реагирования и длительность воздействия уязвимости становятся новыми приоритетами. Sprocket Security выделяет три ключевых метрики, необходимых для доказательства значимого ROI, первой из которых является среднее время установления владельца актива. Бесхозные ресурсы дольше остаются без исправлений и забываются, поэтому критически важно сократить окно, когда риск существует без подотчетности.
Вторая обязательная метрика — сокращение неаутентифицированных конечных точек, изменяющих состояние. Не все активы несут одинаковый риск: среда с тысячами статических ресурсов безопаснее, чем среда с малым количеством активов, но множеством рискованных точек входа. Необходимо отслеживать внешние конечные точки, которые могут изменять состояние и требуют аутентификации. Смысл этой метрики заключается в демонстрации сокращения поверхности атаки именно в тех зонах, которые имеют реальное значение для безопасности периметра.
Третьим показателем является время вывода из эксплуатации после потери владельца. Риски часто сохраняются после организационных изменений, таких как смена команд, отказ от приложений, миграция поставщиков или реорганизация. Этот показатель служит индикатором долгосрочной гигиены инфраструктуры: заброшенные активы не должны оставаться в системе бесконечно. Для практической реализации требуется операционный сдвиг: вместо общего количества активов следует выявлять, какие из них имеют владельца, какие остаются нерешенными и как долго сохраняется неопределенность.
Для проверки эффективности стратегии необходимо регулярно задавать стресс-вопросы: «Как долго рискованные активы остаются бесхозными?», «Сколько неаутентифицированных путей, меняющих состояние, существует сегодня по сравнению с прошлым кварталом?» и «Как быстро исчезают заброшенные активы?». Видимость активов должна быть доступна не только службе безопасности, но и инженерным командам и инфраструктурным отделам, устраняя информационные барьеры. ASM становится обоснованным только тогда, когда он измеряется тем, что меняется, а не тем, что накапливается.
В рамках решения этой проблемы компания Sprocket Security выпустила Community Edition своей платформы ASM. Этот продукт предоставляется бесплатно и без ограничений, открывая возможности обнаружения активов и видимости прав собственности. Цель релиза — позволить командам измерить, действительно ли сокращается зона риска, не заменяя при этом существующие инструменты. В конечном итоге, инвентаризация активов обеспечивает широту охвата, но только метрики, ориентированные на результат, обеспечивают необходимую глубину. Успех определяется тем, что рискованные активы быстрее обретают владельцев, опасные пути исчезают раньше, а заброшенная инфраструктура не задерживается в сети.
Изображение носит иллюстративный характер
Существующая парадигма строится на тезисе: «Вы не можете защитить то, о существовании чего не знаете». Это смещает фокус исключительно на обнаружение доменов, поддоменов, IP-адресов, облачных ресурсов, сторонней инфраструктуры и временных активов. Метрики, ориентированные на входные данные — количество обнаруженных активов, зафиксированных изменений и сгенерированных оповещений, — приводят к негативным симптомам. Команды сталкиваются с усталостью от тревог, огромными очередями «известных, но нерешенных» проблем и путаницей с ответственностью. В результате критические уязвимости могут оставаться открытыми месяцами, а программы ASM измеряют то, что видит система, а не то, что улучшает организация.
Для решения проблемы необходимо переосмыслить подход к ROI, сместив акцент с вопроса «Сколько активов мы обнаружили?» на «Насколько быстрее и безопаснее мы стали справляться с угрозами?». Цель состоит в том, чтобы сделать поверхность атаки «скучной», превращая находки в конкретные действия. Качество реагирования и длительность воздействия уязвимости становятся новыми приоритетами. Sprocket Security выделяет три ключевых метрики, необходимых для доказательства значимого ROI, первой из которых является среднее время установления владельца актива. Бесхозные ресурсы дольше остаются без исправлений и забываются, поэтому критически важно сократить окно, когда риск существует без подотчетности.
Вторая обязательная метрика — сокращение неаутентифицированных конечных точек, изменяющих состояние. Не все активы несут одинаковый риск: среда с тысячами статических ресурсов безопаснее, чем среда с малым количеством активов, но множеством рискованных точек входа. Необходимо отслеживать внешние конечные точки, которые могут изменять состояние и требуют аутентификации. Смысл этой метрики заключается в демонстрации сокращения поверхности атаки именно в тех зонах, которые имеют реальное значение для безопасности периметра.
Третьим показателем является время вывода из эксплуатации после потери владельца. Риски часто сохраняются после организационных изменений, таких как смена команд, отказ от приложений, миграция поставщиков или реорганизация. Этот показатель служит индикатором долгосрочной гигиены инфраструктуры: заброшенные активы не должны оставаться в системе бесконечно. Для практической реализации требуется операционный сдвиг: вместо общего количества активов следует выявлять, какие из них имеют владельца, какие остаются нерешенными и как долго сохраняется неопределенность.
Для проверки эффективности стратегии необходимо регулярно задавать стресс-вопросы: «Как долго рискованные активы остаются бесхозными?», «Сколько неаутентифицированных путей, меняющих состояние, существует сегодня по сравнению с прошлым кварталом?» и «Как быстро исчезают заброшенные активы?». Видимость активов должна быть доступна не только службе безопасности, но и инженерным командам и инфраструктурным отделам, устраняя информационные барьеры. ASM становится обоснованным только тогда, когда он измеряется тем, что меняется, а не тем, что накапливается.
В рамках решения этой проблемы компания Sprocket Security выпустила Community Edition своей платформы ASM. Этот продукт предоставляется бесплатно и без ограничений, открывая возможности обнаружения активов и видимости прав собственности. Цель релиза — позволить командам измерить, действительно ли сокращается зона риска, не заменяя при этом существующие инструменты. В конечном итоге, инвентаризация активов обеспечивает широту охвата, но только метрики, ориентированные на результат, обеспечивают необходимую глубину. Успех определяется тем, что рискованные активы быстрее обретают владельцев, опасные пути исчезают раньше, а заброшенная инфраструктура не задерживается в сети.
