كيف مايكروسوفت يفعل الأمن في عام 2019

أعلنت شركة Microsoft عن مجموعة متنوعة من منتجات الأمان في مؤتمر Ignite هذا الأسبوع ، ولكن أحد الأشياء البارزة كان اعتقادهم الراسخ بأن الطريقة التي تدير بها عمليات الأمان الخاصة بك مهمة مثل المنتجات التي تديرها.

كان كبير موظفي أمن المعلومات في Microsoft Bret Arsenault (في القمة) مؤكدًا لأنه وصف بيئة الأمان الخاصة بشركة Microsoft ونهجها في إدارة الأمان لنفسها وعملائها. وقال إن الشركة تقوم بحل 20 مليار حدث أمني هائل يوميًا.

وقال أرسينولت "المستخدمون هم خطي الأول وخط دفاعي الأخير" ، وأشار إلى أن لدى Microsoft 125،000 موظف بالإضافة إلى 70،000 شريك "شرير". وأكد على التحدي الهائل المتمثل في إدارة مثل هذه البيئة الكبيرة والمتنوعة ، والتي تتضمن 32 إصدارًا من أنظمة التشغيل المستخدمة ، و 500000 بيئة بيئية Linux ، وثاني أكبر قاعدة مثبتة على نظام Macintosh في أي مكان (Apple هي الأولى) ، و "N + 1" التالي نسخة من ويندوز. وقال إن هدفه الأساسي هو حماية الشركة ، وليس استخدام منتجات Microsoft.

قضى Arsenault الكثير من الوقت في "الفرصة والمخاطر" ، وشرح كيف يعمل الوصول الدائم ومجموعات البيانات الضخمة والتخزين المستند إلى مجموعة النظراء والهندسة الحديثة على خلق العديد من الفرص والتحديات الأمنية الهامة. على سبيل المثال ، تعد سيادة البيانات مشكلة رئيسية ، لأن الشركة لديها 596 موقعًا ، ويجب على Arsenault مراعاة البيانات التي قد تتجاوز الحدود. وقال إن الأموال المتأتية من جرائم الإنترنت تجاوزت الأموال التي تم الحصول عليها في تجارة المخدرات غير المشروعة. كما أنه قلق بشأن سلسلة التوريد وقدرة أي شركة على حمايتها.

أشار أرسينولت إلى أن التحول إلى الحوسبة السحابية يعني أنه بينما يظل أمان الشبكة مهمًا ، إلا أنه لا يكفي ، وقال إن "الهوية هي المحيط الجديد".

شارك Arsenault مبادئ قيادته الخاصة ، قائلاً إنه من المهم أن يكون لديك أهداف مبسطة. نقاطه الثلاث الرئيسية: يحتاج القائد إلى خلق الوضوح وتوليد الطاقة وتحقيق النجاح. بالنسبة للوضوح ، قال إنه من المهم "إخماد القلم الهندسي والتقاط قلم تلوين" - بمعنى آخر ، لجعل الأمور بسيطة للمستخدمين النهائيين. أكد Arsenault على أنه من المهم عدم الخلط بين الرسالة التي تعمل لصالح مجموعة هندسية وبين ما يناسب قاعدة المستخدمين العامة.

تحقيقًا لهذه الغاية ، وصف استراتيجيته بأنها براز ثلاثي الأرجل: إدارة الهوية والبيانات والقياس عن بُعد وصحة الجهاز.

وبعبارة أخرى ، قال Arsenault ، للاتصال بأي من الخدمات ، فأنت بحاجة إلى هوية قوية ، يتم التحقق منها بواسطة المصادقة متعددة العوامل. إذا كان لديك هوية رائعة ، فلا يزال بحاجة إلى التأكد من أن الجهاز الذي تتصل منه آمن. مع وجود 20 مليار حدث يوميًا ، يحتاج إلى القياس عن بُعد للبيانات لتعقب الأنظمة وتحسينها وحمايتها.

بالانتقال من الجنرال إلى الحبيبات ، قال أرسينولت إنه حدد خمسة أعمدة أو مبادئ رئيسية كمجالات للاستثمار هذا العام - إدارة المخاطر ، وإدارة الهوية ، وصحة الجهاز ، والبيانات ، والقياس عن بعد ، وحماية المعلومات - وفي إطار هذه الأعمدة ، يركز على 27 الخدمات الأساسية. كما قام بإدراج 11 "ملحمة" - وهي مشاريع قصيرة الأجل تستمر من 18 إلى 24 شهرًا - سيتم الانتهاء منها أو ستفشل أو ستصبح خدمات أساسية في المستقبل. لديه فريق صغير نسبيًا يتكون من تسعة أو عشرة أشخاص ينظرون إلى التكنولوجيا الناشئة لمعرفة ما يمكن أن يساعد الشركة في تلبية احتياجاتها الأمنية. أضاف أرسينولت أن مايكروسوفت لديها 80 بائع أمان عندما تولى دور CISO قبل 8 سنوات.

كانت إحدى المبادرات الرئيسية خلال السنوات القليلة الماضية نقل عبء العمل إلى أزور. وقال أرسينولت إن الشركة نقلت 95 في المائة من أعباء عملها. من حيث العملية ، أول ما يجب فعله هو النظر في الطلبات وتحديد ما إذا كانت لا تزال بحاجة إليها ؛ من بين حوالي 2000 تطبيق خط للأعمال ، قال أرسينولت إن مايكروسوفت وجدت أنها تستطيع ببساطة التخلص من 30 في المائة. الشيء التالي الذي يجب فعله هو العثور على التطبيقات التي يمكن تحويلها إلى حل البرمجيات كخدمة. هذا يعمل لحوالي 15 في المئة من تطبيقات مايكروسوفت. بالنسبة للذين بقيوا ، كانت الخطوة التالية هي إفتراض جميع التطبيقات وأخذ تطبيقات جديدة أو بسيطة ونقلها إلى Platform-as-a-Service ، والقيام بـ "الرفع والتحول" إلى عروض البنية التحتية كخدمة معظم الآخرين.

في هذه العملية ، انتقلت التطبيقات إلى السحابة أكثر مما كان يعتقد (بما في ذلك نظام SAP من Microsoft) ، واقترح أن تنتقل الشركات إلى PaaS في وقت أبكر مما كان مخططًا لها.

قال أرسينولت إنه من المهم الاستمرار في التحرك خلال هذا الجهد ، والحفاظ على توليد الطاقة حول المشروع ، حيث تتوقف المشروعات عن التقدم في منتصف الطريق. غالبًا ما يستخدم الأشخاص نسبة 5 في المائة من أعباء العمل التي لن تنتقل إلى السحابة كذريعة لعدم استخدام الـ 95 في المائة الأخرى ، وقال إنه يتعين عليك إنشاء شعور بالإلحاح لإنجاز الخطوة (مثل تحديد موعد لإغلاق مركز البيانات).

أحد الأشياء التي أنشأها فريقه هي مجموعة أدوات DevOps Tool for Azure المصممة لمراقبة 250 عنصر تحكم في مختلف التطبيقات لضمان عمل كل شيء. قال أرسينولت إن مجموعته قد أتاحت ذلك عبر المصادر المفتوحة ، وتعتقد أن هذه المبادئ لإدارة المشاريع سيتم دمجها في أزور في حوالي 18 شهرًا.

ركز Arsenault جزءًا من حديثه على تأمين المسؤولين الذين يتمتعون عادةً بأقصى قدر من الوصول إلى النظام. تحدث عن تقليل عدد المسؤولين الواقفين. باستخدام نظام هوية منفصل لمنحهم امتيازات أقل ؛ وحملهم على القيام بمهام الأمان فقط على "محطة عمل المشرف الآمنة" ، والتي وصفها بأنها "جهاز آمن للغاية" مع صورة خاصة تقوم بتسوية الجهاز وإعادة بنائه بشكل متكرر ، ويتم إنشاؤه باستخدام سلسلة إمداد آمنة. تعمل هذه الأجهزة فقط على تشغيل رمز الموقع وتم قفلها بشدة ، مع وجود قوائم بيضاء لتحديد ما وأين يمكن الاتصال بها. بالنسبة للاتصالات بالخدمات الأخرى ، يمكن للمسؤولين الاتصال بالأجهزة الافتراضية.

تحدث أرسينولت أيضًا عن أهمية إزالة كلمات المرور. لقد كان يستخدم تطبيق Authenticator للشركة لبعض الوقت ، وقال إنه من المهم ألا "ندع الكمال يكون عدو الصالح". وقال إن هذا في الحقيقة يتعلق بإلغاء الطلب ، وعلى الرغم من أن مستخدمي هذا التطبيق لا يرون كلمات المرور ، إلا أنهم ما زالوا موجودين تحت السطح (رغم أنه في غضون بضع سنوات ، قد يتم استبدالهم بشهادات بدلاً من ذلك). اقترح أن يتوقف محترفي الأمن داخل الشركات عن الحديث عن MFA وبدلاً من ذلك ، يبدأون الحديث عن إزالة كلمات المرور ، والهدف من ذلك هو رؤية هذا ليس كطبقة إضافية ، بل كشيء يسهل وصول المستخدمين.

• مايكروسوفت تقرر عدم مقاطعة فايرفوكس / كروم تثبيتات مايكروسوفت تقرر عدم مقاطعة فايرفوكس / كروم التثبيتات
• الرئيس التنفيذي لشركة Microsoft يدفع مبادرة البيانات المفتوحة ، والأمن الجديد في إشعال الرئيس التنفيذي لشركة Microsoft يدفع مبادرة البيانات المفتوحة ، الأمن الجديد في إشعال
• Microsoft Tips AI جديد ، أمان لـ Office ، Microsoft 365 Microsoft Tips AI جديد ، أمان لـ Office ، Microsoft 365

ما برزني حقًا في حديث أرسنولت هو أن معظم أفكاره - تبسيط أدواتك ، ونقل ما هو منطقي إلى السحابة ، والتركيز على الهوية ، والسيطرة على المحاسبة الإدارية ، والانتقال إلى ما وراء كلمات المرور التقليدية - ليست جديدة ، أو حتى مثيرة للجدل. التحدي الأكبر ، بدلاً من ذلك ، يبدو أنه يتم بالفعل تنفيذ هذه الأشياء بطرق لا تتداخل مع بقية بصمة تكنولوجيا المعلومات الخاصة بك ، والتي تكون مقبولة - أو حتى مفضلة - للمستخدمين النهائيين. في عالم يشهد تهديدات أمنية أكثر من أي وقت مضى ، من الضروري الاستمرار في المضي قدمًا.