[Musik] Steve Riley: Ich würde sagen, dass in den Singles, dem einzelnen Richtlinienrahmen, der einzelnen Konsole, dem einzelnen Agenten viel Macht steckt. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, dass sie sich bei mehreren Konsolen anmelden müssen, bei mehreren einzelnen Klassenfenstern, wie manche vielleicht sagen würden, und sie lieben die Tatsache, dass es bei Netskope nur einen einzigen Ort gibt. Die Singles helfen uns, all diese Akronyme und alle Wege zu eliminieren ... Anders über die verschiedenen Reiseziele zu denken und eine einheitliche politische Denkweise zu haben.
Produzent 1: Hallo und willkommen bei Security Visionaries. Sie haben gerade vom heutigen Gast Steve Riley, Field CTO bei Netskope, gehört. Mit der Veröffentlichung des Magic Quadrant von Gartner für Security Service Edge konzentrieren sich Branchenführer darauf, Teil der Revolution zu werden, von der Automatisierung ihrer Umgebungen über Investitionen in neue Fähigkeiten ihrer Mitarbeiter bis hin zur Berücksichtigung des Wirtschaftsklimas. Dies sind nur einige der Herausforderungen, denen sie auf ihrer Reise gegenüberstehen. Bevor wir uns mit Steves Interview befassen, hier ein kurzes Wort unseres Sponsors.
Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Bei Netskope definieren wir Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten überall dort bietet, wo sie sich befinden. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE-Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Genießen Sie ohne weitere Umschweife diese Bonusfolge von Security Visionaries mit Steve Riley, Field CTO bei Netskope, und Ihrem Moderator Mike Anderson.
Mike Anderson: Willkommen zu dieser Episode des Security Visionaries Podcasts. Das ist Ihr Gastgeber, Mike Anderson. Ich bin der Chief Digital and Information Officer hier bei Netskope. Zu mir gesellt sich heute eine Legende im Sicherheitsbereich, der ehemalige Gartner-Analyst und derzeitige Field CTO bei Netskope, Steve Riley. Steve, wie geht es dir heute?
Steve Riley: Mir geht es gut. Danke, Mike. Wie geht es dir?
Mike Anderson: Mir geht es gut. Mir geht es gut. Ich genieße unsere Gespräche und die ganze Geschichte immer. Du hast so viele tolle Geschichten.
[kichert] Steve Riley: Jetzt muss ich einige davon erzählen. Oh, woran werde ich mich erinnern?
Mike Anderson: Eine Geschichte, Steve, die ist immer lustig. Als du auf einer der großen Microsoft-Konferenzen warst, vielleicht Technik- oder Entwicklerkonferenzen, bist du aufgestanden und hast über Sicherheit geredet und alle für das Thema Sicherheit begeistert Microsoft, was damals wie ein Oxymoron war. Aber vielleicht könnten Sie diese Geschichte noch einmal erzählen.
Steve Riley: Ja. Es war also vielleicht nicht der erste Techniker, über den ich gesprochen habe, sondern der zweite. Ich musste im großen Raum eine Präsentation halten, zum Beispiel, was es Neues in der Sicherheit von Windows XP gibt. Ich stehe an diesem Morgen unter der Dusche und versuche zu überlegen: „Wie soll ich dieser riesigen Menschenmenge sagen, dass sie dieser zufälligen Person zumindest Aufmerksamkeit schenken?“ und es dämmerte mir endlich. Also ging ich auf die Bühne und sagte: „Okay, ich werde den Raum in zwei Hälften teilen.“ Wenn ich meinen linken Arm hebe, möchte ich, dass jeder auf dieser Seite „Windows“ schreit, und jeder auf der anderen Seite, wenn ich meine rechte Hand hebe, möchte ich „Sicherheit“ schreien. Okay, jetzt lasst uns üben.“ „Windows.“ "Sicherheit." Machen Sie sich also über die rechte Seite lustig, weil sie irgendwie anämisch war. „Ah, ihr seid scheiße. Versuchen wir es noch einmal, also dreimal, oder? „Windows.“ "Sicherheit." „Windows.“ "Sicherheit." Und dann sagte ich: „Sehen Sie? Wie Sie es oft genug sagen, klingt es doch jetzt wie die Wahrheit, nicht wahr?“ Wenn 9.000 Menschen über etwas lachen, was Sie gerade gesagt haben, ist das so: „Okay, ich möchte das für den Rest meines Lebens tun.“ [Kichern]
Mike Anderson: Nun ja, absolut. Also, lasst uns heute ins Gespräch einsteigen. Die aufregenden Neuigkeiten kamen heraus. Der neue Gartner Magic Quadrant wurde für Security Service Edge herausgebracht, daher sind die beiden, die bei Netskope arbeiten, offensichtlich sehr gespannt auf die Ergebnisse.
Steve Riley: Oh ja. Das bin ich sicher.
Mike Anderson: Bevor wir näher darauf eingehen, würde ich gern noch einmal darauf eingehen. Und Sie waren eine Zeit lang bei Gartner. Dann waren Sie, würde ich sagen, einer der Eltern des gesamten Security Service Edge, wenn wir an Zero Trust Network Access denken. Ich weiß, dass Sie das von Ihnen erstellte Akronym ZTNA lieben, weil es das Wort Netzwerk enthält. Das wird mein heutiger Sarkasmus für Sie sein. Ich möchte dort anfangen. Lassen Sie uns ein wenig über Ihre Reise dorthin sprechen, bevor wir tiefer eintauchen, damit die Leute den Kontext rund um Ihr Fachwissen in diesem speziellen Bereich verstehen.
Steve Riley: Richtig. Ich wurde bei Gartner im Bereich Sicherheitsrisikomanagement eingestellt, wobei ich mich speziell auf die Sicherheit öffentlicher Clouds konzentrierte. Deshalb habe ich unseren Kunden während meiner gesamten Zeit dort, etwa fünfeinhalb Jahre lang, Ratschläge und Anleitungen gegeben, nämlich wie man in IaaS-Clouds wie AWS und Azure sicher ist. Ein bisschen GCP. Bei Gartner-Kunden nicht allzu beliebt. Aber dann gibt es viele Gespräche darüber, wie man in SAS-Anwendungen wie Office 365 und einigen anderen beliebten Anwendungen sicher ist. Als ich für Gartner ein Vorstellungsgespräch führte, bestand einer der Bewerbungsprozesse tatsächlich darin, dass man in einem Büro auftauchte, in ein Zimmer gebracht wurde und man 90 Minuten Zeit hatte und eine Forschungsnotiz aus dem Kopf schreiben musste. Sie haben keine Internetverbindung, nichts, und das Thema, das ich erhielt, war, wie man in Office 365 sicher ist. Also habe ich einfach alles verwendet, woran ich mich erinnern konnte, und etwa eine dreiseitige Notiz geschrieben, und ich habe beschlossen, dass meine erste eigentliche Notiz bei Gartner eine abgerundetere Version derselben Sache sein würde, und ich denke, das war schon immer der Fall Einer meiner wichtigsten roten Punkte, weil die Leute einfach nicht wussten, wie sie in SaaS-Anwendungen sicher sein können, was interessant ist, wenn man darüber nachdenkt, denn bei IaaS-Diensten verfügen sie im Allgemeinen standardmäßig über sichere Einstellungen. Man hört von diesen undichten Eimern und das wird die ganze Zeit so sein. Das liegt daran, dass jemand die Standardeinstellung auf etwas schwächeres geändert hat.
Steve Riley: Bei SaaS-Anwendungen ist das ganz anders. Der größte Teil der Sicherheit ist ausgeschaltet. Du musst es einschalten. Und deshalb möchten Sie vielleicht wissen: „Warum ist das so?“ Viele SaaS-Anwendungen erleichtern die Zusammenarbeit und die Sicherheit steht der Zusammenarbeit manchmal im Weg, sodass die meisten Kontrollen deaktiviert sind. Aber wenn Sie über die Sicherheit in SaaS-Anwendungen nachdenken, werden Sie feststellen, dass vielleicht nur eine Handvoll von ihnen über eine anständige integrierte Sicherheit verfügt. Die meisten von ihnen haben überhaupt nichts, und daraus entstand der gesamte Markt für Cloud-Access-Sicherheitsbroker, auf dem Netskope seinen Anfang nahm. Vielleicht ist dies das beste Beispiel, das man sich vorstellen kann, wo integrierte Sicherheit tatsächlich funktioniert. Das hört man ständig, die Sicherheit kann man nicht anschrauben, man muss sie einbauen. Das trifft zu, wenn Sie Ihre eigenen Anwendungen schreiben, aber bei SaaS besitzen Sie die App nicht. Wenn Sie es sichern möchten, bleibt Ihnen nur die Möglichkeit, etwas anzuschrauben, und das machen CASBs wirklich gut.
Steve Riley: Ich habe diese Technologie wirklich schätzen gelernt. Und als ich bei CASB anfing, gab es bereits einen Marketingleitfaden für CASB, aber ich dachte mir: „Wir müssen dafür einen Magic Quadrant erstellen.“ Und so war das erste im Jahr 2017, Craig Lawson und ich waren Co-Autoren davon. Im Jahr 2018 haben wir dann den Hinweis zu kritischen Funktionen hinzugefügt und ihn einfach beibehalten. Am Ende des Zyklus 2020 bemerkten Craig und ich, dass es bei den Anbietern zwischen CASB und SWG erhebliche Überschneidungen gab, und so begannen wir zu denken: „Hey, diese Märkte sehen ihnen sehr ähnlich.“ Ich werde zusammenlaufen. Und wir riefen einige andere Analysten an und plädierten dafür, die beiden unterschiedlichen Magic Quadranten für CASB und SWG zurückzuziehen und einen neuen einzuführen. Nun wollten einige Leute einfach den CASB-Markt zurückziehen und den SWG umbenennen, aber Craig und ich hielten es für wichtig, dass wir den Käufern mitteilen müssen, dass diese Märkte als eigenständige Märkte nicht mehr nützlich sind. Also ziehen wir beide MQs in den Ruhestand und haben ein neues MQ mit einem neuen Namen, und das geschah kurz vor meiner Abreise.
Mike Anderson: Das ist großartig. Und wenn wir uns die Veröffentlichung von Magic Quadrant im letzten Jahr ansehen, war es ein großes Debüt, und das ist offensichtlich ein … Der Secure Access Service Edge, die dazu erschienenen Leitfäden und die Forschung von Gartner, der Sicherheits-Stack war in diesem Zusammenhang immer eine Art Security Service Edge. Sprechen Sie mit uns ein wenig darüber, warum das SSE MQ im letzten Jahr so wichtig war und insbesondere, wie es dazu beiträgt, das Konzept von Secure Access Service, Edge oder SASE zu stärken.
Steve Riley: Wenn Sie an einige der ursprünglichen Diagramme zurückdenken, die Gartner mit SASE erstellt hatte, gab es auf der linken Seite eine Menge Netzwerkmaterial; Routing und Switching sowie SD-WAN und WAN-Optimierung und DNS. All diese Dinge sind dafür verantwortlich, Pakete von einem Ort zum anderen zu transportieren. Und dann gab es auf der rechten Seite eine Menge Sicherheitssachen; Es waren CASB und SWG und VPN und DLP und IAM und all die Dinge, die sich selbst betreffen, um sicherzustellen, dass die richtigen Dinge am richtigen Ziel ankommen und die falschen nicht. Mit der Zeit begannen diese zu kollabieren, und wir sahen kürzlich ein vereinfachtes Diagramm von Gartner, bei dem die linke Seite nur SD-WAN war. Und was hat das gesagt? Nun, das heißt, dass viele der Netzwerkfunktionen, die formal getrennt waren, vielleicht getrennte Boxen, manchmal getrennte Anbieter, alles irgendwie rund um SD-WAN konsolidiert wurde. SD-WAN war der übergreifende Mechanismus, den die Leute nutzten, um Teile zu umgehen, und die restlichen Funktionen wurden zu Merkmalen von SD-WAN.
Steve Riley: Das Aufkommen von SSE bewirkt für die Sicherheitsseite das, was SD-WAN für die Netzwerkseite bewirkt hat. Dabei wurden alle verschiedenen Mechanismen, mit denen Menschen auf Daten zugreifen, auf einer Plattform zusammengefasst. Manchmal handelt es sich vielleicht nur um ein Portfolio, aber effektiver ist eine tatsächliche einzelne Plattform mit einem einzigen Richtlinienkonstrukt, einem einzigen Agenten. Ich stelle mir das immer gerne so vor: Der Aufstieg von SSE bedeutet, dass wir nicht mehr über unterschiedliche Tools nachdenken müssen, um den Zugriff auf SaaS, Web oder private Apps zu steuern. Wir möchten den Zugriff regeln und unabhängig vom Ziel die gleiche Datenschutzmethodik verwenden. Warum haben wir also all diese unterschiedlichen Tools? Ich möchte das loswerden. Ich möchte ein Tool zum Verwalten des Zugriffs auf alle Ziele, damit meine Richtlinien konsistent sind und die Benutzererfahrung viel angenehmer ist.
Mike Anderson: Das ist ein toller Punkt. Ich sehe auf jeden Fall eine Menge da draußen, und jedes dieser Tools hat oft auch seinen eigenen Agenten, seine eigene Hardware, die in Organisationen Schlange steht, und die Person, die Probleme hat, Anrufe an einen Helpdesk weiterzuleiten, und das ist, „Okay, was ist das Problem?“ „Nun, zunächst einmal: Mit welcher App möchten Sie eine Verbindung herstellen?“ Und es handelt sich um eine ganz andere Reihe von Problemen bei der Fehlerbehebung. Es geht also um mehr als nur die Richtlinie, es geht um die nachgelagerten Auswirkungen auf den Rest der Organisation rund um die Schaffung einer fantastischen Mitarbeitererfahrung. Ich sehe also, dass es an Fahrt gewinnt. Mich würde interessieren, was aus Ihrer Sicht und den Gesprächen, die Sie führen, jetzt im Vergleich zu vor einem Jahr anders ist, was die Akzeptanz von Security Service Edge im Kontext von SASE betrifft.
Steve Riley: Nun, ich würde sagen, dass das Bewusstsein für diese Märkte leicht gestiegen ist. Manchmal fühlt es sich immer noch so an, als wären die Leute irgendwie verloren, wenn man diese Akronyme erwähnt. Jeder weiß, was ein SWG ist, manche wissen, was ZTNA ist. Noch weniger Menschen wissen, was CASB ist. Ich habe gerade einen aktuellen Technologieeinführungsbericht von Gartner gesehen, der CASB seltsamerweise als etwas zu positionieren schien, das die Leute noch gerade erst erprobten. Ich bin mir nicht sicher, ob ich dieser Behauptung zustimme. Ich denke, dass sie inzwischen weit darüber hinausgeht, insbesondere wenn man sich ansieht, wo sie sich im Hype-Zyklus der Cloud-Sicherheit befindet. Wenn ich jedoch mit Leuten spreche, möchte ich die Akronyme beiseite lassen und darüber sprechen, sicherzustellen, dass die Daten dorthin gelangen, wo sie hin sollen, und nicht dorthin, wo sie nicht hin sollen, und dass die richtigen Leute auf der richtigen Seite Zugriff erhalten Dinge zur richtigen Zeit aus den richtigen Gründen. Und wenn ich diese Art der Einrahmung verwende und die Marktnamen überhaupt nicht einbeziehe, sagen die Leute: „Oh ja, das brauche ich wirklich“, oder noch interessanter: „Oh ja, das brauche ich schon.“ und dann: „Na ja, wie machst du das?“ Und sie sagen: „Nun, ich habe dieses Produkt von diesem Anbieter gekauft“, und sie wissen nicht einmal (kichern), wie der Markt heißt. Deshalb denke ich, dass ich gerne sehen würde, wie wir einfach die Marktnamen beiseite lassen und über die Funktionen sprechen, die dies bietet, um uns auf den Wert zu konzentrieren, den sie daraus ziehen.
Mike Anderson: Ich stimme definitiv zu. Du und ich haben dieses Gespräch schon seit... geführt. Wenn ich als CIO die Dinge betrachte, frage ich mich: Welches Problem versuche ich zu lösen? Die erste Frage, die ich meinem Team stelle, ist: „Okay, Sie bringen mir eine Technologie.“ Okay, sagen Sie mir, welches Problem wir lösen. Und wenn wir das Problem lösen, welchen Wert wird es für unser Unternehmen schaffen, und wie hoch ist dann der Aufwand, der erforderlich ist, um diesen Wert im Vergleich zu anderen Dingen zu erzielen, die wir ebenfalls tun könnten?“ Es ist also immer eine... Rücksichtslose Priorisierung ist etwas, das für Führungskräfte von entscheidender Bedeutung ist, denn sie müssen sicherstellen, dass sie die richtigen Investitionen tätigen und die richtigen Ergebnisse für ihre Organisation erzielen. Wenn wir auf einige Ihrer Gespräche doppelklicken, welche Dinge hören Sie dann konkret? Und gibt es Überraschungen?
Steve Riley: Nun, ich würde sagen, dass immer mehr Organisationen Wert darauf legen, Infrastruktur- und Sicherheitsteams zusammenzubringen, aber diese Silos oder Zylinder der Exzellenz, wie wir sie nennen könnten, gibt es immer noch.
Steve Riley: Tatsächlich hatte ich heute früher ein Telefonat mit einem Kunden und er wollte wissen: „Wie können wir diese Zylinder der Exzellenz abreißen, denn das ist die größte Herausforderung, die ich habe, um den größtmöglichen Nutzen aus SASE zu ziehen?“ " Und ich denke: „Nun, sie müssen einfach Gründe finden, zusammenzuarbeiten.“ Das sind zwei, vielleicht manchmal auch drei Gruppen von Menschen, die sich beruflich und sozial große Mühe geben. Das wird einfach nicht funktionieren. Wenn sich die Tools vermischen, wenn die Ziele geteilt werden, muss man meiner Meinung nach einen Grund finden, warum diese Teams zusammenarbeiten wollen, und das ist eine Sache, die an ZTNA irgendwie cool ist, wenn ich einen Marktnamen zurückbringen möchte für eine Minute in das Gespräch einsteigen, ist das... Ich habe das bei Gartner gehört, und ich habe hier bei Netskope eine Reihe von Leuten, die das auch gehört haben. ZTNA-Projekte erweisen sich oft als eines der ersten Dinge, die sich als Zusammenarbeitsübung erweisen. Infrastruktur und Sicherheit arbeiten zusammen und entwickeln eine neue Möglichkeit, Fernzugriff auf Anwendungen bereitzustellen. Es funktioniert wirklich ganz gut. Und tatsächlich sagte der Kunde, den ich ebenfalls erwähnt habe, dass er eine Ahnung davon gesehen habe, als er versuchte herauszufinden, was er mit dem privaten Netskope-Zugang machen kann, und dass er bereits einige Beispiele von Sicherheits- und Infrastrukturleuten gesehen habe eigene Kontakte knüpfen und Einzelgespräche führen. Noch nicht auf Teamebene. Sie glauben, dass das bald kommen wird.
Mike Anderson: Sie sprechen auch einen guten Punkt an, denn ich denke, eines der Dinge, die ich den Leuten immer sage, wenn ich mit ihnen speziell über den privaten Netskope-Zugang oder den Zero-Trust-Netzwerkzugang spreche, der Begriff ist offensichtlich: „Wir können das.“ Danke für. Wenn ich also mit ihnen darüber spreche, sage ich, dass Sie grundsätzlich einen zusätzlichen Schritt in Ihrem Änderungsmanagementprozess hinzufügen müssen. Bevor es die Anwendungseigentümer waren, die ich diesem Benutzer in dieser Anwendung Zugriff gewährte, haben sie die Möglichkeit dazu? Anmeldung? Ich muss dort jetzt einen zusätzlichen Schritt machen, bei dem es nicht darum geht, ob ich Netzwerkzugriff habe, sondern ob ich Anwendungszugriff habe. Man muss sich also bei der Erstellung explizit äußern, und das erfordert Koordination. Sie sprechen also einen wirklich guten Punkt an. Es geht über das bloße Networking hinaus, aber es geht um ... An diesem Prozess sind viele andere Teams beteiligt, um sicherzustellen, dass der Zugriff so erfolgt, wie er sollte.
Steve Riley: Eine Sache, die mich irgendwie überrascht hat, wenn ich an meine Interaktionen mit Leuten im letzten Jahr zurückdenke, ist, dass die Leute die Zero-Trust-Prinzipien zwar leicht zu begreifen scheinen, aber ihnen fällt es schwer, damit anzufangen.
Steve Riley: Und normalerweise versuche ich zu erklären, dass eine gute Zero-Trust-Strategie nur dann wirklich funktioniert, wenn Sie über die richtigen Instrumente verfügen, um Signale zu sammeln und den Kontext des Benutzers, des Geräts, der Anwendung, der Daten und des normalen Spektrums auszuwerten , das Wer, Was, Wo, Wann, Warum. Wie macht man das nun? Nun, Sie brauchen ein IAM, Sie brauchen Endpunktschutz und Sie brauchen SSE. Das Überraschende ist, dass die Leute schockiert sind, wenn sie erfahren, dass sie es entweder bereits haben oder es sich noch anschaffen, oder? Es ist eine Technologie. Es fehlt ihnen einfach die Einstellungsänderung. „Wie fange ich mit den Zero-Trust-Prinzipien an?“ Nun, ein Beispiel, das ich gerne nenne, ist die Implementierung eines Zero-Trust-Netzwerkzugriffsprojekts. Dadurch werden Sie mit den Prinzipien vertraut gemacht. Auf diese Weise können Sie eine neue Technologie einführen, ohne etwas ersetzen zu müssen. Sie kann neben allem anderen bestehen, was Sie für den Fernzugriff auf interne Anwendungen verwenden. Sobald Sie sich mit dieser neuen Sprache und der Funktionsweise der Tools vertraut gemacht haben, ist es nicht mehr so schwer zu glauben, dass ... Sie hatten mit einem CASB bereits Zero-Trust-Prinzipien auf SaaS-Anwendungen angewendet, obwohl noch nie jemand diese Worte zusammengefügt hatte, und dann sagten sie: „Oh, das stimmt.“ Das habe ich nicht.“ Daher ist es irgendwie schön zu sehen, dass die Leute jetzt die Einsicht haben, dass es vielleicht gar nicht so schwer ist, wie sie es vor einem Jahr gedacht haben.
Mike Anderson: Ja, es hilft der Branche nicht ... Sie und ich haben dieses Gespräch bis zum Überdruss geführt, aber es hilft nichts, wenn jeder Anbieter auf der Welt sagt, es handele sich um ein Zero-Trust-Produkt. Und manchmal sagt man, sie seien Zero-Trust, und man sieht, wie CIOs und CISOs die Augen verdrehen und sagen: „Ja, okay, Sie sind das tausende Unternehmen, das gesagt hat, dass sie Zero-Trust für mich lösen.“ Aber ich denke, Sie bringen einen guten Punkt vor. Ich denke, dass der Punkt der Richtliniendurchsetzung zwischen Benutzern und Anwendungen vom Standpunkt des Zugriffs aus eine Zero-Trust-Haltung anwendet, und ich denke, dass die Leute das allmählich besser verstehen. Ich denke, es gibt einige Unternehmen, die sagen: „Sehen Sie, ich werde dafür sorgen, dass die Leute nur so auf Anwendungen in meiner Umgebung zugreifen können, mit ein paar Edge-Fällen für Personas, die wirklich Netzwerkzugriff benötigen, aber diese werden immer weniger.“ und weniger. Und so sagen die Leute, Dinge, die Sie vorhin angesprochen haben, das Routing, das Switching und einige dieser Dinge, die da draußen sind, die komplexen Schreibtische: „Wissen Sie was, wir brauchen all diese Dinge wirklich nicht mehr oder brauchen sie überhaupt noch.“ Wir brauchen nur einen Internetzugang und lassen den Rest dann von den neuen Sanitäranlagen erledigen?“ Und das ist etwas, was ich auf dem Markt allmählich von CIOs und CISOs sehe und höre.
Steve Riley: Ich habe viele ähnliche Dinge gehört.
Mike Anderson: Ja, ich habe eine Vorhersage für Sie, also mögen Sie Vorhersagen, ich weiß, dass es einen neuen Titel geben wird, nämlich Chief Infrastructure Security Officer. Ich werde also zur Infrastruktur, denn ich habe in den letzten paar Monaten mit ein paar Leuten gesprochen, bei denen sie tatsächlich nicht nur die Netzwerke, sondern das gesamte Infrastruktur- und Sicherheitsteam unter einer Leitung zusammengeführt haben, und das bin ich Es zeichnet sich dort zunehmend ein Trend ab, denn was passiert ist, ist, dass die Machtkämpfe ... Was passiert ist, ist das Infrastrukturbudget, das gekürzt wurde, um die Finanzierung für das Sicherheitsteam zu schaffen, und dort gab es Spannungen, weil das Budget weiterhin fließt zur Sicherheit, weil es von irgendwoher kommen muss, weil der CEO seine Gewinnprognose für Aktien nicht senkt, um die größeren Sicherheitsinvestitionen zu decken, also verschieben sie die Teile, aber dann kommen die Anforderungen des Sicherheitsteams wieder an das Infrastrukturteam und sagte: „Setzen Sie das um.“
Mike Anderson: Und das Infrastrukturteam sagt: „Nun, Sie haben einfach alle meine Leute und mein Budget genommen.“ Wie soll ich das machen? Und das ist ein Teil der inhärenten Spannungen, die wir auf dem Markt sehen. Deshalb denke ich, dass diese Integration dieser Teams, wo ich das sehe, so ist. Die CIOs, mit denen ich spreche, sagen, dass sie mit diesem Ansatz sehr gute Erfolge erzielen.
Steve Riley: Das ist großartig. Und das ist ein weiteres Beispiel für die Konsolidierung dieser beiden ehemals getrennten Bereiche. Ich mag es.
Mike Anderson: Ja, es ist auch interessant, denn oft gelingt die Ausrichtung auf oberster Ebene, aber die Dinge scheitern dann, wenn man bei den Leuten ankommt, die tatsächlich die Arbeit machen und die Finger auf die Tastatur legen, denn für sie ist es so , „Wie wird sich diese Veränderung auf meinen Lebensunterhalt auswirken?“ Und so kommen die menschliche Psychologie und Maslows Bedürfnishierarchie bei Menschen zum Tragen, die jeden Tag arbeiten, weil damit Veränderungen verbunden sind, und ich denke, das ist es, was die Menschen auch erkennen, wenn sie diese Teams vereinen, welche Auswirkungen die Veränderungen haben Das wird passieren und wie begleiten sie die Menschen durch diese Veränderung? Das ist eines der Dinge, die ich sehe, wenn die Leute anfangen zu verstehen. Wenn wir hier einen Doppelklick machen, haben wir unsere Positionierung. Wie informiert unsere Positionierung Kunden, wenn sie über ihre SASE-Reise nachdenken? Wie helfen wir den Menschen in dieser Hinsicht, indem wir uns auf dem Markt positionieren?
Steve Riley: Ich würde sagen, dass in den Singles, dem einzigen Richtlinienrahmen, der einzelnen Konsole, dem einzelnen Agenten viel Macht steckt. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, dass sie sich bei mehreren Konsolen anmelden müssen, bei mehreren einzelnen Fenstern, wie manche vielleicht sagen würden, und sie lieben die Tatsache, dass es bei Netskope nur einen einzigen Ort gibt. Die Singles helfen uns, all diese Akronyme und alle Wege zu eliminieren ... Anders über die verschiedenen Reiseziele zu denken und eine einheitliche politische Denkweise zu haben. Allerdings wäre es wohl nachlässig, wenn ich das nicht von Zeit zu Zeit, nicht oft, sagen würde, aber gelegentlich, wenn einige Leute mit einer einzelnen Konsole konfrontiert werden, kommt es zu Streitigkeiten darüber, wer vor dieser Konsole sitzen darf. [Gelächter] Etwa: „Ernsthaft?“ Aber es ist passiert, und deshalb weisen wir die Leute darauf hin, dass es einen rollenbasierten Zugriff und verschiedene Bereiche der Konsole für verschiedene Rollen geben kann, wenn Sie so etwas tun und dabei helfen möchten, einige dieser Bedenken auszuräumen. Aber ich würde sagen, dass Gartner eines der Dinge wirklich schätzte: die Kraft der Singles, die uns dabei geholfen hat, im MQ so weit nach rechts und nach oben zu kommen.
Steve Riley: Aber ich würde sagen, dass es uns auch sehr gut auf eine ähnlich gute Position vorbereitet, falls es eines Tages jemals einen SASE Magic Quadrant geben sollte. Wenn Sie sich einen zuvor veröffentlichten Single-Vendor-Marktleitfaden für Single-Vendor-SASE ansehen, sind wir der einzige aufgeführte SSE-Anbieter, da wir jetzt über ein SD-WAN verfügen. Die anderen Teilnehmer in diesem Marktleitfaden kamen alle aus dem SD-WAN-Bereich und fügen im Laufe der Zeit Sicherheitsfunktionen hinzu. Vor etwa anderthalb Jahren standen wir vor der Entscheidung: „Wollen wir uns voll und ganz auf mehr Cloud-Sachen konzentrieren?“ Wollen wir uns voll und ganz auf SASE konzentrieren?“ Und die Übernahme von Infiot hat sehr deutlich gemacht, dass wir uns voll auf SASE konzentrieren würden, und ich denke, das ist vielleicht eine der besten Entscheidungen, die Netskope jemals getroffen hat. Ich denke, wir sind gut aufgestellt, um einen Großteil des entstehenden SASE-Geschäfts zu erfassen.
Mike Anderson: Ja, es ist aufregend zu sehen, wie ... Wenn wir über Integration nachdenken, geht es um die Fähigkeit, die Servicequalität auf der Ebene der Sanktionsanwendung sicherzustellen. Wir versuchen sicherzustellen, dass genehmigte und nicht genehmigte Anträge gut gekennzeichnet werden. Nun, die Teams, die die Leitungen des Netzwerks oder des SD-WAN kontrollieren, die sich vor diesem Teil der Konsole befinden, können jetzt Bandbreitenkontrollen für diese sanktionierten Anwendungen festlegen, um zu sagen: „Geben Sie Anwendungen mehr Bandbreite.“ werden sanktioniert im Vergleich zu denen, die nicht sanktioniert sind“, und es gibt auch noch viel mehr Anwendungsfälle, die wir auf dieser Seite sehen können. Es ist interessant, ich sage den Leuten immer, dass es einen großen Unterschied zwischen einer Best-of-Suite und einer einzelnen Plattform gibt. Man kann eine Best-of-Suite nicht als Produktsuite bezeichnen. Nur weil ein Unternehmen jemanden kauft und seinen Namen darauf setzt, heißt das nicht, dass es aus Kundensicht integriert ist. Stellen Sie daher sicher, dass Sie in Ihre eigenen Plattformen investieren, denn dort erzielen Sie auch die größte organisatorische Effizienz. Was die WAN-Richtlinie angeht: Das ist die Fähigkeit, die sie Ihnen bietet, wenn Sie sie im richtigen Kontext betrachten.
Steve Riley: Je mehr Datenverkehr Kunden an Netskope senden können, desto mehr Nutzen können sie aus unserem Angebot ziehen. Und eines der Dinge, die ich an der SD-WAN-Fähigkeit in unserer Plattform liebe, ist, dass wir völlig neue Bereiche geschaffen haben, in denen Kunden uns Datenverkehr senden können, den sie uns vorher möglicherweise nicht senden konnten, Datenverkehr von Geräten, auf denen Sie sind Ich kann vielleicht keinen Agenten oder ähnliches installieren, und jetzt können sie uns das schicken und wir können die Sicherheit gewährleisten ... Nun, der Kunde kann Richtlinien konfigurieren, damit wir Sicherheitsentscheidungen dafür richtig treffen. Ich liebe es. Tolles Zeug.
Mike Anderson: Ja, es ist auch interessant, denn angesichts all dieser Fragmentierung und Tools denke ich, wie war die Statistik? Im Durchschnitt verfügen Unternehmen über 76 separate Sicherheitstools. Und wenn man dann noch die gesamte Netzwerkinfrastruktur hinzufügt, die sie haben, dann investieren sie in SIM-Plattformen, um zu versuchen, alle Punkte miteinander zu verbinden, sie können herausfinden, wo die Probleme liegen, und auf dieser Seite wurde viel investiert . Es wird interessant sein zu sehen, welche Auswirkungen die Konsolidierung der Tools dann haben wird. Wenn mein gesamter Datenverkehr auf eine einzige Weise überprüft wird, sollte ich auf den einzelnen Plattformen Sichtbarkeit erhalten, für die ich mich heute auf andere Tools verlassen muss, und daher wird es interessant sein, die Auswirkungen dort zu sehen. Daher werden seit geraumer Zeit große Investitionen in den gesamten SIM-Bereich und in andere Tools zur Datenprotokollaggregation getätigt. Daher wird es interessant sein, die parallelen Auswirkungen in diesem Bereich zu beobachten.
Mike Anderson: Eine der Fragen, die ich an Sie habe, lautet: Wenn wir uns das aktuelle Wirtschaftsklima ansehen, haben Kosteneinsparungen für CIOs offensichtlich immer höchste Priorität, da sie immer Geld finden müssen, um die neuen Dinge zu bezahlen, die sie betreiben Ich werde es im nächsten Jahr tun, weil ihre Budgeterhöhung in den meisten Fällen die Inflation deckt, außer dass sie dieses Jahr offensichtlich ein Loch haben. Wir kündigen den gleichen Druck auf die Sicherheitsseite des Hauses an, wo Kosteneinsparungen an erster Stelle stehen und sich dies in der Anbieterkonsolidierung niederschlägt. Wie sehen Sie also das aktuelle Klima, in dem wir uns befinden? Wie wird es SASE helfen? Wird es helfen, wird es davon ablenken? Was denken Sie darüber?
Steve Riley: Nun, wie Sie sagten, die Leute suchen nach Bereichen, in denen sie Kosten senken und weniger Geld ausgeben können. Ich denke, dass SASE dort eine echte Chance darstellt. Vor ein paar Jahren befragte Gartner... Ich kann mich nicht erinnern, wie viele Leute geantwortet haben. Ich glaube, dass an dieser Umfrage vielleicht fast 500 Leute geantwortet haben. Aber es ging vor allem um die Konsolidierung: „Was planen Sie, um die Anzahl der Anbieter zu reduzieren, mit denen Sie interagieren, da Sie Ihre Infrastruktur aktualisieren müssen und in mehr Sicherheit investieren?“ Und 75 % der Befragten gaben an, dass sie entweder einen Konsolidierungsplan ausarbeiten oder diesen bereits in Angriff genommen haben und mit Einsparungen zwischen Hunderttausenden und Zehnmillionen Dollar rechnen, auch wenn die Umsetzung des Plans möglicherweise etwas mehr gekostet hätte kurzfristig Geld. Denn sie haben die Wirtschaftlichkeit untersucht und erkannt, dass sie im Laufe von drei oder fünf Jahren letztendlich weniger für Wartung, weniger für Upgrades und weniger für die Schulung von Mitarbeitern ausgeben werden. Damals bestand nicht so sehr der Wunsch, Leute loszuwerden, als vielmehr, Wege zu finden, die Leute, die es bereits gab, zu übernehmen und sie in die Lage zu versetzen, mehr Wert für die Organisation zu schaffen.
Steve Riley: Ich habe also ein paar Analysen von Gartner-Kunden gesehen, und sie hatten sowohl den harten als auch den weichen Dollar darin. Und selbst ohne die weichen Dollar-Sachen waren die Einsparungen bei den harten Dollars etwa im zweiten Jahr klar und wurden dann im Laufe der Jahre immer größer. Aber sobald sie die Soft-Dollar-Sachen hinzugefügt haben, indem sie Leute eingestellt haben, die möglicherweise nicht etwas getan haben, das einen großen Mehrwert geschaffen hat, aber aufgrund der Hardware notwendig war, können sie jetzt mehr Mehrwert schaffen, und es gab dadurch größere wirtschaftliche Einsparungen.
Mike Anderson: Es ist interessant, dass Sie das sagen. Eines der Dinge, auf die ich immer schaue, ist... Und ich höre von unseren CIOs, wenn sie über SASE nachdenken: „Ist das ein Rip-and-Replace-Szenario?“ Wo kann ich anfangen? Kann ich mich entspannen?“ Wir haben über den VPN-Ersatz oder den Zero-Trust-Netzwerkzugriff gesprochen. Eine logische Verbindung ist ein Ausgangspunkt. Was denken Sie über diesen Kontext? Denn das ist etwas, was ich ständig höre. Und ich denke, sie wollen einen Ausgangspunkt und wollen dann die Möglichkeit haben, Dinge zurückzuziehen, wenn der Vertrag ausläuft, weil sie keine Doppelblase haben wollen, die 12 bis 18 Monate läuft. Sie wollen nicht eine Investition, die sie letztes Jahr getätigt haben, zurücknehmen und jetzt sagen: „Oh, das war die falsche Investition.“ Lass mich das einfach ersetzen. Was denken Sie darüber und welchen Rat haben Sie den Menschen in diesem Zusammenhang gegeben?
Steve Riley: Wenn sich jemand die Netskope-Plattform anschaut, hat er meistens einen alten Schluck, der sowieso zur Ausmusterung bereit ist, er hat ein VPN, an dessen Wartung oder Erweiterung er nicht mehr interessiert ist, und das ist wahrscheinlich auch nicht der Fall über ein CASB verfügen. Daher ist es für jemanden in diesem Szenario ziemlich einfach, sich mit einem Kauf die alte Plattform anzusehen. Und tatsächlich würde ich sagen, dass in den letzten 18 Monaten, in denen ich bei Gartner war, die meisten Preisangebote, die ich für Netskope gesehen habe, sich auf die gesamte Plattform bezogen. Ich fand das wirklich interessant. Ich kann nicht sagen, dass dies auf andere Anbieter in ähnlichen Bereichen zutrifft.
Steve Riley: Ich denke, wir stoßen oft auf Gelegenheiten, bei denen wir genau zu dem passen, wo der Kunde bereits ist. Wie ich schon sagte, das alte VPN, das wollen sie nicht erweitern. Wenn der Kunde jedoch nicht so charakterisiert wird, interessiert er sich vielleicht eher nur für einen Teil unseres Angebots, und das ist auch völlig in Ordnung. Nichts besagt, dass Sie mit ganz Netskope von Anfang an beginnen müssen. Und wenn Sie immer noch feststellen, dass Ihre Teams irgendwie isoliert voneinander sind, dann ist es vielleicht tatsächlich sinnvoller, mit einem Aspekt unserer Arbeit zu beginnen und dann, sobald Sie sich damit vertraut gemacht haben, Ihre Teams zum Nachdenken anzuregen dies in vollem Umfang tun. Wenn es um die Konsolidierung der Infrastruktur und Sicherheit dieser Domänen geht, ist es nicht unangemessen anzunehmen, dass die Tool-Konsolidierung zumindest teilweise zu den gesamten organisatorischen Veränderungen beiträgt.
Mike Anderson: Es ist also interessant, wenn ich mit vielen CIOs spreche und meine eigenen Erfahrungen aufgegeben habe. Wir ziehen immer Berater von außen hinzu, etwa die großen Systemintegratoren und Beratungsfirmen, die sich unsere Organisation ansehen und sagen Sie uns, wo wir Einsparungen finden können. Oft muss ich bei einem gegebenen Ziel 100 Millionen Dollar an Ersparnissen finden, denn wenn ich einen P von 750 Millionen Dollar habe&L, besorgen Sie mir die 100 Millionen Dollar, die ich bekommen kann, und priorisieren Sie sie basierend darauf, was ich realistischerweise kurzfristig und vielleicht mittelfristig erreichen kann. Und ich denke, es gibt Möglichkeiten, die wir brauchen. Wir brauchen diese Berater, die ihnen während der gesamten SASE-Reise sagen: „Hey, das kann ein Teil davon sein.“ Aber das organisatorische Change Management ist... Wie Sie bereits angedeutet haben, wird es einer der schwierigeren Teile sein, denn auf dieser Ebene kommt wieder die menschliche Psychologie ins Spiel.
Steve Riley: Das erinnert mich an die Geschichte. Kurz nachdem ich bei AWS angefangen hatte, hielt ich irgendwo einen Vortrag und ging dabei speziell auf die Bereitstellung virtueller Maschinen ein, als jemand im hinteren Teil des Raums aufstand und rief: „Sie gefährden meinen Job.“ Ich sage: „Wirklich? Okay, was ist Ihr Job, Sir?“ „Mein Job ist es, Server aus der Verpackung zu nehmen und sie in Racks zu schieben.“ Und ich denke: „Vielleicht gefährde ich seinen Job.“ Aber das habe ich nicht laut gesagt. Es ist wie: „Okay, denk nach, denk nach, denk nach.“ „Oh, wissen Sie etwas darüber, was auf dem Dienst laufen wird, den Sie gerade auspacken und hochladen?“ Und er sagte: „Nun ja, ich habe eine Vorstellung davon, welche Anwendung dort ausgeführt werden soll und welche Leistungsmerkmale diese Anwendung benötigt, damit ich den richtigen Server für diese Anwendung auswählen kann.“
Steve Riley: Zum Beispiel: „Haha. Okay, Sie packen nicht einfach blind aus, Sie treffen eine Auswahl einer bestimmten Box basierend auf den Anforderungen, was in diese Box kommen soll?“ „Ja, das mache ich.“ "Haha. Das ist also Ihr Wert. Ihr Wert liegt nicht im Auspacken, Ihr Wert liegt in der Auswahl. Lassen Sie mich Ihnen das vorschlagen. Sie können den Wert, den Sie bereits haben, in die virtuelle Welt einbringen. Sie werden immer noch die richtige Größe und Kapazität eines virtuellen Servers anstelle eines physischen Servers auswählen, diesen in einer VPC bereitstellen und eine gewisse Konnektivität anwenden, damit jeder, der die Anwendung besitzt, dies tun kann Zieh es dort an und geh los und renne“, und er sagt: „Oh, so habe ich nicht darüber nachgedacht.“ „Okay, egal.“ Und dann setzte er sich wieder hin. Das war im Jahr 2009 und diese Geschichte ist mir so lange im Gedächtnis geblieben. Ich halte es für wichtig, dass wir, wenn wir über die menschliche Seite all dieser Veränderungen sprechen, unseren Kunden und Interessenten dabei helfen müssen, sicherzustellen, dass sie ihr Bestes geben können, um die Menschen, die sie bereits haben, zu halten und ihnen dabei zu helfen, Wege zu finden, dies zu tun einen Mehrwert bieten, der auf den Fähigkeiten basiert, die sie in den letzten Jahren aufgebaut haben. Das Schlimmste, was wir tun können, ist hereinzukommen und den Leuten den Eindruck zu vermitteln, dass wir hinter ihrem Job her sind.
Mike Anderson: 100 %. Und was ich aus meiner eigenen persönlichen Erfahrung gesehen habe, ist, als ich neue Cloud-Technologien eingeführt habe. Ich habe im Jahr 2015, als ich CIO von Crossmark war, eine Transformation durchgeführt, und wir haben Salesforce eingeführt und ich sagte: „Hey, wir werden mit der Entwicklung von Anwendungen auf der Salesforce-Plattform beginnen.“ Wir haben einen Raum für 25 Personen im Schulungsraum, den wir nur vor Ort durchführen. Wer möchte sich anmelden?" Wir hatten eine Überzeichnung. Und die größte Sorge, die ich hatte, war, dass die Leute sagen würden: „Ich bin ein Dot-NET-Entwickler.“ „Ich werde die Salesforce-Sachen nicht machen“, und für viele Leute funktioniert es tatsächlich gut. Sie sprechen einen guten Punkt an: 80, 20 Regel: 80 % der Menschen wollen die neuen Technologien erlernen, weil sie dadurch marktfähiger oder in der Zukunft wertvoller werden. Sie haben die 20 %. Ich hatte einmal eine Person, die mein Telefonsystem verwaltet, und wir nutzten das TDM-Telefonsystem, und im Grunde sagte er: „Hey, wir wechseln zu dieser neuen Sache, Skype for Voice oder Skype for Business“, und das war es auch cool, als es herauskam, und so haben wir uns darauf eingelassen, und ich sagte: „Hey, ich werde in dich investieren, um das Training dafür zu bekommen, denn wir werden uns von diesem Telefonsystem verabschieden, aber du musst.“ bereit sein, an der Ausbildung teilzunehmen.“ Das ist das einzige Mal in meiner Karriere, dass ich jemanden sagen sah: „Wissen Sie was, ich möchte diese neue Fähigkeit, dieses neue Werkzeug nicht erlernen.“ Und sie arbeiteten für jemand anderen, der noch über ein altes, veraltetes Telefonsystem verfügte.
Mike Anderson: Es gibt also diese Leute da draußen, aber ich denke, dass es wichtig ist, die Leute, die wir haben, weiterzubilden, weil es oft schwieriger ist, das Unternehmen kennenzulernen, als eine neue Fähigkeit zu erlernen. Und ich denke, dass die Orientierung in einem Unternehmen für die Menschen fast am längsten dauert, im Vergleich zum Erwerb neuer Fähigkeiten, vorausgesetzt, sie verfügen über das richtige grundlegende Verständnis dieses Technologiebereichs. Deshalb möchte ich ein wenig umschwenken. Eines der Themen dieser Staffel im Podcast war die funktionsübergreifende Arbeit. Wir hatten dieses Sicherheitskonzept als Mannschaftssport. Wenn wir also den ganzen Marketing-Hype rund um SASE durchgehen, weil nicht jeder darauf eingestellt ist, dann haben wir gesehen, dass alle großen Player in der Branche sich irgendwie darauf einlassen, weil die Leute darüber reden. Was müssen wir wirklich wissen? Werfen wir einen Blick auf all das da draußen: Was sind die wichtigsten Ergebnisse, auf die sich die Leute konzentrieren müssen, wenn sie über SASE nachdenken, um es richtig zu machen?
Steve Riley: Ich würde sagen, dass die richtige Umsetzung von SASE ... Nun ja, SASE funktioniert größtenteils dann am besten, wenn Zero-Trust-Prinzipien Teil der Architektur sind. Daher würde ich sagen, dass für die richtige Umsetzung von SASE eine wirklich solide Grundlage der Zero-Trust-Prinzipien erforderlich ist. Und wie ich bereits erwähnt habe, hat mich etwas überrascht, dass die Leute vielleicht die richtigen Teile haben, aber noch nicht darüber nachgedacht haben, wie sie diese Teile nutzen können, um Signale und Kontext zu sammeln. Wenn ich also versuchen würde, dies auf einen Ratschlag zur funktionsübergreifenden Arbeit zu reduzieren, dann ist es, bewusst über den Kontext nachzudenken. Nun, das kommt von allen möglichen Stellen, wie ich bereits erwähnt habe, und in isolierten Organisationen sind es möglicherweise verschiedene Teams, die für die Verwaltung der Dinge verantwortlich sind, die den gesamten Kontext generieren, ihn aber zusammenführen, um die richtigen Zugriffsentscheidungen zu treffen In dem Moment, in dem diese Entscheidungen getroffen werden müssen, wird es nur funktionieren, wenn sich die Zylinder der Exzellenz auflösen und die Menschen für gemeinsame Ziele zusammenkommen. Sie mögen unterschiedliche Beweggründe haben, aber die Ziele müssen geteilt werden, und das ist einfach der richtige Zugang zu genau den richtigen Dingen durch genau die richtigen Leute zur richtigen Zeit und aus genau den richtigen Gründen. Ich glaube, ich habe das schon ein- und zweimal zu Beginn gesagt, aber ich denke, es kommt wirklich gut an.
Mike Anderson: Nein, ich stimme zu 100 % zu. Es ist auch interessant. Und ich denke darüber nach, welche Probleme sich für jeden innerhalb einer IT- und Sicherheitsorganisation interessieren und die SASE lösen kann, denn ich denke, Ihrem Punkt stimme ich zu 100 % zu, weil SASE Ihnen diesen einzigen Punkt zur Richtliniendurchsetzung bietet Dies ist eine Schlüsselkomponente einer Zero-Trust-Architektur, da Sie etwas benötigen, das zwischen Benutzern und Geräten sowie den Ressourcen, Anwendungen und Daten liegt, auf die sie zugreifen möchten. Und das Problem, das mir in den Sinn kommt, ist meiner Meinung nach ein Problem, von dem ich in letzter Zeit oft gehört habe, dass es sich um die Ausbreitung öffentlicher Clouds handelt, nämlich dass dort immer mehr Geld investiert wird und dass Unternehmen damit zu kämpfen haben, dass Leute betrügerische Instanzen von AWS oder Azure hochfahren , und diese Umgebungen sind nicht an ihre Verpflichtungen gebunden, die sie mit diesen Anbietern eingegangen sind, und so haben sie diese vertraglichen Verpflichtungen mit Rabattstrukturen, aber dann wird den Leuten eine Firmenkarte oder die Einrichtung neuer Konten verweigert, vielleicht darunter ein Akquisitionsname.
Mike Anderson: Und daher ist die Fähigkeit, diese Instanzen zu identifizieren und dann Kontrollen einzurichten, um Leute davon abzuhalten, etwas, das den Sicherheitsteams am Herzen liegt, es ist das, worum es den Infrastrukturteams geht, weil sie Geld in Tools investieren, und das Schlimmste Was sie in der Organisation haben wollen, sind doppelte Investitionen und Tools, Dinge, die nicht auf ihre Verpflichtungen angerechnet werden, und dann werden diese Dinge letztendlich nicht migriert, und am Ende müssen sie mehr Sanitäranlagen kaufen, um sie mit ihren bestehenden Umgebungen zu verbinden. Das führt zu mehr Investitionen, das sind jetzt Kosten, die unter dem Gesichtspunkt der laufenden Kosten innerhalb dieser Organisationen berücksichtigt werden müssen. Daher denke ich, dass es interessant sein wird zu sehen, wie sich SASE in diesem Zusammenhang mit dem Mannschaftssport schlägt und mehr und mehr von dieser Konvertierung profitiert. Wenn Sie es einfach sagen müssten: Sie befinden sich im Aufzug und erhalten den Elevator Pitch zum CIO der Organisation, warum würden Sie dann sagen, dass SASE die richtige Wahl für sie ist?
Steve Riley: Vielleicht, weil du keine andere Wahl mehr hast. Oh nein, ich mache nur Witze. [lacht] Secure Access Service Edge, das A ist vielleicht das wichtigste Wort in diesem Akronym. Stellen Sie sich das so vor: Da die Cloud immer weiter verbreitet wird, bewegen sich Unternehmen von einem Rechenzentrum zu vielen Datenzentren. Wenn also die Daten überall verschmiert sind, weil Anwendungen überall verschmiert sind, dann gilt das auch für die Mitarbeiter schmieren sich auch überall ein, oder? Denn niemand will zurück ins Büro. Und wie können Sie den Zugriff auf Anwendungen und Daten effektiv steuern und die Bewegung besonders sensibler Informationen in dieser stark verteilten Welt effektiv kontrollieren? Sie müssen über etwas verfügen, mit dem Sie sämtliche Zugriffe und Datenbewegungen überwachen können.
Steve Riley: Sollte das nun irgendwo eine Box in einem Rechenzentrum sein? Ja, wenn Sie gerne in Angst leben, vielleicht. Eigentlich sollte es nicht sein. Sie möchten einen Cloud-basierten Dienst, der die Sicherheit möglichst nah an den Menschen und den Daten und Anwendungen verteilen kann. Aber Sie wollen einen einzigen Richtlinienrahmen haben, damit Sie nicht mehrere Entscheidungen basierend auf dem Ziel treffen müssen, und Sie wollen ein harmonisiertes Benutzererlebnis haben, sodass sich die Art und Weise, wie Menschen dorthin gelangen, unabhängig davon, wohin sie gehen, angenehm anfühlt und aussieht Dasselbe. Das ist es, was SASE für Sie tut. Es sorgt für ein harmonisiertes Benutzererlebnis und einen konsolidierten Richtlinienrahmen für den Zugriff auf diese riesigen Datenzentren, die von Menschen aufgebaut werden.
Mike Anderson: Im Wesentlichen war mein Slogan für meine Organisationen schon immer „Einfachheit ist die ultimative Raffinesse“, Zitat von Da Vinci. Es scheint also, dass SASE der Weg sein kann, Einfachheit in Ihr Unternehmen zu bringen, was zu einer besseren Mitarbeitererfahrung führt, wenn sie versuchen, auf Anwendungen zuzugreifen und diese zu verwenden.
Steve Riley: Und es beseitigt die Komplexität, und wie wir wissen, ist Komplexität der Feind der Sicherheit.
Mike Anderson: Das ist es. In der Tat. Wir haben also nur noch ein wenig Zeit und haben daher immer einen Abschnitt über Vorhersagen, und ich weiß, dass Sie Vorhersagen lieben, weil Sie offensichtlich von Gartner kamen und selbst viel gemacht haben. Wenn Sie also fünf Jahre vorspulen und es einen Bereich gäbe, in den die Leute hätten investieren sollen, was würden Sie dann sagen, wenn die Leute in fünf Jahren zurückblicken und sich fragen: „Weißt du was, ich hätte diesem Bereich wirklich mehr Aufmerksamkeit schenken sollen?“ Es muss nicht SASE sein, denn wir reden über ... Es kann alles. Aber worüber sollten die Menschen Ihrer Meinung nach heute nachdenken und in was hätten sie gerne investiert, wenn sie in fünf Jahren zurückblicken könnten?
Steve Riley: Na ja, mal sehen. Mir fallen mehrere Dinge ein, aber wenn ich nur eines auswählen würde. Ich werde dabei taktisch vorgehen. Es handelt sich um eine effektive automatisierte Datenklassifizierung. Wir haben in unserem Gespräch hier mehrmals über Signale und den Kontext gesprochen, Mike. Ich denke, eines der nützlichsten Signale, die bei der Erstellung geeigneter Richtlinien verwendet werden können, ist der Datenkontext und insbesondere die Datenklassifizierung. Ich denke gerne darüber nach, wie sich die Rolle der Sicherheit verändert, weg vom Gatekeeper, der am häufigsten Nein sagt, hin zu der Entität, die eine Standardhaltung zulässt: „Ja, das können Sie, aber unter Bedingungen.“ Das klingt für mich nach der besten Möglichkeit, die Balance zwischen Sicherheit und erledigter Arbeit zu finden. Sie möchten beides tun, und so kann die Sicherheitsphilosophie lauten: „Ja“ mit Bedingungen als Standard. Nun, was sind diese Bedingungen dann? Und eine der besten Voraussetzungen besteht darin, zu verstehen, wozu die Daten dienen und welches Schutzniveau sie benötigen. Der Grund, warum ich das erwähne, ist, dass die Datenklassifizierung schwierig ist. Die verfügbaren Tools sind nicht so toll, und als Mitarbeiter bei Acne Corp besteht Ihre Aufgabe darin, Widgets oder was auch immer zu erstellen, und nicht den ganzen Tag herumzusitzen und auf Schaltflächen und Symbolleisten zu klicken und darüber nachzudenken: „Ist das öffentlich oder privat?“. oder vertraulich, was auch immer?“
Steve Riley: Ich denke also, dass der Versuch, Automatisierung einzuführen … Nun ja, Automatisierung im Allgemeinen, okay? Wir hätten also eine umfassendere Antwort: „Lasst uns überall in die Sicherheitsautomatisierung investieren.“ Mein Lieblingsbeispiel dafür ist die automatisierte Datenklassifizierung. Ich denke einfach, dass uns das dabei helfen wird, das Ziel des richtigen Zugangs zur richtigen Zeit viel besser zu erreichen.
Mike Anderson: Nun, vielleicht können wir chatGPT in der Mitte implementieren und es fragen: „Sind diese Daten wichtig für mich?“ Und es kann helfen. Wenn wir ihm alle unsere sensiblen Daten zur Verfügung stellen, kann er uns das dann mitteilen. Vielleicht ist das die Antwort, Spaß beiseite.
Steve Riley: Möchten Sie alle Ihre sensiblen Daten an chatGPT weitergeben?
Mike Anderson: Nein, noch nicht, noch nicht. Ich denke, es gibt ein ganz eigenes Gesprächsthema rund um den ethischen und kontrollierten Einsatz einiger der neuen KI-Technologien, über das wir in zukünftigen Episoden sprechen können.
Steve Riley: Ich wollte sagen, ich habe noch eins, und es fällt mir immer noch manchmal auf, wie dieses hier rüberkommt. Manchmal frage ich Leute, die Schwierigkeiten haben, wie sie ein Sicherheitsprogramm aufbauen wollen. „Nun, haben Sie darüber nachgedacht, was Ihr wichtigstes Gut ist und was passieren würde, wenn dieses Gut auf irgendeine Weise kompromittiert würde?“ Und ich bin überrascht, dass nur sehr wenige Leute sich tatsächlich hingesetzt und dieses Gespräch absichtlich geführt haben. Sie werfen Geld auf dieses Werkzeug, jenes Werkzeug, das andere Werkzeug, aber sie denken nicht darüber nach: „Warte mal.“ Wenn einer unserer Informationswerte so beschädigt wird, dass wir morgen einfach vom Erdboden verschwinden würden, was ist dieser Vermögenswert und wie schützen wir ihn am besten?“ Ich weiß nicht. Ich weiß nicht, ob das als Vorhersage nützlich ist oder nicht, aber ich bin überrascht, wie oft ich Leuten begegne, die sich einfach nicht auf so etwas eingestellt haben.
Mike Anderson: Ja, eine interessante Frage lautet: „Was sind Ihre Kronjuwelen?“ Viele Leute haben erkannt, was das ist. „Und welche Daten in Ihren Kronjuwelen müssen Sie dann am wichtigsten schützen?“ Und vielleicht ist das eine andere Art, die Frage zu formulieren, die die Leute vielleicht anders denken würden, denn normalerweise ist das Active Directory Ihres ERP-Systems immer etwas, das im Kronjuwelenbereich verwaltet wird, weil es die Tentakel zum Rest der Welt darstellt. In vielen Organisationen sind es auch heute noch die Tentakel, die in den Rest der Organisation eindringen. Also eine weitere gute Vorhersage. Da wir die Episode immer abschließen, haben wir diesen Abschnitt, er ist einer meiner Favoriten, er ist unser Schnellstart. Deshalb werde ich Ihnen ein paar Fragen stellen. Lassen Sie uns Ihre schnelle Reaktion darauf erfahren, und wir werden ein paar davon durchgehen und ein bisschen Spaß haben. Die Frage, die ich immer zuerst frage, ist: Was ist der beste Führungsratschlag, den Sie jemals bekommen haben?
Steve Riley: Der beste Führungsratschlag, den ich je erhalten habe? Ich weiß nicht, ob ich sagen würde, dass das ein Führungsratschlag ist, denn ich habe meine Karriere nicht darauf ausgerichtet, Personalmanager zu werden, sondern ganz allgemein, etwas, was mir meine Großmutter vor vielen Jahren gesagt hat, wenn jemand etwas tut dir oder gibt dir etwas, danke ihnen. Sagen Sie nicht: „Oh, das hätten Sie nicht tun müssen“, denn das minimiert den Aufwand, den sie investieren, um die Sache für Sie zu erledigen. Sei dankbar, lächle, sei demütig und dann mach weiter. Ich habe diesen Rat von ihr bekommen, als ich 12 war, [kichert], und daran erinnere ich mich noch heute.
Mike Anderson: Oh, das ist auf jeden Fall ein kluger Rat. Nächste Frage: Wenn Sie für den Rest Ihres Lebens eine Mahlzeit zu sich nehmen könnten, welche wäre das?
Steve Riley: Eines der Gemüse-Rühreigerichte meiner Frau. Sie macht einen fantastischen Job, indem sie einfach alles nimmt, was im Haus ist, ein paar Gewürze und Gewürze hinzufügt und es kocht, und es ist köstlich. Es ist nie dasselbe, es ist immer anders, aber es ist immer lecker. Also Gemüse-Rührei.
Mike Anderson: Das ist großartig. Klingt so, als ob in unserem Haus, wie wir es nennen, die Zeit vorbei sein muss. Es läuft ab, also machen wir besser etwas mit der Liste, werfen sie zusammen und schauen, ob wir etwas machen können, das gut schmeckt, also macht das auf jeden Fall viel Spaß. Okay, das nächste wird mir gefallen. Was ist dein Lieblingslied und was verrät uns das über dich?
Steve Riley: Oh, also höre ich hauptsächlich elektronische oder klassische Tanzmusik. Daher würde ich sagen, dass mein liebstes Musikwerk die „Dritte Symphonie“ von Aaron Copland ist. Ich weiß nicht, was das über mich aussagt, außer dass ich die harmonischen Strukturen, die Copland in seiner Blütezeit hatte, wirklich liebe. Er hat Akkorde und Klänge geschaffen, die sonst niemand hatte, und das zieht mich einfach in seinen Bann. Ich kann fasziniert sein, wenn ich seine Musik höre, und die Dritte Symphonie ist meiner Meinung nach vielleicht das beste Musikstück, das er je gemacht hat.
Mike Anderson: Das ist großartig. Nun, ich muss es mir anhören. Ich bin mir sicher, dass ich es gehört habe, und ich werde es wahrscheinlich wiedererkennen, wenn ich es gehört habe, aber ich muss es mir noch einmal ansehen. Du schickst mir auch den Link zum Lied per SMS, damit ich es mir noch einmal anhören kann.
Steve Riley: Sie haben definitiv „Fanfare for the Common Man“ gehört, vielleicht kennen Sie den Namen nicht, aber wenn Sie ihn einmal gehört haben, werden Sie ihn sofort erkennen. Das ist der vierte Satz einer Symphonie.
Mike Anderson: Oh, das ist großartig. Nun, Steve, ich habe die Zeit heute wirklich genossen, und du und ich könnten uns stundenlang unterhalten, und das machen wir immer auch offline, deshalb weiß ich es wirklich zu schätzen, dass du heute Gast bist und die Ratschläge, die du hast, und einfach die Fülle davon teilst Wissen, das man teilen muss. Gibt es etwas, das Sie unseren Zuhörern unbedingt aus diesem Gespräch mitnehmen möchten, einen letzten Ratschlag, den Sie geben würden, wenn wir über Security Service Edge, das impure-released SASE oder irgendetwas in diesem Zusammenhang nachdenken? Was möchten Sie unseren Zuhörern hinterlassen?
Steve Riley: Am Ende möchte ich auf den Aspekt der Menschen zurückkommen und alle unsere Zuhörer daran erinnern, dass Ihre Mitarbeiter einen Wert haben. Möglicherweise brauchen sie ein wenig Anstoß, wenn sie versuchen, neue Wege zu finden, um diesen Wert zu schaffen, aber hören Sie ihnen zu, stellen Sie ihnen Fragen, finden Sie heraus, was sie dazu motiviert, das zu tun, was sie tun, und helfen Sie ihnen dann dabei, sie dabei zu unterstützen Wege finden, diesen Wert angesichts des raschen technologischen Wandels aufrechtzuerhalten.
Mike Anderson: Das ist definitiv ein guter Rat. Wir müssen immer denken... Es stehen immer die Menschen an erster Stelle. Damit haben wir es zu tun. Und deshalb müssen wir immer an die Menschen denken. Der technologische Aspekt der Dinge ist einfach. Es ist immer das Schwierigste, die Leute auf die Veränderung einzustimmen, also ist das definitiv ein guter Rat. Also, vielen Dank noch einmal, dass Sie sich dem Podcast angeschlossen haben, und ich weiß, dass unsere Zuhörer heute einige wirklich tolle Ratschläge von Ihnen bekommen haben, und deshalb weiß ich es wirklich zu schätzen, dass Sie sich die Zeit genommen haben.
Steve Riley: Gern geschehen. Und danke für die Einladung. Es macht wie immer viel Spaß.
Mike Anderson: Ich hoffe, Ihnen hat unser heutiges Gespräch mit Steve Riley gefallen. Steve ist wiederum unser Field CTO hier bei Netskope, aber auch ein langjähriger Gartner-Analyst. Viele tolle Ratschläge und Weisheiten, die Steve in unserem Gespräch mit uns geteilt hat. Drei Dinge, die mir aufgefallen sind, sind in erster Linie die Menschen rund um mich herum. Wenn wir also über jede Technologie nachdenken, denken wir über SASE nach, wir denken über Security Service Edge nach. Beginnen wir damit, über die Menschen und die Auswirkungen nachzudenken, die sie auf sie in der Organisation haben werden. Wie können wir diesen Menschen bei dieser Veränderung helfen? Wie investieren wir in diese Menschen, um ihnen die richtigen Fähigkeiten zu vermitteln, die sie benötigen, um in diesen neuen Bereichen erfolgreich zu sein? Der zweite Punkt besteht darin, wenn Sie über SASE nachdenken, zunächst einmal Ihre Umgebung zu bewerten, um herauszufinden, wo der richtige Ausgangspunkt ist, ob es sich um einen Ersatz für meinen On-Prem-Proxy handelt, den ich heute verwende, der nun Teil davon wird oder das VPN ersetzen, das ich für den Anwendungszugriff verwende. Dann ist offensichtlich, sagte Steve, ein Bereich, in dem viele Unternehmen ansetzen können: „Wie denke ich über den Zugang nach?“ und das kann neben dem stehen, was ich heute habe, und dann in Zukunft zu meinem Mainstream werden. Und das letzte Thema, das in unseren diesjährigen Gesprächen oft zur Sprache kam, drehte sich um die Automatisierung. Automatisieren Sie so viel wie möglich in Ihrer Umgebung. Besonders wenn man an die Datenklassifizierung denkt, ist dies definitiv ein Bereich der Automatisierung, mit dem wir uns befassen.
Steve Riley: Vielen Dank, dass Sie sich heute noch einmal diese Ausgabe des Netskope Security Visionaries Podcasts angeschaut haben. Seien Sie gespannt auf zukünftige Folgen und wünschen Sie einen schönen Tag.
[Musik] Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Die Netskope-Plattform ist schnell und einfach zu bedienen und bietet optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo auch immer sie sich befinden. Sie hilft Kunden dabei, Risiken zu reduzieren, die Leistung zu steigern und einen unübertroffenen Einblick in jede Cloud-, Web- oder private Anwendungsaktivität zu erhalten. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE-Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem die Sendung gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir sehen uns in der nächsten.
Warum Netskope? 
){kind=icon}
