מודלים של איומים נשמעים לעתים קרובות כמו תרגיל אבטחה כבד שרק ארגונים גדולים יכולים להרשות לעצמם. במציאות, העלות של מודלים של איומים תלויה פחות בגודל החברה ויותר בגישה המחושבת אליהם. צוותים מסוימים משלמים יותר מדי על ידי הפיכתם לתהליך ידני ואיטי. אחרים מדלגים עליהם לחלוטין ומשלמים הרבה יותר מאוחר יותר באמצעות תיקונים, עיכובים או תקריות אבטחה.
מאמר זה בוחן באופן מעשי את עלויות מודלי האיומים מנקודת מבט עסקית. לא תיאוריה, לא הבטחות מופרזות. רק פירוט ברור של לאן באמת הולכים הזמן והכסף, מה משפיע על העלות הסופית, וכיצד לחשוב על מודלי איומים כחלק מתכנון מוצרים ומערכות יומיומי, ולא כעל משימת אבטחה חד-פעמית.
מהו באמת מודל איומים, ומה העלות שלו?
מודלים של איומים מוזכרים רבות בשיחות על אבטחה, אך לעתים קרובות אנשים מתכוונים לדברים שונים כאשר הם משתמשים במושג זה. בעיקרו של דבר, מדובר בהקדים את הבעיות על ידי חשיבה על האופן שבו מערכת עלולה להיות מותקפת לפני שמשהו באמת משתבש. לא מדובר בתגובה לאחר מעשה. זוהי דרך מובנית לשאול: מה עלול להשתבש כאן, מה הסיכוי שזה יקרה, ומה אנחנו יכולים לעשות בקשר לזה?
כאשר נעשה כהלכה, מודל האיומים מסייע לצוותים לאתר בעיות בתכנון בשלב מוקדם – עוד לפני שנכתבה שורת קוד אחת. זה יכול להיות משהו כמו ממשק API פתוח ללא בקרות גישה או גבולות אמון מעורפלים בין שירותים. זה לא רק עניין של תיקון נקודות תורפה. זה עניין של הבנה איך הדברים פועלים יחד, איך הנחות יכולות להישבר ואיך תוקפים עלולים לנוע במערכת בדרכים בלתי צפויות.
התהליך כולל בדרך כלל כמה שלבים מרכזיים: זיהוי מה יש להגן עליו, מיפוי אופן העברת הנתונים, זיהוי נקודות תורפה וקבלת החלטות לגבי מה יש לשנות. התהליך לא ייתן לכם תשובות מושלמות, אבל הוא ייתן לצוות שלכם תמונה ברורה יותר של הסיכונים, כך שיוכלו לטפל בהם בשלב מוקדם, וטיפול מוקדם תמיד עולה פחות מטיפול מאוחר.
בהתאם לגישה שתנקוט, העלויות עשויות להשתנות במידה רבה: מאמצים פנימיים עשויים לעלות כמה אלפי דולרים לאדם עבור הדרכה וכלים, פרויקטים בהובלת יועצים עולים לרוב בין $10,000 ל-$100,000, ופלטפורמות מנוהלות עולות בדרך כלל כ-$5,000 לחודש.
השאלה האמיתית: מה אתה רוצה להשיג ממודל האיומים?
לפני שנדבר על מספרים, כדאי לשאול: מה הטעם בביצוע מודלים של איומים בסביבה שלכם?
כי התשובה משנה הכל. אם אתם מנסים לסמן וי על עמידה בדרישות, המאמץ (והעלות) יהיו שונים מאשר אם אתם משלבים אבטחה בתרבות העיצוב שלכם. צוותים מסוימים זקוקים רק לניתוח חד-פעמי עבור אפליקציה בסיכון גבוה. אחרים מעוניינים להכשיר מפתחים, לבנות ספריות איומים לשימוש חוזר ולזהות סיכונים מערכתיים בשלב מוקדם.
העלות תלויה במידה רבה בהיקף:
- פרויקט חד-פעמי לעומת תוכנית מתמשכת
- לוח לבן ידני לעומת כלי דוגמנות אוטומטיים
- אחריות מובלת על ידי צוות האבטחה לעומת אחריות בין-תפקודית
אז העלות האמיתית קשורה לשאיפות שלך, ולא רק לתקציב שלך.
תמיכה בפיתוח מאובטח ב-A-listware
ב רשימת מוצרים א', אנו לא מתייחסים לאמצעי אבטחה כמוצר נפרד או שירות עצמאי. במקום זאת, זהו משהו שהמהנדסים שלנו תומכים בו בעת פיתוח תוכנה מאובטחת עבור לקוחות. מכיוון שאנו מספקים צוותי פיתוח הכוללים מומחיות בתחום אבטחת הסייבר, מודלים לאיומים משתלבים באופן טבעי בעבודה הרחבה יותר של תכנון מערכות, ארכיטקטורה ובדיקת אבטחה.
אנו לא מציגים את מודל האיומים כפעילות חד-פעמית ולא מוכרים אותו כחבילה קבועה. מה שאנו מציעים הוא תמיכה גמישה המתאימה לאופן שבו הלקוחות מנהלים פרויקטים. זה עשוי לכלול מודל איומים בשלב מוקדם של הפיתוח, הערכת שינויים לפני שחרור גרסה או שילוב חשיבה על אבטחה בתהליכי CI/CD. משך הזמן והעלות של תהליך זה תלויים בהיקף ובבגרות של מערכות הלקוח.
מודלים של איומים, מודלים של מעורבות ומבני עלויות
אין מחיר אחיד למודלים של איומים. הסכום שתשלמו בסופו של דבר תלוי במידה רבה בגישה שלכם לנושא, בעומק הניתוח הדרוש לכם ובמי שמבצע את העבודה בפועל. באופן כללי, שירותי מודלים של איומים מתחלקים לשלושה מודלים עיקריים: צוותים פנימיים, יועצים חיצוניים ופלטפורמות מנוהלות. לכל אחד מהם השלכות עלויות, יתרונות וחסרונות משלו, בהתאם לבגרות העסקית ולמטרות שלכם.
צוותים פנימיים: צוות פנימי או צוות משלים
ביצוע מודלים לאיומים באופן פנימי פירושו ניצול המפתחים, האדריכלים וצוות האבטחה שלכם. לרוב, זוהי האופציה החסכונית ביותר על הנייר, במיוחד עבור חברות עם כישרונות אבטחה קיימים. אך העלות האמיתית אינה רק השכר – היא הזמן. אתם מחליפים שעות הנדסה תמורת נראות סיכונים.
עבור ארגונים חדשים בתחום מודלים לאיומים, ההכשרה הפנימית כוללת לרוב הדרכה מובנית. קורסים בהנחיית מדריך יכולים לעלות בין $500 ל-$2,000 לאדם, בהתאם למורכבותם. גם עלויות הכלים משתנות במידה רבה.
העלות הנסתרת הגדולה ביותר כאן היא ההזדמנות. שילוב מהנדסים בכירים בסדנאות או בבדיקות דיאגרמות בשלבי פיתוח מרכזיים עלול להאט את תהליך האספקה. עם זאת, צוותים שמפתחים יכולת זו באופן פנימי יכולים בסופו של דבר להגדיל את היקף הפעילות עם הוצאות חיצוניות מועטות ביותר. עבור צוותים בוגרים, העלות היא בעיקר זמן, ולעתים קרובות זהו תמורה משתלמת.
עלויות פנימיות אופייניות של התוכנית:
- התחייבות זמן: 2-6 שעות לכל מערכת, בהתאם למורכבות.
- הכשרה: $0 – $2,000 לכל חבר צוות.
- כלי עבודה: חינם עד $15,000+ בשנה עבור פלטפורמות מורשות.
יועצים חיצוניים: מומחיות ממוקדת ותוצאות מוכנות לביקורת
כאשר המשאבים הפנימיים מתוחים או כאשר נדרשת נקודת מבט חיצונית, שכירת יועץ חיצוני למודלים של איומים יכולה להביא למהירות ובהירות. אנשי מקצוע אלה מובאים בדרך כלל כדי להעריך מערכת בסיכון גבוה, לתמוך בבדיקת אבטחה או להתכונן לביקורות תאימות.
התעריפים משתנים בהתאם לניסיון ולהיקף העבודה. יועצים עצמאיים או חברות בוטיק גובים בדרך כלל בין $150 ל-$300 לשעה. עבודה מבוססת פרויקטים עבור מודל איומים מלא, במיוחד כזה הכולל פירוק מערכות, סדנאות לבעלי עניין ואסטרטגיית הפחתה, יכולה לנוע בין $10,000 ליותר מ-$100,000.
מודל זה אידיאלי עבור ארגונים הנתונים ללחץ רגולטורי, העוסקים בנתונים רגישים או הזקוקים לבדיקה פורמלית של ארכיטקטורת האבטחה לפני הפריסה. אתם משלמים עבור מהירות, ביטחון ותיעוד ברמת ביקורת.
עלויות אופייניות לשכירת יועץ:
- לפי שעה: $150 – $300+
- תעריף קבוע לפרויקט: $10,000 – $100,000
פלטפורמות לניהול מודלים של איומים: כלים, תבניות וסקאלה
עבור חברות הבונות פרקטיקה ארוכת טווח וניתנת להרחבה של מודלים לאיומים על פני צוותים רבים, פלטפורמות מנוהלות או כלי SaaS מציעים מסלול מובנה וניתן לשחזור. פלטפורמות אלה משתלבות בצינורות DevOps או SDLC שלכם ולעתים קרובות מגיעות עם תבניות, ספריות נכסים ומערכות לדירוג סיכונים.
מחירי המנויים נקבעים בדרך כלל על בסיס חודשי ועשויים להיות מדורגים בהתאם לשימוש, היקף הפרויקט או דרישות התאימות. תוכניות ברמת כניסה מתחילות בסביבות $5,000 לחודש, אך פריסות בקנה מידה ארגוני עם אינטגרציה ותמיכה מלאות עשויות לעלות $20,000 או יותר לחודש.
הפשרה כאן היא כפולה: ההשקעה הראשונית בכלי עבודה והעבודה הפנימית הנדרשת כדי לקדם את אימוץ הפלטפורמה. אם המפתחים לא משתמשים בפלטפורמה, היא הופכת למוצר שלא נעשה בו שימוש. אך בשילוב עם תומכים פנימיים והכשרה טובה, פלטפורמות מנוהלות יכולות להפחית באופן דרסטי את העלויות לכל פרויקט באמצעות אוטומציה של תיעוד, חשיפת סיכונים בשלב מוקדם יותר ושיפור העקביות.
עלויות אופייניות המבוססות על פלטפורמה:
- SaaS ברמת כניסה: $5,000 לחודש.
- SaaS ארגוני עם שילוב מלא של DevSecOps: $10,000 – $20,000 לחודש.
- תוספות: הטמעה, שילוב בתהליכי עבודה, תמיכה.
השוואת עלויות מודלים לאיומים לפי מודל מעורבות
| מודל מעורבות | עלויות אופייניות | הכי מתאים ל | יתרונות וחסרונות עיקריים |
| צוותים פנימיים | הכשרה: $0 – $2,000 לאדם כלים: חינם עד $15,000+/שנה | צוותים עם כישרונות אבטחה פנימיים או המעוניינים לבנות אותם | משלוח איטי יותר עקב דרישות זמן מצד מפתחים ואדריכלים |
| יועצים חיצוניים | לפי שעה: $150 – $300+ פרויקטים: $10,000 – $100,000 | פרויקטים הכרוכים בציות נרחב לתקנות או מערכות קריטיות | עלות גבוהה יותר, אך משלוח מהיר יותר ואבטחת איכות ברמת ביקורת |
| פלטפורמות מנוהלות (SaaS) | כניסה: $5,000/חודש ארגון: $10,000 – $20,000 לחודש | ארגונים המרחיבים את מודלי האיומים על פני צוותים רבים | השקעה ראשונית בתוספת האתגר של קידום אימוץ |
מה משפיע על העלות (ועל מה צריך לשים לב)
בין אם אתם עושים זאת באופן פנימי או מביאים עזרה חיצונית, ישנם כמה גורמים שיעלו או יורידו את העלות:
1. מורכבות המערכת
מודלים של איומים על אפליקציית אינטרנט קטנה הם דבר אחד. אבל מודלים של ארכיטקטורת מיקרו-שירותים מבוזרת עם מידע אישי רגיש הזורם בין ממשקי API ואחסון בענן? זה כבר אתגר גדול יותר.
- יותר נקודות כניסה = יותר משטחי תקיפה
- יותר נתונים = יותר חששות בנוגע לפרטיות
- יותר אינטגרציות = יותר נעלמים
ככל שיש יותר חלקים נעים, כך תצטרך יותר זמן כדי לפרק את המערכת ולמפות את האיומים בצורה מדויקת.
2. דרישות התעשייה
אם אתם עוסקים בתחום הבריאות, הפיננסים או הממשל, אתם לא יכולים פשוט לומר “חשבנו על אבטחה” ולהמשיך הלאה. סביר להניח שתזדקקו למודלים מתועדים התואמים את תקני התאימות (HIPAA, PCI, GDPR וכו'). זה מוסיף מאמץ, ולעתים קרובות גם יועצים או מבקרים.
3. כלי עבודה
כלים חינמיים מתאימים לצוותים קטנים או לצוותים בתחילת דרכם. אך כלים ברמה ארגונית הכוללים אוטומציה, לוחות מחוונים ותבניות עולים כסף, ולעתים קרובות כרוכים בהשקעה ברישוי או בהדרכה.
בחרו כלים בהתאם למי שישתמש בהם. אם המפתחים שלכם שונאים את הממשק, לא משנה כמה חכם ה-backend.
4. בגרות הצוותים שלכם
מהנדסים בעלי ידע נרחב בתחום האבטחה זקוקים לפחות ליווי צמוד. אם הצוות שלכם רק מתחיל ללמוד מודלים של איומים, ייתכן שתצטרכו לקחת בחשבון הכשרה, קליטה ועוד זמן בשלבים המוקדמים. בטווח הארוך, עם זאת, השקעה זו משתלמת מכיוון שהיא מפחיתה את התלות בנקודות תורפה בתחום האבטחה.
האם זה שווה את העלות? בואו נדבר על החזר השקעה
כאן העניינים מתחילים להיות מעניינים. מודלים של איומים לא רק עולים לכם זמן וכסף. הם גם חוסכים לכם זמן וכסף – לפעמים הרבה.
הנה מה שזה עוזר למנוע:
- עבודות תיקון יקרות עקב תיקוני אבטחה בשלב מאוחר.
- תקלות בייצור שנגרמו כתוצאה מסיכונים שלא נלקחו בחשבון.
- קנסות רגולטוריים בגין אי ביצוע בקרות.
- פגיעה במותג כתוצאה מהפרות שניתן היה למנוע.
דוגמה לתרחיש החזר השקעה
נניח שבעזרת סשן מידול בן שעתיים מתגלה פגם בעיצוב, שתיקון לאחר השקת המוצר היה לוקח 100 שעות. אם מהנדסיכם עולים $100 לשעה, זה אומר חיסכון של $10,000 מהשקעה של $200. זהו תשואה של 4,900%. וזה לא נדיר.
ככל שתאתר את הבעיות מוקדם יותר, כך יהיה זול יותר לתקן אותן. מודלים של איומים הם אחד מהשיטות הבודדות שמזיזות את “חלון התיקון” כמה שיותר שמאלה.
על מה אתה משלם בפועל?
מודל איומים אינו רק תרשים או רשימת משימות. אתם משלמים עבור:
- זמן שהוקדש למיפוי המערכת ולזיהוי איומים.
- מומחיות בזיהוי דרכי תקיפה לא ברורות מאליהן.
- שיתוף פעולה בין צוותים (אבטחה, פיתוח, מוצר).
- תיעוד שניתן לעשות בו שימוש חוזר לצורך ביקורות או איטרציות עתידיות.
- המלצות למיתון סיכונים המפחיתות את הסיכון בעולם האמיתי.
אם אתה מתייחס לזה כאל תרגיל אבטחה חד-פעמי, זה יקר. אבל אם אתה מתייחס לזה כאל נוהג מובנה שחוסך מאמץ בהמשך הדרך, זה הופך לכלי יעיל.
כיצד לשמור על עלויות תחת שליטה
מודלים של איומים אינם צריכים להיות סעיף תקציבי משמעותי. להלן מספר דרכים לשמור על יעילות:
התחל עם מערכות בסיכון גבוה
אל תנסו ליצור מודל איומים לכל מערכת מההתחלה. התמקדו תחילה ביישומים שבאמת חשובים – אלה הקשורים לנתוני לקוחות, פעולות קריטיות או מקורות הכנסה. ממשקי API החשופים לאינטרנט הציבורי הם נקודת התחלה טובה נוספת. אלה הם התחומים שבהם איום שלא זוהה עלול לגרום לנזק אמיתי.
השתמש שוב במה שכבר מיפת
לאחר שבניתם כמה מודלים, תתחילו להבחין בדפוסים. אולי זה אותו תהליך כניסה או אותו היגיון של סנכרון נתונים שחוזר על עצמו בכל השירותים. השתמשו שוב באותם חלקים. צרו תבניות לרכיבים משותפים או לתהליכי עבודה סטנדרטיים. זה חוסך זמן ועוזר לשמור על עקביות מבלי להתחיל מאפס בכל פעם מחדש.
אוטומציה של החלקים המשעממים
כלים יכולים להקל מאוד על העבודה הקשה. יצירת דיאגרמות מקוד, ספריות איומים ורשימות בדיקה מוכנות מראש יכולים כולם לעזור. רק זכרו: אוטומציה היא כלי תמיכה, לא תחליף לחשיבה. השתמשו בה כדי להתקדם מהר יותר, לא כדי להימנע משיקול דעת ביקורתי.
הפכו את המפתחים לחלק מהתהליך
מודלים של איומים אינם רק תפקיד של אנשי האבטחה. הם פועלים בצורה הטובה ביותר כאשר המפתחים מרגישים בנוח להפעיל בעצמם מפגשים קלים. תנו להם הכשרה בסיסית, כמה דוגמאות ומרחב לנסות זאת. תנו לאנשי האבטחה לבדוק את התוצאות במקום לנהל את כל התהליך. שינוי זה מאפשר להחיל את השיטה על כל הצוותים.
שמרו על סדנאות יעילות ושימושיות
לא תמיד יש צורך בביקורות פורמליות. לעתים, די ב-30 דקות של דיון מול הלוח הלבן במהלך תכנון הספרינט כדי לאתר פערים ברורים או בעיות בעיצוב. השתדלו ליצור מבנה מספיק שימושי מבלי להאט את קצב העבודה. דיונים קלים וחוזרים נוטים להיות יעילים יותר מאשר ביקורות נדירות וכבדות.
מתי להוציא יותר
ישנם מקרים בהם השקעה גבוהה יותר היא מוצדקת:
- השקת מוצר המיועד לקהל הרחב בענף המפוקח.
- שינוי מבנה של מערכת ישנה עם זרימת נתונים לא ברורה.
- טיפול בנתונים אישיים או פיננסיים בקנה מידה גדול.
- שילוב אבטחה בצינור CI/CD עם תלות בתאימות.
במקרים אלה, מודלים של איומים אינם אופציונליים. הם מהווים את הבסיס לעיצוב אחראי ודרך למנוע התמודדות עם בעיות דחופות בעוד חצי שנה.
מחשבות אחרונות
אם אתם מנסים להבין כמה תקציב להקצות למודלים של איומים, התחילו בשאלה זו: “כמה יעלה לכם אם משהו ישתבש?”
מכיוון שעלות מודל האיומים אינה רק מה שאתה מוציא על מפגשים, כלים או יועצים. זו ההזדמנות למנוע דברים שעולים הרבה יותר – הפסקות, פרצות, עבודה חוזרת ואובדן מוניטין.
התייחסו לזה כהשקעה אסטרטגית, ולא כאל סעיף בבדיקת ביקורת. הצוותים הטובים ביותר לא שואלים “כמה זה יעלה?” הם שואלים “מה העלות של אי ביצוע?”
ולרוב, התשובה היא הרבה יותר גבוהה.
שאלות נפוצות
- האם מודלים של איומים הם יקרים?
זה תלוי איך ניגשים לזה. אם מביאים יועצים חיצוניים לבדיקה מעמיקה לאחר שהמוצר כבר הושק, כן, זה יכול להיות יקר. אבל כאשר משלבים את זה בתהליך הפיתוח בשלב מוקדם, העלות בדרך כלל נמוכה יותר ומפוזרת לאורך זמן. ברוב המקרים, זה חוסך כסף בסופו של דבר, כי זה עוזר לזהות בעיות לפני שהן הופכות לבעיות גדולות יותר.
- האם צוותים קטנים יכולים להרשות לעצמם מודלים לאיומים?
בהחלט. לא צריך תקציב אבטחה ענק כדי לעשות את זה כמו שצריך. מפגשי מודלים לאיומים קלים באמצעות כלים או לוח לבן פשוט יכולים להועיל מאוד. המפתח הוא לעשות את זה באופן עקבי ולהבטיח שמישהו יהיה אחראי על יישום הממצאים.
- מהו הגורם המשמעותי ביותר בעלות של מודלים לאיומים?
זמן והיקף. ככל שהמערכת שלכם מורכבת יותר, כך ייקח יותר זמן למפות את האיומים הפוטנציאליים. אם הצוות שלכם אינו מכיר את מודלי האבטחה או שאין לו תהליך ברור, הדבר יוסיף זמן נוסף. שימוש באנשים מנוסים וקביעת היקף ריאלי יסייעו לשמור על יעילות.
- האם עלי לשכור יועץ אבטחה רק בשביל זה?
לא תמיד. אם המפתחים או הארכיטקטים הפנימיים שלכם מבינים בעיצוב מאובטח, הם יכולים לעתים קרובות להוביל מפגשים בסיסיים של מודלים לאיומים. עם זאת, עבור אפליקציות בסיכון גבוה או תעשיות עם דרישות תאימות מחמירות, ייתכן שיהיה כדאי להיעזר בשותף אבטחה כדי להשיג שקט נפשי ותובנות מעמיקות יותר.
- באיזו תדירות עלינו לבצע מודלים של איומים?
באופן אידיאלי, בכל פעם שאתם מוסיפים תכונות מרכזיות, משנים את התשתית או משיקים משהו חדש. זה לא משהו חד-פעמי. תחשבו על זה כמו על בדיקת קוד, אבל עבור סיכוני אבטחה. הקצב תלוי במהירות שבה אתם משלחים ובמידת הרגישות של האפליקציה שלכם.
- האם מודלים של איומים כדאיים לעסקים שאינם טכנולוגיים?
אם אתם בונים או מנהלים כל סוג של מערכת דיגיטלית שמכילה נתונים רגישים, אז כן. גם אם טכנולוגיה אינה עיסוקכם העיקרי, הסיכון עדיין מוטל עליכם כאשר משהו משתבש. מודלים של איומים נועדו לזהות את הסיכונים מראש ולהחליט עד כמה אתם מוכנים לקבל אותם.
