Детализация новых инструментов безопасности Microsoft

На нескольких заседаниях прошлой недели на конференции Microsoft Ignite различные докладчики подробно обсудили различные инструменты, представленные Microsoft на арене безопасности.

Что меня больше всего поразило, так это то, что большинство этих инструментов не добавляют много новых возможностей, которых раньше не было. Скорее, они нацелены на то, чтобы облегчить специалистам по безопасности возможность видеть состояние своей среды, устанавливать новые политики и применять различные меры безопасности.

Инструменты, которые Microsoft представила на конференции, можно разделить на четыре группы: управление идентификацией и доступом, защита от угроз, защита информации и управление безопасностью.

Роб Леффертс, корпоративный вице-президент по Microsoft 365 Security, сказал, что безопасность продолжает становиться все более сложной задачей. Сейчас мы видим, как национальные государства создают инструменты, которые попадают в руки отдельных хакеров; у нас есть больше устройств, подключенных к Интернету, и это число будет расти с такими вещами, как IoT и периферийные устройства; и квалифицированных специалистов по безопасности мало. Но, по его словам, облако может быть ответом.

Леффертс сказал, что для предотвращения атак вам нужны надежная основа и много данных. С этой целью он рассказал об информации, которую Microsoft получает из своего «Графа интеллектуальной безопасности» - данных от всех клиентов, которые пользуются ее услугами. Microsoft и ее подразделение по цифровым преступлениям успешно блокировали ряд угроз, которые Смит назвал «атаками, которых вы не видели». По его словам, Microsoft блокирует 700 миллионов вредоносных фишинговых писем каждый месяц.

Управление идентификацией и доступом

Джой Чик, корпоративный вице-президент подразделения по идентификации в группе Microsoft Cloud + Enterprise, обсудил три основных действия по идентификации: включение многофакторной аутентификации, применение условного доступа и начало перехода в будущее без пароля.

Когда она присоединилась к Microsoft, большинство соединений было с настольных компьютеров, которыми легко управлять; сейчас все используют много разных устройств. Она обсудила управление идентификацией и сказала, что службы идентификации не только повышают безопасность, но и производительность, обеспечивая более быстрый и более безопасный вход в систему. В частности, она рассказала о способах предоставления и управления правами, в том числе внешним партнерам.

Чик отметил, что большинство атак в наши дни начинаются с украденных паролей, и сказал, что многофакторная аутентификация снижает риск на 99, 9 процента. Тем не менее, удивительно большое количество клиентов Microsoft не включили MFA, который она описала как «как вождение без ремней безопасности». Она подчеркнула, что МИД не должен наносить вред сотрудникам при правильном применении.

Чик говорил о концепции «нулевого доверия» или о том, что все в вашей среде сродни открытому интернету, что означает, что вам всегда нужно проверять доступ. Она также обсудила сквозную аутентификацию и использование политик и сигналов в реальном времени, чтобы определить, когда разрешить доступ, когда запретить, а когда запрашивать дополнительную информацию (например, MFA). Чик также выдвинул условный доступ Azure Active Directory компании.

И в теме, которая затрагивалась во многих сессиях, Чик выступал за доступ без пароля, например с помощью фирменного приложения Authenticator. В этом приложении вместо ввода пароля приложение выводит число на экран; Затем пользователь выбирает номер со своего телефона и использует биометрические данные для подтверждения личности. Это в предварительном просмотре сейчас.

Защита от угроз

Леффертс вернулся, чтобы обсудить защиту от угроз, и рассказал о переходе от отключенных инструментов к интегрированному опыту, от усталости к оповещениям до взаимосвязанных представлений, от перегрузки задач до автоматизированных рабочих процессов. Он сказал, что типичная компания имеет от 60 до 80 инструментов, используемых для мониторинга событий в их центрах безопасности, которые генерируют шум и оповещения. Это часто создает файлы предупреждений, которые никто не успевает исследовать.

Решением компании является Microsoft Threat Protection, которая объединяет свои предложения для Office, Windows и Azure в единый центр безопасности Microsoft 365, который показывает комбинированное представление и объединяет все инциденты с оповещениями от компьютеров, конечных точек, политик и т. Д. Это предназначен для того, чтобы предоставить команде по безопасности больше информации об инцидентах, вызывающих наибольшую обеспокоенность Он включает анализ угроз и основан на API Graph Security фирмы.

Защита информации

По словам Леффертса, защита информации имеет решающее значение, и вы должны понимать информацию, имеющуюся в вашей организации, составлять реальную карту того, где находятся ваши данные и кто имеет к ним доступ.

Для этого, сказал Леффертс, вам нужна единая таксономия или единый набор меток, и он выдвинул предложение Microsoft по защите информации, которое охватывает обнаружение, классификацию, защиту и соответствие требованиям, на единой панели мониторинга, которую вы можете увидеть в центре безопасности. Новинкой в ​​этой области является поддержка собственной конфиденциальной маркировки в Office для Mac, а также новые функции для выбора ярлыков в мобильных приложениях. Например, вы можете автоматически изменить метку и применить водяной знак к любому документу, который содержит информацию о кредитной карте.

На конференции была представлена ​​конфиденциальная вычислительная система Azure, новая функция, позволяющая обрабатывать виртуальные машины, которые обрабатывают наиболее важные данные, например медицинскую информацию, в анклавах на базе Intel SGX. Компания также анонсировала открытый комплект для разработки программного обеспечения для создания этих приложений. (У меня были другие дискуссии с сотрудниками службы безопасности Microsoft по этой теме, которые объяснили, что, хотя все данные в Azure зашифрованы в покое и в пути, в данном конкретном случае эти данные обрабатываются в «доверенной среде выполнения». В данном случае это виртуальная машина серии DC, которая в настоящее время находится в режиме предварительного просмотра. Я немного размышляю о том, сколько работы и затрат для этого потребуется).

Управление безопасностью

Последней областью внимания было управление безопасностью, и компания снова выдвинула свою панель мониторинга Secure Score. Microsoft охарактеризовала панель как «помощь администраторам безопасности в этой неблагодарной работе», упрощая просмотр конфигураций и параметров в одном месте.

Старший менеджер по маркетингу продуктов Ким Кисчел объяснил, что цифры, показанные в баллах, будут выше, так как Microsoft добавляет новые сервисы для мониторинга, но сказал, что это гораздо больше о настраиваемых элементах управления, чем о продуктах. Сегодня оценка в основном охватывает Office 365 и Enterprise Mobility + Security, но вскоре она добавит больше инструментов для таких вещей, как инфраструктура. (Позже, другие люди из Microsoft, которых я слышал, описывали Secure Score как «Fitbit for Security», что казалось хорошей метафорой.)

Кишель указал на то, как вы можете использовать этот инструмент для углубления в различные элементы управления и для настройки большего количества элементов управления в вашей среде; Цель состоит в том, чтобы клиенты понимали свое положение в области безопасности и помогли им определить приоритетность плана. Это выглядит полезным, и в целом усилия являются хорошими, но оценка, как она есть сегодня, кажется, требует большой настройки и настройки, чтобы сделать число точным.

В заключение Леффертс снова подтолкнул различные решения Microsoft, подчеркнул безопасность счета и многофакторную аутентификацию и рассказал о различных партнерствах в области безопасности, которые компания имеет в работе.