Oui, vous pouvez mesurer l’efficacité de la cybersécurité
Je déteste faire cela, mais considérez l’exercice de réflexion suivant : Transportez-vous à l’automne 2020, alors que littéralement le monde entier attendait un vaccin COVID. Nous savions qu’il y avait quelques candidats (en fait, un vaccin à ARNm a été formulé fin janvier) et nous n’attendions que la preuve – les études d’efficacité. La majeure partie du monde était ravie de découvrir début décembre 2020 que les taux d’efficacité étaient de 95 %. Bien sûr, certaines personnes avaient besoin de savoir qu’un vaccin antigrippal typique offre une efficacité d’environ 60 %.
Considérez maintenant ce que vous auriez ressenti si, au lieu de mener des essais contrôlés randomisés qui testaient les résultats du vaccin, Pfizer et Moderna avaient affirmé que le vaccin fonctionnerait parce que les scientifiques qui l’ont créé avaient de solides références, l’environnement de laboratoire était correctement géré, les procédures ont été impeccablement suivis, et tous les papiers étaient en règle. Je ne suis pas sûr de vous, mais j’aurais été dévasté et probablement en colère.
Nous suivons régulièrement un modèle comme celui-ci en matière de cybersécurité. Je vous épargnerai l’ennui de l’audit de conformité.
Mesurer l’efficacité de la cybersécurité
Imaginez maintenant un monde de la cybersécurité où nous mesurons réellement l’efficacité de nos programmes. Où nous utilisons la puissance et l’évolutivité des ordinateurs pour effectuer les mêmes types de tests considérés comme une exigence minimale dans d’autres domaines. Où nous gérons nos environnements de contrôle et évaluons les résultats pour déterminer la force de nos programmes.
Une réaction courante à une proposition comme celle-ci est d’être sarcastique ou même méprisant, rappelant à l’instigateur (c’est ainsi que ceux d’entre nous qui proposent de telles choses sont souvent appelés) que les environnements informatiques sont incroyablement complexes et qu’une approche comme celle-ci serait impossible. Comme s’il était simple de séquencer les 3 milliards de paires de bases du génome humain et de les utiliser comme modèle de référence pour 7 milliards d’humains remplis de cellules qui se divisent, de neurones qui se déclenchent et de produits chimiques qui interagissent.
La vérité est que les environnements informatiques sont en fait plus faciles à mesurer. Le jury ne sait toujours pas quels sont les avantages de l’intelligence artificielle dans la cybersécurité (au moins au sens large). Cependant, un gain rapide est que pour tirer parti de l’IA, elle doit être capable d’ingérer les données qu’elle analyse. Une fois les données rendues disponibles, il est trivial pour les ordinateurs de dénombrer les instances et les éléments d’activité pertinents qui pourraient facilement être utilisés pour ce type d’objectif.
Cas d’utilisation de l’efficacité de la cybersécurité
Les opportunités d’expériences d’efficacité abondent. Par exemple, une organisation pourrait appliquer les mêmes techniques que Microsoft dans son volume 20 du Security Intelligence Report : le MSRT a signalé que les ordinateurs qui n’ont jamais exécuté de logiciel de sécurité en temps réel au cours du 2S15 étaient entre 2,7 et 5,6 fois plus susceptibles d’être infectés. avec des logiciels malveillants comme des ordinateurs qui se sont toujours avérés protégés. Un examen plus approfondi de ces données révèle un score d’efficacité d’environ 64 %.
Ou vous pouvez effectuer une expérience comme Google et l’Université de New York qui ont conclu, Nous montrons que les défis basés sur la connaissance empêchent aussi peu que 10% des tentatives de piratage enracinées dans le phishing et 73% des tentatives de piratage automatisées. Les défis basés sur l’appareil offrent la meilleure protection, bloquant plus de 94 % des tentatives de piratage enracinées dans le phishing et 100 % des tentatives de piratage automatisées.).
Bien qu’aucune de ces études ne démontre tout à fait le niveau de rigueur que les études d’efficacité réalisées pour les vaccins COVID, elles peuvent facilement être reproduites et appliquées à des environnements d’entreprise spécifiques.
La pratique actuelle consistant à utiliser des audits de conformité PCI pour démontrer la qualité du programme n’a rien fait pour empêcher Target d’être violé (et a été essentiellement révoquée rétroactivement après l’incident). Remplacer les audits périodiques par des données empiriques issues de mesures continues révolutionnerait notre compréhension de la diligence et de la négligence et fournirait des informations clés sur les meilleures façons de protéger nos environnements. La mise en garde ici est qu’aucune approche n’est infaillible. Heck, même avec une relecture instantanée, il est étonnant de voir à quelle fréquence les arbitres se trompent (généralement lorsque l’appel va à l’encontre de mes Eagles). Mais une approche empirique qui pourrait mesurer la nature et les types d’activités se produisant en temps réel, le nombre et les types de contrôles appliqués et les résultats finaux fournirait un niveau objectif d’analyse empirique au-dessus des méthodes existantes.
On m’a dit un jour que l’efficacité de la cybersécurité n’était pas une chose et je n’ai eu aucune réponse, car c’était vrai. Alors, faisons-en un.
Copyright © 2022 IDG Communications, Inc.