Paano ang seguridad ng Microsoft sa seguridad

Inanunsyo ng Microsoft ang iba't ibang mga produkto ng seguridad sa kumperensyang Ignite ngayong linggo, ngunit ang isa sa mga bagay na nakatayo ay ang kanilang matatag na paniniwala na ang paraan na pinapatakbo mo ang iyong mga operasyon sa seguridad ay mahalaga sa mga produktong iyong pinapatakbo.

Ang Chief Chief Security Security ng Microsoft na si Bret Arsenault (sa itaas) ay masidhi habang inilarawan niya ang sariling kapaligiran sa seguridad ng Microsoft at ang diskarte nito sa pamamahala ng seguridad para sa sarili at sa mga customer nito. Sinabi niya na nilulutas ng kumpanya ang isang napakalaking 20 bilyong mga kaganapan sa seguridad bawat araw.

"Ang mga gumagamit ay ang aking unang linya at ang aking huling linya ng pagtatanggol, " sabi ni Arsenault, at binanggit na ang Microsoft ay may 125, 000 mga empleyado kasama ang 70, 000 "badged" na mga kasosyo. Binigyang diin niya ang napakalaking hamon ng pamamahala ng tulad ng isang malaki at magkakaibang kapaligiran, na may kasamang 32 na bersyon ng mga operating system na ginagamit, 500, 000 na mga kapaligiran sa Linux, ang pangalawang pinakamalaking base ng Macintosh na naka-install kahit saan (Apple ang una), at ang susunod na "N + 1". bersyon ng Windows. Sinabi niya na ang pangunahing layunin ay upang protektahan ang kumpanya, hindi upang gamitin ang mga produktong Microsoft.

Ang Arsenault ay gumugol ng maraming oras sa "pagkakataon at peligro, " at ipinaliwanag kung paano palaging naka-access, napakalaking set ng data, imbakan na nakabase sa cloud, at modernong engineering na lumikha ng maraming mga pagkakataon at makabuluhang mga hamon sa seguridad. Halimbawa, ang soberanya ng data ay isang pangunahing isyu, dahil ang kumpanya ay may 596 na lokasyon, at dapat isaalang-alang ng Arsenault ang mga data na maaaring lumampas sa mga hangganan. Sinabi niya na ang pera na nagmula sa cybercrime ay lumampas sa nagawa sa iligal na droga. Nag-aalala din siya tungkol sa supply chain at anumang kakayahan ng kumpanya na protektahan ito.

Nabanggit ni Arsenault na ang shift sa cloud computing ay nangangahulugan na habang ang seguridad ng network ay nananatiling mahalaga, hindi ito sapat, at sinabi na "ang pagkakakilanlan ay ang bagong perimeter."

Ibinahagi ni Arsenault ang kanyang sariling mga prinsipyo sa pamumuno, na sinasabi na mahalaga na magkaroon ng pinasimpleng mga layunin. Ang kanyang tatlong pangunahing punto: ang isang pinuno ay kailangang lumikha ng kaliwanagan, makabuo ng enerhiya, at maghatid ng tagumpay. Sa kalinawan, sinabi niyang mahalagang "ibagsak ang lapis ng engineering at kunin ang isang krayola" - sa ibang salita, upang gawing simple ang mga bagay para sa mga end user. Binigyang diin ni Arsenault na mahalaga na huwag malito ang isang mensahe na gumagana para sa isang populasyon ng engineering sa kung ano ang gumagana para sa pangkalahatang base ng gumagamit.

Sa puntong iyon, inilarawan niya ang kanyang diskarte bilang isang tatlong-legged na dumi ng tao: pamamahala ng pagkakakilanlan, data at telemetry, at kalusugan ng aparato.

Sa madaling salita, sinabi ni Arsenault, upang kumonekta sa alinman sa mga serbisyo, kailangan mo ng isang malakas na pagkakakilanlan, na-verify ng isang pagpapatunay ng multi-factor. Kung mayroon kang mahusay na pagkakakilanlan, kailangan pa rin niyang tiyakin na ang aparato na iyong ikinonekta ay ligtas. Sa pamamagitan ng 20 bilyong mga kaganapan sa isang araw, kailangan niya ng mahusay na data telemetry upang masubaybayan ang mga system, pagbutihin ang mga ito, at protektahan ang mga ito.

Ang paglipat mula sa heneral hanggang sa mas malapad, sinabi ni Arsenault na nakilala niya ang limang pangunahing haligi o prinsipyo bilang mga lugar para sa pamumuhunan ngayong taon - pamamahala sa peligro, pamamahala ng pagkakakilanlan, kalusugan ng aparato, data at telemetry, at proteksyon ng impormasyon - at sa loob ng mga haligi na ito ay nakatuon siya sa 27 pangunahing serbisyo. Inilista din niya ang 11 "mga epiko" - tiyak na mga panandaliang proyekto na tumatagal ng 18-24 na buwan - na makumpleto, mabibigo, o magiging mga pangunahing serbisyo sa hinaharap. Mayroon siyang medyo maliit na koponan ng siyam o sampung tao na tumitingin sa umuusbong na teknolohiya upang makita kung ano ang makakatulong sa kumpanya sa mga pangangailangan ng seguridad. Ang Microsoft ay mayroong 80 security vendors nang siya ang manguna sa CISO role 8 taon na ang nakakaraan, idinagdag ni Arsenault.

Ang isang pangunahing hakbangin sa nakaraang mga nakaraang taon ay ang paglipat ng mga workload sa Azure. Sinabi ni Arsenault na inilipat ng kumpanya ang 95 porsyento ng mga workloads nito. Sa mga tuntunin ng proseso, ang unang bagay na dapat gawin ay isaalang-alang ang mga aplikasyon at magpasya kung kailangan pa ba nila; ng tungkol sa 2, 000 mga aplikasyon ng linya ng negosyo, sinabi ni Arsenault na natagpuan ng Microsoft na maaari nitong alisin ang 30 porsyento. Ang susunod na dapat gawin ay maghanap ng mga application na maaaring ma-convert sa isang Software-as-a-Service solution; nagtrabaho ito para sa mga 15 porsyento ng mga aplikasyon ng Microsoft. Para sa mga naiwan, ang susunod na hakbang ay ang virtualize ang lahat ng mga aplikasyon at kumuha ng bago o simpleng application at ilipat ang mga ito sa Platform-as-a-Service, paggawa ng "pag-angat at paglipat" sa Infrastructure-as-a-Service na mga handog para sa halos lahat ng iba pa.

Sa prosesong ito, mas maraming mga application ang lumipat sa ulap kaysa sa naisip niya (kasama ang sistema ng SAP ng Microsoft), at iminungkahi niya na ang mga kumpanya ay dapat lumipat sa PaaS nang mas maaga kaysa sa maaaring plano nila.

Mahalagang panatilihin ang paglipat sa panahon ng isang pagsisikap, sinabi ni Arsenault, at upang mapanatili ang paglikha ng enerhiya sa paligid ng proyekto, dahil ang mga proyekto ay madalas na tumitigil sa pag-unlad ng kalahating daan. Ang mga tao ay madalas na gumagamit ng 5 porsyento ng mga workload na hindi lilipat sa ulap bilang isang dahilan na hindi gawin ang iba pang 95 porsyento, at sinabi niya na kailangan mong lumikha ng isang pakiramdam ng pagkadali upang mangyari ang paglipat (tulad ng pagtatakda ng isang petsa para sa pagsasara ng isang data center).

Isang bagay na nilikha ng kanyang koponan ay isang DevOps Toolkit para sa Azure na idinisenyo upang subaybayan ang 250 mga kontrol sa iba't ibang mga aplikasyon upang matiyak na gumagana ang lahat. Sinabi ni Arsenault na ginawaran ito ng kanyang pangkat sa pamamagitan ng bukas na mapagkukunan, at naniniwala ang mga alituntuning ito para sa pamamahala ng negosyo ay itatayo sa Azure sa loob ng mga 18 buwan.

Ang pokus ni Arsenault ay nakatuon ng bahagi ng kanyang pahayag sa pag-secure ng mga administrador, na karaniwang may pinakamaraming access sa isang system. Pinag-usapan niya ang pagbabawas ng bilang ng mga nakatayo na admin; gamit ang isang hiwalay na sistema ng pagkakakilanlan upang mabigyan sila ng mas kaunting mga pribilehiyo; at ang pagkakaroon ng mga ito ay magsagawa ng mga gawain sa seguridad lamang sa isang "secure na workstation ng admin, " na inilarawan niya bilang isang "sobrang secure na aparato" na may isang espesyal na imahe na regular at muling itinatayo ang makina, at kung saan ay nilikha gamit ang isang secure na supply chain. Ang mga makina ay nagpapatakbo lamang ng code ng site at lubos na naka-lock, kasama ang mga whitelist upang matukoy kung ano at saan sila makakonekta. Para sa mga koneksyon sa iba pang mga serbisyo, ang mga administrador ay maaaring kumonekta sa virtual machine.

Kinausap din ni Arsenault ang kahalagahan ng pagtanggal ng mga password. Matagal na niyang ginagamit ang app ng Authenticator ng kumpanya, at sinabi na mahalaga na huwag "hayaan ang perpekto na maging kaaway ng mabuti." Ito ay talagang tungkol sa pag-aalis ng pagsenyas, sinabi niya, at habang ang mga gumagamit ng app na ito ay hindi nakakakita ng mga password, naroroon pa rin sila sa ilalim ng ibabaw (bagaman sa ilang taon, maaari silang mapalitan ng mga sertipiko sa halip). Iminungkahi niya na ang mga propesyonal sa seguridad sa loob ng mga kumpanya ay tumigil sa pakikipag-usap tungkol sa MFA at sa halip simulan ang pag-uusap tungkol sa pagtanggal ng mga password, ang layunin na makita ito hindi bilang isang dagdag na layer, ngunit sa halip bilang isang bagay na nagpapagaan sa pag-access para sa mga gumagamit.

• Nagpasiya ang Microsoft na Hindi Makagambala sa Mga Pag-install ng Firefox / Chrome Hindi Nagpasya ang Microsoft na Huwag Makagambala sa Mga Institusyong Firefox / Chrome
• Itinulak ng CEO ng Microsoft ang Open Data Initiative, Bagong Seguridad sa Ignite Microsoft CEO Pushes Open Data Initiative, New Security at Ignite
• Mga Tip sa Microsoft Bagong AI, Seguridad para sa Opisina, Microsoft 365 Mga Tip sa Microsoft Bago, Security para sa Opisina, Microsoft 365

Ang talagang pinag-uusapan ko sa usapan ng Arsenault ay ang karamihan sa kanyang mga ideya - pinasimple ang iyong mga tool, paglipat kung ano ang kahulugan ng ulap, na nakatuon sa pagkakakilanlan, pagkontrol sa accounting accounting, paglipat sa kabila ng tradisyonal na mga password - hindi bago, o maging kontrobersyal. Ang pinakamalaking hamon, sa halip, ay tila talagang ipinatutupad ang mga bagay na ito sa mga paraan na hindi makagambala sa natitirang bahagi ng iyong bakas ng IT, at kung saan ay katanggap-tanggap - o mas kanais-nais sa iyong mga end user. Sa isang mundo na may higit pang mga banta sa seguridad kaysa dati, mahalaga na patuloy na sumulong.