Microsoft har lansert en ny sikkhetssertifisering som går i beta 7. april 2022: Microsoft Cybersecurity Architect (SC-100). Den kvalifiserer til tittelen Microsoft Certified Cybersecurity Architect Expert om man har én kvalifiserende sertifisering i tillegg. Den er på ekspertnivå, på lik linje med Microsoft 365 Enterprise Administrator og Azure Solutions Architect. Vanskelighetsgraden ser ut til å være høy, og pensumet er omfattende. Cybersecurity Architect fyller et tomrom som lenge har vært okkupert av (ISC)² og CompTIA, begge med et bredt nedslagsfelt og en plattform-agnostisk tilnærming for å sette opp og innlemme sikre løsninger i komplekse miljøer.
Til forskjell fra Microsofts rollebaserte læringsbaner som konsentrerer seg om å jobbe med spesifikke oppgaver og produkter, legger Cybersecurity Architect opp til å utvikle en fagekspertise i å designe og utvikle en helhetlig cybersikkerhetsstrategi på tvers av alle aspekter ved bedriftsarkitekturen. Den tar utgangspunkt i Microsoft Cybersecurity Reference Architecture (MCRA) og selskapets modell for Null tillit (Zero Trust). Den oversetter forretningsmål til sikkerhetskrav og disse til tekniske funksjoner som omfatter sikkerhetstjenester, -produkter og -prosesser. Vesentlig er at den trekker inn toppledelsen og ikke-tekniske interessenter som må være med på reisen og godkjenne prosjektet.
Hva betyr sertifiseringen for deg som kunde?
Du kommer til å ha å gjøre med kunnskapsrike konsulenter som velger en holistisk tilnærming til cybersikkerhet på tvers av hybride og skymiljøer. Naturligvis behersker de teknologiene på fingrene, men de klarer også å sette seg inn i forretningsbehovene og snakke forståelig. Som beslutningstaker er du mindre interessert i teknologiene; du er opptatt av tjenestene, at de gir deg merverdi. Dine ansatte må kunne jobbe mer effektivt og trygt. Du må få utvidet omsetningen og kapre flere andeler i markedet. Bedriften skal utvikles videre. Dette er på samme måte som når du går ut og spiser. Du er interessert i maten, ikke i hvor avanserte redskaper restauranten har på kjøkkenet.
Nasjonal sikkerhetsmyndighet (NSM) har slått fast at vi lever i en skjerpet sikkerhetssituasjon. Det krever at vi legger mer arbeid og penger i cybersikkerhet. Samtidig skal vi ikke bare pøse på med produkter og kontroller og håpe på det beste. Alt sammen begynner med å forstå bedriftens mål og mening – dens misjon og oppgave. Det må foretas en analyse av virksomhetens materielle og immaterielle aktiva. De må inngå en vurdering av risikoer og risikotoleranse. Så må vi se hvordan vi kan beskytte brukere, applikasjoner og tjenester, samt enheter og ressurser.
Fra før av vil det være ad-hoc-løsninger som ikke kommuniserer med hverandre og vanskelig lar seg overvåke. Beskyttelsen må bygges opp i et effektivt dybdeforsvar. Med det menes at vi legger lag på lag av forskjellige kontroller. Om vi setter opp tre gjerder med netting rundt en eiendom, har vi kun ett beskyttelseslag. Inntrengeren behøver bare å beherske én teknologi for å bryte seg gjennom med en saks. Lagdelt blir det først med forskjellige kategorier, som når vi plusser på med en schäferhund og overvåkingssensorer. Her vil det kreves mer av en angriper som er ute etter å plante en avansert persistent trussel (APT).
NSM har utgitt en sjekkliste for å sette opp en digital beredskapsplan. Myndigheten har også skissert flere grunnprinsipper for IKT-sikkerhet. En middels virksomhet vil neppe kunne tillegge alle råd like stor vekt. En sertifisert cybersikkerhetsarkitekt vil trekke inn alle disse momentene, fra bedriftskrav til anbefalte sikkerhetskontroller med prosedyrer og rutiner. Arkitekten vil legge opp til å skape en fremtidsrettet sikkerhetsarkitektur som virksomheten kan bygge videre på.
En bærekraftig sikkerhetsarkitektur
Microsofts referansearkitektur for cybersikkerhet er omfattende og komplisert. Her illustreres den forenklet med selskapets sentrale løsninger. Defender for Office 365 sikrer samarbeidsplattformen mot phishing, skadelige vedlegg og mistenkelige koblinger. IoT står for Internet of Things – også omtalt som Internet of Threats – tingenes eller «truslenes» Internett; her er det ofte mye som må beskyttes bedre for å hindre at dette blir en angrepsvektor inn i bedriften.
Azure AD Identity Protection er en dynamisk, adaptiv kontroll som analyserer brukerkontoer og risikoer ved tilgangsforespørsler. Vurderingen bestemmes av en maskinlæringsalgoritme som tar hensyn til faresignaler som lekket legitimasjon, atypiske reiser, ondsinnete IP-adresser og nettverk som er infisert av skadevare. Defender for Cloud Apps fungerer som en sikkerhetsmekler for trygg skytilgang og kan blokkere for at følsomme data lekker ut av bedriften.
Defender for Endpoint er selskapets endepunktsbeskyttelse i verdensklasse. Den forebygger angrep, opererer i sanntid og hjelper deg med å utbedre skader. Defender for Cloud gjør mye av det samme for ressurser i Azure, som servere, lagringsområder og databasetjenester. Ellers håndterer den også Google Cloud og AWS, samt lokale miljøer. Defender for Identity beskytter hybride identiteter og avdekker cyberdrapskjeder. Innsiderisikoer representerer en økende fare. Infrastrukturen må kontinuerlig overvåkes – det får du med Microsoft Sentinel, selskapets skybaserte SIEM-løsning.
Krav til sertifiseringen
Cybersikkerhetsarkitekten skal designe en Zero Trust-strategi og -arkitektur som inkluderer sikkerhetsstrategier for data, applikasjoner, tilgangsadministrasjon, identitet og infrastruktur. I dette inngår en evaluering av risikostyring og samsvar med gjeldende lover og reguleringer. Arkitekten må kontinuerlig samarbeide med ledere og utøvere innen IT-sikkerhet. Sentralt står personvern og å implementere sikkerhetskontroller som oppfyller forretningsbehovene til en organisasjon.
For å få den endelige tittelen, må du ta én av eksamenene ovenfor. For Microsoft 365-miljøer er nok Security Analyst Associate den viktigste: Microsoft 365 Defender-produktene, Defender for Cloud (tidl. Azure Security Center) og Sentinel. For Azure bør det bli Azure Security Engineer. Men det skader ikke å plusse på med de to andre, selv om det ikke er et krav.
Avsluttende ord
IT-industrien er blitt moden. Den dreier seg ikke lenger om å finne raske løsninger som man googler seg frem til. Den krever systematisk tilegnelse av kunnskap i et prosjekt som faller inn under livslang læring. Sertifiseringen Microsoft Certified Cybersecurity Architect Expert kommer som en gudegave til alle oss som ønsker å bygge opp en helhetlig sikkerhetsarkitektur for våre kunder. Her er fokus naturlig nok på Microsoft-teknologier. Det hindrer heldigvis ikke at man kan innlemme løsninger fra tredjeparter. Microsoft har utviklet seg til et åpent selskap som samarbeider med konkurrenter der det er naturlig. Mitt subjektivt personlige syn er at Microsoft ikke nødvendigvis alltid har de beste produktene, men de har den beste porteføljen, tett integrert i IT-miljøet.
Sertifiseringer er ikke hele verden. Man klarer seg fint uten mange av titlene man har lagt seg til; det er veien dit som teller, de ferdighetene man har lært seg underveis, tilfredsstillelsen av at man føler seg i stand til å utføre en god jobb. Med disse forbehold: Kvalifiseringen Microsoft Certified Cybersecurity Architect Expert henger høyt, og den er det nok mange som er ute etter. For kunder betyr den at de kan være trygge på å få sakkyndige konsulenter.
Første bilde er hentet fra en Quest-blogg. Plansjene er fra Microsoft.
