Как microsoft прави сигурността през 2019 г.

Microsoft обяви разнообразни продукти за сигурност по време на конференцията си Ignite тази седмица, но едно от нещата, които се откроиха, беше твърдото им убеждение, че начинът, по който провеждате операциите си по сигурността, е толкова важен, колкото и продуктите, които изпълнявате.

Главният директор на информационната сигурност на Microsoft Брет Арсено (отгоре) беше категоричен, тъй като той описа собствената среда за сигурност на Microsoft и нейния подход за управление на сигурността за себе си и своите клиенти. Той каза, че компанията решава огромни 20 милиарда събития за сигурност на ден.

„Потребителите са както моята първа линия, така и последната ми линия на защита“, каза Арсено и отбеляза, че Microsoft има 125 000 служители плюс 70 000 „значки“ партньори. Той подчерта огромното предизвикателство за управлението на такава голяма и разнообразна среда, която включва 32 версии на използваните операционни системи, 500 000 Linux среда, втората по големина инсталирана база Macintosh навсякъде (Apple е на първо място) и следващата „N + 1“ версия на Windows. Той каза, че основната му цел е да защити компанията, а не да използва продуктите на Microsoft.

Arsenault отдели много време за „възможност и риск“ и обясни как винаги достъпът, масивните масиви данни, облачното базиране на съхранението и съвременният инженеринг създават много възможности и значителни предизвикателства пред сигурността. Например, суверенитетът на данните е основен проблем, тъй като компанията има 596 места и Арсенал трябва да вземе предвид данни, които могат да надхвърлят границите. Той каза, че парите, получени от киберпрестъпността, са надминали тези, направени в незаконната търговия с наркотици. Той се притеснява и от веригата на доставки и от възможността на всяка компания да я защити.

Арсено отбеляза, че преминаването към облачни изчисления означава, че докато мрежовата сигурност остава важна, тя не е достатъчна и каза, че "идентичността е новият периметър".

Арсено сподели собствените си лидерски принципи, казвайки, че е важно да има опростени цели. Трите му основни точки: лидер трябва да създаде яснота, да генерира енергия и да постигне успех. По-ясно, той каза, че е важно да „сложите инженерния молив и да вземете пастел“ - с други думи, за да направите нещата прости за крайните потребители. Арсено подчерта, че е важно да не се бърка съобщение, което работи за инженерна популация, с това, което работи за общата потребителска база.

За тази цел той описа стратегията си като трикрак стол: управление на идентичността, данни и телеметрия и здраве на устройството.

С други думи, каза Арсено, за да се свържете с която и да е от услугите, се нуждаете от силна идентичност, която се проверява чрез многофакторна автентификация. Ако имате страхотна самоличност, той все още трябва да гарантира, че устройството, с което се свързвате, е защитено. С 20 милиарда събития на ден, той се нуждае от голяма телеметрия за данни, за да проследява системите, да ги подобрява и защитава.

Преминавайки от генерала към по-задълбочения, Арсено каза, че през тази година е определил пет основни стълба или принципи като области за инвестиции - управление на риска, управление на идентичността, здраве на устройствата, данни и телеметрия и защита на информацията - и в рамките на тези стълбове той се фокусира. на 27 основни услуги. Той също така изброи 11 „епици“ - по същество краткосрочни проекти с продължителност 18-24 месеца - които ще бъдат завършени, ще се провалят или ще станат бъдещи основни услуги. Той има сравнително малък екип от девет или десет души, които разглеждат нововъзникващите технологии, за да видят какво може да помогне на компанията с нейните нужди за сигурност. Microsoft има 80 доставчици на сигурност, когато пое ролята на CISO преди 8 години, добави Арсено.

Една от основните инициативи през последните няколко години е преместването на натоварването към Azure. Арсено заяви, че компанията е преместила 95 процента от натовареността си. По отношение на процеса, първото нещо, което трябва да направите, е да разгледате заявленията и да решите дали все още имат нужда от тях; от около 2000 приложения за бизнес, Арсено заяви, че Microsoft установява, че може просто да елиминира 30 процента. Следващото нещо, което трябва да направите, е да намерите приложения, които могат да бъдат преобразувани в софтуерно решение като услуга; това работи за около 15 процента от приложенията на Microsoft. За тези, които останаха, следващата стъпка беше да се виртуализират всички приложения и да се вземат нови или прости приложения и да се преместят в платформата като услуга, като се направи „повдигане и преминаване“ към предложенията за инфраструктура като услуга за повечето от останалите.

В този процес повече приложения се преместиха в облака, отколкото би предполагал (включително SAP системата на Microsoft) и той предложи на компаниите да се преместят в PaaS по-рано, отколкото можеха да планират.

Важно е да продължите да се движите по време на подобни усилия, каза Арсено, и да продължите да създавате енергия около проекта, тъй като проектите често престават да се развиват около половината път. Хората често използват 5-те процента натоварвания, които няма да се преместят в облака като извинение да не правите останалите 95 процента, и той каза, че трябва да създадете усещане за неотложност, за да направите преместването да стане (като например определяне на дата за затваряне на център за данни).

Едно нещо, което неговият екип създаде, е DevOps Toolkit за Azure, предназначен да следи 250 контрола на различни приложения, за да се гарантира, че всичко работи. Арсено заяви, че неговата група е предоставила това чрез отворен код и вярва, че тези принципи за управление на предприятията ще бъдат вградени в Azure след около 18 месеца.

Арсено фокусира част от разговора си върху осигуряването на администратори, които обикновено имат най-много достъп до система. Той говори за намаляване на броя на стоящите администратори; използване на отделна система за идентичност, за да им се дадат по-малко привилегии; и да ги накара да изпълняват задачи за сигурност само на "сигурна работна станция на администратор", която той определи като "супер сигурно устройство" със специално изображение, което сплесква и възстановява машината често и което се създава с помощта на защитена верига за доставки. Тези машини изпълняват само код на сайта и са силно заключени, с бели списъци, за да определят какво и къде могат да се свържат. За връзки с други услуги администраторите могат да се свързват с виртуални машини.

Арсено също говори за важността на премахването на паролите. Той използва приложението Authenticator на компанията от доста време и каза, че е важно да не "оставяме перфектният да бъде враг на доброто". Това наистина е за премахване на подкана, каза той, и докато потребителите на това приложение не виждат пароли, те все още са там под повърхността (въпреки че след няколко години те могат да бъдат заменени със сертификати). Той предложи на специалистите по сигурността в компаниите да спрат да говорят за MFA и вместо това да започнат да говорят за премахване на пароли, като целта е да се вижда това не като допълнителен слой, а по-скоро като нещо, което облекчава достъпа за потребителите.

• Microsoft решава да не прекъсва инсталациите на Firefox / Chrome, Microsoft решава да не прекъсва инсталациите на Firefox / Chrome
• Главният изпълнителен директор на Microsoft настоява за инициатива за отворени данни, нова сигурност при Ignite CEO на Microsoft настоява за инициатива за отворени данни, нова сигурност в Ignite
• Microsoft Tips New AI, Security for Office, Microsoft 365 Microsoft Tips New AI, Security for Office, Microsoft 365

Това, което наистина се открои за мен в беседата на Арсенол, беше, че повечето му идеи - опростяване на инструментите ви, преместване на това, което има смисъл в облака, фокусиране върху идентичността, контрол на административното счетоводство, преминаване отвъд традиционните пароли - не са нови или дори противоречиви. Най-голямото предизвикателство вместо това изглежда е всъщност да се реализират тези неща по начини, които не пречат на останалата част от вашия ИТ отпечатък и които са приемливи или дори за предпочитане за вашите крайни потребители. В свят с повече заплахи за сигурността от всякога е изключително важно да продължите напред.