A segurança multicloud da Microsoft é sobre conectar os pontos

Nos últimos anos, as ofertas de segurança da Microsoft aram de segurança para produtos e serviços da Microsoft para segurança da Microsoft para toda a gama de produtos e serviços que uma empresa precisa proteger. Isso significa versões do Defender que monitoram dispositivos e contêineres iOS, Android, macOS, Linux, Internet das Coisas em vez de apenas Windows, bem como seu Sentinel SIEM, MDM para uma ampla variedade de dispositivos com o Microsoft Endpoint Manager e um fluxo contínuo de aquisições que trazem ferramentas pontuais como ReFirm e CloudKnox, que acabam se tornando opções integradas nas ferramentas de segurança da Microsoft.

CONSULTE: Office 365: Um guia para líderes de tecnologia e negócios (PDF gratuito) (TechRepublic)

No ano ado, o Microsoft Defender for Cloud adicionou recursos para gerenciar e monitorar configurações de segurança na AWS e no Azure; agora também abrange o G, com um mostrando suas configurações de segurança e se você está seguindo as práticas recomendadas nas três nuvens (ou individualmente, se preferir).

O novo de gerenciamento de permissões do CloudKnox mostra quais permissões foram concedidas a todas as identidades que você está usando no Azure, AWS e G (incluindo identidades para VMs, chaves de o, contêineres e scripts, bem como usuários e es). Você pode ver quais identidades têm o a mais recursos do que precisam usar, receber alertas para comportamentos incomuns e automatizar políticas que alocam o menor número possível de privilégios e direitos de o.

Híbrido e multicloud é uma realidade para muitas organizações, disse Eric Doerr, vice-presidente corporativo de segurança em nuvem da Microsoft.

“Houve um período em que não estava claro se a multicloud seria uma estratégia intencional de longo prazo dos clientes ou se era mais ‘você está no Azure e compra uma empresa que está na AWS e precisa lidar com isso por um período de tempo’. Ficou claro há alguns anos que a multicloud não é uma moda ageira, que é uma estratégia intencional. O que começamos a ouvir cada vez mais era ‘essas coisas do Azure: você está fazendo é ótimo, mas estou morrendo de vontade de tentar manter o controle de todas as nuvens e não tenho tempo para que minhas equipes de segurança se tornem especialistas nas ferramentas para Azure e as ferramentas para AWS e as ferramentas para G.’ Simplesmente não funciona.”

Mesmo as empresas com orçamento para tantos funcionários têm dificuldade em contratar pessoas suficientes com habilidades de segurança para cobrir várias nuvens. O Defender for Cloud pode ajudar dando a você um local para definir e monitorar políticas sobre patches, criptografia e backup de dados, gerenciamento de portas de rede, registro e monitoramento de credenciais em repositórios de origem, sem a necessidade de conhecer as nuances das diferentes maneiras de configurá-los em nuvens diferentes.

“O que nos concentramos com esta versão é levar o trabalho irritante de traduzir ‘quero criptografia em todo o meu armazenamento [across clouds]’”, explicou Doerr. “Eu não deveria me preocupar com a maneira diferente de configurar isso nas diferentes nuvens. Nós fazemos aquele clique, e então isso é aplicado. E então, se houver desvios dessa política, você recebe um alerta e pode investigar o que está acontecendo.”

O novo serviço CloudKnox vai um o além. “Nós vamos fazer mais do que dar conselhos. Damos a você detalhes muito específicos: aqui está o que você tem, aqui está exatamente qual é o problema, eis como você pode corrigi-lo.”

Doerr está resignado com uma pequena surpresa com a Microsoft oferecendo soluções de segurança para sistemas que não são da Microsoft.

“A percepção sempre fica atrás da realidade”, ressaltou. “Muito tempo depois que levamos a sério o Linux e o Mac e o Android e o iOS, ainda tínhamos clientes dizendo ‘você é a Microsoft, não se importa apenas com o Windows?’ Levamos a multicloud a sério, levamos a sério o atendimento ao cliente onde ele estiver e ajudar com toda a infraestrutura de nuvem. Mas eu sei que vou ter algum tempo de clientes dizendo, ‘não, mas você só se importa com o Azure, certo?’ Eu amo o Azure. Amo mais vocês, clientes; Eu te dou cobertura.”

Saiba o que você precisa proteger

A complexidade de gerenciar várias nuvens também agrava um problema comum: poucas organizações têm uma lista precisa e atualizada de todos os recursos que precisam proteger – e, embora isso seja verdade para toda a infraestrutura, é tão fácil ativar a nova nuvem recursos que tendem a proliferar. “Acontece que as pessoas nem sempre sabem o que têm. Algumas das melhores e mais rigorosas lojas de segurança com quem conversei, todas têm uma história relativamente recente em que essa subsidiária fez isso e não falou conosco, não sabíamos sobre isso e, em seguida, tudo de uma de repente, tivemos esse problema.”

Para ajudar com isso, no ano ado, a Microsoft comprou a RiskIQ, que oferece um serviço de inteligência de segurança que Doerr chama de ‘externa na verificação’; “eles varrem toda a sua superfície de ataque endereçável na Internet.”

A varredura de toda a Internet endereçável e a obtenção de inferências do que é visível alimenta três abordagens diferentes, sendo a primeira a auditoria. “Ajude uma empresa a ter uma visão ampla e entender o que sua infraestrutura, mesmo a infraestrutura que ela pode ter esquecido, está exposta.” Ele também fornece inteligência de ameaças mais geral em um .” Se eu sou um [security] analista no meio de uma investigação ou estou fazendo alguma pesquisa para me preparar para que tipo de ameaças podem estar surgindo em petróleo e gás e que tipo de atores estão vindo depois [that sector]”, explica Doerr.

Mas ele também está animado com a forma como o serviço pode ajudar os clientes a entender as ameaças de seus parceiros e da cadeia de suprimentos. “Se eu sou uma empresa com relacionamentos de fornecedores com centenas de outras empresas, qual é o nível de segurança delas? Eles estão fazendo um bom trabalho? Eles estão remendando? Parece chato, mas se você não está corrigindo, você está com problemas!” No futuro, ele sugere, a Microsoft poderá correlacionar isso com os outros sinais em seu gráfico de segurança.

CONSULTE: Kit de Contratação: Engenheiro de Nuvem (TechRepublic )

Atualmente, um serviço separado que será integrado a outras ferramentas da Microsoft (espere uma atualização sobre isso em alguns meses, disse Doerr), o RiskIQ complementa os esforços “de dentro para fora” da Microsoft para ajudar as equipes de segurança em seu trabalho. “Se a equipe de segurança não conhece algum ativo, você não pode protegê-lo. Este ‘fora para dentro’ [approach] é o complemento perfeito; é como manteiga de amendoim e geleia. Você precisa fazer de dentro para fora, de fora para dentro e isso precisa se unir de maneiras realmente significativas para as equipes de segurança.”

Por melhores que sejam as informações de suas ferramentas de segurança, elas não o tornarão mais seguro, a menos que sejam tomadas medidas.

Além de criar ferramentas de segurança, a Microsoft também está trabalhando com os clientes para ajudá-los a trazer as informações dessas ferramentas para seus processos para que possam usar as informações para tornar seus sistemas mais seguros, o que pode significar atualizar um aplicativo personalizado em vez de apenas definir um regra de firewall. “Nós não vivemos em um mundo onde você pode simplesmente ter uma equipe de segurança para definir uma política de rede e pronto, pronto”, ressalta. “Um número crescente dessas coisas que mostramos às equipes de segurança são coisas em que a própria equipe de segurança não possui o recurso que precisa mudar.”

As organizações geralmente desejam conectar essas informações aos fluxos de trabalho existentes. “Alguns clientes dizem: ‘Ei, eu tenho um sistema de tíquetes que é incrível e quero que você tenha as APIs certas e se conecte a ele e então tudo ficará bem.’ Alguns clientes vivem por e-mail e querem a extensibilidade para que a equipe de segurança possa incomodar as pessoas por e-mail.”

Acertar essa transferência elevará o nível do setor, porque melhorar a segurança significa orquestrar o fluxo de trabalho de ponta a ponta, desde identificar um problema de segurança até lidar com ele. “Se a equipe de segurança não sabe que tem um problema e não sabe a prioridade relativa, então isso é um problema. Mas então, à medida que você expõe a visibilidade do problema, se você não ajudar a equipá-los com as ferramentas para consertá-lo, você realmente não moveu a agulha sobre os bandidos.”

A política de mudança para a esquerda dos devsecops desempenhará um papel cada vez maior aqui, disse Doerr, e a Microsoft está fazendo investimentos em ferramentas de desenvolvedor e no GitHub para ajudar: “Definir uma política e aplicá-la no código para que, à medida que as implantações aconteçam, as coisas certas aconteçam com mais frequência. Você precisa se deslocar mais para a esquerda no ambiente de implantação para ser racional sobre o uso do poder da pessoa humana. Temos muitas pessoas trabalhando em como conectar a equipe de segurança à equipe de engenharia.”

Voltar à rotina

Por outro lado, enquanto os invasores estão ficando mais sofisticados, com muita frequência os ataques mais simples ainda são transmitidos porque as ferramentas de segurança com as quais os defensores trabalham são fragmentadas e não são fáceis o suficiente para trabalhar.

“Vimos o gotejamento de técnicas e competência. Cinco anos atrás, havia um punhado de estados-nação que eram muito bons, e a maioria dos atores criminosos não era muito sofisticada. Os estados-nação continuaram a melhorar em suas capacidades, mas vimos que os grupos criminosos definitivamente fecharam um pouco a lacuna”, alertou.

Com o número cada vez maior de ataques, priorizar é mais importante do que nunca e usar a automação para aplicar políticas de segurança pode tornar os engenheiros de segurança mais produtivos ao lidar com o básico e deixá-los analisar e entender os problemas mais incomuns, sugeriu Doerr.

“É verdade que os bandidos, os estados-nação e os criminosos estão muito mais bem equipados do que nunca. Mas os defensores ainda os superam. Se pudermos trabalhar juntos, se pudermos ter os defensores realmente gastando tempo com as coisas que importam, em vez de gastar muito tempo aprendendo os primitivos do G e descobrindo como traduzir estruturas de controle em algo significativo para a equipe de segurança.”

“Como elevamos o nível mínimo de competência que um invasor precisa ter para ser um problema para a empresa média por aí? Muito disso é sobre simplicidade e automação e não exigir que você contrate sete pessoas de segurança de alto nível para projetar um programa de segurança do zero. O que estamos fazendo é um o nessa direção com uma solução multicloud: escolha sua política, escolha como deseja istrar sua equipe de segurança e vamos automatizar muitas dessas coisas.”

O DART (Equipe de Detecção e Resposta) da Microsoft ajuda os clientes com incidentes de segurança (e Doerr istra o próprio Centro de Operações de Segurança da Microsoft), então ele vê problemas semelhantes em muitas organizações com as quais a automação pode ajudar, seja os novos serviços multicloud ou seguindo a segurança básica recomendações para o Office 365.

“É chocante quantas vezes [the problem is] ‘Espere, você não ativou o MFA? Você tinha portas de gerenciamento expostas? Por que você expôs portas de gerenciamento?’ E quando você olha para isso, é porque as ferramentas não estavam facilitando. Você está jogando este jogo interminável de Whack a Mole. Como podemos fazer com que, em vez de equipes de segurança jogando Whack A Mole, você tenha equipes de segurança pressionando políticas automatizadas? Ainda haverá exceções e coisas estranhas que acontecem, mas então você está se concentrando nessas coisas estranhas e não correndo jogando Whack a Mole com portas abertas.”