בית פתרונות AI MedTech אבטחת סייבר לקוחות חברה בלוג English צור קשר
סייברניהול סיכוניםCISOאסטרטגיהתקציב

השאלה של 4 מיליון דולר ל-CISO: אילו השקעות לפני אירוע באמת מזיזות את עקומת ההפסד

Pelican Tech 6 דקות קריאה
קומפוזיציה אבסטרקטית כהה עם עקומת הפסד כתומה הכופפת מטה על פני רשת כחולה, מעוררת הורדת סיכון מדודה

הדוח של IBM 2025 Cost of a Data Breach קבע את עלות הפריצה הממוצעת הגלובלית על 4.88 מיליון דולר, מספר שהפך לציטוט רפלקסיבי במצגות דירקטוריון בנושא אבטחה. המספר נכון. הוא גם כמעט חסר תועלת כתשתית להחלטה בפני עצמה, כי העלות משתנה בסדר גודל לפי תעשייה, אזור, ואילו בקרות היו פעילות בזמן הפריצה. השאלה שרלוונטית להחלטה היא לא "מה הממוצע?" היא "אילו בקרות באמת מזיזות את הממוצע למטה לארגון שנראה כמו שלנו?"

החדשות הטובות הן שאותן מאגרי נתונים שמייצרים את המספר הראשי גם מסווגים עלות לפי בקרה. כשמסתכלים על הסגמנטציה של IBM 2024–2025, סיווג האירועים של Verizon DBIR 2024, ונתוני ה-engagement שלנו ב-3 השנים האחרונות, מספר קטן של קטגוריות השקעה מראה הורדה גדולה ועקבית של עלות פריצה. רוב השקעות האבטחה הפופולריות לא.

זו החלוקה שחשוב להסתכל עליה, והיא נוקטת עמדה ברורה. היא תועיל ל-CISO שבונה הגנה תקציבית ולחבר דירקטוריון שמנסה לדחוף נגד תקציב שעולה בלי סיפור סיכון מתאים.

ארבע הקטגוריות שבאמת מזיזות את העקומה

ההשקעות למטה מראות הורדת עלות פריצה של 0.5 עד 2+ מיליון דולר בסגמנטציה הפומבית, ומיושרות עם מה שאנחנו מודדים ב-engagements שלנו. הן לא הקטגוריות הכי אופנתיות במפת הדרכים של ספק, וזה חלק מהסיבה שהן נשארות תת-מתוקצבות.

1. יכולת תגובה לאירוע בוגרת, מתורגלת בפועל

תוכנית תגובה לאירוע מתועדת שתורגלה ב-12 החודשים האחרונים מורידה עלות פריצה ב-1.49 מיליון דולר מדודים בנתוני IBM 2024. שימו לב למילת המפתח: תורגלה. לא "מתועדת". לא "אושרה". תוכנית שנקראה אבל מעולם לא נבדקה מספקת כמעט אפס הורדת סיכון בנתונים.

מה ש"תורגלה" באמת אומר: לפחות שני tabletops לא מתואמים מראש בשנה, ציר זמן תגובה מדוד (קריאה → triage → הכלה → הודעה), חלק ביצועי של התגובה שבאמת נבדק בתנאים לא נוחים, ותהליך הודעה שתוזמן end-to-end מול מועדי רגולציה.

זו ההשקעה עם ההחזר הגבוה ביותר בהורדת פריצות בנתונים הפומביים, וגם אחת הזולות במונחים מוחלטים. הסיבה שהיא תת-מתוקצבת היא שהיא לא מייצרת artefacts גלויים בדרך שפריסת כלי כן. אין דשבורד ל"תרגלנו את תוכנית התגובה שלנו טוב הרבעון הזה". ארגוני אבטחה בוגרים בונים את הדשבורד הזה בכל זאת.

2. זיהוי משופר ב-AI / ML, פרוס מול המשטח הנכון

ארגונים שמשתמשים ב-AI / ML ב-stack האבטחה ראו עלויות פריצה ממוצעות נמוכות ב-1.76 מיליון דולר מאלה שלא (IBM 2024). גודל ההשפעה הפתיע את רוב האנשים. המנגנון אינו הטכנולוגיה עצמה. זה דחיסת זמן הזיהוי.

ההסתייגות כאן היא "פרוס מול המשטח הנכון". AI ב-SIEM שמוזן רק טלמטריית רשת מייצר רווחים שוליים. AI ב-stack זיהוי שכולל endpoint, זהויות, וטלמטריית control-plane של ענן מייצר את האפקט המדוד. ההשקעה אינה ב-AI. ההשקעה האמיתית היא בתשתית הנתונים שגורמת ל-AI להיות שימושי.

אנחנו רואים ארגונים קונים את פיצ'ר ה-AI בלי עבודת הנתונים שמתחת ומדווחים על אכזבה. הנתונים נכונים. הסדר שגוי.

3. הצפנה בכל מקום שבאמת חשוב

הצפנה נרחבת (במנוחה, בתעבורה, בשימוש כשנתמך) מורידה עלות פריצה ב-0.49 מיליון דולר (IBM 2024). מילת המפתח "נרחבת" חשובה: ארגונים שמצפינים את הדברים הברורים (databases, backups, ערוצי רשת) ומתעלמים מהפחות-ברורים (secrets של CI/CD, מפתחות API בין SaaS ל-SaaS, אחסון קבצים משותף ב-collaboration platforms) מקבלים אפקט הרבה יותר קטן.

מודל ההפעלה הנכון הוא הרשומה הקריפטוגרפית שדנו בו בכתבת NIS2: מקור אמת יחיד שממפה כל מפתח לנתונים שהוא מגן עליהם, עם בעלים, מדיניות סיבוב, ו-audit שימוש. בלי המרשם הזה, הצפנה היא סדרה של החלטות פרויקטיות. עם המרשם, הצפנה היא בקרה מנוהלת.

4. בקרות זהות וגישה שמתבצעות ברמה התפעולית

הקטגוריה הזו קשה למצוא לה מספר יחיד, כי היא מופיעה בנתוני IBM פרוסה על וקטור התקיפה "credential compromise" וסגמנטי עלות "stolen / compromised credentials". מצרפית, זה וקטור התקיפה היחיד היקר ביותר בנתונים הפומביים: פריצות הכוללות credentials שנפרצו עולות 4.81 מיליון דולר בממוצע ולוקח להן יותר זמן להתגלות.

הבקרה שבאמת מזיזה את המספר הזה היא משמעת נתיב התקיפה לזהויות שכיסינו בכתבת Zero-Trust: גרף הרשאות מחושב שבועית, audit ברמת פעולה, ותוכנית הזהויות בת ארבעת המהלכים. פריסת כלי IAM גנרי בלי השכבה התפעולית הזו לא מייצרת את הורדת העלות.

מה לא מזיז את העקומה כמו שאתם חושבים

רשימה שנייה של השקעות מופיעות לעיתים קרובות בתקציבי אבטחה אבל מייצרות הורדת עלות מדודה קטנה יותר, או הורדה שתלויה כל-כך בתנאי קדם שהרכישה העצמאית רק לעיתים נדירות מתממשת בפועל.

ביטוח סייבר. שימושי להעברת סיכון, לא בקרה. המבטח גם דורש את הבקרות בארבע הקטגוריות למעלה לפני חיתום בפרמיות סבירות, אז שורת ה-insurance בתקציב היא במורד הזרם של עבודת הבקרה, לא תחליף לה.

מנויי threat intelligence. לעיתים קרובות באמת שימושיים ל-detection engineers ו-red teams. רק לעיתים נדירות מייצרים הורדת עלות פריצה מדודה בנתונים כי האינטליג'נס לא מגיע להחלטות התפעוליות שבהן הוא יהיה חשוב. אנחנו רואים ארגונים קונים מספר feeds של TI ולא צורכים אף אחד מהם בתוכן זיהוי.

אישורי תאימות, בפני עצמם. ISO 27001, SOC 2, PCI DSS, HITRUST. שימושיים לפעילות מכירות. שימושיים כ-forcing function לחלק מארבע הקטגוריות למעלה. לא מורידי עלות פריצה מדודים כשמתייחסים אליהם כמטרה במקום ככלי רכב.

SIEM למטרה כללית. בלי משמעת ה-detection engineering שכיסינו קודם, SIEM הוא data lake עם התראות. נתוני IBM מראים הורדות עלות פריצה למשתמשי SIEM רק כשמשולב עם detection engineering בוגר. שורת ה-SIEM בתקציב בלי השילוב הזה לא מזיזה את המספר.

זו השיחה שחברי דירקטוריון רק לעיתים נדירות יש להם עם ה-CISO שלהם. הגנת התקציב של ה-CISO כמעט תמיד מדגישה כלים. הנתונים מדגישים יכולת. השניים אינם זהים.

איך להגן על תקציב אבטחה מול דירקטוריון

אם אתם CISO שבונה את התקציב של השנה הבאה מול דירקטוריון שעומד לשאול שאלות קשות, המסגור שמחזיק תחת בדיקה הוא:

  1. שלוש עד ארבע יעדי הורדת סיכון מפורשים, כל אחד קשור למנוף עלות-פריצה ניתן למדידה מהנתונים הפומביים ולחולשה נוכחית בתוכנית.
  2. כל יעד נתמך בהשקעות יכולת ראשון, השקעות כלים שני. זמן אנשים, זמן תרגול, זמן governance, ורק אחר כך כלים שהיכולת צריכה.
  3. כל יעד מייצר metric רבעוני שמשקף את ההורדה, לא את הפעילות. זמן לזיהוי לדליפת credential. גודל גרף הרשאות. כיסוי הצפנה של הרשומה הקריפטוגרפית. ספירת תרגילים.
  4. הצהרה מפורשת על מה נדחה. דירקטוריונים סומכים על CISO-ים שאומרים "אנחנו במפורש לא משקיעים ב-X השנה כי תנאי הקדם עוד לא הושלמו". הם לא סומכים על CISO-ים שנראים משקיעים בכל דבר.

המספר 4.88 מיליון דולר אינו השאלה האמיתית. השאלה היא אילו הורדות של 0.5, 1, ו-1.5 מיליון דולר אתם בצורה אמינה קונים בתקציב של השנה הבאה. תשובה הגנתית מצטטת את הסגמנטציות הפומביות, נותנת שמות למנופים, וקושרת אותם לעבודת יכולת. זו השיחה שמשנה את דינמיקת אישור התקציב.

איפה אנחנו נכנסים

תחום ניהול סיכונים וניתוח איומים של פליקן-טק בונה הגנת תקציב כזו כמוצר אספקה. אנחנו מתחילים עם איפה הארגון באמת עומד מול ארבע הקטגוריות למעלה (לרוב יש להם תחום אחד חזק ושלוש חלשות), מפיקים את הורדת תוחלת ההפסד המסווגת שההשקעות המוצעות יקנו, ובונים את ה-stack של ה-metric הרבעוני ששומר את הדירקטוריון מעודכן בלי תיאטרון. אנחנו עובדים יחד עם צוות ה-SIEM/SOAR כשהאילוץ הקובע הוא תוכן זיהוי במקום כיסוי, ועם צוות הזהויות שלנו כשוקטור compromise של credentials הוא הנהג העיקרי של עלות, מה שבדרך כלל קורה.

אם אתם נכנסים למחזור התקציב של השנה הבאה והתיק לאבטחה הוא כרגע רשימת כלים, זו השיחה שצריך לעשות איתנו מראש.