CISO Microsoft: «Почему мы пытаемся навсегда запретить пароли»

«Никто не любит пароли», - говорит директор по информационной безопасности Microsoft. Вот как софтверный гигант избавляется от них навсегда.

В качестве CISO Microsoft Брет Арсено (Bret Arsenault) отвечает за защиту продуктов Microsoft и внутренних сетей, используемых 160 тыс сотрудниками. Если еще сюда добавить поставщиков, он отвечает примерно за 240 тыс учетных записей по всему миру. А избавление от паролей и замена их лучшими опциями, такими как многофакторная аутентификация (MFA), занимает одно из первых мест в его списке дел.

Microsoft поэтапно обновляла свою политику паролей. В январе 2019 г. компания перешла на один год на использование телеметрии для проверки эффективности. По результатам, в январе 2020 г. этот проект перевели на неограниченный срок действия.

Вместо того, чтобы вести разговор о повсеместном размещении MFA, он предложил устранить пароли.

«Я помню, что у нас был девиз: повсюду использовать MFA. Оглядываясь назад, это была правильная цель безопасности, но неправильный подход. Сделайте это с учетом результатов пользователя, поэтому переходите к тезису «мы хотим устранить пароли». Но слова, которые вы используете, имеют значение. Оказалось, что простой языковой сдвиг изменил культуру и представление о том, что мы пытались достичь. Что еще более важно, он изменил наш дизайн и то, что мы создали, например, Windows Hello для бизнеса, - говорит он. Если я устраню пароли и использую любую форму биометрии, это будет намного быстрее, и опыт станет намного лучше».

На компьютерах с Windows 10 эта биометрическая безопасность обеспечивается Windows Hello.

«Сегодня 99,9% наших пользователей не вводят пароли в своей среде. Тем не менее - прогресс важнее совершенства - все еще существуют устаревшие приложения, которые по-прежнему запрашивают пароль», - говорит он. Однако это еще не конец битвы. Только 18% клиентов Microsoft включили MFA.

Эта цифра кажется абсурдно низкой, учитывая, что включение MFA является бесплатным для клиентов Microsoft, но, как показывает программа-вымогатель, компрометация только одной ключевой внутренней учетной записи может привести к многомиллионным потерям.

Защита учетных записей с помощью MFA не остановит злоумышленников полностью, но усложняет их жизнь, защищая организацию от присущих им слабых мест в именах пользователей и паролях для защиты учетных записей, которые могут быть подвергнуты фишингу или скомпрометированы с помощью атак с «разбрызгиванием» паролей (password spraying).

Последний метод, основанный на повторном использовании пароля, был одним из способов взлома злоумышленниками SolarWinds целей, помимо взлома систем сборки программного обеспечения компании для распространения испорченного обновления ПО.

Microsoft движется к гибридному режиму работы и, чтобы поддержать это движение, она продвигает проект сети с нулевым доверием, которое предполагает, что сеть была взломана, что сеть выходит за пределы корпоративного брандмауэра и обслуживает устройства BYOD.

Но как заставить большее количество организаций использовать MFA в критически важных корпоративных продуктах Microsoft, Google, Oracle, SAP и других важных поставщиков программного обеспечения?

Для организаций, которые хотят использовать MFA, Арсено рекомендует в первую очередь нацеливаться на учетные записи с высоким уровнем риска и работать над прогрессом, а не над совершенствованием. Самая большая проблема - это устаревшие приложения, но, стремясь к совершенству, можно увязнуть.

Тут по ходу дела возникает сложный вопрос о SolarWinds и о том, как Microsoft, чей бизнес в области кибербезопасности оценивается в 10 млрд. долл., была атакована российскими правительственными хакерами. В феврале компания заявила, что инцидент нанес ей минимальный ущерб, но, тем не менее, брешь существовала. Президент Microsoft Брэд Смит назвал взлом «моментом расплаты», потому что клиенты, включая саму Microsoft, больше не могут доверять ПО, которое они получают от проверенных поставщиков.

«Мы увидели, что цепочка поставок - это слабое место. Чтобы понять, как мы думаем о поставщиках, нам нужен способ масштабируемой видимости. Я намерен взять концепцию Zero Trust для информационных работников и применить ее к цепочке поставок ПО, которая не является строкой кода и не имеет подтвержденной идентичностью с исправного устройства», - отмечает Брет Арсено.