– Folk kommer till mig och säger att ”ditt arbete är ju enkelt, du har ju bara Windows att hålla reda på”, men faktum är att vi har en stor flora av olika plattformar och system som vi måste skydda, både våra egna och kundernas, säger Bret Arsenault, Microsofts globala it-säkerhetschef.

Microsoft har i sina system över 7,7 miljoner Windowsdatorer, 1,1 miljoner Linuxdatorer och 370 000 övriga typer av system som skrivare, nätverksutrustning och projektorer. Till detta kommer cirka 150 000 enheter vardera med IOS och Android, och faktiskt cirka 30 000 datorer med Mac OS. Anledningen till det senare är bland annat att Microsoft utvecklar diverse mjukvaror även för Mac, Office-sviten till exempel, och dessa måste förstås testas på verkliga system.

För att försvara sig mot cyberattacker, både mot sina egna interna system, och mot kundernas system, inte minst i molntjänsten Azure, har Microsoft valt att fokusera på analys av vad de kallar signaler, eller helt enkelt alla typer av datakällor där anomalier kan detekteras, förklarar Bret Arsenault under en digital pressträff med titeln ”Defending Microsoft and Helping Secure the Planet in 2020”.

Sker med kundernas medgivande

Som exempel på signaler räknar han inte bara upp de ovan nämnda enheterna och operativsystemen, utan även datakällor som genomsökta url:er, analyserade e-postmeddelanden, genomsökta dokument och autentiserade identiteter via inloggningen till olika tjänster. Bret Arsenault är noga med att framhålla att analysen och genomsökningen sker med kundernas medgivande, i de fall det gäller just kundernas system.

Enligt Bret Arsenault blockerar Microsoft över 5 miljarder hot om året, mycket tack vare både en diversitet i signalerna, alltså många olika datakällor och -flöden, och skalan på varje signal. Data från dessa signaler använder sedan Microsoft för att träna maskininlärningsalgoritmer att känna igen mönster som tyder på angrepp eller andra typer av säkerhetsrisker. Bret Arsenault menar att den enorma skalan gör att Microsoft har en fördel mot de cyberkriminella.

Jag anser att vi leder racet mot de cyberkriminella.

– Diversitet i signalerna är lika viktig som skalan – vi tittar på många olika saker, och varje sak har tillräckligt stor skala för att vi ska kunna göra AI-stödda analyser och dra praktiskt användbara slutsatser. Det handlar om korrelation mellan signalerna och maskininlärning.

Bret Arsenault.

– Jag anser att vi leder racet mot de cyberkriminella. Vi har en fördel mot dem eftersom de inte har den skalan som vi har tillgång till. De kan aldrig testa sina vapen i den skalan och det medför att de måste chansa mer och hoppas att vapnen fungerar, vilket medför att de inte kan skapa mångsidiga vapen, de måste måste specialisera sig på väldigt specifika sårbarheter, säger Bret Arsenault.

Utnyttjar stora event

Året med Corona har satt djupa spår även hos Microsoft, och Bret Arsenault menar att de cyberkriminella i allt högre utsträckning försöker utnyttja större event eller händelser runt om i Världen. Vissa av dessa är enkla att förutse och något it-säkerhetsansvariga bör ta höjd för i god tid innan de händer. Ett exempel är kommande OS, som ju alla vet är en världshändelse som kommer att äga rum, och det är därmed inte svårt att se att exempelvis nätfiske med OS som tema kommer att komma som ett brev i inkorgen.

Andra händelser är förstås svårare eller omöjliga att förutse, och Bret Arsenault tar de aktuella bränder i Kalifornien som ett aktuellt exempel.

– De illvilliga är opportunistiska. Alla typer av större event eller händelser i världen kommer att utnyttjas av cyberkriminella. Vissa händelser kan man inte känna till i förväg, som till exempel naturkatastrofer eller pandemier.

Mindre fokus på perimeterskydd

Coronapandemin har för Microsofts del, som för så många andra företag, inneburit att de flesta inom organisationen har tvingats arbeta utanför sina kontorsmiljöer, i det flesta fall från hemmen. Microsoft har redan tidigare anammat zero trust-paradigmet som innebär mindre fokus på perimeterskydd, tekniker som vpn och tillit till interna system, och mer fokus på segmentering, skademinimering och att betrakta alla involverade system som potentiellt skadliga.

– Vi tillämpar zero trust över hela linjen. Jag anser att säkerhet baserat på identiteter skalar mycket bättre än säkerhet i nätverket, och säkerheten ska vara lika bra var man än sitter. Vi verifierar allt och alla på identitetsnivå innan vi släpper in in användare eller enheter i nätverket. Hos oss är det flerfaktorsautentisering överallt som gäller. Men se också till att dina enheter alltid är uppdaterade och jag anser också att virtualisering är viktigt för att höja säkerheten, säger Bret Arsenault.

– För oss är den största lärdomen av covid-19 zero trust, att inte bara lita på vpn. Det behövs till viss del fortfarande, men man kan inte bara lita på vpn.

Skugg-it breder ut sig

Vad händer då när delar av personalen börjar använda it-system som administratörerna och de it-säkerhetsansvariga inte ens känner till, så kallad skugg-it? Det är ett allmänt vedertaget faktum att denna typ av osynlig it breder ut sig, och det skulle antagligen förvåna få om skugg-it har accelererat under pandemin då många arbetar från hemmen, och kontrollen över personalens arbetsverktyg är mindre omfattande.

– Skugg-it är en topprioritet på Microsoft, men 95 procent av våra applikationer är molnbaserade, och då kan jag se hur apparna används. Jag kan se om de till exempel har rdp-porten öppen. Man kan inte bara stoppa allt för då hindrar man arbetet och effektiviteten, så jag tycker man kan låta folk använda vad de vill om de bara följer vissa enkla grundregler. Men skugg-it är en trend som kommer mer och mer, säger Bret Arsenault.

Om Bret Arsenault skulle prioritera vad han måste lägga sin budget för it-säkerhet på är det utan tvekan tre områden som får mest pengar. Arsenaults rekommendation till Microsofts kunder är: zero trust, diversitet och AI och maskininlärning.

– Diversitet är superviktigt, både vad gäller människor och signaler, och både skala i signaler och bredd i signaler. AI, rätt tillämpat, hjälper också mot skugg-it, om man anser att det är ett problem. Börja tillämpa zero trust. Ta till exempel bort problemet med ”password spraying” med flerfaktorsautentisering.

Kallas för digital empati

Coronapandemin har ibland medfört att personalen mår sämre, både fysiskt och mentalt. Bret Arsenault lyfter fram det han och Microsoft kallar för digital empati, att det är viktigt att lyssna och förstå signaler från personalen och att det går att tillämpa teknik för att lyssna mer systematiskt och få en bra bild över hur personalen mår.

– Vi har lärt oss under pandemin att använda det vi kallar digital empati. Vi nyttjar de vanliga enheterna personalen normalt använder för att känna efter hur folk mår, men också hur de jobbar och hur produktiva de är. Vi försöker hålla stabilitet i produktiviteten, men tillsammans med hälsan och ”wellness”.

– Jag tycker man kan testa att bygga ett positivt lyssningssystem så man upptäcker om folk mår dåligt. Det kan vara så enkelt som att se när de loggar in och ut, men också om de tar tillräckligt med pauser, om det rör på sig under dagen och liknande mätvärden. Så länge detta görs i en positiv och hjälpande anda så är det uppskattat hos oss, säger Bret Arsenault.

