Наскільки мікрософт робить безпеку у 2019 році

На цьому конференції Microsoft на цьому тижні оголосила про різноманітні продукти безпеки, але однією з речей, яка виділялася, було їх тверде переконання, що спосіб здійснення операцій із безпеки настільки ж важливий, як і продукти, якими ви керуєте.

Головний директор з питань інформаційної безпеки Microsoft Брет Арсено (вгорі) виявився рішучим, коли він описав власне середовище безпеки Microsoft та її підхід до управління безпекою для себе та своїх клієнтів. За його словами, компанія щодня вирішує величезні 20 мільярдів заходів безпеки.

"Користувачі є і моєю першою лінією, і моєю останньою лінією захисту", - сказав Арсено, і зазначив, що Microsoft має 125 000 співробітників плюс 70 000 "значків" партнерів. Він наголосив на величезній проблемі управління таким великим та різноманітним середовищем, яке включає 32 версії операційних систем, що використовуються, 500 000 середовищ Linux, друге місце за величиною Macintosh, встановлене будь-де (Apple є першим) та "N + 1" наступне версія Windows. Він сказав, що його основна мета - захистити компанію, а не використовувати продукти Microsoft.

Арсено витратив багато часу на "можливість та ризик", і пояснив, як постійний доступ, масивні набори даних, хмарне зберігання даних та сучасна інженерія створюють багато можливостей та значні проблеми безпеки. Наприклад, суверенітет даних є головною проблемою, оскільки компанія має 596 локацій, і Арсено повинен розглянути дані, які можуть перейти межі. Він зазначив, що гроші, отримані від кіберзлочинності, перевершили гроші, отримані в незаконній торгівлі наркотиками. Він також стурбований ланцюгом поставок та можливістю будь-якої компанії захистити її.

Арсено зазначив, що перехід до хмарних обчислень означає, що, хоча безпека мережі залишається важливою, вона недостатня, і сказав, що "ідентичність - це новий периметр".

Арсено поділяв власні принципи лідерства, заявивши, що важливо мати спрощені цілі. Його три основні моменти: лідеру потрібно створити чіткість, генерувати енергію та досягти успіху. Для наочності він сказав, що важливо "скласти інженерний олівець і забрати кольоровий олівець" - іншими словами, щоб все було просто для кінцевих користувачів. Арсено наголосив, що важливо не плутати повідомлення, яке працює для інженерної сукупності, з тим, що працює для загальної бази користувачів.

З цією метою він описав свою стратегію як триногий табурет: управління ідентифікацією, даними та телеметрією та здоров’ям пристроїв.

Іншими словами, сказав Арсено, для підключення до будь-якої служби вам потрібна чітка ідентифікація, підтверджена багатофакторною автентифікацією. Якщо у вас є чудова особа, він все ще повинен забезпечити безпеку пристрою, з яким ви підключаєтесь. Маючи 20 мільярдів подій на день, йому потрібна велика телеметрія даних для відстеження систем, вдосконалення їх та захисту.

Переходячи від загального до більш детального, Арсено зазначив, що в цьому році він визначив п’ять основних стовпів або принципів як сфери інвестицій - управління ризиками, управління ідентифікацією, здоров’я пристроїв, дані та телеметрія та захист інформації - і в рамках цих стовпів він зосереджується. на 27 основних сервісах. Він також перерахував 11 "епічних" - фактично короткотермінових проектів тривалістю 18-24 місяці - які будуть завершені, не зможуть або стануть майбутніми основними службами. У нього є порівняно невелика команда з дев'яти чи десяти людей, які розглядають нові технології, щоб побачити, що може допомогти компанії у її потребах у безпеці. У компанії Microsoft було 80 постачальників безпеки, коли він взяв на себе роль CISO 8 років тому, додав Арсено.

Однією з ключових ініціатив за останні кілька років було переміщення робочих навантажень у Azure. Арсено заявив, що компанія перенесла 95 відсотків своєї завантаженості. З точки зору процесу, перше, що потрібно зробити, це розглянути додатки та вирішити, чи потрібні вони ще; з приблизно 2000 додатків для бізнесу, Арсено заявив, що Microsoft виявила, що це може просто усунути 30 відсотків. Наступне, що потрібно зробити - це знайти додатки, які можна було б перетворити на рішення Software-as-a-Service; це працювало для близько 15 відсотків додатків Microsoft. Для тих, хто залишився, наступним кроком було віртуалізація всіх програм та прийняття нових чи простих додатків та переміщення їх на платформу як послуга, роблячи "підйом і перехід" на пропозиції інфраструктури як послуга для більшість інших.

У цьому процесі більше областей перемістилося до хмари, ніж він міг би подумати (включаючи SAP-систему Microsoft), і він запропонував компаніям перейти на PaaS раніше, ніж вони могли запланувати.

Важливо продовжувати рухатися під час таких зусиль, сказав Арсено, і продовжувати створювати енергію навколо проекту, оскільки проекти часто перестають прогресувати приблизно на півдорозі. Люди часто використовують 5 відсотків навантажень, які не рухатимуться до хмари, як привід не робити інших 95 відсотків, і він сказав, що вам потрібно створити відчуття терміновості, щоб переїзд відбувся (наприклад, встановлення дати для закриття центру обробки даних).

Одне, що створила його команда, - це інструментарій DevOps для Azure, призначений для моніторингу 250 елементів управління різними програмами, щоб переконатися, що все працює. Арсено заявив, що його група зробила це доступним через відкритий код, і вважає, що ці принципи управління підприємством будуть вбудовані в Azure приблизно за 18 місяців.

Арсено зосередив частину своєї розмови на забезпеченні адміністраторів, які, як правило, мають найбільший доступ до системи. Він говорив про зменшення кількості стоячих адмінів; використання окремої системи ідентичності для надання їм менших пільг; і змушуючи їх виконувати завдання безпеки лише на "захищеній робочій станції адміністратора", яку він назвав "супер захищеним пристроєм" зі спеціальним зображенням, яке часто сплющується та відновлює машину, і яке створюється за допомогою захищеного ланцюга живлення. Ці машини працюють лише з кодом сайту і сильно заблоковані. Білі списки визначають, до чого і де вони можуть підключитися. Для підключення до інших служб адміністратори можуть підключатися до віртуальних машин.

Арсено також розповів про важливість усунення паролів. Він використовує додаток Authenticator компанії досить давно, і сказав, що важливо не "дозволити ідеальному бути ворогом добра". Це дійсно стосується усунення спонукань, сказав він, і хоча користувачі цього додатка не бачать паролі, вони все ще знаходяться під поверхнею (хоча через кілька років їх замість можуть замінити сертифікати). Він запропонував фахівцям із безпеки в компаніях припинити розмову про МЗС і замість цього почати говорити про усунення паролів, мета - бачити це не як зайвий шар, а як щось, що полегшує доступ для користувачів.

• Microsoft вирішує не переривати встановлення Firefox / Chrome, Microsoft вирішує не переривати встановлення Firefox / Chrome
• Генеральний директор Microsoft підштовхує ініціативу відкритих даних, нову безпеку в Ignite Генеральний директор Microsoft висуває ініціативу відкритих даних, нову безпеку на Ignite
• Microsoft Поради Новий інтелект, безпека для Office, Microsoft 365 Microsoft Поради Новий інтелект, безпека для Office, Microsoft 365

Що я справді виділявся для мене в розмові Арсенола, це те, що більшість його ідей - спрощення ваших інструментів, переміщення того, що має сенс у хмарі, зосередження уваги на ідентичності, контроль адміністративного обліку, перехід за рамки традиційних паролів - не є новими і навіть не суперечливими. Натомість найбільшою проблемою, здається, є реалізація цих речей таким чином, які не заважають іншим вашим ІТ-слідам і які є прийнятними (або навіть бажаними) для ваших кінцевих користувачів. У світі з більшою загрозою безпеці, ніж будь-коли, важливо продовжувати рухатися вперед.