Microsoft’un kimlik ve ağ erişimi başkanı Joy Chik, Kovid sırasında müşterilerle sanal görüşmeler yaparak bu kadar uzun süre vakit geçirdikten sonra yeniden yollarda olmaktan o kadar mutlu ki, Londra’daki toplantımızdan birkaç gün önce Birleşik Krallık’a uçtuğundan beri SeaTac’ın Heathrow’daki kırmızı gözde yarattığı korkunç jetlag’a rağmen günlüğünü müşteri toplantılarıyla doldurdu.
Chik, yaklaşık yedi yıl önce Microsoft kimlik ekibini yönetme görevini üstlendi; ancak bu noktada 25 yıldır Microsoft’ta çalışıyor ve CEO Satya tarafından görevlendirilmeden önce Redmond’un uzak masaüstü ürünlerinin önceki versiyonlarında yazılım mühendisi olarak işe başlıyor. Nadella’nın kendisi de Microsoft’un güvenlik iş yolculuğunun başlangıcı olarak tanımladığı Intune uygulaması, cihazı ve kimlik yönetimi platformuna dahil olacak.
“Bu ürünü geleneksel bir yazılım tabanından birden fazla platformu kapsayan buluta geçirmeye başladım” diyor. “Bunu birkaç yıl yönettim ve sonra… kimlik ekibini yönetme fırsatı geldi.”
Chik, bu yılın haziran ayından bu yana Entra ID adıyla anılan ve artık Entra ID olarak anılmayan kimlik platformunu anlatıyor. Azure Active Directory (AD), hem kuruluşun kurumsal hem de tüketici işletmelerini kapsadığı için Microsoft’un artık işleyişinin temelini oluşturuyor.
Kimlik sizin ‘ön kapınızdır’
“Güvenlik açısından her şeyin kimlikle başladığını söyleyebilirsiniz, çünkü biz her şeyin ön kapı kontrol uçağıyız” diyor.
Buna ek olarak, Microsoft’un dünya çapındaki kurulu tabanının büyüklüğü, çoğu kurumsal kullanıcının çalışma günlerinin bir noktasında ekiplerinin işleriyle karşılaşacağı göz önüne alındığında, Chik’e kimlik sorunları konusunda gerçekten liderlik etme fırsatı veriyor.
“Müşterilerimizi hem ticari hem de tüketici tarafında korumaya yönelik bu büyüklük, bu sorumluluk duygusu benim için hem alçakgönüllü hem de etki açısından tatmin edici” diyor.
“Onun [also] kesinlikle bir meydan okuma çünkü asla görevin tamamlandığını, işin bittiğini söyleyemezsiniz. Bu her zaman bir yolculuktur, ya da bunun bir yarış olduğunu da söyleyebiliriz, çünkü saldırganlar giderek daha karmaşık hale geliyor ve daha iyi bir kelime bulunamadığı için yenilikler yapıyorlar.”
Elbette, kimlikler ve daha spesifik olarak kimlik bilgileri ile, siber suçluların, insanları ikna etmek için kolay ve hızlı bir şekilde kaba kuvvet veya kimlik avı ve sosyal mühendislik saldırıları uygulayabildiklerinde, aslında o kadar da yenilik yapmalarına gerek olmadığı iddiası ileri sürülebilir. gardlarını indirsinler. Microsoft’un istatistikleri bunu doğruluyor.
Chik, “Bir yıl önce, verilerimiz dünyada saniyede yaklaşık 1000 şifre saldırısının gerçekleştiğini gösteriyor” diyor. “Sadece bir yıl ileri sararsanız bu dört kat arttı. Yani biz konuşurken her saniye dört bin şifre saldırısı yaşanıyor.”
“Sektör ve kullanıcılar olarak hepimizin saldırıların arttığını ve önde kalabilmek için daha fazlasını yapmamız gerektiğini bilmemiz gerekiyor. Saldırganların önünde kalmak ve kötü şeylerin gerçekleştiğini tespit etmek yerine, bunların olmasını önlemek için yenilik yapmaya devam etmek gerçekten bir yarış.”
Joy Chik, Microsoft
Bu sayının nedeni, şifrelerin, doğası gereği güvensizlikleri uzun süredir bilinmesine ve defalarca kanıtlanmış olmasına rağmen, hâlâ çevrimiçi hizmetlere erişmemizin ana yolu olduğu gerçeğine dayanıyor.
Elbette parola güvenliğini artırmak için çeşitli stratejiler var; herkes çok faktörlü kimlik doğrulamayı (MFA) büyük önem taşıyor ve bazı durumlarda Microsoft bunu müşteriler için varsayılan olarak açıyor. MFA’nın saldırı yüzeyini önemli ölçüde azalttığı kanıtlandığı için bu kararı verirken mutlaka bir çizgiyi aşmak da gerekmez.
Ancak Chik, özellikle en son araçlara aşina, kararlı bir tehdit aktörü karşısında MFA’nın bile hatasız olmadığını söylüyor. Üretken yapay zeka (GenAI) gibi.
“Üretici yapay zeka ile [emerging]Bu saldırılar giderek daha karmaşık hale geliyor. Geleneksel bir kimlik avı saldırısında, Microsoft’tan geliyormuş gibi görünen şüpheli bir e-posta alırsınız, ancak muhtemelen onu yakalayabilirsiniz; dilbilgisi hataları vardır, oldukça basmakalıptır,” diyor Chik. “Fakat GenAI ile işler çok daha özel hale geliyor.
“Sektör ve kullanıcılar olarak hepimizin saldırıların arttığını ve önde kalabilmek için daha fazlasını yapmamız gerektiğini bilmemiz gerekiyor. Saldırganların önünde kalmak ve kötü şeylerin gerçekleştiğini tespit etmek yerine, bunların olmasını önleyebilmek için yenilik yapmaya devam etmek gerçekten bir yarış.”
AI: Kimlik konusunda pazar yapıcı mı?
Ancak geçtiğimiz 12 aydaki haberlerden bildiğimiz gibi yapay zeka, saldırganlar için olduğu kadar savunmacılar için de faydalı bir araç ve Microsoft da dahil olmak üzere sektör birkaç yıl önde başladı.
Chik, “Entra için örneğin anormallikleri tespit etmek için yapay zekayı kullanıyoruz” diyor. “Microsoft Wi-Fi üzerinden dizüstü bilgisayarınızda oturum açtınız [she’s right, I did] ve güvenilirdir, muhtemelen sorun yoktur.
“Fakat rastgele bir kafeden giriş yaptığınızı veya kimlik bilgilerinizin çalındığını ve birdenbire başka ülkelerden giriş yaptığınızı hayal edin. Yapay zeka motoru, olağan oturum açma düzeniniz ve uyarınızdan bir sapma olduğunu algılayabilir ve [from there] sizi MFA’ya yönlendirecek politikaları uygulayıp uygulamadığı, çalıştığınız şirkete bağlıdır. Bu tür şeylerde, daha gerçek zamanlı risk değerlendirmesi yapmak için verileri kullanıyoruz.”
Ancak yapay zekanın kullanımı anormallik tespiti ile bitmiyor. Microsoft ayrıca bunu müşterilerin kimlik politikası ve yönetimine özgü bazı karmaşıklıkları çözmelerine yardımcı olmak için de kullanıyor.
Chik, “Sektör olarak çok sayıda kimlik politikası ayarımız var, ancak müşterilerin mutlaka bilmedikleri şeylerden biri de çevrelerini korumak için hangi politika setini kullanmaları gerektiğidir” diyor. “Bunu kullanabileceğini hayal et [AI] hangi politikaların uygulanacağını sormak için. Ortamınızda ne olduğunu bilecek yeterli veri sinyalimiz zaten olduğundan, kurumsal müşteriler için politikalar önerebilir ve hatta etkinleştirebiliriz. Bunun süper güçlü bir şey olduğunu düşünüyorum.”
Bu, kimlik ekibi için de boş bir hayal değil; bu özellik, Ekim 2023’ün sonunda belirli müşterilere yönelik bir Erken Erişim Programında kullanıma sunulan Microsoft’un Security Copilot hizmetinin bir parçası olarak zaten yayında.
Dünyanın ilk GenAI destekli güvenlik ürünü olarak ilan edilen Security Copilot hizmeti aynı zamanda Microsoft 365 Defender aracılığıyla genişletilmiş algılama ve yanıt (XDR) ve Microsoft Defender Tehdit İstihbaratı aracılığıyla tehdit istihbaratı gibi çok çeşitli özellikleri de kapsıyor. Microsoft, önizleme müşterilerinin bunu kullanırken temel güvenlik işlemleri görevlerine harcadıkları zamanın %40’ına kadar tasarruf edebildiklerini iddia ediyor.
Şifresiz geleceğe
Şubat 2004’te, Microsoft’un başkanı Bill Gates, yıllık RSA siber konferansında sahneye çıktı ve geleneksel şifrelerin, günümüzün çevrimiçi hizmetlerinin zorluklarıyla başa çıkamayacak şekilde yakında ortadan kalkacağını öngördü.
Bu durumda şifre ışığın ölmesine karşı öfkesini sürdürür, hatta Google’ın beğenileri gibi Apple, Microsoft ve diğerleriyle birlikte davul çalmaya devam ediyorlar.
Ancak üç şirketin de savunduğu biyometrik veya şifre tabanlı giriş seçeneği olan şifre anahtarı kavramının güçlü olduğu inkar edilemez ve Google’ın şifre anahtarlarını benimsemesi, değişim rüzgarlarının eseceğine dair kesin bir işarettir. topluyorlar. Tahmin edebileceğiniz gibi Chik aynı zamanda geçiş anahtarının da coşkulu bir savunucusu.
“Sektör olarak birlikte hareket etmemiz gerektiğine inanıyoruz [and] Windows’un bir parçası olarak ve kimlik doğrulayıcı uygulamalarımıza kesinlikle geçiş anahtarı desteği ekliyoruz. Bu kesinlikle geliyor” diyor.
Geleneksel olarak kimlik doğrulamanın üç “faktörü” vardır: bildiğiniz bir şey, sahip olduğunuz bir şey ve olduğunuz bir şey. Geçiş anahtarları, sahip olduğunuz bir şeyi (cihazınızı) ve olduğunuz bir şeyi (siz) kullanarak kimlik doğrulaması yapmak için bir şeyi (şifrenizi) bilme ihtiyacını ortadan kaldırır.
Chik, bunları bireyin cihazıyla olan “bağının” bir parçası olarak tanımlıyor. Parmak izi tanımlama veya yüz tanıma gibi biyometrik, fiziksel paraya ihtiyaç duyulan nadir durumlarda ATM’lerde kullanılanlar gibi basit bir PIN veya yıllardır Android akıllı telefonların kilidini açmak için kullanılan kaydırma deseni gibi çeşitli biçimlerde olabilirler.
“Fakat bence en önemli şey, geçiş anahtarlarının başka bir yerde kimliğinizi doğrulamak için cihazınıza aktarılabilmesidir; bu nedenle, yalnızca tek bir kullanım yerine – bunu yalnızca akıllı telefonunuzun kilidini açmak için kullansaydınız, pek de ilginç olmazdı – öyle mi? Cihazlar arasında farklı uygulamalar başlatıyorsunuz” diyor. “Baş ağrısını giderir [for users]ama daha da önemlisi harika bir kullanıcı deneyimi sunuyor ve daha güvenli.”
Microsoft ürün ailesine Microsoft Authenticator uygulaması aracılığıyla gelen parolasız kimlik doğrulama, kullanıcı sayısının halihazırda milyonlarla ölçüldüğü tüketici tarafında şimdiden güçlü bir şekilde benimsenmiştir. Chik, “Aslında en son ne zaman şifre kullandığımı hatırlamıyorum çünkü sadece Authenticator kullanıyorum” diyor.
“Tüketici tarafında bunu müşterilerimiz için yönetebilir ve etkinleştirebiliriz. Ticari tarafta, BT ve güvenlik ekiplerine parolasız geçiş yapmaları için araçlar sağlıyoruz çünkü bu üç veya dört adımlı bir süreç” diyor.
Bu süreç, kuruluş içinde parolasız kullanımın en iyi nerede kullanılabileceğini ve eski yöntemlere güvenmenin nerede daha güvenli olabileceğini belirlemek, dağıtım süreci boyunca kullanıcıları eğitmek ve desteklemek gibi keşif alıştırmalarını kapsar.
Kurumsal kullanıcıların ayrıca, birisinin telefonunu ve Microsoft Authenticator’a erişimini kaybetmesi nedeniyle sistemlerine erişiminin engellenmesi durumunda arıza güvenlik önlemlerinin mevcut olduğundan emin olmaları gerekecektir. Microsoft bu sorunu, mağdur kullanıcının yeniden çalışmaya başlamasını sağlayan bir tür geçici erişim geçişiyle ele alıyor.
Sola kay
Chik ve Microsoft kimlik ekibi için gelecek parlak görünüyor. “Kimlik muhtemelen güvenlik açısından ana savaş alanı olmaya devam edecek” diyor.
“Müşterilerimize yardımcı olmak istediğimiz en önemli şey, sola kaydırmayı nasıl yapacakları. Sola kaydırma dediğimde, onların kötü bir şey olduğunu tespit etmelerine yardımcı olmaktan daha fazlasını yapmayı, ancak proaktif olarak güvende olmalarına yardımcı olmayı kastediyorum” diyor.
Microsoft, Security Copilot gibi yapay zeka araçlarına ve teknolojilere yatırım yaparak ve kurumsal müşterilerin bazı ayak işlerini üstlenerek modası geçmiş kimlik seçenekleri etrafındaki sürtüşmeleri ortadan kaldırarak, geniş kurulu tabanına kötü niyetli yazılımları engellemek için gerekli araçları sağlamayı umuyor. oyuncular kale duvarlarını aşmadan önce.