< p class = "meta"> Av Liam Tung | 16. juni 2021 – 09:32 GMT (10:32 BST) | Tema: Microsoft
Bret Arsenault, Microsofts sjef for informasjonssikkerhet (CISO), som har vært hos Microsoft i 31 år, sier at han bare har blitt offentlig jublet en gang overfor selskapet: det var da han drepte Microsofts interne policy om å endre passord hver 71 dag.
“Det er første gang jeg blir applaudert som en sikkerhetsperson og utøvende,” sier Arsenault til ZDNet. “Vi sa at vi deaktiverer rotering av passord i Microsoft, fordi vi hadde eliminert den delen av det.”
Som Microsofts CISO er Arsenault ansvarlig for å beskytte både Microsoft-produkter og dets interne nettverk som brukes av 160.000 ansatte. Etter å ha lagt leverandører til blandingen, er han ansvarlig for rundt 240.000 kontoer globalt. Og å kvitte seg med passord og erstatte dem med bedre alternativer som multifaktorautentisering (MFA) er høyt på hans gjøremålsliste.
SE: Nettverkssikkerhetspolitikk (TechRepublic Premium)
Microsoft oppdaterte passordpolitikken sin trinnvis. I januar 2019 gikk det til ett års utløp ved bruk av telemetri for å validere effektiviteten. I januar 2020 gikk det til ubegrenset utløp basert på resultatene.
Microsoft sluttet også å anbefale kunder å implementere en 60-dagers policy for utløp av passord i 2019 fordi folk har en tendens til å gjøre små endringer i eksisterende passord eller glemme nye gode.
For Arsenault, framfor å gjøre samtalen om å plassere MFA overalt, innrammet han endringen som om å eliminere passord.
“Fordi ingen liker passord. Du hater dem, brukerne hater dem , IT-avdelinger hater dem. De eneste som liker passord er kriminelle – de elsker dem, “sier han.
“Jeg husker at vi hadde et motto for å få MFA overalt, i ettertid som var det riktige sikkerhetsmålet, men feil tilnærming. Gjør dette om brukerens resultat, så overgang til” vi vil eliminere passord “. Men ordene du bruker betyr noe. Det viste seg at det enkle språkskiftet endret kulturen og synet på hva vi prøvde å oppnå. Enda viktigere, det endret design og det vi bygde, som Windows Hello for business, “sier han.
“Hvis jeg eliminerer passord og bruker noen form for biometri, er det mye raskere og opplevelsen er så mye bedre.”
På Windows 10-PCer håndteres den biometriske sikkerhetsopplevelsen av Windows Hello. På iOS og Android gjøres tilgang til Office-apper gjennom Microsoft Authenticator, som gir en jevn opplevelse når du logger på Microsoft Office-apper. Den utnytter biometri som er tilgjengelig på iPhones og Android-telefoner.
“I dag legger 99,9% av brukerne våre ikke inn passord i sitt miljø. Når det er sagt – fremgang over perfeksjon – er det fremdeles eldre apper som fremdeles vil be [om passord],” sier han.
Det er imidlertid ikke slutten på slaget. Bare 18% av Microsofts kunder har aktivert MFA.
Dette tallet virker absurd lavt med tanke på at aktivering av MFA er gratis for Microsoft-kunder, men som ransomware viser, kan det ha mange millioner dollar konsekvenser når bare en nøkkel intern konto blir kompromittert.
Å beskytte kontoer med MFA vil ikke stoppe angriperne helt, men det gjør deres liv vanskeligere ved å skjerme en organisasjon mot de iboende svakhetene i brukernavn og passord for å beskytte kontoer, som kan phishing eller kompromitteres gjennom angrep med sprøyting av passord.
Sistnevnte teknikk, som er avhengig av gjenbruk av passord, var en måte SolarWinds-angriperne brøt mål i tillegg til å bryte inn i firmaets programvarebyggingssystemer for å spre en forurenset programvareoppdatering.
Microsoft beveger seg mot en hybrid arbeidsmodus, og for å støtte dette skiftet, presser det mot en Zero Trust-nettverksdesign, som antar at nettverket er brutt, at nettverket strekker seg utover bedriftens brannmur, og henvender seg til BYOD-enheter som kan brukes hjemme til jobb eller på jobb for personlig kommunikasjon.
Men hvordan får vi flere organisasjoner til å aktivere MFA i viktige bedriftsprodukter fra Microsoft, Google, Oracle, SAP og andre viktige programvareleverandører?
For organisasjoner som ønsker å aktivere MFA, anbefaler Arsenault å målrette høyrisikokontoer først og å jobbe med fremgang i stedet for perfeksjon. Det største problemet er eldre applikasjoner, men å søke perfeksjon risikerer å bli kjørt.
“Alle har brownfield-apper som ikke kan støtte moderne autentisering, for eksempel biometri, og derfor tror jeg det mange burde og trenger å gjøre er å ta en risikobasert tilnærming: først få MFA håndhevet for høyrisiko-/verdigrupper som administratorer, HR, juridisk gruppe og så videre, og deretter flytte til alle brukere. Det kan være en flerårig reise, avhengig av hvor raskt du vil gjøre noe, “sier han.
Så er det vanskelig spørsmål om SolarWinds og hvordan Microsoft, som har en cybersikkerhetsvirksomhet på 10 milliarder dollar, ble fanget opp av russiske regjeringshackere. Microsoft hevdet i februar at det bare ble minimalt skadet av hendelsen, men det ble likevel brutt. Microsofts president Brad Smith kalte hacket et “øyeblikk av regning” fordi kunder, inkludert Microsoft selv, ikke lenger kan stole på programvaren de får fra pålitelige leverandører.
“Vi brukte absolutt SolarWinds Software i miljøet vårt, og vi identifiserte og utbedret de berørte versjonene, og vi har vært offentlige om at det var tilgang. Vi fortsetter å endre hvordan vi gjør supply chain-programmer og hvordan vi vurderer hva som er i supply chain og hvordan raskt kan vi gjøre de tingene, sier Arsenault.
SE: Cloud computing: Microsoft angir nye datalagringsalternativer for europeiske kunder
Ifølge Arsenault hadde Microsoft sett forsyningskjedetrusselen komme i lang tid.
“Du ser mange mennesker som gjør ting for å beskytte inngangsdørene sine, men da er bakdørene vidåpne,” sier han.
“Den delen vi har sett på er at forsyningskjeden er det svake punktet, ikke sant. Du har begrenset synlighet for leverandørene dine. Jeg tror [USAs president Joe Bidens] ordre vil hjelpe i dette men for å få et syn på hvordan vi tenker på leverandører, trenger vi en måte å få synligheten på en skalerbar måte.
“Jeg ønsker å ta Zero Trust-konseptet for informasjonsarbeidere og bruke det på programvareforsyningskjeden, som ikke er noen kodelinje som noen gang ble skrevet fra en attestert identitet, fra en sunn enhet,” sier han.
Microsoft
Microsoft vil avdekke hva som er neste for Windows den 24. juni Microsoft kjøper ReFirm Labs for å øke sine IoT-sikkerhetstilbud Microsoft avslørte nettopp fremtiden for arbeidet. Det er ett stort problem Microsoft 365 (tidligere Office 365) for virksomheten: Alt du trenger å vite
Relaterte emner:
Security Enterprise Software Windows Windows 10 Collaboration Cloud 