Hoe Microsoft beveiliging biedt in 2019

Microsoft heeft deze week op de Ignite-conferentie verschillende beveiligingsproducten aangekondigd, maar een van de dingen die opvielen was hun vaste overtuiging dat de manier waarop u uw beveiligingsactiviteiten uitvoert, net zo belangrijk is als de producten die u uitvoert.

Microsoft Chief Information Security Officer Bret Arsenault (bovenaan) was nadrukkelijk toen hij de eigen beveiligingsomgeving van Microsoft beschreef en zijn aanpak om de beveiliging voor zichzelf en zijn klanten te beheren. Hij zei dat het bedrijf een enorme 20 miljard beveiligingsgebeurtenissen per dag oplost.

"Gebruikers zijn zowel mijn eerste als mijn laatste verdedigingslinie, " zei Arsenault en merkte op dat Microsoft 125.000 werknemers heeft plus 70.000 "gelabelde" partners. Hij benadrukte de enorme uitdaging van het beheren van zo'n grote en diverse omgeving, met 32 ​​versies van de gebruikte besturingssystemen, 500.000 Linux-omgevingen, de op een na grootste geïnstalleerde Macintosh-installatie ter wereld (Apple is de eerste) en de "N + 1" versie van Windows. Hij zei dat zijn primaire doel is om het bedrijf te beschermen, niet om Microsoft-producten te gebruiken.

Arsenault besteedde veel tijd aan 'kansen en risico's' en legde uit hoe altijd beschikbare toegang, enorme gegevenssets, cloudgebaseerde opslag en moderne engineering veel kansen en aanzienlijke beveiligingsuitdagingen bieden. Datasoevereiniteit is bijvoorbeeld een groot probleem, omdat het bedrijf 596 locaties heeft en Arsenault gegevens moet overwegen die grenzen kunnen overschrijden. Hij zei dat geld afkomstig van cybercriminaliteit dat van de illegale drugshandel heeft overtroffen. Hij maakt zich ook zorgen over de supply chain en het vermogen van elk bedrijf om deze te beschermen.

Arsenault merkte op dat de verschuiving naar cloud computing betekent dat hoewel netwerkbeveiliging belangrijk blijft, het niet voldoende is, en zei dat "identiteit de nieuwe perimeter is."

Arsenault deelde zijn eigen leiderschapsprincipes en zei dat het belangrijk is om vereenvoudigde doelen te hebben. Zijn drie hoofdpunten: een leider moet duidelijkheid scheppen, energie genereren en succes leveren. Voor de duidelijkheid zei hij dat het belangrijk is om "het technische potlood neer te leggen en een krijtje te pakken" - met andere woorden, om dingen eenvoudig te maken voor eindgebruikers. Arsenault benadrukte dat het belangrijk is om een ​​bericht dat werkt voor een technische populatie niet te verwarren met wat werkt voor het algemene gebruikersbestand.

Daartoe beschreef hij zijn strategie als een driepotige stoel: identiteitsbeheer, gegevens- en telemetrie en apparaatgezondheid.

Met andere woorden, Arsenault zei dat om verbinding te maken met een van de services, u een sterke identiteit nodig hebt, één die wordt geverifieerd door multi-factor authenticatie. Als je een geweldige identiteit hebt, moet hij er nog steeds voor zorgen dat het apparaat waarmee je verbinding maakt veilig is. Met 20 miljard gebeurtenissen per dag heeft hij geweldige datatelemetrie nodig om systemen te volgen, te verbeteren en te beschermen.

Arsenault zei dat hij dit jaar vijf algemene pijlers of principes als investeringsgebieden had geïdentificeerd: risicobeheer, identiteitsbeheer, apparaatstatus, gegevens- en telemetrie en informatiebeveiliging, en dat hij zich binnen deze pijlers richt op Arienault. op 27 kerndiensten. Hij vermeldde ook 11 "epics" - voornamelijk kortetermijnprojecten van 18-24 maanden - die zullen worden voltooid, mislukken of toekomstige kerndiensten zullen worden. Hij heeft een relatief klein team van negen of tien mensen die naar opkomende technologie kijken om te zien wat het bedrijf kan helpen met zijn beveiligingsbehoeften. Microsoft had 80 beveiligingsleveranciers toen hij 8 jaar geleden de CISO-rol overnam, voegde Arsenault toe.

Een belangrijk initiatief in de afgelopen jaren is het verplaatsen van workloads naar Azure. Arsenault zei dat het bedrijf 95 procent van zijn werklast heeft verplaatst. Wat het proces betreft, is het eerste wat u moet doen, toepassingen overwegen en beslissen of ze ze nog steeds nodig hebben; van ongeveer 2.000 bedrijfstoepassingen zei Arsenault dat Microsoft vond dat het eenvoudig 30 procent kon elimineren. Het volgende dat u moet doen, is toepassingen zoeken die kunnen worden omgezet in een Software-as-a-Service-oplossing; dit werkte voor ongeveer 15 procent van de applicaties van Microsoft. Voor degenen die overbleven, was de volgende stap om alle applicaties te virtualiseren en nieuwe of eenvoudige applicaties te nemen en ze te verplaatsen naar Platform-as-a-Service, een "lift and shift" te doen naar Infrastructure-as-a-Service-aanbiedingen voor de meeste anderen.

In dit proces verhuisden meer applicaties naar de cloud dan hij had gedacht (inclusief het SAP-systeem van Microsoft) en hij stelde voor dat bedrijven eerder naar PaaS zouden moeten verhuizen dan ze hadden gepland.

Het is belangrijk om tijdens zo'n inspanning in beweging te blijven, zei Arsenault, en om energie rond het project te blijven creëren, omdat projecten vaak halverwege stoppen. Mensen zullen vaak de 5 procent van de workloads gebruiken die niet naar de cloud verhuizen als een excuus om de andere 95 procent niet te doen, en hij zei dat je een gevoel van urgentie moet creëren om de verhuizing te laten gebeuren (zoals een datum instellen voor het sluiten van een datacenter).

Een ding dat zijn team heeft gemaakt, was een DevOps Toolkit voor Azure die is ontworpen om 250 besturingselementen op verschillende applicaties te controleren om te zorgen dat alles werkt. Arsenault zei dat zijn groep dit via open source beschikbaar heeft gesteld en gelooft dat deze principes voor enterprise management binnen ongeveer 18 maanden in Azure zullen worden ingebouwd.

Arsenault concentreerde een deel van zijn toespraak op het beveiligen van beheerders, die doorgaans de meeste toegang hebben tot een systeem. Hij sprak over het verminderen van het aantal staande beheerders; een apart identiteitssysteem gebruiken om ze minder rechten te geven; en dat ze beveiligingstaken alleen uitvoeren op een "beveiligd admin-werkstation", dat hij omschreef als een "superveilig apparaat" met een speciale afbeelding die de machine regelmatig plat maakt en opnieuw opbouwt, en die is gemaakt met behulp van een beveiligde supply chain. Deze machines hebben alleen sitecode en zijn sterk vergrendeld, met witte lijsten om te bepalen wat en waar ze verbinding kunnen maken. Voor verbindingen met andere services kunnen beheerders verbinding maken met virtuele machines.

Arsenault sprak ook over het belang van het verwijderen van wachtwoorden. Hij gebruikt de Authenticator-app van het bedrijf al geruime tijd en zei dat het belangrijk is om niet "het perfecte de vijand van het goede te laten zijn". Dit gaat echt over het elimineren van prompts, zei hij, en hoewel gebruikers van deze app geen wachtwoorden zien, zijn ze er nog steeds onder de oppervlakte (hoewel ze in een paar jaar in plaats daarvan kunnen worden vervangen door certificaten). Hij suggereerde dat beveiligingsprofessionals binnen bedrijven stoppen met praten over MFA en in plaats daarvan beginnen te praten over het elimineren van wachtwoorden, met als doel dit niet als een extra laag te zien, maar als iets dat de toegang voor gebruikers vergemakkelijkt.

• Microsoft besluit Firefox / Chrome-installaties niet te onderbreken Microsoft besluit Firefox / Chrome-installaties niet te onderbreken
• Microsoft CEO duwt Open Data-initiatief, nieuwe beveiliging bij Ignite Microsoft CEO duwt Open Data-initiatief, nieuwe beveiliging bij Ignite
• Microsoft Tips Nieuwe AI, Beveiliging voor Office, Microsoft 365 Microsoft Tips Nieuwe AI, Beveiliging voor Office, Microsoft 365

Wat me echt opviel in het gesprek van Arsenault was dat de meeste van zijn ideeën - het vereenvoudigen van je tools, het overbrengen van wat zinvol is naar de cloud, zich richten op identiteit, administratieve boekhouding beheren, verder gaan dan traditionele wachtwoorden - niet nieuw of zelfs controversieel zijn. De grootste uitdaging lijkt daarentegen om deze dingen daadwerkelijk geïmplementeerd te krijgen op manieren die de rest van uw IT-voetafdruk niet verstoren en die acceptabel zijn of zelfs de voorkeur hebben voor uw eindgebruikers. In een wereld met meer beveiligingsrisico's dan ooit, is het cruciaal om vooruit te blijven gaan.