כיצד מיקרוסופט עושה אבטחה בשנת 2019

מיקרוסופט הכריזה על מגוון מוצרי אבטחה בכנס Ignite השבוע, אך אחד הדברים שבלטו היה האמונה האיתנה שלהם כי הדרך בה אתה מנהל את פעולות האבטחה שלך חשובה לא פחות מהמוצרים שאתה מנהל.

סמנכ"ל אבטחת המידע הראשי של מיקרוסופט, ברט ארסנול (בראש), הדגיש מאוד את סביבת האבטחה של מיקרוסופט ואת גישתה לניהול האבטחה לעצמה ולקוחותיה. לדבריו, החברה פותרת 20 מיליארד אירועי אבטחה עצומים ביום.

"משתמשים הם גם הקו הראשון שלי וגם קו ההגנה האחרון שלי", אמר ארסנול וציין כי מיקרוסופט מעסיקה 125, 000 עובדים פלוס 70, 000 שותפים "תלויים". הוא הדגיש את האתגר העצום של ניהול סביבה כל כך גדולה ומגוונת, הכוללת 32 גרסאות של מערכות ההפעלה שלה בשימוש, 500, 000 סביבות לינוקס, הבסיס השני בגודלו המותקן של מקינטוש בכל מקום (אפל ראשונה), וה- "N + 1" הבא. גירסת Windows. הוא אמר שמטרתו העיקרית היא להגן על החברה ולא להשתמש במוצרי מיקרוסופט.

Arsenault בילה זמן רב ב"הזדמנות וסיכון ", והסביר כיצד גישה מתמדת, מערכי נתונים מאסיביים, אחסון מבוסס ענן והנדסה מודרנית מייצרים הזדמנויות רבות ואתגרי אבטחה משמעותיים. לדוגמא, ריבונות נתונים היא נושא מרכזי, מכיוון שלחברה יש 596 מיקומים, ועל ארסן להתייחס לנתונים שעלולים לעבור את הגבולות. הוא אמר שכסף שמקורו בפשעי רשת עבר את הרווח שביצע בסחר בסמים בלתי חוקיים. הוא גם מודאג משרשרת האספקה ​​ומכל יכולתה של החברה להגן עליה.

Arsenault ציין כי המעבר למחשוב ענן פירושו שלמרות שאבטחת הרשת נותרה חשובה, היא לא מספיקה ואמרה כי "זהות היא ההיקף החדש."

ארסנול חלק את עקרונות המנהיגות שלו ואמר שחשוב שיהיו יעדים פשוטים יותר. שלוש הנקודות העיקריות שלו: מנהיג צריך ליצור בהירות, לייצר אנרגיה ולהביא הצלחה. על הבהירות הוא אמר שחשוב "להניח את העיפרון ההנדסי ולהרים עפרון" - או במילים אחרות, כדי להפוך את הדברים לפשוטים עבור משתמשי הקצה. Arsenault הדגיש כי חשוב לא לבלבל מסר שעובד עבור אוכלוסייה הנדסית עם מה שעובד עבור בסיס המשתמשים הכללי.

לשם כך, הוא תיאר את האסטרטגיה שלו כשרפרף בעל שלוש רגליים: ניהול זהויות, נתונים וטלמטריה ובריאות מכשירים.

במילים אחרות, Arsenault אמר, כדי להתחבר לאחד מהשירותים, אתה זקוק לזהות חזקה, כזו המאומתת על ידי אימות רב גורמים. אם יש לך זהות רבה, הוא עדיין צריך להבטיח שהמכשיר שאליו אתה מתחבר מאובטח. עם 20 מיליארד אירועים ביום, הוא זקוק לטלמטריות נתונים נהדרות בכדי לעקוב אחר מערכות, לשפר אותן ולהגן עליהן.

בארסנאו עבר מהגנרל ליותר גרעיני, אמר כי הוא זיהה חמישה עמודי תווך או עקרונות מרכזיים כאזורי השקעה השנה - ניהול סיכונים, ניהול זהויות, בריאות מכשירים, נתונים וטלמטריה והגנה על מידע - ובתווכים אלה הוא מתמקד ב- 27 שירותי ליבה. הוא גם ציין 11 "אפים" - פרויקטים חשובים לטווח הקצר שנמשכים 18-24 חודשים - שיסיימו, ייכשלו או יהפכו לשירותי ליבה עתידיים. יש לו צוות קטן יחסית של תשעה או עשרה אנשים שמסתכלים על טכנולוגיה מתפתחת כדי לראות מה יכול לעזור לחברה עם צרכי האבטחה שלה. למיקרוסופט היו 80 ספקי אבטחה כאשר הוא השתלט על תפקיד CISO לפני 8 שנים, הוסיף ארסנול.

יוזמה מרכזית אחת במהלך השנים האחרונות היא העברת עומסי עבודה ל- Azure. מחברת ארסנול נמסר כי החברה העבירה 95 אחוז מעומסי העבודה שלה. מבחינת התהליך, הדבר הראשון שצריך לעשות הוא לשקול בקשות ולהחליט אם הם עדיין זקוקים להן; מתוך כ -2, 000 יישומים עסקיים, Arsenault אמרה שמיקרוסופט מצאה שהיא יכולה פשוט לחסל 30 אחוזים. הדבר הבא לעשות הוא למצוא יישומים שניתן להמיר לפתרון תוכנה כשירות; זה עבד בכ- 15 אחוז מהיישומים של מיקרוסופט. עבור אלה שנשארו, השלב הבא היה וירטואליזציה של כל היישומים ולקחת אפליקציות חדשות או פשוטות ולהעביר אותם לפלטפורמה כשירות, תוך ביצוע "העברה ושינוי" להצעות לתשתיות כשירות עבור רוב האחרים.

בתהליך זה, יותר אפליקציות עברו לענן מכפי שהיה חושב (כולל מערכת SAP של מיקרוסופט), והוא הציע כי חברות צריכות לעבור ל- PaaS מוקדם יותר ממה שהן תכננו.

חשוב להמשיך לנוע במהלך מאמץ כזה, אמר ארסנאו, ולהמשיך ליצור אנרגיה סביב הפרויקט, מכיוון שלעתים קרובות פרויקטים מפסיקים להתקדם בערך באמצע הדרך. לעתים קרובות אנשים ישתמשו ב -5 אחוז מעומסי העבודה שלא יעברו לענן כתירוץ לא לעשות את שאר 95 האחוזים, והוא אמר שאתה צריך ליצור תחושת דחיפות בכדי לגרום למהלך לקרות (כמו קביעת תאריך) לסגירת מרכז נתונים).

דבר אחד שהצוות שלו יצר היה ערכת כלים DevOps עבור Azure שנועדה לפקח על 250 פקדים ביישומים שונים כדי להבטיח שהכל עובד. ארסנול אמר כי קבוצתו הפכה את זה לזמין באמצעות קוד פתוח, ומאמינה כי עקרונות אלה לניהול ארגונים יובנו בתוך תכלת בעוד כ- 18 חודשים.

ארסנאו מיקד חלק מהשיחה שלו באבטחת מנהלים, שלרוב יש להם גישה מרבית למערכת. הוא דיבר על צמצום מספר המנהלים העומדים; שימוש במערכת זהות נפרדת כדי לתת להם פחות הרשאות; ולגרום להם לבצע משימות אבטחה רק ב"תחנת עבודה מאובטחת של מנהל מערכת ", שתיאר אותה כ"מכשיר מאובטח סופר" עם תמונה מיוחדת המשטחת ובונה מחדש את המכונה לעיתים קרובות, ונוצרת באמצעות שרשרת אספקה ​​מאובטחת. מכונות אלה מריצות רק קוד אתר והן נעולות מאוד, עם רשימות רשימה כדי לקבוע לאן ואיפה הן יכולות להתחבר. עבור חיבורים לשירותים אחרים, מנהלי מערכת יכולים להתחבר למכונות וירטואליות.

Arsenault דיבר גם על החשיבות של ביטול סיסמאות. הוא משתמש באפליקציית המאמת של החברה די הרבה זמן, ואמר שחשוב לא "לתת למושלם להיות אויב הטובים." זה באמת קשור לחיסול ההנחיה, הוא אמר, ובעוד שמשתמשים באפליקציה הזו לא רואים סיסמאות, הם עדיין נמצאים שם מתחת לפני השטח (אם כי בעוד כמה שנים, הם עשויים להחליף בתעודות במקום זאת). הוא הציע לאנשי אבטחה בחברות להפסיק לדבר על MFA ובמקום זאת להתחיל לדבר על ביטול סיסמאות, והמטרה היא לראות בכך לא שכבה נוספת, אלא כמשהו שמקל על הגישה למשתמשים.

• מיקרוסופט מחליטה לא להפריע להתקנת פיירפוקס / כרום. מיקרוסופט מחליטה שלא להפריע להתקנות Firefox / Chrome
• מנכ"ל מיקרוסופט דוחף את יוזמת הנתונים הפתוחים, אבטחה חדשה ב- Ignite. מנכ"ל מיקרוסופט דוחף את יוזמת הנתונים הפתוחים, אבטחה חדשה ב- Ignite
• טיפים של מיקרוסופט AI חדש, אבטחה עבור אופיס, מיקרוסופט טיפים מיקרוסופט טיפים AI חדש, אבטחה למשרד, מיקרוסופט 365

מה שבאמת בלט עבורי בשיחתו של ארסנול היה שרוב הרעיונות שלו - לפשט את הכלים שלך, להעביר את הגיוני לענן, להתמקד בזהות, לשלוט בחשבונאות מנהלית, לעבור מעבר לסיסמאות מסורתיות - אינם חדשים ואף לא שנוי במחלוקת. האתגר הגדול ביותר, במקום זאת, נראה למעשה ליישם את הדברים האלה בדרכים שאינן מפריעות לשאר טביעת הרגל שלך בתחום ה- IT, ואשר מקובלים - או אפילו עדיפים - על משתמשי הקצה שלך. בעולם עם איומי אבטחה רבים מתמיד, חיוני להמשיך להתקדם.