Sådan gør Microsoft sikkerhed i 2019

Microsoft annoncerede en række sikkerhedsprodukter på sin Ignite-konference i denne uge, men en af ​​de ting, der stod ud, var deres faste overbevisning om, at den måde, du kører dine sikkerhedsoperationer på er lige så vigtig som de produkter, du kører.

Microsofts Chief Information Security Officer Bret Arsenault (øverst) var eftertrykkeligt, da han beskrev Microsofts eget sikkerhedsmiljø og dets tilgang til styring af sikkerhed for sig selv og sine kunder. Han sagde, at virksomheden løser enorme 20 milliarder sikkerhedsbegivenheder om dagen.

"Brugere er både min første linje og min sidste forsvarslinje, " sagde Arsenault og bemærkede, at Microsoft har 125.000 ansatte plus 70.000 "badged" -partnere. Han understregede den enorme udfordring ved at styre et så stort og mangfoldigt miljø, der inkluderer 32 versioner af dets operativsystemer i brug, 500.000 Linux-miljøer, den næststørste Macintosh-installerede base overalt (Apple er først) og "N + 1" næste version af Windows. Han sagde, at hans primære mål er at beskytte virksomheden og ikke at bruge Microsoft-produkter.

Arsenault brugte meget tid på "mulighed og risiko" og forklarede, hvordan altid on-access, massive datasæt, skybaseret opbevaring og moderne teknik skaber mange muligheder og betydelige sikkerhedsudfordringer. F.eks. Er datasuverænitet et stort problem, fordi virksomheden har 596 lokationer, og Arsenault skal overveje data, der kan overskride grænserne. Han sagde, at penge, der stammer fra cyberkriminalitet, har overskredet dem, der blev foretaget i den ulovlige stofhandel. Han er også bekymret for forsyningskæden og enhver virksomheds evne til at beskytte den.

Arsenault bemærkede overgangen til cloud computing betyder, at selvom netværkssikkerhed stadig er vigtig, er det ikke tilstrækkeligt og sagde, at "identitet er den nye perimeter."

Arsenault delte sine egne ledelsesprincipper og sagde, at det er vigtigt at have forenklede mål. Hans tre hovedpunkter: en leder skal skabe klarhed, generere energi og levere succes. For klarhed sagde han, at det er vigtigt at "lægge ingeniørblyanten og afhente en farveblyant" - med andre ord for at gøre tingene enkle for slutbrugerne. Arsenault understregede, at det er vigtigt ikke at forveksle en meddelelse, der fungerer for en ingeniørpopulation, med det, der fungerer for den generelle brugerbase.

Med henblik herpå beskrev han sin strategi som en trebenet afføring: identitetsstyring, data og telemetri og enhedssundhed.

Med andre ord sagde Arsenault, for at oprette forbindelse til nogen af ​​tjenesterne, har du brug for en stærk identitet, en verificeret ved hjælp af multifaktor-godkendelse. Hvis du har stor identitet, skal han stadig sikre, at den enhed, du tilslutter fra, er sikker. Med 20 milliarder begivenheder om dagen har han brug for stor datatelemetri for at spore systemer, forbedre dem og beskytte dem.

Bevæger sig fra det generelle til det mere granulære, sagde Arsenault, at han havde identificeret fem vigtige søjler eller principper som investeringsområder i år - risikostyring, identitetsstyring, enhedssundhed, data og telemetri og informationsbeskyttelse - og inden for disse søjler fokuserer han på 27 kernetjenester. Han anførte også 11 "epics" - væsentligt kortvarige projekter, der varer 18-24 måneder, som vil blive afsluttet, mislykkes eller blive fremtidige kernetjenester. Han har et relativt lille team på ni eller ti personer, der ser på ny teknologi for at se, hvad der kan hjælpe virksomheden med dets sikkerhedsbehov. Microsoft havde 80 sikkerhedsleverandører, da han overtog CISO-rollen for 8 år siden, tilføjede Arsenault.

Et vigtigt initiativ gennem de seneste par år har været at flytte arbejdsmængder til Azure. Arsenault sagde, at virksomheden har flyttet 95 procent af sine arbejdsmængder. Med hensyn til proces er den første ting at gøre at overveje ansøgninger og beslutte, om de stadig har brug for dem; af ca. 2.000 forretningsområder, sagde Arsenault Microsoft fandt, at det simpelthen kunne eliminere 30 procent. Den næste ting at gøre er at finde applikationer, der kan konverteres til en Software-as-a-Service-løsning; dette virkede for cirka 15 procent af Microsofts applikationer. For dem, der blev tilbage, var det næste skridt at virtualisere alle applikationer og tage nye eller enkle applikationer og flytte dem til Platform-som-en-tjeneste, ved at gøre et "løft og skift" til tilbud om infrastruktur-som-en-service til de fleste af de andre.

I denne proces flyttede flere applikationer til skyen, end han ville have troet (inklusive Microsofts SAP-system), og han foreslog, at virksomheder skulle flytte til PaaS tidligere, end de måtte have planlagt.

Det er vigtigt at bevæge sig under en sådan indsats, sagde Arsenault, og at fortsætte med at skabe energi omkring projektet, da projekter ofte ophører med at gå omkring halvvejs igennem. Folk bruger ofte de 5 procent af arbejdsbelastningen, der ikke flytter sig til skyen, som en undskyldning for ikke at gøre de andre 95 procent, og han sagde, at du er nødt til at skabe en følelse af uopsættelighed for at få flytningen til at ske (f.eks. At indstille en dato) til lukning af et datacenter).

En ting, hans team oprettede, var en DevOps Toolkit til Azure designet til at overvåge 250 kontroller på forskellige applikationer for at sikre, at alt fungerer. Arsenault sagde, at hans gruppe har gjort dette tilgængeligt via open source, og mener, at disse principper for virksomhedsstyring vil blive indbygget i Azure om cirka 18 måneder.

Arsenault fokuserede en del af sin tale på at sikre administratorer, der typisk har mest adgang til et system. Han talte om at reducere antallet af stående admins; at bruge et separat identitetssystem for at give dem færre privilegier; og få dem til at udføre sikkerhedsopgaver kun på en "sikker admin-arbejdsstation", som han beskrev som en "supersikker enhed" med et specielt billede, der ofte flater og genopbygger maskinen, og som oprettes ved hjælp af en sikker forsyningskæde. Disse maskiner kører kun site-kode og er meget låst med hvidliste til at bestemme, hvad og hvor de kan oprette forbindelse. For forbindelser til andre tjenester kan administratorer oprette forbindelse til virtuelle maskiner.

Arsenault talte også om vigtigheden af ​​at eliminere adgangskoder. Han har brugt firmaets Authenticator-app i ganske lang tid og sagde, at det er vigtigt ikke at "lade den perfekte være fjende for det gode." Dette handler virkelig om at fjerne promptering, sagde han, og selvom brugere af denne app ikke kan se adgangskoder, er de stadig der under overfladen (selvom de i løbet af få år kan blive erstattet med certifikater i stedet). Han foreslog, at sikkerhedsfolk inden for virksomheder holder op med at tale om MFA og i stedet begynde at tale om at fjerne adgangskoder, og målet var at se dette ikke som et ekstra lag, men snarere som noget, der letter adgangen for brugerne.

• Microsoft beslutter ikke at afbryde Firefox / Chrome-installationer Microsoft beslutter ikke at afbryde Firefox / Chrome-installationer
• Microsofts administrerende direktør skubber åbent datainitiativ, ny sikkerhed ved antændelse Microsofts administrerende direktør skubber åbent datainitiativ, ny sikkerhed hos tænder
• Microsoft Tips Ny AI, Sikkerhed til Office, Microsoft 365 Microsoft Tips Ny AI, Sikkerhed til Office, Microsoft 365

Hvad der virkelig stod ud for mig i Arsenults tale var, at de fleste af hans ideer - at forenkle dine værktøjer, flytte det, der giver mening til skyen, fokusere på identitet, kontrollere administrativ regnskab, bevæge sig ud over traditionelle adgangskoder - ikke er nye eller endda kontroversielle. Den største udfordring synes i stedet at være faktisk at få disse ting implementeret på måder, der ikke forstyrrer resten af ​​dit IT-fodaftryk, og som er acceptabelt - eller endda foretrækkes - for dine slutbrugere. I en verden med flere sikkerhedstrusler end nogensinde er det afgørende at fortsætte.