المقابلات الأمنية: الحديث عن الهوية مع جوي تشيك من مايكروسوفت
بعد قضاء فترة طويلة في إجراء مكالمات افتراضية مع العملاء خلال أزمة كوفيد، يسعد جوي تشيك، رئيس الهوية والوصول إلى الشبكة في Microsoft، أن يكون على الطريق مرة أخرى، لدرجة أنه منذ سفره إلى المملكة المتحدة قبل يومين من اجتماعنا في لندن ، لقد ملأت مذكراتها باجتماعات العملاء على الرغم من اضطراب الرحلات الجوية الطويلة المروع الذي سببه SeaTac إلى مطار هيثرو.
تولت تشيك مهمة إدارة فريق هوية Microsoft منذ حوالي سبع سنوات، على الرغم من أنها كانت في Microsoft لمدة 25 عامًا في هذه المرحلة، حيث بدأت كمهندسة برمجيات في التكرارات السابقة لمنتجات سطح المكتب البعيد من Redmond، قبل أن يتم تعيينها من قبل الرئيس التنفيذي ساتيا. ناديلا نفسه للتورط فيها في تناغم منصة إدارة التطبيقات والأجهزة والهوية، والتي تصفها بأنها بداية رحلة الأعمال الأمنية لشركة Microsoft.
وتقول: “لقد بدأت في نقل هذا المنتج من قاعدة البرامج التقليدية إلى السحابة، التي تغطي منصات متعددة”. “لقد قمت بإدارة ذلك لبضع سنوات، ثم… جاءتني الفرصة لإدارة فريق الهوية.”
يصف شيك منصة الهوية، والتي منذ يونيو من هذا العام أصبح يحمل اسم Entra ID ولم يعد Azure Active Directory (AD) كما كان، هو جوهر كيفية عمل Microsoft الآن لأنه يغطي كلاً من مؤسسات المؤسسة والشركات الاستهلاكية.
الهوية هي “الباب الأمامي” الخاص بك
“يمكنك أن تقول ذلك من الزاوية الأمنية كل شيء يبدأ بالهويةتقول: “فقط لأننا طائرة تحكم في الباب الأمامي لكل شيء”.
بالإضافة إلى ذلك، فإن الحجم الهائل لقاعدة Microsoft المثبتة في جميع أنحاء العالم يمنح Chik الفرصة لقيادة مشكلات الهوية حقًا، نظرًا لأن معظم مستخدمي المؤسسات سيواجهون عمل فرقها في وقت ما من يوم عملهم.
وتقول: “إن هذا الحجم، وهذا الشعور بالمسؤولية، إذا صح التعبير، لحماية عملائنا سواء على الجانب التجاري أو على جانب المستهلك، هو أمر متواضع بالنسبة لي، ولكنه أيضًا يحقق هذا الإنجاز من حيث التأثير”.
“إنه [also] بالتأكيد يمثل تحديًا لأنه لا يمكنك أبدًا القول بأن المهمة قد أنجزت، فالمهمة قد تمت. إنها دائمًا رحلة، أو يمكنك القول إنها سباق، لأن المهاجمين يزدادون تعقيدًا ويبتكرون، بسبب عدم وجود كلمة أفضل.
وبطبيعة الحال، مع الهويات، وبشكل أكثر تحديدا، بيانات الاعتماد، يمكن للمرء أن يقدم الحجة القائلة بأن مجرمي الإنترنت لا يحتاجون حقا إلى هذا القدر من الابتكار، عندما يمكنهم الانتشار بسهولة وسرعة القوة الغاشمة أو التصيد و هندسة اجتماعية الهجمات لحمل الناس على التخلي عن حذرهم. إحصائيات مايكروسوفت تؤكد ذلك.
يقول تشيك: “قبل عام مضى، أظهرت بياناتنا أنه كان هناك حوالي 1000 هجمة على كلمات المرور تحدث في العالم في الثانية الواحدة”. “إذا تقدمت سنة واحدة فقط، فقد زادت أربعة أضعاف. لذلك هناك أربعة آلاف هجوم على كلمة المرور كل ثانية عندما نتحدث.
“كصناعة، وكمستخدمين، نحتاج جميعًا إلى معرفة أن الهجمات تتزايد، ويتعين علينا بذل المزيد من الجهد للبقاء في المقدمة. إنه حقًا سباق للبقاء في صدارة المهاجمين ومواصلة الابتكار حتى نتمكن من منع حدوث أشياء سيئة، بدلاً من مجرد اكتشاف حدوثها.
جوي شيك، مايكروسوفت
سبب هذا الحجم يتلخص في حقيقة ذلك كلمات المرور لا تزال هذه هي الطريقة الرئيسية للوصول إلى الخدمات عبر الإنترنت، على الرغم من أن انعدام الأمان المتأصل فيها معروف منذ فترة طويلة، وقد تم إثباته مرارًا وتكرارًا.
بالطبع، هناك استراتيجيات متضاربة لتعزيز أمان كلمة المرور – الجميع يصنع الكثير من المصادقة متعددة العوامل (MFA)، وفي بعض الحالات، تقوم Microsoft بتشغيله للعملاء بشكل افتراضي. لا يعد ذلك بالضرورة تجاوزًا للحدود في اتخاذ هذا القرار أيضًا، لأنه ثبت أن أسلوب MFA يقلل بشكل كبير من مساحة الهجوم.
ومع ذلك، حتى أسلوب MFA ليس معصومًا من الخطأ، كما يقول تشيك، خاصة في مواجهة ممثل تهديد مصمم على دراية بأحدث الأدوات. مثل الذكاء الاصطناعي التوليدي (جيناي).
“مع الذكاء الاصطناعي التوليدي [emerging]، أصبحت هذه الهجمات أكثر تعقيدًا. يقول تشيك: “في هجوم التصيد الاحتيالي التقليدي، تتلقى رسالة بريد إلكتروني مشبوهة تبدو وكأنها قد تأتي من Microsoft، ولكن من المحتمل أن تتمكن من التقاطها – هناك أخطاء نحوية، إنها نموذجية جدًا”. “ولكن مع GenAI، أصبحت الأمور أكثر تخصيصًا.
“كصناعة، وكمستخدمين، نحتاج جميعًا إلى معرفة أن الهجمات تتزايد، ويتعين علينا بذل المزيد من الجهد للبقاء في المقدمة. إنه حقًا سباق للبقاء في صدارة المهاجمين ومواصلة الابتكار حتى نتمكن من منع حدوث أشياء سيئة، بدلاً من مجرد اكتشاف حدوثها.
الذكاء الاصطناعي: صانع سوق للهوية؟
ولكن كما نعلم من التغطية على مدار الاثني عشر شهرًا الماضية، فإن الذكاء الاصطناعي يعد أداة مفيدة للمدافعين بقدر ما هو مفيد للمهاجمين، وقد حققت الصناعة – بما في ذلك مايكروسوفت – بداية قوية منذ بضع سنوات.
يقول تشيك: “بالنسبة لشركة إنترا، كنا نستخدم الذكاء الاصطناعي للكشف عن الحالات الشاذة، على سبيل المثال”. “لقد قمت للتو بتسجيل الدخول إلى الكمبيوتر المحمول الخاص بك على شبكة Wi-Fi من Microsoft [she’s right, I did] وهو موثوق به، وربما لا بأس به.
“لكن تخيل لو قمت بتسجيل الدخول من مقهى عشوائي، أو إذا سُرقت بيانات الاعتماد الخاصة بك وفجأة قمت بتسجيل الدخول من بلدان أخرى. يمكن لمحرك الذكاء الاصطناعي اكتشاف حدوث انحراف عن نمط تسجيل الدخول المعتاد والتنبيه، و [from there] يعتمد الأمر على الشركة التي تعمل بها إذا كانت تطبق السياسات التي ستطالبك بالحصول على MFA. مع أشياء كهذه، نستخدم البيانات لإجراء المزيد من تقييم المخاطر في الوقت الفعلي.
لكن استخدام الذكاء الاصطناعي لا يتوقف عند اكتشاف الحالات الشاذة. وتستخدمها Microsoft أيضًا لمساعدة العملاء على حل بعض التعقيدات المتأصلة في سياسة الهوية وإدارتها.
يقول تشيك: “لدينا كصناعة الكثير من إعدادات سياسة الهوية، ولكن أحد الأشياء التي لا يعرفها العملاء بالضرورة هي مجموعة السياسات التي يجب عليهم اتباعها لحماية بيئتهم”. “تخيل لو كان بإمكانك استخدامه [AI] لنسأل ما هي السياسات لنشرها. نظرًا لأن لدينا بالفعل ما يكفي من إشارات البيانات لمعرفة ما يوجد في بيئتك، يمكننا التوصية بالسياسات أو حتى تشغيلها لعملاء المؤسسات. أعتقد أن هذا قوي للغاية.
وهذا ليس حلمًا بعيد المنال بالنسبة لفريق الهوية أيضًا، فالميزة متاحة بالفعل كجزء من خدمة Microsoft Security Copilot، والذي تم طرحه في برنامج الوصول المبكر لعملاء محددين في نهاية أكتوبر 2023.
تم وصف خدمة Security Copilot بأنها أول منتج أمني مدعوم بـ GenAI في العالم، وتشمل أيضًا مجموعة واسعة من الميزات مثل الكشف والاستجابة الموسعة (XDR) عبر Microsoft 365 Defender ومعلومات التهديدات عبر Microsoft Defender Threat Intelligence. تدعي Microsoft أن عملاء المعاينة تمكنوا من توفير ما يصل إلى 40% من الوقت الذي يقضونه في مهام عمليات الأمان الأساسية عند استخدامه.
إلى المستقبل بدون كلمة مرور
في فبراير 2004، اعتلى بيل جيتس، رئيس شركة ميكروسوفت، المسرح في مؤتمر RSA الإلكتروني السنوي وتوقع أن سوف تموت كلمة المرور التقليدية قريبًا، غير قادر على مواجهة تحديات الخدمات عبر الإنترنت في العصر الحديث.
في هذه الحالة، تستمر كلمة المرور في الغضب ضد موت الضوء، حتى مثل أمثال جوجل – إلى جانب أبل ومايكروسوفت وغيرها – الاستمرار في ضرب الطبلة.
ولكن لا يمكن إنكار أن مفهوم مفتاح المرور ــ إن خيار تسجيل الدخول القائم على القياسات الحيوية أو رمز المرور ــ والذي تدعمه الشركات الثلاث، يشكل خياراً قوياً، ويعتبر تبني جوجل لمفاتيح المرور علامة أكيدة على أن رياح التغيير بدأت تهب. يعد Chik أيضًا مؤيدًا متحمسًا لمفتاح المرور، كما قد تتوقع.
“نحن نعتقد أننا بحاجة إلى التحرك معًا كصناعة [and] نحن بالتأكيد نضيف دعم مفتاح المرور كجزء من نظام التشغيل Windows وفي تطبيقات المصادقة الخاصة بنا. تقول: “هذا قادم تمامًا”.
تقليديا، هناك ثلاثة ما يسمى “العوامل” للمصادقة – شيء تعرفه، وشيء تملكه، وشيء أنت عليه. تلغي مفاتيح المرور الحاجة إلى معرفة شيء ما (كلمة المرور الخاصة بك) لصالح المصادقة باستخدام شيء تملكه (جهازك) وشيء أنت (أنت).
ويصفها تشيك بأنها تشكل جزءًا من “الرابطة” بين الفرد وأجهزته. يمكن أن تتخذ أشكالًا متعددة، إما القياسات الحيوية، مثل التعرف على بصمات الأصابع أو التعرف على الوجه، أو رمز PIN بسيط مثل تلك المستخدمة في أجهزة الصراف الآلي في المناسبات النادرة التي لا يزال المرء بحاجة فيها إلى نقود مادية، أو نمط التمرير كما تم استخدامه لفتح الهواتف الذكية التي تعمل بنظام Android لسنوات.
“ولكن الشيء الأساسي، في اعتقادي، هو أنه يمكن تمرير مفاتيح المرور إلى جهازك لمصادقتك في مكان آخر، لذا بدلاً من الاستخدام مرة واحدة فقط – إذا استخدمتها فقط لفتح هاتفك الذكي، فلن يكون الأمر مثيرًا للاهتمام – هل يتيح لك ذلك تقول: “يمكنك تشغيل تطبيقات مختلفة عبر الأجهزة”. “إنه يزيل الصداع [for users]ولكن الأهم من ذلك أنها توفر تجربة مستخدم رائعة وأكثر أمانًا.”
المصادقة بدون كلمة مرور، والذي وصل إلى عائلة منتجات Microsoft عبر أداة مصادقة مايكروسوفت وقد شهد بالفعل اعتمادًا قويًا من جانب المستهلك، حيث يتم بالفعل قياس عدد المستخدمين بالملايين. “في الواقع، لا أتذكر آخر مرة استخدمت فيها كلمة المرور لأنني أستخدم Authenticator فقط،” يلاحظ تشيك.
“على جانب المستهلك، يمكننا إدارة ذلك لعملائنا وتشغيله. وعلى الجانب التجاري، فإننا نوفر الأدوات لفرق تكنولوجيا المعلومات والأمان لتمكينهم من تشغيل نظام بدون كلمة مرور – لأن هذه عملية مكونة من ثلاث أو أربع خطوات،” كما تقول.
تشمل هذه العملية تمارين الاكتشاف مثل معرفة المكان الأفضل لاستخدام كلمة المرور بدون كلمة مرور داخل المؤسسة، والمكان الذي قد يكون فيه الاعتماد على الأساليب القديمة أكثر أمانًا، وتثقيف المستخدمين ودعمهم من خلال عملية النشر.
سيحتاج مستخدمو المؤسسات أيضًا إلى التأكد من وجود إجراءات آمنة في حالة حظر شخص ما من الدخول إلى نظامهم بعد أن فقد هاتفه وإمكانية الوصول إلى Microsoft Authenticator. تتعامل Microsoft مع هذا من خلال نموذج تصريح وصول مؤقت يمكّن المستخدم المصاب من النهوض والتشغيل مرة أخرى.
تحول اليسار
بالنسبة لـ Chik وفريق هوية Microsoft، يبدو المستقبل مشرقًا. وتقول: “من المحتمل أن تظل الهوية ساحة معركة رئيسية من منظور أمني”.
وتقول: “الشيء الأساسي الذي نريد مساعدة عملائنا به هو كيفية التحول إلى اليسار – وعندما أقول التحول إلى اليسار، أعني القيام بما هو أكثر من مساعدتهم على اكتشاف حدوث شيء سيئ، ولكن مساعدتهم بشكل استباقي على أن يكونوا آمنين”.
ومن خلال الاستثمار في أدوات وتقنيات الذكاء الاصطناعي مثل Security Copilot، وإزالة الاحتكاك حول خيارات الهوية التي عفا عليها الزمن من خلال اتخاذ بعض الإجراءات القانونية لعملاء المؤسسات، تأمل Microsoft أن تمنح قاعدتها الواسعة المثبتة الوسائل اللازمة لدرء البرامج الضارة. الممثلين قبل أن يخترقوا أسوار القلعة.