[Musik] Steve Riley: Ich würde sagen, dass in den einzelnen Maßnahmen, dem einheitlichen Richtlinienrahmen, der einheitlichen Konsole und dem einheitlichen Agenten viel Kraft liegt. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, dass sie sich in mehrere Konsolen einloggen müssen, mehrere einzelne Klassenfenster, wie manche vielleicht sagen würden, und sie lieben die Tatsache, dass sie, wenn sie zu Netskope kommen, alles an einem Ort haben. Die Singles helfen uns, all diese Akronyme und Umwege zu eliminieren... Sie denken anders über die verschiedenen Reiseziele nach und entwickeln eine einheitliche politische Denkweise.
Produzent 1: Hallo und herzlich willkommen bei Security Visionaries. Sie haben soeben den heutigen Gast, Steve Riley, Field CTO bei Netskope, gehört. Mit der Veröffentlichung des Gartner Magic Quadrant für Security Service Edge konzentrieren sich die Branchenführer darauf, Teil der Revolution zu werden – von der Automatisierung ihrer Umgebungen über Investitionen in New Fähigkeiten ihrer Mitarbeiter bis hin zur Berücksichtigung des wirtschaftlichen Umfelds. Dies sind nur einige der Herausforderungen, denen sie auf ihrer Reise begegnen. Bevor wir mit Steves Interview beginnen, hier eine kurze Mitteilung unseres Sponsors.
Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope präsentiert. Bei Netskope definieren wir Cloud-, Daten- und Netzwerksicherheit neu – mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Menschen, Geräte und Daten überall dort bietet, wo sie sich befinden. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Und nun ohne weitere Umschweife viel Vergnügen mit dieser Bonusfolge von „Security Visionaries“ mit Steve Riley, Field CTO bei Netskope, und Ihrem Moderator Mike Anderson.
Mike Anderson: Willkommen zu dieser Folge des Security Visionaries Podcasts. Hier spricht Ihr Moderator, Mike Anderson. Ich bin Chief Digital and Information Officer hier bei Netskope. Ich freue mich, heute eine Legende im Bereich IT-Sicherheit begrüßen zu dürfen: Steve Riley, ehemaliger Gartner-Analyst und derzeitiger Field CTO bei Netskope. Steve, wie geht es dir heute?
Steve Riley: Mir geht es gut. Danke, Mike. Wie geht es Ihnen?
Mike Anderson: Mir geht es gut. Mir geht es gut. Ich genieße unsere Gespräche und die ganze Geschichte immer sehr. Du hast so viele tolle Geschichten.
[Kichern] Steve Riley: Jetzt muss ich es einigen von ihnen sagen. Oh, woran werde ich mich nur erinnern?
Mike Anderson: Eine Geschichte, Steve, die immer wieder lustig ist, ist die, als du – ich glaube, es war eine der großen Microsoft-Konferenzen, vielleicht eine Tech-Ed- oder Entwicklerkonferenz – aufgestanden bist und über Sicherheit gesprochen hast und alle bei Microsoft für das Thema Sicherheit begeistert hast, was zu der Zeit irgendwie ein Widerspruch in sich war. Aber vielleicht könntest du diese Geschichte noch einmal erzählen.
Steve Riley: Ja. Es war also vielleicht nicht die erste technische Weiterbildungsveranstaltung, bei der ich gesprochen habe, aber die zweite. Ich musste im großen Saal eine Präsentation halten, etwa zum Thema „Was ist New in der Windows XP-Sicherheit?“. Ich stand an diesem Morgen unter der Dusche und überlegte: „Wie bringe ich diese riesige Menschenmenge dazu, wenigstens auf diese zufällige Person zu achten?“ Und dann dämmerte es mir endlich. Also ging ich auf die Bühne und sagte: „Okay, ich werde den Raum in zwei Hälften teilen.“ Alle auf dieser Seite: Wenn ich meinen linken Arm hebe, ruft bitte „Windows!“, und alle auf der anderen Seite: Wenn ich meine rechte Hand hebe, ruft bitte „Sicherheit!“. Okay, dann lasst uns jetzt üben. "Fenster." "Sicherheit." Also, man machte sich über die rechte Seite lustig, weil die ja ziemlich blutleer war. "Ach, ihr seid echt schlecht." Versuchen wir es noch einmal, also dreimal, ja? "Fenster." "Sicherheit." "Fenster." "Sicherheit." Und dann sagte ich: "Sehen Sie?" Wenn man es oft genug wiederholt, klingt es mittlerweile fast wie die Wahrheit, nicht wahr? Wenn 9000 Leute über etwas lachen, das du gerade gesagt hast, denkt man sich: „Okay, das will ich den Rest meines Lebens machen.“ [Kichern]
Mike Anderson: Nun, absolut. Nun gut, steigen wir also heute in die Unterhaltung ein. Die aufregende Neuigkeit ist da! Der New Gartner Magic Quadrant für Security Service Edge ist erschienen, und da wir beide bei Netskope arbeiten, freuen wir uns natürlich riesig über die Ergebnisse.
Steve Riley: Oh ja. Das bin ich ganz sicher.
Mike Anderson: Bevor wir darauf eingehen, möchte ich kurz etwas ausholen. Und Sie waren eine Zeit lang bei Gartner. Dann waren Sie sozusagen einer der Väter des gesamten Security Service Edge, wenn wir an Zero Trust Network Access denken. Ich weiß, dass du das von dir kreierte Akronym ZTNA liebst, weil es das Wort Netzwerk enthält. Das war’s dann auch schon mit dem Sarkasmus für heute. Ich möchte dort anfangen. Bevor wir tiefer einsteigen, lass uns kurz über deinen Werdegang sprechen, damit die Leute den Kontext deiner Expertise in diesem speziellen Bereich verstehen.
Steve Riley: Richtig. Ich wurde bei Gartner im Bereich Sicherheitsrisikomanagement eingestellt und konzentrierte mich speziell auf die Sicherheit öffentlicher Cloud-Speicher. Das war also das, worüber ich unsere Kunden während meiner gesamten Zeit dort, etwa fünfeinhalb Jahre, beraten und unterstützt habe: wie man in IaaS-Clouds wie AWS und Azure sicher agieren kann. Ein bisschen GCP. Bei Gartner-Kunden nicht sonderlich beliebt. Dann gab es aber viele Gespräche darüber, wie man in SAS-Anwendungen wie Office 365 und einigen anderen gängigen Anwendungen für Sicherheit sorgen kann. Als ich mich bei Gartner bewarb, bestand ein Teil des Bewerbungsprozesses darin, dass man in einem Büro erschien, in einen Raum gesetzt wurde und 90 Minuten Zeit hatte, um eine Recherchenotiz aus dem Gedächtnis zu verfassen. Sie haben keinerlei Internetverbindung, gar nichts, und das Thema, das ich erhalten habe, war: Wie kann ich in Office 365 sicher sein? Also habe ich einfach alles, woran ich mich erinnern konnte, zusammengetragen und eine etwa dreiseitige Notiz verfasst. Ich beschloss, dass meine erste richtige Notiz bei Gartner eine umfassendere Version desselben Themas sein sollte. Ich glaube, das war immer einer meiner wichtigsten Kritikpunkte, denn die Leute wussten einfach nicht, wie sie in SaaS-Anwendungen Sicherheit gewährleisten konnten. Das ist interessant, wenn man darüber nachdenkt, denn bei IaaS-Diensten sind standardmäßig in der Regel sichere Einstellungen vorhanden. Man hört immer wieder von diesen undichten Eimern, und das wird dann ständig so sein. Das liegt daran, dass jemand den Standardwert auf einen schwächeren Wert geändert hat.
Steve Riley: Bei SaaS-Anwendungen ist das ganz anders. Die meisten Sicherheitsvorkehrungen sind deaktiviert. Du musst es einschalten. Und so fragen Sie sich vielleicht: „Warum ist das so?“ Viele SaaS-Anwendungen erleichtern die Zusammenarbeit, und die Sicherheit steht dieser Zusammenarbeit manchmal im Weg, weshalb die meisten Kontrollmechanismen deaktiviert sind. Wenn man aber an die Sicherheit von SaaS-Anwendungen denkt, verfügen vielleicht nur wenige über eine angemessene integrierte Sicherheit. Die meisten von ihnen haben gar nichts, und genau das hat den gesamten Markt der Cloud Access Security Broker hervorgebracht, wo Netskope seinen Anfang nahm. Es ist vielleicht das beste Beispiel, das einem einfällt, wo aufgesetzte Sicherheit tatsächlich funktioniert. Das hört man ja ständig: Sicherheit lässt sich nicht nachträglich anbringen, man muss sie von Anfang an einbauen. Das trifft zu, wenn Sie Ihre eigenen Anwendungen schreiben, aber bei SaaS gehört Ihnen die Anwendung nicht. Wenn du es sichern willst, bleibt dir nur die Möglichkeit, etwas anzuschrauben, und dafür eignen sich CASBs hervorragend.
Steve Riley: Ich habe diese Technologie wirklich zu schätzen gelernt. Als ich anfing, gab es bereits einen Marketingleitfaden für CASB, aber ich dachte: „Wir brauchen dafür einen Magic Quadrant.“ Und so erschien die erste im Jahr 2017, an der Craig Lawson und ich gemeinsam mit anderen Autoren mitwirkten. Im Jahr 2018 haben wir dann den Hinweis zu den kritischen Fähigkeiten hinzugefügt und das einfach so beibehalten. Nun, gegen Ende des Zyklus 2020 bemerkten Craig und ich, dass es eine beträchtliche Überschneidung bei den Anbietern von CASB und SWG gab, und so begannen wir zu denken: „Hey, diese Märkte scheinen sich stark anzugleichen.“ Wir haben dann noch einige andere Analysten in eine Telefonkonferenz eingeladen und uns dafür ausgesprochen, die beiden bisher getrennten Magic Quadrants für CASB und SWG abzuschaffen und einen New einzuführen. Nun, einige Leute wollten einfach den CASB-Markt abschaffen und den SWG-Markt umbenennen, aber Craig und ich hielten es für wichtig, den Käufern klarzumachen, dass diese beiden Märkte nicht mehr als eigenständige Märkte sinnvoll sind. Wir haben also beide MQs außer Betrieb genommen und eine New MQ mit einem New Namen eingerichtet. Das geschah kurz vor meiner Abreise.
Mike Anderson: Das ist großartig. Und wenn wir uns das letzte Jahr ansehen, als der Magic Quadrant veröffentlicht wurde, war das ein großer Erfolg, und das ist natürlich ein... Der Secure Access Service Edge, die dazugehörigen Leitfäden und die Forschungsergebnisse von Gartner – der Sicherheits-Stack war in diesem Kontext immer so etwas wie der Security Service Edge. Können Sie uns etwas darüber erzählen, warum der SSE MQ im letzten Jahr so wichtig war und insbesondere, wie er dazu beiträgt, das Konzept von Secure Access Service, Edge oder SASE zu stärken?
Steve Riley: Wenn Sie sich einige der ursprünglichen Diagramme ansehen, die Gartner zu SASE erstellt hatte, gab es auf der linken Seite eine Menge Netzwerkkomponenten: Routing und Switching, SD-WAN, WAN-Optimierung und DNS. All diese Komponenten sind dafür verantwortlich, Datenpakete von einem Ort zum anderen zu transportieren. Und auf der rechten Seite befanden sich diverse Sicherheitsfunktionen; darunter CASB, SWG, VPN, DLP, IAM und all die anderen Dinge, die dafür sorgen, dass die richtigen Daten an den richtigen Ort gelangen und die falschen Daten nicht. Im Laufe der Zeit begannen diese Zusammenbrüche, und wir sahen vor kurzem ein vereinfachtes Diagramm von Gartner, in dem die linke Seite nur noch SD-WAN darstellte. Und was stand da? Nun ja, das heißt, viele der Netzwerkfunktionen, die vorher getrennt waren – vielleicht auf separaten Geräten, manchmal sogar von verschiedenen Anbietern –, wurden im Laufe der Zeit alle im Rahmen von SD-WAN konsolidiert. SD-WAN war der übergeordnete Mechanismus
dem Daten übertragen wurden, und die übrigen Funktionen wurden zu Bestandteilen von SD-WAN. Steve Riley: Das Aufkommen von SSE leistet für den Sicherheitsbereich das, was SD-WAN für den Netzwerkbereich geleistet hat. Es hat alle verschiedenen Mechanismen, die Menschen zum Zugriff auf Daten nutzen, auf einer einzigen Plattform zusammengeführt. Manchmal mag es sich nur um ein Portfolio handeln, aber die effektiveren Lösungen sind eine tatsächliche Plattform mit einem einzigen Richtlinienkonzept und einem einzigen Akteur. Ich sehe das immer so: Der Aufstieg von SSE bedeutet, dass wir nicht mehr über unterschiedliche Werkzeuge zur Steuerung des Zugriffs auf SaaS, Webanwendungen und private Apps nachdenken müssen. Wir wollen den Zugriff regeln und unabhängig vom Zielort dieselbe Datenschutzmethodik anwenden – warum also benötigen wir all diese verschiedenen Tools? Ich will das loswerden. Ich wünsche mir ein einziges Tool zur Verwaltung des Zugriffs auf alle Ziele, damit meine Richtlinien einheitlich sind und die Benutzererfahrung deutlich angenehmer wird.
Mike Anderson: Das ist ein wichtiger Punkt. Ich sehe definitiv, dass jedes dieser Tools oft seinen eigenen Agenten und seine eigene Hardware hat, die in Organisationen in die Warteschlange gestellt wird. Wenn dann jemand Probleme hat, Anrufe an den Helpdesk weiterzuleiten, heißt es: „Okay, was ist das Problem?“ „Nun, zuallererst, mit welcher App versuchen Sie eine Verbindung herzustellen?“ Und es handelt sich um eine ganz andere Art der Fehlerbehebung, es geht also über die reine Richtlinie hinaus, sondern auch um die Auswirkungen auf den Rest der Organisation im Hinblick auf die Schaffung eines herausragenden Mitarbeitererlebnisses. Ich sehe also, dass es an Fahrt gewinnt. Mich würde aus Ihrer Sicht und den Gesprächen, die Sie führen, interessieren, was sich im Vergleich zu vor einem Jahr hinsichtlich der Akzeptanz von Security Service Edge im Kontext von SASE verändert hat?
Steve Riley: Nun, ich würde sagen, dass das Bewusstsein für diese Märkte leicht zugenommen hat. Manchmal hat man immer noch den Eindruck, dass die Leute etwas ratlos sind, wenn man diese Akronyme erwähnt. Jeder weiß, was ein SWG ist, manche Leute wissen auch, was ZTNA ist. Noch weniger Menschen wissen, was CASB ist. Ich habe gerade einen aktuellen Bericht von Gartner zur Technologieakzeptanz gesehen, der CASB merkwürdigerweise als etwas darstellt, das sich noch in der Pilotphase befindet. Ich bin mir nicht sicher, ob ich dieser Behauptung zustimme. Ich denke, sie geht mittlerweile weit darüber hinaus, insbesondere wenn man betrachtet, wo sie sich im Hype-Zyklus der Cloud-Sicherheit befindet. Wenn ich mit Leuten spreche, möchte ich die Akronyme beiseite lassen und darüber reden, wie sichergestellt wird, dass Daten dorthin gelangen, wo sie hingehören, und nicht dorthin, wo sie nicht hingehören, und dass die richtigen Leute zum richtigen Zeitpunkt aus den richtigen Gründen Zugriff auf die richtigen Daten erhalten. Und wenn ich diese Art der Darstellung verwende und die Marktnamen gar nicht erst erwähne, sagen die Leute: „Oh ja, das brauche ich unbedingt“, oder, noch interessanter, sie sagen: „Oh ja, das mache ich schon“, und dann: „Oh, wie machst du das denn?“ Und dann sagen sie: „Nun ja, ich habe dieses Produkt von diesem Händler gekauft“, und sie wissen nicht einmal [lacht], wie der Markt heißt. Ich fände es toll, wenn wir herausfinden könnten, wie wir die Marktbezeichnungen beiseitelassen und über die Funktionen sprechen, die das Produkt bietet, und uns auf den Nutzen für die Kunden konzentrieren.
Mike Anderson: Da stimme ich vollkommen zu. Wir haben dieses Gespräch schon geführt... Als CIO betrachte ich die Dinge immer aus der Perspektive: Welches Problem versuche ich zu lösen? Die erste Frage, die ich meinem Team stelle, lautet: „Okay, ihr bringt mir eine Technologie.“ Okay, sag mir, welches Problem wir lösen wollen. Und wenn wir das Problem lösen, welchen Nutzen wird das für unser Unternehmen bringen, und wie hoch ist der Aufwand, diesen Nutzen zu erzielen, im Vergleich zu anderen Dingen, die wir ebenfalls tun könnten?“ Es ist also immer eine... Rücksichtslose Priorisierung ist etwas, das für Führungskräfte von entscheidender Bedeutung ist, denn sie müssen sicherstellen, dass sie die richtigen Investitionen tätigen und die richtigen Ergebnisse für ihr Unternehmen erzielen. Wenn wir in einige Ihrer Unterhaltungen hineinklicken, was genau hören Sie dabei? Gibt es irgendwelche Überraschungen?
Steve Riley: Nun, ich würde sagen
dass immer mehr Unternehmen den Wert darin erkennen
Infrastruktur- und Sicherheitsteams zusammenzuführen, aber diese Silos oder Kompetenzzentren, wie wir sie nennen könnten, existieren immer noch. Steve Riley: Tatsächlich hatte ich heute Morgen ein Telefonat mit einem Kunden, der wissen wollte: „Wie können wir diese Zylinder der Exzellenz auseinandernehmen, denn das ist die größte Herausforderung für mich, um den größtmöglichen Nutzen aus SASE zu ziehen?“ Und ich denke mir: „Nun ja, sie müssen einfach Gründe finden, um zusammenzuarbeiten.“ Es handelt sich hierbei um zwei, vielleicht manchmal auch drei Gruppen von Menschen, die sich beruflich und sozial gegenseitig große Mühen bereiten. Das wird einfach nicht funktionieren. Wenn die Werkzeuge ineinandergreifen und die Ziele sich angleichen, muss man meiner Meinung nach einen Grund finden, warum diese Teams zusammenarbeiten wollen. Und genau das ist etwas, was an ZTNA so cool ist – wenn ich kurz auf einen Marktnamen zurückkommen möchte – nämlich … Ich habe das bei Gartner gehört und auch einige Leute hier bei Netskope hören das: ZTNA-Projekte erweisen sich oft als eines der ersten Dinge, die sich als Gemeinschaftsprojekt herausstellen. Infrastruktur und Sicherheit arbeiten zusammen und entwickeln eine New Methode zur Bereitstellung des Fernzugriffs auf Anwendungen. Es funktioniert tatsächlich sehr gut. Und tatsächlich sagte auch der Kunde, den ich erwähnt habe, dass er eine Ahnung davon bemerkt habe, als er versuchte, einige der Möglichkeiten des privaten Zugriffs von Netskope zu erkunden, dass er bereits einige Beispiele dafür gesehen habe, wie Sicherheits- und Infrastrukturexperten von sich aus Kontakt aufgenommen und Einzelgespräche geführt hätten. Noch nicht auf Mannschaftsebene. Sie glauben, dass das bald passieren wird.
Mike Anderson: Da sprechen Sie einen wichtigen Punkt an, denn ich denke, eines der Dinge, die ich immer sage, wenn ich mit Leuten über Netskope Private Access oder Zero Trust Network Access spreche – den Begriff können wir Ihnen natürlich zu verdanken. Wenn ich also mit ihnen darüber spreche, sage ich: „Sie müssen im Grunde einen zusätzlichen Schritt in Ihren Änderungsmanagementprozess einfügen. Bisher waren es die Anwendungsbesitzer, denen ich den Zugriff für diesen Benutzer in dieser Anwendung bereitstelle. Haben sie die Möglichkeit, sich anzumelden?“ Ich muss jetzt einen zusätzlichen Schritt einbauen, bei dem es nicht mehr darum geht, ob ich Netzwerkzugriff habe, sondern ob ich Anwendungszugriff habe. Man muss also bei diesen Schöpfungsvorgängen explizit sein, und das erfordert Koordination. Da sprechen Sie einen wirklich guten Punkt an. Es geht über die reine Netzwerktechnik hinaus, sondern umfasst auch... Viele weitere Teams sind in diesen Prozess involviert, um sicherzustellen, dass der Zugriff wie gewünscht erfolgt.
Steve Riley: Was mich im Rückblick auf meine Gespräche mit Menschen im letzten Jahr etwas überrascht hat: Die meisten scheinen die Prinzipien des Zero Trust
leicht zu verstehen, tun sich aber schwer damit
damit anzufangen. Steve Riley: Und normalerweise versuche ich zu erklären, dass eine gute Zero-Trust-Strategie nur dann wirklich funktioniert, wenn man über die richtigen Instrumente verfügt, um Signale zu sammeln und den Kontext des Benutzers, des Geräts, der Anwendung, der Daten, das normale Spektrum, das Wer, Was, Wo, Wann, Warum, auszuwerten. Und wie macht man das? Nun, Sie benötigen IAM, Endpunktschutz und SSE. Das Überraschende ist nun, dass die Leute schockiert sind, wenn sie erfahren, dass sie es entweder schon haben oder es gerade bekommen, richtig? Es ist eine Technologie. Ihnen fehlt einfach der nötige Mentalitätswandel. Wie fange ich mit den Zero-Trust-Prinzipien an? Ein Beispiel, das ich gerne anführe, ist die Implementierung eines Zero-Trust-Netzwerkzugriffsprojekts. Dadurch erhalten Sie Einblick in die Prinzipien, es ist eine Möglichkeit, New Technologien einzuführen, ohne etwas ersetzen zu müssen, und es kann parallel zu Ihren anderen Lösungen für den Fernzugriff auf interne Anwendungen eingesetzt werden. Sobald man sich mit dieser New Sprache und der Funktionsweise der Werkzeuge vertraut gemacht hat, ist es nicht mehr so abwegig zu denken, dass... Sie hatten bereits Zero-Trust-Prinzipien auf SaaS-Anwendungen mit einem CASB angewendet, obwohl vorher noch niemand diese Begriffe zusammengebracht hatte, und dann heißt es: „Oh, das stimmt.“ Ich habe es nicht getan. Es ist also irgendwie schön zu sehen
dass die Leute jetzt erkennen, dass es vielleicht doch nicht so schwer ist
wie sie vor einem Jahr dachten. Mike Anderson: Ja, das hilft der Branche nicht... Wir haben diese Diskussion schon bis zum Erbrechen geführt, aber es hilft nichts, wenn jeder Anbieter der Welt behauptet, ein Zero-Trust-Produkt anzubieten. Und dann sagt man manchmal, sie würden Zero Trust anbieten, und dann verdrehen CIOs und CISOs die Augen und denken: „Ja, okay, ihr seid doch die Tausenden von Unternehmen, die behaupten, Zero Trust für mich zu lösen.“ Aber ich denke, Sie haben einen guten Punkt angesprochen. Ich glaube, dass der Punkt der Richtliniendurchsetzung zwischen Benutzern und Anwendungen darin besteht, aus Zugriffssicht eine Zero-Trust-Haltung einzunehmen, und ich glaube, dass dies etwas ist, was die Leute zunehmend zu verstehen beginnen. Ich glaube, es gibt einige Unternehmen, die so weit gehen und sagen: „Seht her, ich werde das zur einzigen Möglichkeit machen, wie die Leute in meiner Umgebung auf Anwendungen zugreifen können, mit ein paar Ausnahmefällen für Personas, die wirklich Netzwerkzugriff benötigen, aber diese werden immer weniger.“ Und so sagen die Leute – die Dinge, die Sie vorhin angesprochen haben, das Routing, das Switching und einige dieser Dinge, die es da draußen gibt, die komplexen Schreibtabellen: „Wissen Sie was, brauchen wir das alles wirklich noch, oder brauchen wir nur einen Internetzugang und lassen dann diese New Infrastruktur den Rest für uns erledigen?“ Und genau das beobachte und höre ich zunehmend von CIOs und CISOs auf dem Markt.
Steve Riley: Ich habe
viele ähnliche Dinge
. Mike Anderson: Ja, ich habe eine Vorhersage für Sie, ich weiß, Sie mögen Vorhersagen: Es wird einen New Titel geben, nämlich Chief Infrastructure Security Officer. Das „I“ wird also Infrastruktur, denn ich habe in den letzten Monaten mit einigen Leuten gesprochen, die nicht nur das Netzwerk, sondern das gesamte Infrastruktur- und Sicherheitsteam unter einer Leitung zusammengeführt haben. Ich sehe da einen Trend. Denn es gab interne Streitigkeiten… Das Infrastrukturbudget wurde gekürzt, um die Mittel für das Sicherheitsteam freizumachen. Genau da gab es Reibungspunkte, weil weiterhin Budget in die Sicherheit fließt – es muss ja irgendwoher kommen. Der CEO senkt schließlich nicht die Gewinnprognose
um die höheren Investitionen in die Sicherheit zu decken
Also werden die Ressourcen umverteilt, aber dann kommen die Anforderungen des Sicherheitsteams zurück an das Infrastrukturteam: „Setzt das um.“ Mike Anderson: Und das Infrastrukturteam sagt: „Na ja, ihr habt mir einfach mein ganzes Personal und mein Budget weggenommen.“ Wie soll ich das denn machen? Und das ist ein Teil der systembedingten Reibungsverluste, die wir auf dem Markt beobachten. Deshalb denke ich, dass diese Integration dieser Teams, wo ich das sehe, wichtig ist. Die CIOs
mit
ich spreche, berichten von sehr guten Erfolgen mit diesem Ansatz. Steve Riley: Das ist großartig. Und das ist ein weiteres Beispiel für die Verschmelzung dieser beiden ehemals getrennten Bereiche. Das gefällt mir.
Mike Anderson: Ja, das ist auch interessant, denn oft herrscht Einigkeit auf höchster Ebene, aber die Dinge scheitern, wenn man zu den Leuten kommt, die tatsächlich die Arbeit machen und die Finger auf den Tastaturen haben, denn für sie heißt es: "Wie wird sich diese Veränderung auf meinen Lebensunterhalt auswirken?" Und so greifen die menschliche Psychologie und Maslows Bedürfnishierarchie bei Menschen, die diese Arbeit täglich verrichten, ins Spiel, denn damit ist Veränderung verbunden, und ich denke, das ist es, was die Leute auch erkennen: Sie stellen diese Teams zusammen, welche Auswirkungen hat diese Veränderung und wie begleiten sie die Menschen durch diesen Veränderungsprozess? Das ist eines der Dinge, die die Leute meiner Meinung nach allmählich verstehen. Wenn wir hier einen Doppelklick ausführen, erhalten wir unsere Positionierung. Wie beeinflusst unsere Positionierung die Kunden bei der Planung ihrer SASE-Reise? Wie helfen wir den Menschen in dieser Hinsicht durch unsere Marktpositionierung?
Steve Riley: Ich würde sagen, dass die Stärke in den einzelnen Elementen liegt: dem einheitlichen Richtlinienrahmen, der einheitlichen Konsole, dem einheitlichen Agenten. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, sich in mehrere Konsolen einloggen zu müssen, mehrere einzelne Benutzeroberflächen, wie manche vielleicht sagen würden, und die es lieben, dass sie bei Netskope alles an einem Ort erledigen können. Die Singles helfen uns, all diese Akronyme und Umwege zu eliminieren... Sie denken anders über die verschiedenen Reiseziele nach und entwickeln eine einheitliche politische Denkweise. Allerdings wäre es wohl ein Versäumnis, wenn ich nicht auch erwähnen würde, dass es hin und wieder – nicht oft, aber gelegentlich – zu Streitigkeiten darüber kommt, wer vor einer einzigen Konsole sitzen darf, wenn einige Leute vor dieser Konsole stehen. [Gelächter] So nach dem Motto: „Im Ernst?“ Aber es ist passiert, und deshalb weisen wir die Leute darauf hin, dass es rollenbasierte Zugriffsrechte und verschiedene Bereiche der Konsole für verschiedene Rollen geben kann, wenn man so etwas tun möchte und dadurch einige dieser Bedenken ausräumen will. Aber ich würde sagen, dass Gartner die Stärke der einzelnen Aktien besonders geschätzt hat, die uns geholfen hat im Magic Quadrant so weit nach rechts und oben zu gelangen.
Steve Riley: Ich würde aber auch sagen, dass uns das sehr gut auf eine ähnlich gute Position vorbereitet falls es jemals einen SASE Magic Quadrant geben sollte. Wenn Sie einen zuvor veröffentlichten Marktführer für Single-Vendor-SASE-Lösungen betrachten, sind wir der einzige aufgeführte SSE-Anbieter, weil wir jetzt auch SD-WAN anbieten. Die anderen Teilnehmer dieses Marktführers stammen alle aus dem SD-WAN-Bereich und erweitern ihr Portfolio im Laufe der Zeit um Sicherheitsfunktionen. Vor etwa anderthalb Jahren standen wir vor der Entscheidung: „Wollen wir uns voll und ganz auf Cloud-Technologien konzentrieren?“ Wollen wir voll auf SASE setzen? Und die Übernahme von Infiot machte deutlich, dass wir voll auf SASE setzen würden, und ich denke, das ist vielleicht eine der besten Entscheidungen, die Netskope je getroffen hat. Wir sind gut aufgestellt, um meiner Meinung nach einen Großteil des SASE-Geschäfts zu übernehmen, sobald es entsteht.
Mike Anderson: Ja, es ist aufregend, das zu sehen... Wenn wir über Integration nachdenken, geht es um die Fähigkeit, die Servicequalität auf Ebene der Sanktionsanwendung sicherzustellen. Wir bemühen uns um eine korrekte Kennzeichnung von genehmigten und nicht genehmigten Anwendungen. Nun können die Teams, die die Leitungen des Netzwerks oder SD-WAN kontrollieren und sich vor diesem Teil der Konsole befinden, die Bandbreite für diese genehmigten Anwendungen steuern und beispielsweise festlegen: „Gebt genehmigten Anwendungen mehr Bandbreite als nicht genehmigten.“ Darüber hinaus gibt es noch viele weitere Anwendungsfälle, die wir auf dieser Seite sehen können. Interessanterweise sage ich den Leuten immer, dass es einen großen Unterschied zwischen einer Best-of-Suite-Lösung und einer Einzelplattform gibt. Man kann ein Best-of-Suite-Angebot nicht als Produktreihe bezeichnen. Nur weil ein Unternehmen jemanden kauft und seinen Namen darauf setzt, heißt das nicht, dass es aus Kundensicht integriert ist. Investieren Sie daher unbedingt in Ihre eigenen Plattformen, denn dort erzielen Sie auch die größte organisatorische Effizienz. Zu Ihrem Punkt bezüglich der WAN-Richtlinie: Genau diese Funktionalität bietet sie, wenn man sie im richtigen Kontext betrachtet.
Steve Riley: Je mehr Traffic die Kunden an Netskope senden können, desto mehr Nutzen können sie aus unserem Angebot ziehen. Und einer der Vorteile der SD-WAN-Funktionalität unserer Plattform ist, dass wir völlig New Bereiche geschaffen haben, in denen Kunden uns Datenverkehr senden können, den sie uns zuvor möglicherweise nicht senden konnten, beispielsweise Datenverkehr von Geräten, auf denen man keinen Agenten installieren kann. Jetzt können sie uns diesen Datenverkehr senden, und wir können Sicherheitsmaßnahmen ergreifen... Nun ja, der Kunde kann Richtlinien konfigurieren, sodass wir die richtigen Sicherheitsentscheidungen treffen. Ich liebe es. Großartig.
Mike Anderson: Ja, das ist auch interessant, denn man fragt sich angesichts all dieser Fragmentierung und der vielen Tools: Wie sah die Statistik eigentlich aus? Unternehmen verfügen im Durchschnitt über 76 verschiedene Sicherheitstools. Und wenn man dann noch die gesamte Netzwerkinfrastruktur hinzurechnet, die sie besitzen, und dann noch in SIM-Plattformen investiert, um alle Punkte miteinander zu verbinden, können sie herausfinden, wo die Probleme liegen, und es wurden bereits viele Investitionen auf dieser Seite getätigt. Es wird interessant sein zu sehen, wie sich die Konsolidierung der Tools dann auswirken wird. Wenn mein gesamter Datenverkehr auf eine einzige Weise überprüft wird, dann sollte ich auf den einzelnen Plattformen Transparenz erhalten, für die ich heute auf andere Tools angewiesen bin, und es wird interessant sein, die Auswirkungen dort zu beobachten. Es gab also schon seit geraumer Zeit große Investitionen im gesamten SIM-Bereich und in andere Tools zur Datenprotokollaggregation. Es wird also interessant sein, die parallelen Auswirkungen in diesem Bereich zu beobachten.
Mike Anderson: Eine meiner Fragen an Sie ist: Angesichts der aktuellen Wirtschaftslage haben Kosteneinsparungen für CIOs natürlich höchste Priorität, da sie ständig Geld für die New Projekte finden müssen, die sie im nächsten Jahr umsetzen wollen. Normalerweise deckt die Budgeterhöhung die Inflation ab, aber in diesem Jahr fehlt ihnen offensichtlich die Finanzierungslücke. Wir kündigen denselben Druck auch auf den Sicherheitsbereich an, wo Kosteneinsparungen oberste Priorität haben, und das schlägt sich in einer Konsolidierung der Anbieter nieder. Wie beurteilen Sie das aktuelle Klima und wie wird es SASE helfen? Wird es helfen, oder wird es dem entgegenwirken? Was halten Sie davon?
Steve Riley: Nun, wie Sie schon sagten, suchen die Leute nach Möglichkeiten, Kosten zu senken und weniger Geld auszugeben. Ich denke, SASE stellt dort eine echte Chance dar. Vor einigen Jahren führte Gartner eine Umfrage durch... Ich erinnere mich nicht mehr, wie viele Leute geantwortet haben. Ich glaube, es haben fast 500 Leute an dieser Umfrage teilgenommen. Es ging aber insbesondere um Konsolidierung: „Welche Pläne haben Sie, um die Anzahl der Anbieter, mit denen Sie zusammenarbeiten, zu reduzieren, wenn Sie Ihre Infrastruktur modernisieren und in mehr Sicherheit investieren müssen?“ Und 75 % der Befragten gaben an, dass sie entweder einen Konsolidierungsplan ausarbeiten oder bereits damit begonnen haben und erwarten, zwischen Hunderttausenden und Dutzenden Millionen Dollar einzusparen, auch wenn die Umsetzung des Plans kurzfristig etwas mehr Geld kosten könnte. Denn sie haben die Wirtschaftlichkeitsberechnungen durchgeführt und festgestellt, dass sie im Laufe von drei bis fünf Jahren letztendlich weniger für Wartung, weniger für Modernisierungen und weniger für die Schulung von Mitarbeitern ausgeben werden. Damals ging es weniger darum, Mitarbeiter loszuwerden, als vielmehr darum
Wege zu finden
die vorhandenen Mitarbeiter so zu fördern, dass sie einen größeren Mehrwert für das Unternehmen schaffen konnten. Steve Riley: Ich habe mir also ein paar Analysen von Gartner-Kunden angesehen, und die enthielten sowohl harte als auch weiche Faktoren. Und selbst ohne die geldpolitischen Vorteile waren die geldpolitischen Einsparungen bereits nach etwa zwei Jahren deutlich und nahmen dann mit den Jahren immer weiter zu. Doch nachdem man die „weichen“ Faktoren einbezogen hatte, indem man Mitarbeiter einbezog, deren Tätigkeit zuvor zwar nicht besonders wertschöpfend, aber aufgrund der Hardware notwendig gewesen wäre, konnten diese nun mehr Wertschöpfung generieren, was
größeren wirtschaftlichen Einsparungen
. Mike Anderson: Interessant, dass Sie das sagen. Eines der Dinge, auf die ich immer achte, ist... Und wenn unsere CIOs an SASE denken, höre ich immer wieder: „Ist das ein Szenario, in dem alles komplett ersetzt werden muss?“ Wo soll ich anfangen? Kann ich es langsam angehen? Wir sprachen darüber, dass der VPN-Ersatz oder der Zero-Trust-Netzwerkzugriff etwas ist, wobei eine logische Verbindung ein Ausgangspunkt ist. Was denken Sie über diesen Kontext? Denn das ist etwas, was ich ständig höre. Ich glaube, sie wollen einen Ausgangspunkt haben und dann die Dinge auslaufen lassen können, sobald die Verträge auslaufen, denn sie wollen keine doppelte Blase, die 12 bis 18 Monate andauert. Sie wollen nicht eine Investition, die sie letztes Jahr getätigt haben, zurücknehmen und jetzt sagen: „Oh, das war die falsche Investition.“ Ich werde das kurz austauschen. Was denken Sie darüber, und welche Empfehlungen haben Sie in diesem Zusammenhang gegeben?
Steve Riley: Wenn sich jemand die Netskope-Plattform ansieht, hat er meistens eine alte SWIG-Umgebung, die ohnehin ausgemustert werden soll, ein VPN, an dessen Wartung oder Erweiterung er kein Interesse mehr hat, und wahrscheinlich auch kein CASB im Einsatz. Für jemanden in dieser Situation ist es also relativ einfach, die alte Plattform mit einem einzigen Kauf zu überprüfen. Tatsächlich würde ich sagen, dass in den letzten 18 Monaten, die ich bei Gartner war, die meisten Preisangebote, die ich für Netskope gesehen habe, für die gesamte Plattform galten. Ich fand das wirklich interessant. Das kann ich von keinem anderen Anbieter in vergleichbaren Bereichen behaupten.
Steve Riley: Ich denke, wir befinden uns oft in Situationen, in denen wir genau das Richtige für den Kunden sind, der sich bereits in dieser Lage befindet. Wie gesagt, dieser alte Trick, das VPN, die wollen nicht expandieren. Wenn dies jedoch nicht auf den Kunden zutrifft, dann ist er möglicherweise eher an einem Teil unseres Angebots interessiert, und das ist auch völlig in Ordnung. Es gibt keine Vorgabe, dass man mit Netskope von Anfang an beginnen muss. Und falls Sie feststellen, dass Ihre Teams eher voneinander isoliert sind, dann macht es vielleicht mehr Sinn, mit einem Aspekt unserer Arbeit zu beginnen und, sobald Sie damit vertraut sind, Ihre Teams dazu zu ermutigen, dies vollständig umzusetzen. Wenn es um die Konsolidierung der Infrastruktur und Sicherheit dieser Bereiche geht, ist es nicht unvernünftig anzunehmen
dass die Konsolidierung der Tools zumindest teilweise zu
allgemeinen organisatorischen Wandel beitragen kann.
Mike Anderson: Interessanterweise stelle ich immer wieder fest, dass wir, wenn ich mit vielen CIOs spreche – und ich gebe hier meine eigenen Erfahrungen wieder –, ständig externe Berater hinzuziehen, wie zum Beispiel große Systemintegratoren und Beratungsfirmen, die sich unsere Organisation ansehen und uns sagen, wo wir Einsparungen erzielen können. Oftmals benötige ich von Ihnen, dass Sie bei gegebenem Ziel 100 Millionen Dollar an Einsparungen finden, denn wenn ich eine Gewinn- und Verlustrechnung von 750 Millionen Dollar habe, finden Sie für mich 100 Millionen Dollar, die ich aufbringen kann, und priorisieren Sie diese danach, was ich realistischerweise kurzfristig im Vergleich zum mittelfristigen Zeitraum erreichen kann. Und deshalb denke ich, dass wir hier Möglichkeiten sehen müssen, und zwar, dass wir diese Berater brauchen, die ihnen während des gesamten SASE-Prozesses sagen: „Hey, das kann ein Teil davon sein.“ Aber das organisatorische Veränderungsmanagement ist... Wie du vorhin schon angedeutet hast, wird das einer der schwierigeren Aspekte sein, denn auf dieser Ebene spielt die menschliche Psychologie
Rolle. Steve Riley: Das erinnert mich an die Geschichte. Kurz nachdem ich bei AWS angefangen hatte, hielt ich irgendwo einen Vortrag, in dem ich speziell die Bereitstellung virtueller Maschinen behandelte, und jemand hinten im Raum stand auf und rief: "Sie gefährden meinen Job", und ich dachte nur: "Wirklich?" „Okay, was ist Ihre Aufgabe, Sir?“ „Meine Aufgabe ist es, die Server aus den Kartons zu nehmen, in denen sie geliefert werden, und sie in die Racks zu schieben.“ Und ich denke mir: „Vielleicht gefährde ich seinen Job.“ Aber ich habe das nicht laut gesagt. Es ist so, als würde man sagen: „Okay, nachdenken, nachdenken, nachdenken.“ "Oh, wissen Sie irgendetwas darüber, was auf den Geräten laufen wird, die Sie gerade auspacken und einbauen?" Und er sagte: „Ja, ich habe eine ungefähre Vorstellung davon, welche Anwendung darauf laufen soll und welche Leistungsmerkmale diese Anwendung benötigt, damit ich den richtigen Server dafür auswählen kann.“
Steve Riley: So nach dem Motto: "Haha." Okay, du packst also nicht einfach blindlings aus, sondern wählst eine bestimmte Box basierend auf den Anforderungen an den Inhalt dieser Box aus? „Ja, genau das mache ich.“ "Haha. Das ist also Ihr Wert. Ihr Wert liegt nicht im Auspacken, Ihr Wert liegt in der Auswahl. Deshalb möchte ich Ihnen Folgendes vorschlagen. Sie können Ihren vorhandenen Wert in die virtuelle Welt einbringen. Du wählst also immer noch die richtige Größe und Kapazität eines virtuellen Servers anstelle eines physischen Servers aus, stellst ihn in einer VPC bereit und richtest die Konnektivität ein, damit derjenige, dem die Anwendung gehört, sie dort installieren und sofort nutzen kann.“ Und er so: „Oh, so habe ich das noch gar nicht betrachtet.“ „Okay, vergiss es.“ Und dann setzte er sich wieder hin. Das war 2009, und diese Geschichte ist mir seitdem im Gedächtnis geblieben. Ich denke, es ist wichtig, dass wir, wenn wir über die menschliche Seite all dieser Veränderungen sprechen, unseren Kunden und potenziellen Kunden helfen müssen, sicherzustellen, dass sie ihr Bestes tun können, um die Mitarbeiter, die sie bereits haben, zu halten, und ihnen helfen müssen, Wege zu finden, um auf der Grundlage der Fähigkeiten, die sie in den letzten Jahren erworben haben, Mehrwert zu bieten. Das Schlimmste, was wir tun können, ist, den Eindruck zu erwecken, wir wollten ihren Job.
Mike Anderson: 100%. Und was ich aus eigener Erfahrung gesehen habe, ist Folgendes: Wenn ich New Cloud-Technologien einführe… Ich habe im Jahr 2015, als ich CIO von Crossmark war, einen Transformationsprozess durchgeführt. Wir haben Salesforce eingeführt und ich sagte: „Hey, wir werden anfangen, Apps auf der Salesforce-Plattform zu entwickeln.“ Wir haben einen Raum für 25 Personen in unserem Schulungsraum, den wir ausschließlich vor Ort nutzen. Wer möchte sich anmelden? Wir haben zu viele Buchungen erhalten. Und meine größte Sorge war, dass die Leute sagen würden: „Ich bin ein .NET-Entwickler.“ „Ich werde mich nicht mit Salesforce beschäftigen“, und für viele Leute funktioniert das tatsächlich gut. Sie sprechen einen wichtigen Punkt an: die 80/20-Regel. 80 % der Menschen wollen die New Technologien erlernen, weil sie dadurch in Zukunft marktfähiger oder wertvoller werden. Sie haben die 20%. Ich hatte mal jemanden, der meine Telefonanlage verwaltete – wir nutzten damals das TDM-Telefonsystem – und der sagte: „Hey, wir steigen auf dieses New Ding um, Skype for Voice oder Skype for Business.“ Es war echt cool, als es rauskam, und wir wollten es also umstellen. Da sagte ich: „Hey, ich investiere in deine Ausbildung, damit du das schaffst, weil wir von diesem Telefonsystem wegkommen, aber du musst bereit sein, die Schulung zu machen.“ Das ist das einzige Mal in meiner Karriere, dass ich jemanden sagen gehört habe: „Wisst ihr was, ich will diese New Fähigkeit, dieses New Werkzeug nicht lernen.“ Und sie gingen zu einer anderen Firma, die immer noch ein altes, veraltetes Telefonsystem hatte.
Mike Anderson: Es gibt also solche Leute da draußen, aber ich denke, um auf Ihren Punkt zurückzukommen: Es ist wichtig, die Mitarbeiter, die wir haben, weiterzubilden, denn es ist oft schwieriger, das Unternehmen kennenzulernen, als eine New Fähigkeit zu erlernen. Und ich glaube, dass die Navigation durch ein Unternehmen für die meisten Menschen am längsten dauert, verglichen mit dem Erlernen New Fähigkeiten, vorausgesetzt, sie verfügen über das nötige Grundverständnis in diesem Technologiebereich. Ich möchte also eine kleine Kursänderung vornehmen. Eines der Hauptthemen dieser Staffel des Podcasts war die funktionsübergreifende Zusammenarbeit. Wir haben Sicherheit immer als Mannschaftssport betrachtet. Wenn wir also den ganzen Marketing-Hype um SASE einmal beiseite lassen, denn nicht jeder setzt darauf, dann haben wir gesehen, dass sich alle großen Akteure in diesem Bereich daran angehängt haben, weil die Leute darüber reden. Was ist es, das wir wirklich wissen müssen? Schluss mit dem ganzen Unsinn! Worauf sollten sich die Leute konzentrieren, wenn sie über SASE nachdenken, um alles richtig zu machen?
Steve Riley: Ich würde sagen SASE SASE besten funktioniert, wenn Zero-Trust-Prinzipien Teil der Architektur sind. Um SASE richtig zu verstehen, bedarf es meiner Meinung nach einer wirklich soliden Kenntnis der Zero-Trust-Prinzipien. Und wie ich bereits erwähnt habe, hat mich etwas überrascht, dass die Leute zwar die richtigen Komponenten haben, aber nicht darüber nachgedacht haben, wie sie diese Komponenten nutzen können, um Signale und Kontext zu erfassen. Wenn ich also versuchen sollte, dies auf einen einzigen Ratschlag für die funktionsübergreifende Zusammenarbeit zu reduzieren, dann wäre es, bewusst über den Kontext nachzudenken. Nun, wie ich bereits erwähnt habe, wird das aus ganz unterschiedlichen Quellen kommen, und in isolierten Organisationen sind möglicherweise verschiedene Teams für die Verwaltung der Dinge verantwortlich, die all diesen Kontext erzeugen. Aber die Synthese all dieser Informationen, um die richtigen Zugriffsentscheidungen zu treffen, wenn diese Entscheidungen getroffen werden müssen, funktioniert nur dann, wenn die starren Strukturen aufgelöst werden und sich die Menschen um gemeinsame Ziele versammeln. Sie mögen unterschiedliche Beweggründe haben, aber die Ziele müssen übereinstimmen, und das bedeutet, dass die richtigen Leute zur richtigen Zeit und aus den richtigen Gründen Zugang zu den richtigen Dingen haben. Ich glaube, ich habe das schon ein- oder zweimal erwähnt, aber ich denke, es kommt sehr gut an.
Mike Anderson: Nein, ich stimme zu 100% zu. Das ist auch interessant. Und ich denke darüber nach, welche Probleme alle innerhalb einer IT- und Sicherheitsorganisation beschäftigen und für die SASE Lösungen bieten kann, denn ich stimme Ihnen in diesem Punkt vollkommen zu, da SASE einen zentralen Punkt zur Durchsetzung von Richtlinien bietet, der eine Schlüsselkomponente einer Zero-Trust-Architektur darstellt, da man etwas benötigt, das zwischen Benutzern und Geräten sowie den Ressourcen, Anwendungen und Daten, auf die sie zugreifen möchten, liegt. Und ein Problem, das mir in den Sinn kommt und von dem ich in letzter Zeit häufig gehört habe, betrifft die unkontrollierte Ausbreitung der Public Cloud. Immer mehr Geld wird dort investiert, und Unternehmen haben mit Mitarbeitern zu kämpfen, die eigenmächtig Instanzen von AWS oder Azure erstellen. Diese Umgebungen sind nicht mit den vertraglichen Verpflichtungen der Unternehmen gegenüber diesen Anbietern verknüpft. Es gibt zwar vertragliche Verpflichtungen mit Rabattstrukturen, aber dann bekommen die Mitarbeiter einfach eine Firmenkreditkarte oder es werden New Konten eingerichtet, möglicherweise
dem Namen
übernommenen Firma. Mike Anderson: Die Fähigkeit, solche Fälle zu identifizieren und dann Kontrollmechanismen einzuführen, um dies zu verhindern, ist also etwas, das den Sicherheitsteams wichtig ist. Auch den Infrastrukturteams ist es wichtig, da sie in Tools investieren. Das Schlimmste, was sie im Unternehmen haben wollen, sind doppelte Investitionen und Tools – Dinge, die nicht zu ihren Commits zählen und letztendlich nicht migriert werden. Sie müssen dann mehr Infrastruktur kaufen, um diese mit ihren bestehenden Umgebungen zu verbinden, was zu weiteren Investitionen führt. Diese Kosten müssen nun aus der laufenden Betriebskostenperspektive in diesen Unternehmen gedeckt werden. Ich denke also, dass es interessant sein wird zu sehen, wie sich SASE im Hinblick auf den Mannschaftssport in diesem Kontext entwickelt und wie sich diese Konversion zunehmend auswirkt. Wenn Sie es ganz einfach ausdrücken müssten: Sie stehen im Aufzug und präsentieren dem CIO des Unternehmens Ihren Elevator
würden Sie sagen, dass SASE die richtige Entscheidung für ihn ist? Steve Riley: Vielleicht, weil man keine andere Wahl mehr hat. Oh nein, ich mache nur Spaß. [Kichern] Secure Access Service Edge – das A ist vielleicht das wichtigste Wort in diesem Akronym. Da Cloud-Lösungen immer häufiger eingesetzt werden, kann man es sich so vorstellen: Unternehmen verlagern ihre Daten von einem einzigen Rechenzentrum auf viele Rechenzentren. Wenn die Daten also überall verstreut sind, weil die Anwendungen überall verstreut sind, dann verstreuen sich die Mitarbeiter ja auch überall, nicht wahr? Weil niemand ins Büro zurückkehren will. Und wie lässt sich der Zugriff auf Anwendungen und Daten effektiv steuern, wie lässt sich die Weitergabe besonders sensibler Informationen in dieser stark dezentralisierten Welt wirksam kontrollieren? Sie benötigen ein System, mit dem Sie alle Zugriffe und alle Datenbewegungen überwachen können.
Steve Riley: Sollte das nun eine einzelne Box in einem einzigen Rechenzentrum irgendwo sein? Ja, wenn man gerne in Angst lebt, vielleicht. Eigentlich sollte es das nicht sein. Sie wünschen sich einen Cloud-basierten Dienst, der die Sicherheit dort verteilen kann, wo sich die Personen, die Daten und die Anwendungen befinden. Aber Sie möchten einen einheitlichen Richtlinienrahmen, damit Sie nicht mehrere Entscheidungen basierend auf dem Ziel treffen müssen, und Sie möchten eine harmonisierte Benutzererfahrung, sodass sich die Art und Weise, wie die Menschen dorthin gelangen, unabhängig davon, wohin sie gehen, gleich anfühlt und aussieht. Genau das leistet SASE für Sie. Es bietet ein einheitliches Nutzererlebnis und einen konsolidierten politischen Rahmen für den Zugang
diesen gigantischen Datenzentren
die die Menschen aufbauen. Mike Anderson: Im Grunde geht es zurück auf meinen Slogan für meine Organisationen, der schon immer lautete: „Einfachheit ist die höchste Form der Raffinesse“, ein Zitat von Leonardo da Vinci. SASE scheint also der richtige Weg zu sein, um die Komplexität in Ihrem Unternehmen zu reduzieren und dadurch die Benutzerfreundlichkeit für Ihre Mitarbeiter beim Zugriff auf und der Nutzung von Anwendungen zu verbessern.
Steve Riley: Und es beseitigt Komplexität, und
wir wissen, ist Komplexität
Feind der Sicherheit. Mike Anderson: Das ist es. In der Tat. Wir haben also nur noch wenig Zeit, und deshalb gibt es bei uns immer einen Abschnitt über Prognosen. Ich weiß, dass Sie Prognosen lieben, denn Sie kommen ja von Gartner und haben selbst viele erstellt. Wenn man also fünf Jahre in die Zukunft blickt und es einen Bereich gibt, in den die Leute hätten investieren sollen, was würden Sie sagen, wenn die Leute in fünf Jahren zurückblicken und sagen: „Wisst ihr was, ich hätte diesem Bereich wirklich mehr Aufmerksamkeit schenken sollen?“ Es muss kein SASE sein, denn wir reden hier von... Es kann alles. Aber worüber sollten die Menschen Ihrer Meinung nach heute nachdenken, und worin würden sie sich wünschen, investiert zu haben, wenn sie in fünf Jahren zurückblicken könnten?
Steve Riley: Nun, mal sehen. Mir fallen spontan einige Dinge ein, aber wenn ich mich für nur eines entscheiden müsste… Ich werde das taktisch angehen. Es handelt sich um eine effektive automatisierte Datenklassifizierung. Wir haben in unserem Gespräch hier, Mike, schon mehrmals über Signale und über Kontext gesprochen. Ich denke, eines der nützlichsten Signale, die zur Erstellung geeigneter Richtlinien verwendet werden können, ist der Datenkontext und insbesondere die Datenklassifizierung. Ich denke gerne darüber nach, wie sich die Rolle der Sicherheit verändert – weg vom Wächter, der meistens Nein sagt, hin zu einer Instanz, die eine Standardhaltung zulässt wie: „Ja, das können Sie, aber unter Bedingungen.“ Das klingt für mich nach dem besten Weg, die Balance zwischen Sicherheit und Arbeitserledigung zu finden. Sie möchten beides tun, und die Sicherheitsphilosophie kann unter bestimmten Bedingungen als Standard „Ja“ lauten – nun, was sind dann diese Bedingungen? Eine der wichtigsten Voraussetzungen ist, zu verstehen, wozu die Daten dienen und welchen Schutz sie benötigen. Der Grund, warum ich das erwähne, ist, dass die Datenklassifizierung schwierig ist. Die verfügbaren Tools sind nicht besonders gut, und als Mitarbeiter bei Acne Corp ist es Ihre Aufgabe, Widgets oder Ähnliches zu entwickeln, nicht den ganzen Tag herumzusitzen, auf Schaltflächen und Symbolleisten
klicken und darüber nachzudenken:
Ist das öffentlich, privat oder vertraulich?“ Steve Riley: Ich denke also, dass der Versuch, Automatisierung einzuführen... Nun ja, Automatisierung im Allgemeinen, okay? Unsere umfassendere Antwort lautet also: „Lasst uns überall in Sicherheitsautomatisierung investieren.“ Mein Lieblingsbeispiel dafür ist die automatisierte Datenklassifizierung. Ich glaube einfach, dass uns das dabei helfen wird, dieses Ziel – den richtigen Zugriff zum richtigen Zeitpunkt – viel intelligenter zu erreichen.
Mike Anderson: Nun, vielleicht können wir chatGPT dazwischenschalten und es fragen: „Sind diese Daten für mich relevant?“ Und es kann helfen. Wenn wir ihm all unsere sensiblen Daten geben, kann es uns das dann mitteilen. Vielleicht ist das die Antwort, Spaß beiseite.
Steve Riley: Wollt ihr chatGPT wirklich all eure sensiblen Daten anvertrauen?
Mike Anderson: Nein, noch nicht, noch nicht. Ich denke
die ethische und kontrollierte Nutzung einiger New KI-Technologien ist ein ganz eigenes Thema
über das wir in zukünftigen Folgen sprechen können. Steve Riley: Ich wollte gerade sagen, ich hätte da noch eine andere Idee, und es überrascht mich manchmal immer noch, wie diese hier ankommt. Manchmal frage ich Leute, die Schwierigkeiten damit haben, wie sie ein Sicherheitsprogramm aufbauen wollen. „Nun, haben Sie sich schon einmal Gedanken darüber gemacht, was Ihr wichtigstes Gut ist und was passieren würde, wenn dieses Gut in irgendeiner Weise beeinträchtigt würde?“ Und ich bin überrascht, dass sich nur sehr wenige Menschen tatsächlich hingesetzt und dieses Gespräch bewusst geführt haben. Sie werfen Geld für dieses Werkzeug, jenes Werkzeug, das andere Werkzeug aus, aber sie denken nicht darüber nach: „Moment mal.“ Wenn eines unserer Informationsgüter so beschädigt würde, dass wir morgen einfach von der Bildfläche verschwinden würden, was ist dieses Gut und wie können wir es am besten schützen? Ich weiß nicht. Ich weiß nicht
ob das als Prognose nützlich ist oder nicht, aber ich bin überrascht
wie oft ich Leuten begegne, die sich nicht um so etwas herum organisiert haben. Mike Anderson: Ja, eine interessante Frage, wenn man sie umformuliert: „Was sind Ihre Kronjuwelen?“ Viele Menschen haben bereits erkannt, was das ist. „Und welche Daten in Ihren Kronjuwelen sind für Sie am wichtigsten zu schützen?“ Und vielleicht ist das eine andere Art, die Frage zu formulieren, die die Leute vielleicht zu einer anderen Denkweise anregt, denn normalerweise ist das Active Directory Ihres ERP-Systems immer etwas, das im obersten Bereich verwaltet wird, weil es die Verbindung zum Rest der Welt darstellt. In vielen Organisationen sind es auch heute noch die Tentakel, die sich in den Rest der Organisation ausbreiten. Also wieder eine gute Vorhersage. Zum Abschluss der Folge gibt es immer diesen Abschnitt, der einer meiner Favoriten ist, unser kurzer Höhepunkt. Ich werde Ihnen also ein paar Fragen stellen, um Ihre spontane Reaktion darauf zu erfahren, und dann werden wir ein paar davon durchgehen und ein bisschen Spaß haben. Die erste Frage, die ich immer gerne stelle, lautet: Was ist der beste Führungsratschlag, den Sie je erhalten haben?
Steve Riley: Der beste Führungsratschlag, den ich je erhalten habe? Ich weiß nicht, ob ich das als Führungsratschlag bezeichnen würde, denn ich habe meine Karriere nicht darauf ausgerichtet, Personalmanager zu sein, aber ganz allgemein ist es etwas, das mir meine Großmutter vor vielen Jahren gesagt hat: Wenn jemand etwas für dich tut oder dir etwas gibt, bedanke dich bei ihm. Sag nicht: „Ach, das hättest du nicht tun müssen“, denn das schmälert die Mühe, die sie sich gemacht haben, um das für dich zu erledigen. Sei dankbar, lächle, sei demütig und mach dann weiter. Diesen Rat bekam ich von ihr
als ich 12 war [lacht]
und ich erinnere mich noch heute daran. Mike Anderson: Oh, das ist definitiv ein weiser Rat, ganz sicher. Nächste Frage: Wenn Sie für den Rest Ihres Lebens nur noch eine Mahlzeit essen könnten, welche wäre das?
Steve Riley: Eines der Gemüse-Rühreisgerichte meiner Frau. Sie macht das fantastisch, indem sie einfach das nimmt, was im Haus ist, ein paar Gewürze hinzufügt und es zubereitet, und es schmeckt köstlich. Es ist nie dasselbe, es ist immer anders, aber es schmeckt immer gut. Also, Gemüse-Rührei.
Mike Anderson: Das ist großartig. Klingt nach etwas, das wir bei uns zu Hause so nennen: Jetzt heißt es: Jetzt muss es los. Die Liste läuft bald ab, also sollten wir besser etwas damit anfangen, alles zusammenwürfeln und sehen, ob wir etwas Leckeres daraus machen können. Das macht auf jeden Fall viel Spaß. Okay, das nächste werde ich lieben. Was ist dein Lieblingslied, und was verrät uns das über dich?
Steve Riley: Oh, also ich höre hauptsächlich elektronische Tanzmusik oder Klassik. Ich würde also sagen, mein Lieblingsmusikwerk ist Aaron Coplands „Dritte Sinfonie“. Ich weiß nicht, was das über mich aussagt, außer dass ich die harmonischen Strukturen, die Copland in seiner Blütezeit hatte, wirklich liebe. Er hat Akkorde und Klänge kreiert, die sonst niemand hatte, und das zieht mich einfach total in seinen Bann. Ich kann
Hören seiner Musik völlig verlieren, und die Dritte Sinfonie ist meiner Meinung nach vielleicht sein bestes Werk. Mike Anderson: Das ist großartig. Nun, ich werde es mir wohl anhören müssen. Ich bin mir sicher, dass ich es schon einmal gehört habe und ich würde es wahrscheinlich auch wiedererkennen, wenn ich es gehört hätte, aber ich muss mir das nochmal ansehen. Schick mir bitte auch den Link zum Lied, damit ich es mir nochmal anhören kann.
Steve Riley: Sie haben bestimmt schon einmal „Fanfare for the Common Man“ gehört, vielleicht kennen Sie den Namen nicht, aber sobald Sie es hören, werden Sie es sofort wiedererkennen. Das ist der vierte Satz einer Sinfonie.
Mike Anderson: Oh, das ist großartig. Nun, Steve, ich habe die Zeit heute sehr genossen, und wir könnten stundenlang reden, wie wir es auch offline immer tun. Deshalb freue ich mich sehr, dass du heute unser Gast warst und deine Ratschläge und deinen reichen Wissensschatz mit uns geteilt hast. Gibt es etwas, das Sie unseren Zuhörern aus diesem Gespräch mitgeben möchten, irgendwelche letzten Ratschläge, die Sie uns im Hinblick auf Security Service Edge, die nicht vollständig freigegebene SASE oder ähnliches geben möchten? Was möchten Sie unseren Hörern mitgeben?
Steve Riley: Zum Abschluss möchte ich noch einmal auf den Aspekt der Menschen zurückkommen und alle unsere Zuhörer daran erinnern, dass Ihre Mitarbeiter wertvoll sind. Sie benötigen möglicherweise etwas Unterstützung, um New Wege zu finden, diesen Mehrwert zu bieten. Hören Sie ihnen zu, stellen Sie ihnen Fragen, finden Sie heraus, was sie antreibt, und helfen Sie ihnen dann
zu finden, diesen Mehrwert angesichts des rasanten technologischen Wandels zu erhalten. Mike Anderson: Das ist definitiv ein guter Rat. Wir müssen immer mitdenken... Der Mensch steht immer an erster Stelle. Genau damit haben wir es zu tun. Deshalb müssen wir immer an die Menschen denken. Der technische Aspekt ist einfach. Die größte Herausforderung besteht immer darin, die Menschen für die Veränderung zu gewinnen, daher ist das definitiv ein guter Rat. Vielen Dank noch einmal fürs Mitmachen beim Podcast! Ich weiß, unsere Hörer haben heute wirklich tolle Tipps von Ihnen bekommen, und ich weiß es sehr zu schätzen
Sie sich die Zeit genommen haben. Steve Riley: Gern geschehen. Und vielen Dank für die Einladung. Es macht wie immer riesigen Spaß.
Mike Anderson: Ich hoffe, Ihnen hat unser heutiges Gespräch mit Steve Riley gefallen. Steve ist, wie gesagt, unser Field CTO hier bei Netskope, aber er ist ein langjähriger Gartner-Analyst. Steve hat in unserem Gespräch viele tolle Ratschläge und Weisheiten mit uns geteilt. Drei Dinge sind mir besonders aufgefallen, allen voran die Menschen. Wenn wir also über irgendeine Technologie nachdenken, denken wir an SASE, wir denken an Security Service Edge, und beginnen damit, über die Menschen und die Auswirkungen nachzudenken, die dies auf sie in der Organisation haben wird: Wie können wir diese Menschen bei diesem Wandel unterstützen? Wie können wir in diese Menschen investieren, um ihnen die richtigen Fähigkeiten zu vermitteln, die sie benötigen, um in diesen New Bereichen erfolgreich zu sein? Der zweite Punkt ist: Wenn Sie über SASE nachdenken, sollten Sie zunächst Ihre Umgebung analysieren, um herauszufinden, wo der richtige Ausgangspunkt ist. Zum Beispiel: Ersetzen Sie Ihren lokalen Proxy, den Sie heute verwenden, und integrieren Sie ihn in SASE, oder ersetzen Sie das VPN, das Sie für den Anwendungszugriff verwenden. Dann sagte Steve, dass ein Bereich, in dem viele Unternehmen ansetzen können, die Frage sei: „Wie gestalte ich den Zugang?“ und dass dies neben dem, was ich heute habe, stehen und in Zukunft zu meinem Hauptgeschäft werden kann. Und das letzte Thema, das in unseren Gesprächen in diesem Jahr schon oft zur Sprache kam, betrifft die Automatisierung. Automatisieren Sie so viel wie möglich in Ihrer Umgebung. Insbesondere im Hinblick auf die Datenklassifizierung ist das definitiv ein Bereich der Automatisierung, den wir uns genauer ansehen.
Steve Riley: Vielen Dank, dass Sie heute wieder eingeschaltet haben zu dieser Folge des Netskope Security Visionaries Podcasts. Bleibt dran für zukünftige Folgen und habt einen schönen Tag!
[Musik] Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope präsentiert. Die Netskope-Plattform ist schnell und einfach zu bedienen und bietet optimierten Zugriff sowie Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo immer sie sich befinden. Sie hilft Kunden, Risiken zu reduzieren, die Leistung zu beschleunigen und eine beispiellose Transparenz hinsichtlich aller Aktivitäten in Cloud-, Web- oder privaten Anwendungen zu erhalten. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und eine Rezension zu schreiben, und teilen Sie sie mit jemandem, von dem Sie wissen, dass er sie vielleicht mögen könnte. Freut euch auf neue Folgen, die alle zwei Wochen erscheinen, und wir sehen uns in der nächsten Folge.
Zurück
){kind=icon}
