[Musik] Steve Riley: Ich würde sagen, dass in den Singles, dem einzigen Richtlinienrahmen, der einzigen Konsole, dem einzigen Agenten viel Macht steckt. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, dass sie sich bei mehreren Konsolen anmelden müssen, bei mehreren einzelnen Klassenfenstern, manche würden vielleicht sagen, und sie sind begeistert von der Tatsache, dass sie bei Netskope an einem Ort sind. Die Singles helfen uns dabei, all diese Akronyme und alle Möglichkeiten zu eliminieren... Anders über die verschiedenen Ziele nachzudenken und eine einheitliche politische Denkweise zu entwickeln.
Produzent 1: Hallo und willkommen bei Security Visionaries. Sie haben gerade von unserem heutigen Gast Steve Riley, Field CTO bei Netskope, gehört. Mit der Veröffentlichung des Magic Quadrant für Security Service Edge von Gartner konzentrieren sich Branchenführer darauf, Teil der Revolution zu werden, von der Automatisierung ihrer Umgebungen über Investitionen in New Fähigkeiten ihrer Mitarbeiter bis hin zur Berücksichtigung des wirtschaftlichen Klimas. Dies sind nur einige der Herausforderungen, denen sie auf ihrer Reise gegenüberstehen. Bevor wir in Steves Interview eintauchen, hier ein kurzes Wort von unserem Sponsor.
Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Bei Netskope definieren wir die Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Menschen, Geräte und Daten bietet, wo immer sie sich befinden. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE -Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Genießen Sie ohne weitere Umschweife diese Bonusfolge von Security Visionaries mit Steve Riley, Field CTO bei Netskope, und Ihrem Gastgeber Mike Anderson.
Mike Anderson: Willkommen zu dieser Folge des Security Visionaries Podcast. Hier ist Ihr Gastgeber, Mike Anderson. Ich bin der Chief Digital and Information Officer hier bei Netskope. Heute ist eine Legende der Sicherheitsbranche bei mir zu Gast: Steve Riley, ehemaliger Gartner-Analyst und aktueller Field CTO bei Netskope. Steve, wie geht es dir heute?
Steve Riley: Mir geht es gut. Danke, Mike. Wie geht es dir?
Mike Anderson: Mir geht es gut. Mir geht es gut. Ich genieße unsere Gespräche und die ganze Geschichte immer. Du hast so viele tolle Geschichten.
[lacht] Steve Riley: Jetzt muss ich es einigen davon erzählen. Oh, woran werde ich mich erinnern?
Mike Anderson: Eine der Geschichten, Steve, die immer lustig ist, ist, dass Sie, als Sie bei einer – ich glaube, es war eine der großen Microsoft-Konferenzen, vielleicht eine technische Bildungs- oder Entwicklerkonferenz – waren, aufgestanden sind und über Sicherheit gesprochen haben und alle für die Sicherheit bei Microsoft begeistert haben, was damals irgendwie ein Widerspruch in sich war. Aber vielleicht könnten Sie diese Geschichte noch einmal erzählen.
Steve Riley: Ja. Es war also vielleicht nicht die erste technische Schulung, bei der ich einen Vortrag gehalten habe, aber die zweite. Ich musste im großen Raum eine Präsentation halten, zum Beispiel über die New bei der Sicherheit von Windows XP. Ich stehe an diesem Morgen unter der Dusche und überlege: „Wie sage ich es dieser riesigen Menschenmenge, damit sie dieser zufälligen Person wenigstens Aufmerksamkeit schenkt?“, und schließlich dämmert es mir. Also ging ich auf die Bühne und sagte: „Okay, ich werde den Raum in zwei Hälften teilen. Wenn ich meinen linken Arm hebe, soll jeder auf dieser Seite „Windows“ rufen, und wenn ich meine rechte Hand hebe, soll jeder auf der anderen Seite „Sicherheit“ rufen. Also gut, jetzt lasst uns üben.“ „Windows.“ "Sicherheit." Machen Sie sich also über die rechte Seite lustig, weil sie irgendwie anämisch war. „Ah, ihr seid echt scheiße. Versuchen wir es noch einmal, also dreimal, ja? „Windows.“ "Sicherheit." „Windows.“ "Sicherheit." Und dann sagte ich: „Siehst du? Wenn man es oft genug sagt, fängt es an, sich wie die Wahrheit anzuhören, nicht wahr?" Wenn 9.000 Leute über etwas lachen, das Sie gerade gesagt haben, ist das so, als ob Sie sagen würden: „Okay, das möchte ich für den Rest meines Lebens machen.“ [lacht]
Mike Anderson: Nun, absolut. Also, fangen wir heute mit dem Gespräch an. Die aufregenden Neuigkeiten kamen heraus. Der New Gartner Magic Quadrant für Security Service Edge ist erschienen und wir, die wir beide bei Netskope arbeiten, sind natürlich total begeistert von den Ergebnissen.
Steve Riley: Oh ja. Das bin ich auf jeden Fall.
Mike Anderson: Bevor wir uns darauf stürzen, würde ich gern etwas zurückgehen. Und Sie waren eine Zeit lang bei Gartner. Dann waren Sie, würde ich sagen, sozusagen einer der Väter des gesamten Security Service Edge, wenn wir an Zero Trust Network Access denken. Ich weiß, dass Sie das von Ihnen geschaffene Akronym ZTNA lieben, weil es das Wort „Netzwerk“ enthält. Das ist mein Sarkasmus für heute. Ich möchte dort anfangen. Lassen Sie uns ein wenig über Ihren Werdegang sprechen, bevor wir eintauchen, damit die Leute den Kontext Ihrer Expertise in diesem speziellen Bereich verstehen.
Steve Riley: Richtig. Ich wurde bei Gartner im Bereich Sicherheitsrisikomanagement eingestellt, mit besonderem Schwerpunkt auf der Sicherheit öffentlicher Clouds. Während meiner gesamten Tätigkeit dort, also etwa fünfeinhalb Jahre, habe ich unseren Kunden Ratschläge und Anleitungen gegeben, wie sie in IaaS-Clouds wie AWS und Azure sicher sein können. Ein bisschen GCP. Bei Gartner-Kunden nicht allzu beliebt. Aber dann gibt es viele Gespräche darüber, wie man in SAS-Anwendungen wie Office 365 und einigen anderen beliebten Anwendungen Sicherheit gewährleistet. Als ich damals ein Vorstellungsgespräch bei Gartner hatte, bestand ein Ablauf des Vorstellungsgesprächs darin, dass man in einem Büro erschien, in einen Raum gebracht wurde und 90 Minuten Zeit bekam, um aus dem Kopf eine Forschungsnotiz zu schreiben. Sie haben keine Internetverbindung, gar nichts, und das Thema, das ich erhalten habe, war, wie Sie in Office 365 sicher sind. Ich habe also einfach alles verwendet, was mir dazu einfiel, und eine etwa dreiseitige Notiz verfasst. Ich habe beschlossen, dass meine erste Notiz bei Gartner eine umfassendere Version desselben Themas sein sollte. Ich glaube, das war immer eine meiner wichtigsten roten Notizen, weil die Leute einfach nicht wussten, wie sie bei SaaS-Anwendungen für Sicherheit sorgen können. Das ist interessant, wenn man darüber nachdenkt, denn bei IaaS-Diensten sind die Sicherheitseinstellungen in der Regel standardmäßig festgelegt. Man hört ständig von diesen undichten Eimern und das wird auch so sein. Das liegt daran, dass jemand die Standardeinstellung in eine schwächere geändert hat.
Steve Riley: Bei SaaS-Anwendungen ist das ganz anders. Die meisten Sicherheitsvorkehrungen sind ausgeschaltet. Sie müssen es einschalten. Und Sie möchten vielleicht wissen: „Warum ist das so?“ Viele SaaS-Anwendungen erleichtern die Zusammenarbeit, und manchmal steht die Sicherheit der Zusammenarbeit im Weg, sodass die meisten Kontrollen deaktiviert sind. Wenn Sie jedoch über die Sicherheit von SaaS-Anwendungen nachdenken, verfügen möglicherweise nur eine Handvoll davon über eine angemessene integrierte Sicherheit. Die meisten von ihnen haben überhaupt nichts, und das war der Grund für die Entstehung des gesamten Marktes für Cloud Access Security Broker, auf dem Netskope seinen Anfang nahm. Dies ist vielleicht das beste Beispiel dafür, dass zusätzliche Sicherheit tatsächlich funktioniert. Davon hört man ständig: Sicherheit kann man nicht einfach nachrüsten, man muss sie einbauen. Das gilt, wenn Sie Ihre eigenen Anwendungen schreiben, aber bei SaaS gehört Ihnen die App nicht. Wenn Sie es sichern möchten, besteht die einzige Möglichkeit darin, etwas anzuschrauben, und das ist bei CASBs wirklich gut möglich.
Steve Riley: Ich habe diese Technologie wirklich zu schätzen gelernt. Und als ich dazukam, gab es bereits einen Marketingleitfaden für CASB, aber ich dachte mir: „Wir müssen dafür einen Magic Quadrant erstellen.“ Das erste erschien 2017 und Craig Lawson und ich waren Co-Autoren. Im Jahr 2018 haben wir dann den Hinweis zu kritischen Fähigkeiten hinzugefügt und diesen einfach beibehalten. Gegen Ende des Zyklus 2020 bemerkten Craig und ich, dass es bei den Anbietern von CASB und SWG erhebliche Überschneidungen gab, und so dachten wir: „Hey, es sieht ganz danach aus, als würden diese Märkte zusammenwachsen.“ Und wir haben einige andere Analysten zu einem Telefonat eingeladen und dafür plädiert, die beiden unterschiedlichen Magic Quadrants für CASB und SWG außer Kraft zu setzen und einen New einzuführen. Nun wollten einige Leute den CASB einfach abschaffen und in SWG umbenennen, aber Craig und ich hielten es für wichtig, den Käufern klarzumachen, dass diese beiden Märkte als eigenständige Märkte nicht länger nützlich sind. Also haben wir beide MQs außer Dienst gestellt und ein New MQ mit einem New Namen eingerichtet. Das geschah kurz vor meiner Abreise.
Mike Anderson: Das ist großartig. Und wenn wir uns das letzte Jahr ansehen, als Magic Quadrant veröffentlicht wurde, war es ein großes Debüt, und das ist offensichtlich ein … Der Secure Access Service Edge, die dazu erschienenen Leitfäden und die Untersuchungen von Gartner – der Sicherheitsstapel war in diesem Zusammenhang immer so etwas wie der Security Service Edge. Erzählen Sie uns also ein wenig darüber, warum das SSE MQ des letzten Jahres so wichtig war und insbesondere, wie es dazu beiträgt, das Konzept von Secure Access Service, Edge oder SASE zu stärken.
Steve Riley: Wenn Sie an einige der ursprünglichen Diagramme zurückdenken, die Gartner mit SASE erstellt hatte, gab es auf der linken Seite eine Menge Netzwerkkram: Routing und Switching und SD-WAN und WAN-Optimierung und DNS. All diese Dinge sind dafür verantwortlich, Pakete von einem Ort zum anderen zu bringen. Und auf der rechten Seite befand sich eine Reihe von Sicherheitsaspekten: CASB, SWG, VPN, DLP, IAM und all die Dinge, die sich damit befassen, sicherzustellen, dass die richtigen Dinge am richtigen Ziel ankommen und die falschen nicht. Mit der Zeit begannen diese zusammenzubrechen und wir haben vor Kurzem ein vereinfachtes Diagramm von Gartner gesehen, bei dem die linke Seite nur SD-WAN darstellte. Und was stand darin? Das heißt, dass viele der Netzwerkfunktionen, die früher getrennt waren, vielleicht separate Boxen, manchmal separate Anbieter, irgendwie rund um SD-WAN konsolidiert wurden. SD-WAN war der übergreifende Mechanismus, den die Leute nutzten, um Bits zu verteilen, und der Rest dieser Funktionen wurde zu Merkmalen von SD-WAN.
Steve Riley: Das Aufkommen von SSE hat für die Sicherheitsseite die gleiche Wirkung wie SD-WAN für die Netzwerkseite. Dabei wurden alle verschiedenen Mechanismen, die Menschen zum Zugriff auf Daten verwenden, auf einer Plattform zusammengefasst. Manchmal handelt es sich vielleicht nur um ein Portfolio, aber die effektiveren Lösungen bestehen aus einer einzigen Plattform mit einer einzigen Richtlinienkonstruktion, einem einzigen Agenten. Ich stelle es mir immer gerne so vor: Der Aufstieg von SSE bedeutet, dass wir nicht mehr über unterschiedliche Tools zur Steuerung des Zugriffs auf SaaS, Web oder private Apps nachdenken müssen. Wir möchten den Zugriff regeln und unabhängig vom Zielort die gleiche Datenschutzmethode verwenden. Warum also haben wir all diese unterschiedlichen Tools? Ich möchte das loswerden. Ich möchte ein Tool für die Zugriffsverwaltung für alle Ziele, damit meine Richtlinien konsistent sind und das Benutzererlebnis deutlich angenehmer ist.
Mike Anderson: Das ist ein guter Punkt. Ich sehe da draußen definitiv eine Menge, und jedes dieser Tools hat oft auch seinen eigenen Agenten, seine eigene Hardware, die in Organisationen in der Leitung sitzt, und die Person, die Probleme hat, Anrufe mit einem Helpdesk zu verbinden, fragt sich: „Okay, was ist das Problem?“ „Also, zunächst einmal: Mit welcher App versuchen Sie eine Verbindung herzustellen?“ Und es handelt sich um einen ganz anderen Satz von Fehlerbehebungsaufgaben, der über die bloße Richtlinie hinausgeht. Es geht um die nachgelagerten Auswirkungen auf den Rest der Organisation, die sich auf die Schaffung einer großartigen Mitarbeitererfahrung beziehen. Ich sehe also, dass es an Fahrt gewinnt. Mich würde interessieren, was aus Ihrer Sicht und den Gesprächen, die Sie führen, jetzt im Vergleich zu vor einem Jahr anders ist, was die Akzeptanz von Security Service Edge im Kontext von SASE betrifft?
Steve Riley: Nun, ich würde sagen, dass das Bewusstsein für diese Märkte leicht zugenommen hat. Manchmal hat man immer noch das Gefühl, dass die Leute etwas verloren sind, wenn man diese Akronyme erwähnt. Jeder weiß, was ein SWG ist, manche wissen, was ZTNA ist. Noch weniger Menschen wissen, was CASB ist. Ich habe gerade einen aktuellen Bericht von Gartner zur Technologieakzeptanz gesehen, in dem CASB seltsamerweise als etwas dargestellt wird, das sich noch in der Pilotphase befindet. Ich bin nicht sicher, ob ich dieser Aussage zustimme. Ich denke, es ist mittlerweile viel weiter fortgeschritten, insbesondere wenn man sich ansieht, wo wir uns im Hype-Zyklus der Cloud-Sicherheit befinden. Wenn ich mit Leuten spreche, möchte ich die Abkürzungen beiseite lassen und darüber sprechen, wie ich sicherstellen kann, dass die Daten dorthin gelangen, wo sie hin sollen, und nicht dorthin gelangen, wo sie nicht hin sollen, und dass die richtigen Leute zur richtigen Zeit aus den richtigen Gründen Zugriff auf die richtigen Dinge erhalten. Und wenn ich diese Art der Darstellung verwende und die Marktnamen überhaupt nicht erwähne, sagen die Leute: „Oh ja, das brauche ich wirklich“, oder, noch interessanter, sie sagen: „Oh ja, das mache ich bereits“, und dann: „Na ja, wie machen Sie das?“ Und sie sagen: „Also, ich habe dieses Produkt von diesem Anbieter gekauft“, und sie wissen nicht einmal [lacht], wie der Markt heißt. Ich würde es begrüßen, wenn wir herausfinden könnten, wie wir die Marktnamen beiseite lassen und über die Funktionen sprechen können, die es bietet, um uns auf den Wert zu konzentrieren, den sie daraus ziehen.
Mike Anderson: Ich stimme definitiv zu. Sie und ich führen dieses Gespräch schon seit ... Wenn ich als CIO die Dinge betrachte, frage ich mich: Welches Problem versuche ich zu lösen? Die erste Frage, die ich meinem Team stelle, lautet: „Okay, Sie bringen mir eine Technologie.“ Okay, sagen Sie mir, welches Problem wir lösen. Und wenn wir es lösen, welchen Wert wird es für unser Unternehmen schaffen und wie hoch ist dann der Aufwand, der erforderlich ist, um diesen Wert zu erzielen, im Vergleich zu anderen Dingen, die wir ebenfalls tun könnten?“ Es geht also immer darum, ... rücksichtslose Priorisierung ist für Führungskräfte von entscheidender Bedeutung, denn sie müssen sicherstellen, dass sie die richtigen Investitionen tätigen und die richtigen Ergebnisse für ihr Unternehmen erzielen. Wenn wir uns einige Ihrer Gespräche genauer ansehen, was hören Sie dann konkret? Und gibt es irgendwelche Überraschungen?
Steve Riley: Nun, ich würde sagen, dass immer mehr Organisationen Wert darauf legen, Infrastruktur- und Sicherheitsteams zusammenzubringen, aber diese Silos oder Zylinder der Exzellenz, wie wir sie nennen könnten, gibt es immer noch.
Steve Riley: Tatsächlich habe ich heute mit einem Kunden telefoniert, und er wollte wissen: „Wie können wir diese Zylinder der Exzellenz abreißen, denn das ist für mich die größte Herausforderung, um den größtmöglichen Nutzen aus SASE zu ziehen?“ Und ich sage: „Nun, sie müssen einfach Gründe finden, zusammenzuarbeiten. Es handelt sich um zwei, manchmal vielleicht auch drei Gruppen von Menschen, die sich beruflich und sozial gegenseitig große Mühe geben. Das wird einfach nicht funktionieren. Wenn die Tools zusammengeführt werden und gemeinsame Ziele verfolgt werden, muss man meiner Meinung nach einen Grund finden, warum diese Teams zusammenarbeiten wollen. Und das ist das Coole an ZTNA, wenn ich kurz einen Marktnamen ins Gespräch bringen möchte: … Ich habe das bei Gartner gehört und einige Leute hier bei Netskope hören das auch: ZTNA-Projekte erweisen sich oft als eines der ersten Dinge, die sich als eine Übung der Zusammenarbeit erweisen. Infrastruktur und Sicherheit arbeiten zusammen und entwickeln eine New Möglichkeit, Fernzugriff auf Anwendungen bereitzustellen. Es funktioniert wirklich ganz gut. Und tatsächlich sagte der Kunde, den ich auch erwähnte, dass er eine Ahnung davon hatte, als er versuchte, einige der Möglichkeiten des privaten Netskope-Zugriffs auszuloten, und dass er bereits einige Beispiele von Sicherheits- und Infrastrukturleuten gesehen hatte, die von sich aus Kontakt aufnahm und Einzelgespräche führte. Noch nicht auf Teamebene. Sie glauben, dass das bald passieren wird.
Mike Anderson: Sie bringen auch einen guten Punkt zur Sprache, denn ich denke, eines der Dinge, die ich den Leuten immer erzähle, wenn ich mit ihnen speziell über den privaten Zugriff von Netskope oder den Zero Trust Network Access spreche, für den Begriff können wir Ihnen offensichtlich danken. Wenn ich mit ihnen darüber spreche, sage ich ihnen, dass sie grundsätzlich einen zusätzlichen Schritt in ihren Änderungsverwaltungsprozess einfügen müssen, bei dem es vorher die Anwendungseigentümer waren, denen ich Zugriff für diesen Benutzer in dieser Anwendung gewährte. Können sie sich anmelden? Ich muss dort jetzt einen zusätzlichen Schritt machen, bei dem es nicht darum geht, ob ich Netzwerkzugriff habe, sondern ob ich Anwendungszugriff habe. Sie müssen also bei der Erstellung dieser Dinge explizit sein, und das erfordert Koordination. Sie bringen also einen wirklich guten Punkt zur Sprache. Es geht über die reine Vernetzung hinaus, es geht um … Viele andere Teams sind an diesem Prozess beteiligt, um sicherzustellen, dass der Zugriff wie vorgesehen erfolgt.
Steve Riley: Wenn ich an meine Interaktionen mit den Leuten im letzten Jahr zurückdenke, hat mich etwas überrascht: Die Leute scheinen die Zero-Trust-Prinzipien zwar leicht zu verstehen, haben aber Schwierigkeiten damit, damit anzufangen.
Steve Riley: Und normalerweise versuche ich zu erklären, dass eine gute Zero-Trust-Strategie nur dann wirklich funktioniert, wenn Sie über die richtigen Instrumente verfügen, um Signale zu sammeln und den Kontext des Benutzers, des Geräts, der Anwendung, der Daten, der normalen Bandbreite, des Wer, Was, Wo, Wann, Warum zu bewerten. Und wie macht man das? Nun, Sie brauchen ein IAM, Sie brauchen Endpunktschutz und Sie brauchen SSE. Das Überraschende ist, dass die Leute schockiert sind, wenn sie erfahren, dass sie es entweder bereits haben oder gerade dabei sind, es sich anzueignen, nicht wahr? Es ist ein Techniker. Ihnen fehlt einfach die nötige Einstellung. „Wie erlerne ich die Zero-Trust-Prinzipien?“ Ein Beispiel, das ich gerne gebe, ist die Implementierung eines Zero-Trust-Netzwerkzugriffsprojekts. Dadurch lernen Sie die Prinzipien kennen und können auf diese Weise New Technologien einführen, ohne etwas ersetzen zu müssen. Sie können neben allem bestehen, was Sie sonst noch für den Fernzugriff auf interne Anwendungen verwenden. Wenn Sie sich erst einmal mit dieser New Sprache und der Funktionsweise der Tools vertraut gemacht haben, ist es nicht mehr so weit hergeholt, zu glauben, dass … Sie haben mit einem CASB bereits Zero-Trust-Prinzipien auf SaaS-Anwendungen angewendet, obwohl niemand zuvor diese Worte in den Zusammenhang gebracht hatte, und dann sagen sie: „Oh, das stimmt. Habe ich nicht." Daher ist es schön zu sehen, dass die Leute jetzt erkennen, dass es vielleicht doch nicht so schwer ist, wie sie vor einem Jahr dachten.
Mike Anderson: Ja, es hilft der Branche nicht … Sie und ich haben diese Diskussion bis zum Erbrechen geführt, aber es hilft nichts, wenn jeder Anbieter auf der Welt behauptet, sein Produkt sei ein Zero-Trust-Produkt. Und manchmal sagt man, es handle sich um Zero Trust, und dann verdrehen CIOs und CISOs die Augen und sagen: „Ja, okay, Sie sind das tausendste Unternehmen, das gesagt hat, es würde das Zero Trust-Problem für mich lösen.“ Aber ich denke, Sie bringen einen guten Punkt vor. Ich denke, dass der Punkt der Richtliniendurchsetzung zwischen Benutzern und Anwendungen darin besteht, aus Sicht des Zugriffs eine Null-Vertrauens-Haltung einzunehmen, und ich glaube, dass die Leute das allmählich immer besser verstehen. Ich glaube, es gibt einige Unternehmen, die sagen: „Sehen Sie, ich werde dies zur einzigen Möglichkeit machen, wie die Leute auf Anwendungen in meiner Umgebung zugreifen können, mit ein paar Randfällen für Personen, die wirklich Netzwerkzugriff benötigen, aber diese werden immer weniger.“ Und die Leute sagen sich angesichts der Dinge, die Sie vorhin angesprochen haben, wie Routing, Switching und einige der Dinge, die es gibt, wie komplexe Schreibtische: „Wissen Sie, brauchen wir all diese Dinge wirklich noch, oder brauchen wir nur einen Internetzugang und können diese New Technik den Rest für uns erledigen lassen?“ Und das ist etwas, was ich auf dem Markt von CIOs und CISOs sehe und höre.
Steve Riley: Ich habe viele ähnliche Dinge gehört.
Mike Anderson: Ja, ich habe eine Vorhersage für Sie, Sie mögen Vorhersagen, ich weiß, es wird einen New Titel geben, und zwar „Chief Infrastructure Security Officer“. Das „I“ wird also zu Infrastruktur, denn ich habe in den letzten Monaten mit einigen Leuten gesprochen, die nicht nur das Netzwerk, sondern das gesamte Infrastruktur- und Sicherheitsteam unter einer Leitung zusammengeführt haben. Und ich erkenne da langsam einen stärkeren Trend, denn es gab interne Machtkämpfe... Das Infrastrukturbudget wurde gekürzt, um das Sicherheitsteam finanzieren zu können. Und genau da gab es Reibereien, weil weiterhin Geld in die Sicherheit fließt, weil es ja irgendwo herkommen muss. Der CEO senkt seine Gewinnprognose nicht, um die größeren Sicherheitsinvestitionen abzudecken. Also werden die Teile verschoben, aber dann kommen die Anforderungen des Sicherheitsteams zurück zum Infrastrukturteam und sagen: „Setzen Sie das um.“
Mike Anderson: Und das Infrastrukturteam sagt: „Nun, Sie haben mir gerade alle meine Leute und mein Budget weggenommen. Wie soll ich das machen?" Und das ist ein Teil der inhärenten Reibung, die wir auf dem Markt beobachten. Aus diesem Grund denke ich an die Integration dieser Teams, die ich dort sehe. Die CIOs, mit denen ich spreche, sagen, dass sie mit diesem Ansatz sehr gute Erfolge erzielen.
Steve Riley: Das ist großartig. Und das ist ein weiteres Beispiel für die Konsolidierung dieser beiden ehemals getrennten Bereiche. Das gefällt mir.
Mike Anderson: Ja, das ist auch interessant, denn oft herrscht auf der obersten Ebene Übereinstimmung, aber die Dinge geraten auseinander, wenn man zu den Leuten kommt, die die Arbeit tatsächlich machen und ihre Finger auf die Tastaturen legen, weil sie sich fragen: „Welche Auswirkungen wird diese Änderung auf meinen Lebensunterhalt haben?“ Und so kommen die menschliche Psychologie und Maslows Bedürfnishierarchie bei den Menschen zum Tragen, die diese Arbeit jeden Tag verrichten, weil sie mit Veränderungen verbunden ist. Und ich denke, das ist es, was die Menschen auch erkennen: Wenn sie diese Teams zusammenbringen, welche Auswirkungen die Veränderungen haben werden und wie sie die Menschen durch diese Veränderungen führen. Das ist eines der Dinge, die die Leute langsam verstehen. Wenn wir hier doppelklicken, sehen wir unsere Positionierung. Wie informiert unsere Positionierung die Kunden, wenn sie über ihre SASE-Reise nachdenken? Wie helfen wir den Menschen in dieser Hinsicht durch unsere Positionierung auf dem Markt?
Steve Riley: Ich würde sagen, dass in den Singles, dem einzelnen Richtlinienrahmen, der einzelnen Konsole und dem einzelnen Agenten eine Menge Leistung steckt. Ich habe mit vielen Leuten gesprochen, die sich darüber beschweren, dass sie sich bei mehreren Konsolen anmelden müssen, bei mehreren einzelnen Fenstern, wie manche vielleicht sagen würden, und sie sind begeistert von der Tatsache, dass sie bei Netskope an einem Ort sind. Die Singles helfen uns dabei, all diese Akronyme und alle Möglichkeiten zu beseitigen ... indem wir anders über die verschiedenen Ziele nachdenken und eine einheitliche politische Denkweise haben. Allerdings wäre es wohl nachlässig, wenn ich nicht auch erwähnen würde, dass es von Zeit zu Zeit – nicht oft, aber gelegentlich – zu Streitigkeiten darüber kommt, wer vor einer einzigen Konsole sitzen darf, wenn einige Leute mit einer einzigen Konsole konfrontiert werden. [Gelächter] So wie: „Im Ernst?“ Aber es ist passiert, und deshalb weisen wir die Leute darauf hin, dass es rollenbasierten Zugriff und verschiedene Bereiche der Konsole für verschiedene Rollen geben kann, wenn Sie so etwas tun und dazu beitragen möchten, einige dieser Bedenken auszuräumen. Aber ich würde sagen, dass dies eines der Dinge ist, die Gartner wirklich geschätzt hat, nämlich die Aussagekraft der Singles, die uns geholfen hat, im MQ so weit nach rechts und nach oben zu kommen.
Steve Riley: Aber ich würde sagen, dass es uns auch sehr gut auf eine ähnlich gute Position vorbereitet, falls es eines Tages jemals einen SASE Magic Quadrant geben sollte. Wenn Sie sich einen zuvor veröffentlichten Marktführer für Single-Vendor-SASE ansehen, sind wir der einzige aufgeführte SSE-Anbieter, da wir jetzt über ein SD-WAN verfügen. Die anderen Teilnehmer an diesem Marktführer kamen alle aus dem SD-WAN-Bereich und fügen im Laufe der Zeit Sicherheitsfunktionen hinzu. Vor etwa anderthalb Jahren standen wir vor der Entscheidung: „Wollen wir uns voll und ganz auf Cloud-Inhalte konzentrieren?“ Wollen wir alles auf SASE setzen?" Und die Übernahme von Infiot hat sehr deutlich gemacht, dass wir voll und ganz auf SASE setzen würden, und ich denke, das ist vielleicht eine der besten Entscheidungen, die Netskope je getroffen hat. Ich denke, wir sind gut aufgestellt, um einen Großteil des SASE-Geschäfts zu erobern, sobald es entsteht.
Mike Anderson: Ja, es ist aufregend zu sehen, das … Wenn wir über Integration nachdenken, geht es um die Fähigkeit, die Servicequalität auf der Ebene der Sanktionsanwendung sicherzustellen. Wir versuchen sicherzustellen, dass genehmigte und nicht genehmigte Anwendungen gut gekennzeichnet werden. Nun können die Teams, die die Leitungen des Netzwerks oder SD-WAN steuern, das vor diesem Teil der Konsole sitzt, Bandbreitenkontrollen für diese genehmigten Anwendungen festlegen und so sagen: „Geben Sie genehmigten Anwendungen mehr Bandbreite als nicht genehmigten Anwendungen“, und es gibt noch viele weitere Anwendungsfälle, die wir auf dieser Seite sehen können. Es ist interessant, ich sage den Leuten immer, dass es einen großen Unterschied zwischen einer Best-of-Suite und einer einzelnen Plattform gibt. Man kann eine Best-of-Suite nicht als eine Produktsuite bezeichnen. Nur weil ein Unternehmen jemanden kauft und seinen Namen dafür einsetzt, heißt das nicht, dass es aus Kundensicht integriert ist. Stellen Sie also sicher, dass Sie in Ihre eigenen Plattformen investieren, denn dort erzielen Sie auch die größte organisatorische Effizienz. Zu Ihrem Punkt bezüglich der WAN-Richtlinie: Das sind die Möglichkeiten, die sie Ihnen bietet, wenn Sie im richtigen Kontext darüber nachdenken.
Steve Riley: Je mehr Datenverkehr die Kunden an Netskope senden können, desto mehr Nutzen können sie aus unserem Angebot ziehen. Und was mir an der SD-WAN-Funktionalität unserer Plattform besonders gefällt, ist, dass wir völlig New Bereiche geschaffen haben, in denen Kunden uns Datenverkehr senden können, den sie uns vorher vielleicht nicht senden konnten, Datenverkehr von Geräten, auf denen man vielleicht keinen Agenten oder ähnliches installieren kann. Und jetzt können sie diesen Datenverkehr an uns senden und wir können Sicherheitsmaßnahmen ergreifen. Nun, der Kunde kann Richtlinien konfigurieren, sodass wir die richtigen Sicherheitsentscheidungen dafür treffen. Ich liebe es. Tolles Zeug.
Mike Anderson: Ja, das ist auch interessant, denn wenn man einmal darüber nachdenkt, wie war die Statistik angesichts dieser ganzen Fragmentierung und Tools? Im Durchschnitt verfügen Unternehmen über 76 einzelne Sicherheitstools. Und wenn man dann noch die gesamte vorhandene Netzwerkinfrastruktur hinzurechnet, investieren sie in SIM-Plattformen, um alle Punkte zu verbinden und herauszufinden, wo die Probleme liegen. Und auf dieser Seite wurde bereits viel investiert. Es wird interessant sein zu sehen, welche Auswirkungen die Konsolidierung der Tools dann haben wird. Wenn mein gesamter Datenverkehr auf eine einzige Weise überprüft wird, sollte ich auf diesen einzelnen Plattformen Transparenz erlangen, für die ich mich heute auf andere Tools verlassen muss. Es wird also interessant sein, die Auswirkungen dort zu sehen. Daher wird seit geraumer Zeit stark in den gesamten SIM-Bereich und in andere Tools zur Datenprotokollaggregation investiert. Es wird also interessant sein, die parallelen Auswirkungen in diesem Bereich zu beobachten.
Mike Anderson: Eine meiner Fragen an Sie lautet: Angesichts der aktuellen Wirtschaftslage haben Kosteneinsparungen für CIOs offensichtlich immer höchste Priorität, da sie immer Geld für die New Dinge finden müssen, die sie im nächsten Jahr umsetzen möchten, da ihre Budgeterhöhung in den meisten Fällen die Inflation deckt, außer natürlich in diesem Jahr, da haben sie da eine Lücke. Wir kündigen denselben Druck auf der Sicherheitsseite an, wo Kosteneinsparungen im Vordergrund stehen, und dies schlägt sich in der Konsolidierung der Anbieter nieder. Wie beurteilen Sie das aktuelle Klima, in dem wir uns befinden, und wie wird es SASE helfen? Wird es helfen oder wird es davon ablenken? Was denken Sie darüber?
Steve Riley: Nun, wie Sie sagten, suchen die Leute nach Möglichkeiten, Kosten zu senken und weniger Geld auszugeben. Ich denke, SASE stellt hier eine echte Chance dar. Vor ein paar Jahren führte Gartner eine Umfrage durch... Ich weiß nicht mehr, wie viele Leute geantwortet haben. Ich glaube, es haben vielleicht fast 500 Leute an dieser Umfrage teilgenommen. Aber insbesondere ging es um die Konsolidierung: „Welche Pläne haben Sie, um die Anzahl der Anbieter, mit denen Sie interagieren, zu reduzieren, da Sie Ihre Infrastruktur aufrüsten und in mehr Sicherheit investieren müssen?“ Und 75 % der Befragten gaben an, dass sie entweder einen Konsolidierungsplan ausarbeiteten oder bereits damit begonnen hätten und erwarteten, zwischen Hunderttausenden und mehreren zehn Millionen Dollar einzusparen, auch wenn die Umsetzung des Plans kurzfristig möglicherweise etwas mehr Geld gekostet hätte. Denn sie haben die Wirtschaftlichkeitsberechnungen durchgeführt und festgestellt, dass sie im Laufe von drei bis fünf Jahren letztlich weniger für die Wartung, für Upgrades und für die Schulung von Mitarbeitern ausgeben werden. Damals bestand nicht so sehr der Wunsch, Mitarbeiter loszuwerden, sondern vielmehr, Wege zu finden, die vorhandenen Mitarbeiter zu nutzen und ihnen zu ermöglichen, einen Mehrwert für das Unternehmen zu schaffen.
Steve Riley: Ich habe mir einige Analysen von Gartner-Kunden angesehen und darin waren sowohl die harten als auch die weichen Zahlen enthalten. Und selbst ohne die weichen Dollar-Einsparungen waren die harten Dollar-Einsparungen etwa im zweiten Jahr deutlich sichtbar und wurden im Laufe der Jahre immer größer. Aber nachdem sie die „weichen Dollar“-Sachen hinzugefügt hatten, indem sie Leute einstellten, die vielleicht nicht wirklich etwas Wertschöpfendes taten, aber wegen der Hardware notwendig waren, konnten sie nun mehr Wert schaffen, und das brachte größere wirtschaftliche Einsparungen.
Mike Anderson: Es ist interessant, dass Sie das sagen. Eines der Dinge, auf die ich immer achte, ist ... Und wenn unsere CIOs an SASE denken, höre ich immer: „Ist das ein Rip-and-Replace-Szenario?“ Wo kann ich anfangen? Kann ich es langsam angehen lassen?" Wir haben darüber gesprochen, dass der VPN-Ersatz oder der Zero-Trust-Netzwerkzugriff etwas ist, eine logische Verbindung ist ein Ausgangspunkt. Was denken Sie über diesen Zusammenhang? Denn das höre ich ständig. Und ich glaube, sie wollen einen Ausgangspunkt und dann wollen sie in der Lage sein, Dinge zu beenden, wenn der Vertrag ausläuft, weil sie keine doppelte Blase haben wollen, die 12 bis 18 Monate läuft. Sie möchten nicht eine Investition, die sie letztes Jahr getätigt haben, zurücknehmen und jetzt sagen: „Oh, das war die falsche Investition.“ Lassen Sie mich das einfach ersetzen.“ Was denken Sie darüber und welche Ratschläge haben Sie den Leuten in diesem Zusammenhang gegeben?
Steve Riley: Wenn sich jemand die Netskope-Plattform ansieht, hat er meistens einen alten Schnickschnack, der sowieso ausgemustert werden sollte, er hat ein VPN, an dessen Wartung oder Erweiterung er kein Interesse mehr hat, und er hat wahrscheinlich kein CASB eingerichtet. Daher ist es für jemanden in diesem Szenario ziemlich einfach, sich mit einem Kauf die alte Plattform anzusehen. Und tatsächlich würde ich sagen, dass sich die meisten Preisangebote, die ich in den letzten 18 Monaten bei Gartner für Netskope gesehen habe, auf die gesamte Plattform bezogen. Ich fand das wirklich interessant. Ich kann nicht sagen, dass dies auf andere Anbieter in ähnlichen Bereichen zutrifft.
Steve Riley: Ich denke, wir stoßen oft auf Gelegenheiten, bei denen wir genau in die Situation des Kunden passen. Wie ich schon sagte, der alte Trottel, das VPN, will nicht expandieren. Wenn dies jedoch nicht auf den Kunden zutrifft, ist er möglicherweise eher an einem Teil unseres Angebots interessiert, und das ist auch völlig in Ordnung. Es gibt keinen Grund, von Anfang an mit Netskope zu beginnen. Und wenn Sie immer noch feststellen, dass Ihre Teams irgendwie voneinander isoliert sind, dann ist es vielleicht sinnvoller, mit einem Aspekt unserer Arbeit zu beginnen und dann, wenn Sie damit vertraut sind, Ihre Teams zu ermutigen, darüber nachzudenken, dies in vollem Umfang umzusetzen. Wenn es um die Konsolidierung der Infrastruktur und Sicherheit dieser Domänen geht, ist es nicht abwegig anzunehmen, dass die Tool-Konsolidierung zumindest teilweise zu einem allgemeinen organisatorischen Wandel beiträgt.
Mike Anderson: Wenn ich mit vielen CIOs spreche, und ich gebe meine eigenen Erfahrungen preis, ist es interessant, dass wir immer externe Berater hinzuziehen, etwa große Systemintegratoren und Beratungsfirmen, die sich unsere Organisation ansehen und uns sagen, wo wir Einsparungen erzielen können. Bei einem vorgegebenen Ziel muss ich oft 100 Millionen Dollar an Einsparungen finden, denn wenn ich einen Gewinn und Verlust von 750 Millionen Dollar habe, suchen Sie mir 100 Millionen Dollar, die ich bekommen kann, und priorisieren Sie diese danach, was ich realistischerweise kurzfristig und vielleicht mittelfristig erreichen kann. Und ich denke, wir brauchen die Gelegenheit, nämlich Berater, die ihnen während der gesamten SASE-Reise erklären: „Hey, das kann ein Teil davon sein.“ Aber das organisatorische Änderungsmanagement ist... Wie Sie vorhin schon angedeutet haben, wird dies einer der schwierigeren Teile sein, weil auf dieser Ebene wiederum die menschliche Psychologie zum Tragen kommt.
Steve Riley: Das erinnert mich an die Geschichte. Kurz nachdem ich bei AWS angefangen hatte, hielt ich irgendwo einen Vortrag und ging dabei speziell auf die Bereitstellung virtueller Maschinen ein. Da stand jemand hinten im Raum auf und rief: „Sie gefährden meinen Job“, und ich dachte: „Im Ernst? Okay, was ist Ihre Aufgabe, Sir?" "Meine Aufgabe besteht darin, die Server aus der Verpackung zu nehmen, in der sie geliefert werden, und sie in Racks zu schieben." Und ich denke mir: „Vielleicht gefährde ich seinen Job.“ Aber das habe ich nicht laut gesagt. Es ist wie: „Okay, denk nach, denk nach, denk nach.“ „Oh, wissen Sie etwas darüber, was auf den Diensten laufen wird, die Sie auspacken und in den Racks installieren?“ Und er sagte: „Ja, ich habe eine Vorstellung davon, welche Anwendung dort laufen wird und welche Leistungsmerkmale diese Anwendung benötigt, sodass ich den richtigen Server für diese Anwendung auswählen kann.“
Steve Riley: So wie: „Haha. Okay, Sie packen nicht einfach blind aus, sondern Sie treffen eine Auswahl einer bestimmten Schachtel basierend auf den Anforderungen, was in diese Schachtel kommen soll?" "Ja, das mache ich." "Haha. Das ist also Ihr Wert. Ihr Wert liegt nicht im Auspacken, Ihr Wert liegt in der Auswahl. Lassen Sie mich Ihnen Folgendes vorschlagen. Sie können den Wert, den Sie bereits haben, in die virtuelle Welt bringen. Sie müssen immer noch die richtige Größe und Kapazität eines virtuellen Servers anstelle eines physischen Servers auswählen, diesen in einem VPC bereitstellen und eine gewisse Konnektivität einrichten, sodass der Eigentümer der Anwendung diese dort installieren und ausführen kann“, und er sagt: „Oh, so habe ich das noch gar nicht betrachtet.“ „Okay, egal.“ Und dann setzte er sich wieder hin. Das war im Jahr 2009 und diese Geschichte ist mir lange im Gedächtnis geblieben. Wenn wir über die menschliche Seite all dieser Veränderungen sprechen, ist es meiner Meinung nach wichtig, dass wir unseren Kunden und potenziellen Kunden die Gewissheit geben, dass sie ihr Bestes tun können, um die Mitarbeiter zu halten, die sie bereits haben. Und wir müssen ihnen helfen, Wege zu finden, wie sie auf der Grundlage der Fähigkeiten, die sie in den letzten Jahren erworben haben, einen Mehrwert schaffen können. Das Schlimmste, was wir tun können, ist, hereinzukommen und den Leuten den Eindruck zu vermitteln, dass wir hinter ihrem Job her sind.
Mike Anderson: 100 %. Und was ich aus eigener Erfahrung gesehen habe, ist, dass ich New Cloud-Technologien eingeführt habe. Ich war im Jahr 2015 mit der Transformation beschäftigt, als ich CIO von Crossmark war. Wir haben Salesforce eingeführt und ich sagte: „Hey, wir werden anfangen, Apps auf der Salesforce-Plattform zu entwickeln.“ Wir haben einen Raum für 25 Personen im Schulungsraum, den wir ausschließlich vor Ort durchführen. Wer möchte sich anmelden?" Wir waren überzeichnet. Und meine größte Sorge war, dass die Leute sagen würden: „Ich bin ein .NET-Entwickler.“ Ich werde nicht den Salesforce-Kram machen“, und für viele Leute funktioniert das tatsächlich gut. Sie bringen einen guten Punkt zur Sprache: die 80/20-Regel. 80 % der Menschen wollen die New Technologien erlernen, weil sie dadurch in Zukunft marktfähiger oder wertvoller werden. Sie haben die 20 %. Ich hatte einmal jemanden, der mein Telefonsystem verwaltete, und wir verwendeten das TDM-Telefonsystem. Er sagte im Grunde: „Hey, wir steigen auf dieses New Ding um, Skype für Sprache oder Skype für Unternehmen“, und als es herauskam, war es cool, und wir stiegen also darauf um, und ich sagte: „Hey, ich werde in Sie investieren, damit Sie die Schulung dafür bekommen, weil wir von diesem Telefonsystem wegkommen, aber Sie müssen bereit sein, an der Schulung teilzunehmen.“ Das ist das einzige Mal in meiner Karriere, dass ich jemanden sagen hörte: „Wissen Sie, ich möchte diese New Fähigkeit, dieses New Werkzeug nicht erlernen.“ Und sie gingen und arbeiteten für jemand anderen, der noch immer ein altes, veraltetes Telefonsystem hatte.
Mike Anderson: Es gibt diese Leute also da draußen, aber ich denke, wie Sie meinen, ist es wichtig, die Fähigkeiten unserer Mitarbeiter weiterzuentwickeln, denn es ist oft schwieriger, das Unternehmen kennenzulernen, als eine New Fähigkeit zu erlernen. Und ich glaube, dass die Leute fast am längsten brauchen, um sich in einem Unternehmen zurechtzufinden, im Vergleich dazu, sich New Fähigkeiten anzueignen, vorausgesetzt, sie verfügen über das richtige Grundverständnis des jeweiligen Technologiebereichs. Ich möchte also ein wenig umschwenken. Eines der Themen dieser Podcast-Staffel war die funktionsübergreifende Zusammenarbeit. Wir haben dieses Konzept der Sicherheit als Mannschaftssport. Wenn wir also den ganzen Marketing-Hype um SASE einmal außer Acht lassen, weil nicht jeder darauf setzt, sehen wir, dass sich alle großen Player in diesem Bereich daran klammern, weil die Leute darüber reden. Was müssen wir wirklich wissen? Lassen wir den ganzen Blödsinn beiseite: Auf welche Schlüsselergebnisse müssen sich die Leute konzentrieren, wenn sie über SASE nachdenken, um es richtig zu machen?
Steve Riley: Ich würde sagen, dass SASE richtig funktioniert … Nun, SASE funktioniert in vielerlei Hinsicht am besten, wenn Zero-Trust-Prinzipien Teil der Architektur sind. Ich würde also sagen, dass für die richtige Umsetzung von SASE eine wirklich solide Grundlage in den Zero-Trust-Prinzipien erforderlich ist. Und wie ich bereits erwähnt habe, war ich ziemlich überrascht, dass die Leute zwar die richtigen Teile an Ort und Stelle haben, aber nicht darüber nachgedacht, wie sie diese Teile nutzen können, um Signale und Kontext zu erfassen. Wenn ich also versuchen würde, dies auf einen Ratschlag zur funktionsübergreifenden Arbeit zu reduzieren, dann wäre es, bewusst über den Kontext nachzudenken. Wie ich bereits erwähnt habe, wird dies von den unterschiedlichsten Stellen kommen. In isolierten Organisationen sind möglicherweise unterschiedliche Teams für die Verwaltung der Dinge verantwortlich, die den gesamten Kontext erzeugen. Doch die Synthese dieser Informationen, um im richtigen Moment die richtigen Zugriffsentscheidungen zu treffen, funktioniert nur, wenn sich die Zylinder der Exzellenz auflösen und die Menschen sich um gemeinsame Ziele herum zusammenfinden. Sie haben möglicherweise unterschiedliche Motivationen, aber die Ziele müssen geteilt werden, und das bedeutet, dass genau die richtigen Leute zum richtigen Zeitpunkt und aus den richtigen Gründen genau den richtigen Zugang zu genau den richtigen Dingen haben. Ich glaube, ich habe das schon ein- und zweimal gesagt, aber ich finde, es kommt wirklich gut an.
Mike Anderson: Nein, ich stimme 100 % zu. Es ist auch interessant. Und ich denke darüber nach, welche Probleme eigentlich jeden innerhalb einer IT- und Sicherheitsorganisation interessieren und welche SASE lösen kann, denn ich stimme Ihrem Punkt zu 100 % zu, denn SASE liefert Ihnen diesen einzigen Punkt zur Richtliniendurchsetzung, der eine Schlüsselkomponente einer Zero-Trust-Architektur ist, denn Sie brauchen etwas, das zwischen Benutzern und Geräten und den Ressourcen und den Anwendungen und den Daten sitzt, auf die sie zugreifen möchten. Und das Problem, das mir in den Sinn kommt und von dem ich in letzter Zeit viel gehört habe, betrifft die Ausbreitung öffentlicher Clouds. Dort werden immer mehr Dollar investiert. Unternehmen haben mit Leuten zu kämpfen, die betrügerische Instanzen von AWS oder Azure aufsetzen. Diese Umgebungen sind nicht mit den Verpflichtungen verknüpft, die sie mit diesen Anbietern eingegangen sind. Sie haben also diese vertraglichen Verpflichtungen mit Rabattstrukturen, aber dann bekommen die Leute eine Firmenkarte oder richten New Konten ein, vielleicht unter dem Namen einer Akquisition.
Mike Anderson: Die Fähigkeit, diese Fälle zu identifizieren und dann Kontrollen einzuführen, um die Leute davon abzuhalten, ist also etwas, das den Sicherheitsteams wichtig ist, und auch den Infrastrukturteams, denn sie investieren Geld in Werkzeuge, und das Letzte, was sie in ihrer Organisation haben wollen, sind doppelte Investitionen und Werkzeuge, Dinge, die nicht zu ihren Commits zählen. Und wenn diese Dinge dann letzten Endes nicht migriert werden, müssen sie mehr Leitungen kaufen, um sie mit ihren bestehenden Umgebungen zu verbinden, was zu weiteren Investitionen führt, also zu Kosten, die aus Sicht der laufenden Kosten innerhalb dieser Organisationen getragen werden müssen. Ich denke, es wird interessant sein zu sehen, wie sich SASE in diesem Kontext im Mannschaftssport schlägt und immer mehr von dieser Konvertierung profitiert. Wenn Sie es einfach sagen müssten: Sie stehen im Aufzug und halten einen kurzen Pitch für den CIO des Unternehmens. Warum würden Sie dann sagen, dass SASE für ihn die richtige Wahl ist?
Steve Riley: Vielleicht, weil Sie keine andere Wahl mehr haben. Oh nein, ich mache Witze. [lacht] Secure Access Service Edge, das A ist vielleicht das wichtigste Wort in diesem Akronym. Da die Cloud immer weiter verbreitet ist, verlagern Unternehmen ihre Daten von einem Rechenzentrum auf viele andere Zentren. Wenn also die Daten überall verstreut sind, weil die Anwendungen überall verstreut sind, dann verteilen sich die Mitarbeiter auch selbst überall, nicht wahr? Denn niemand möchte zurück ins Büro. Und wie können Sie den Zugriff auf Anwendungen und Daten wirksam steuern und die Bewegung besonders sensibler Informationen in dieser hochgradig verteilten Welt wirksam kontrollieren? Sie müssen über etwas verfügen, mit dem Sie alle Zugriffe und alle Datenbewegungen überwachen können.
Steve Riley: Sollte das nun eine Box in einem Rechenzentrum irgendwo sein? Ja, wenn Sie gerne in Angst leben, vielleicht. Eigentlich sollte es das nicht sein. Sie möchten einen Cloud-basierten Dienst, der die Sicherheit dort verteilen kann, wo sich die Menschen und die Daten und Anwendungen am nächsten befinden. Sie möchten jedoch einen einheitlichen Richtlinienrahmen, damit Sie nicht mehrere Entscheidungen je nach Ziel treffen müssen. Sie möchten also eine harmonisierte Benutzererfahrung, sodass sich die Art und Weise, wie die Leute dorthin gelangen, unabhängig davon, wohin sie gehen, gleich anfühlt und gleich aussieht. Das ist es, was SASE für Sie tut. Es bietet ein harmonisiertes Benutzererlebnis und einen konsolidierten Richtlinienrahmen für den Zugriff auf diese gigantischen Datenzentren, die die Leute aufbauen.
Mike Anderson: Im Wesentlichen geht es darum, dass mein Slogan für meine Organisationen immer lautete: „Einfachheit ist die höchste Form der Vollendung“, ein Zitat von Da Vinci. Es klingt also so, als ob SASE der Weg sein kann, Ihr Unternehmen zu vereinfachen und so die Erfahrung der Mitarbeiter beim Zugriff auf und der Nutzung von Anwendungen zu verbessern.
Steve Riley: Und es beseitigt die Komplexität, und wie wir wissen, ist Komplexität der Feind der Sicherheit.
Mike Anderson: Das ist es. In der Tat. Uns bleibt also nur noch ein kleines bisschen Zeit, und deshalb haben wir immer einen Abschnitt zu Vorhersagen, und ich weiß, dass Sie Vorhersagen lieben, weil Sie offensichtlich von Gartner kommen und selbst viel gemacht haben. Wenn Sie also fünf Jahre vorspulen und es einen Bereich gibt, in den die Leute hätten investieren sollen, was würden Sie sagen, wenn die Leute in fünf Jahren zurückblicken und sagen: „Wissen Sie was, ich hätte diesem Bereich wirklich mehr Aufmerksamkeit schenken sollen?“ Es muss nicht SASE sein, denn wir sprechen über … Es kann alles. Aber worüber sollten die Leute Ihrer Meinung nach heute nachdenken und worin hätten sie sich gewünscht, investiert zu haben, wenn sie in fünf Jahren zurückblicken könnten?
Steve Riley: Nun, mal sehen. Mir fallen eine Reihe von Punkten ein, aber wenn ich nur einen auswählen müsste. Ich werde das taktisch angehen. Es handelt sich um eine effektive automatisierte Datenklassifizierung. Mike, wir haben in unserem Gespräch hier mehrmals über Signale und Kontext gesprochen. Ich denke, dass der Datenkontext und insbesondere die Datenklassifizierung eines der nützlichsten Signale ist, das bei der Erstellung geeigneter Richtlinien verwendet werden kann. Ich denke gerne darüber nach, wie sich die Rolle der Sicherheit verändert: weg vom Gatekeeper, der am häufigsten Nein sagt, hin zu der Entität, die standardmäßig eine Haltung zulässt wie: „Ja, das können Sie, aber unter Bedingungen.“ Das klingt für mich nach der besten Möglichkeit, die Balance zwischen Sicherheit und Arbeitserledigung zu finden. Sie möchten beides tun, und die Sicherheitsphilosophie kann lauten: „Ja, mit Bedingungen als Standard.“ Nun, was sind dann diese Bedingungen? Und eine der besten Voraussetzungen besteht darin, zu verstehen, wozu die Daten dienen und welchen Schutz sie benötigen. Der Grund, warum ich dies erwähne, ist, dass die Datenklassifizierung schwierig ist. Die verfügbaren Tools sind nicht so toll, und als Mitarbeiter bei Acne Corp besteht Ihre Aufgabe darin, Widgets oder ähnliches zu erstellen. Sie besteht nicht darin, den ganzen Tag herumzusitzen, auf Schaltflächen und Symbolleisten zu klicken und darüber nachzudenken: „Ist das öffentlich oder privat oder vertraulich, was auch immer?“
Steve Riley: Ich denke also, der Versuch, Automatisierung einzuführen … Also, Automatisierung im Allgemeinen, okay? Wir hätten also eine umfassendere Antwort: „Investieren wir überall in die Automatisierung der Sicherheit.“ Mein Lieblingsbeispiel hierfür ist die automatische Datenklassifizierung. Ich denke, das wird uns dabei helfen, das Ziel des richtigen Zugriffs zur richtigen Zeit viel besser zu erreichen.
Mike Anderson: Nun, vielleicht können wir chatGPT in der Mitte implementieren und es fragen: „Sind das Daten, die mich interessieren sollten?“ Und es kann helfen. Wenn wir ihm alle unsere sensiblen Daten zuführen, kann es uns das mitteilen. Vielleicht ist das die Antwort, Spaß beiseite.
Steve Riley: Sie möchten alle Ihre sensiblen Daten an chatGPT weitergeben?
Mike Anderson: Nein, noch nicht, noch nicht. Ich denke, es gibt ein ganz eigenes Gesprächsthema rund um die ethische und geregelte Nutzung einiger der New KI-Technologien, über das wir in zukünftigen Episoden sprechen können.
Steve Riley: Ich wollte gerade sagen, ich habe noch eins, und es fällt mir manchmal immer noch auf, wie dieses hier rüberkommt. Manchmal frage ich Leute, die sich damit schwertun, wie sie ein Sicherheitsprogramm erstellen möchten. „Haben Sie darüber nachgedacht, was Ihr wichtigster Vermögenswert ist und was passieren würde, wenn dieser Vermögenswert in irgendeiner Weise gefährdet wäre?“ Und ich bin überrascht, dass sich nur sehr wenige Menschen tatsächlich hingesetzt und dieses Gespräch absichtlich geführt haben. Sie werfen Geld für dieses Werkzeug, jenes Werkzeug, das andere Werkzeug aus, aber sie denken nicht: „Moment mal. Wenn eines unserer Informationsgüter derart beschädigt wird, dass wir morgen einfach von der Bildfläche verschwinden würden, welches ist das für ein Gut und wie schützen wir es am besten? Ich weiß nicht. Ich weiß nicht, ob das als Vorhersage nützlich ist oder nicht, aber ich bin überrascht, wie oft ich Leuten begegne, die sich einfach nicht um so etwas herum organisiert haben.
Mike Anderson: Ja, eine interessante Frage, wenn man sie anders formuliert: „Was sind Ihre Kronjuwelen?“ Viele Leute haben erkannt, was das ist. „Und welche Daten in Ihren Kronjuwelen müssen Sie am dringendsten schützen?“ Und vielleicht ist das eine andere Art, die Frage zu formulieren, über die die Leute vielleicht anders denken, denn normalerweise ist das Active Directory Ihres ERP-Systems immer etwas, das im Kronjuwelenbereich gepflegt wird, da es die Tentakel zum Rest der Welt darstellt. In vielen Organisationen sind es auch heute noch die Tentakel, die in den Rest der Organisation hineinreichen. Also noch eine gute Vorhersage. Wenn wir also die Episode immer abschließen, haben wir diesen Abschnitt, er ist einer meiner Favoriten, er ist unser Schnellhit. Ich werde Ihnen also ein paar Fragen stellen. Lassen Sie uns Ihre schnelle Reaktion darauf einholen und wir werden ein paar davon durchgehen und ein bisschen Spaß haben. Die erste Frage, die ich immer gerne stelle, ist: Was ist der beste Führungstipp, den Sie je bekommen haben?
Steve Riley: Der beste Führungstipp, den ich je bekommen habe? Ich weiß nicht, ob ich das als Führungsratschlag bezeichnen würde, da ich meine Karriere nicht als Personalmanager ausgerichtet habe. Aber ganz allgemein gilt etwas, was mir meine Großmutter vor vielen Jahren gesagt hat: Wenn jemand etwas für dich tut oder dir etwas gibt, bedanke dich bei ihm. Sagen Sie nicht: „Oh, das hätten Sie nicht tun müssen“, denn das schmälert den Aufwand, den sie betrieben haben, um das für Sie zu tun. Seien Sie dankbar, lächeln Sie, seien Sie bescheiden und machen Sie dann weiter. Diesen Ratschlag bekam ich von ihr, als ich 12 war [lacht], und ich erinnere mich noch heute daran.
Mike Anderson: Oh, das ist auf jeden Fall ein weiser Rat. Nächste Frage: Wenn Sie für den Rest Ihres Lebens nur eine Mahlzeit essen könnten, welche wäre das?
Steve Riley: Eines der Rühreigerichte meiner Frau. Sie macht einen fantastischen Job, indem sie einfach das nimmt, was im Haus ist, ein paar Gewürze und Würzmittel hinzufügt und es kocht, und es ist köstlich. Es ist nie dasselbe, es ist immer anders, aber es ist immer lecker. Also Rührei mit Gemüse.
Mike Anderson: Das ist großartig. Klingt, als ob es bei uns zu Hause, wie wir sagen, Zeit zum Gehen ist. Es läuft bald ab, also sollten wir besser etwas mit der Liste machen, sie zusammenwerfen und sehen, ob wir etwas daraus machen können, das gut schmeckt. Das macht auf jeden Fall viel Spaß. Also gut, das nächste hier wird mir gefallen. Was ist Ihr Lieblingslied und was sagt uns das über Sie?
Steve Riley: Oh, also ich höre hauptsächlich elektronische Tanzmusik oder Klassik. Ich würde also sagen, mein Lieblingsmusikwerk ist Aaron Coplands „Dritte Symphonie“. Ich weiß nicht, was das über mich aussagt, außer dass ich die harmonischen Strukturen, die Copland in seiner Blütezeit hatte, wirklich liebe. Er hat Akkorde und Klänge geschaffen, die sonst niemand hatte, und das zieht mich einfach wirklich in seinen Bann. Ich bin fasziniert von seiner Musik und die Dritte Symphonie ist meiner Meinung nach vielleicht das beste Musikstück, das er je gemacht hat.
Mike Anderson: Das ist großartig. Nun, ich werde es mir anhören müssen. Ich bin sicher, dass ich es gehört habe und ich würde es wahrscheinlich wiedererkennen, wenn ich es gehört hätte, aber ich muss es mir noch einmal ansehen. Schick mir außerdem den Link zum Lied per SMS, damit ich es noch einmal anhören kann.
Steve Riley: Sie haben bestimmt schon „Fanfare for the Common Man“ gehört. Vielleicht kennen Sie den Namen nicht, aber wenn Sie ihn einmal hören, werden Sie ihn sofort wiedererkennen. Das ist der vierte Satz einer Symphonie.
Mike Anderson: Oh, das ist großartig. Also, Steve, ich habe die Zeit heute wirklich genossen. Wir könnten stundenlang miteinander reden, was wir auch immer offline tun. Daher weiß ich es wirklich zu schätzen, dass Sie heute mein Gast sind und Ihre Ratschläge und Ihren Wissensschatz mit uns teilen. Gibt es etwas, das Sie unseren Zuhörern unbedingt aus diesem Gespräch mitgeben möchten, etwa einen letzten Ratschlag, den Sie uns geben würden, wenn wir über Security Service Edge, das unreine veröffentlichte SASE oder irgendetwas in diesem Zusammenhang nachdenken? Was möchten Sie unseren Zuhörern mitgeben?
Steve Riley: Ich möchte zum Abschluss noch einmal auf den menschlichen Aspekt zurückkommen und alle unsere Zuhörer daran erinnern, dass Ihre Mitarbeiter wertvoll sind. Sie müssen vielleicht ein wenig dazu angehalten werden, New Wege zu finden, diesen Wert bereitzustellen. Hören Sie ihnen jedoch zu, stellen Sie ihnen Fragen, finden Sie heraus, was sie zu dem motiviert, was sie tun, und helfen Sie ihnen dann dabei, Wege zu finden, diesen Wert angesichts des schnellen technologischen Wandels aufrechtzuerhalten.
Mike Anderson: Das ist definitiv ein guter Rat. Wir müssen immer daran denken, dass die Menschen immer an erster Stelle stehen. Damit haben wir es zu tun. Und deshalb müssen wir immer an die Menschen denken. Der technische Aspekt der Dinge ist einfach. Der schwierigste Teil besteht immer darin, die Leute für die Veränderung zu gewinnen, daher ist das definitiv ein guter Rat. Also, vielen Dank noch einmal, dass Sie beim Podcast mitgemacht haben. Ich weiß, dass unsere Zuhörer heute einige wirklich tolle Ratschläge von Ihnen bekommen haben, und ich weiß es wirklich zu schätzen, dass Sie sich die Zeit genommen haben.
Steve Riley: Gern geschehen. Und danke für die Einladung. Es macht wie immer viel Spaß.
Mike Anderson: Ich hoffe, Ihnen hat unser heutiges Gespräch mit Steve Riley gefallen. Steve ist wiederum unser Field CTO hier bei Netskope, aber auch ein langjähriger Gartner-Analyst. Steve hat in unserem Gespräch viele tolle Ratschläge und Weisheiten mit uns geteilt. Drei Dinge sind mir aufgefallen, vor allem dreht es sich um Menschen. Wenn wir also über eine Technologie nachdenken, denken wir über SASE nach, wir denken über Security Service Edge nach. Denken wir zunächst an die Menschen und die Auswirkungen, die dies auf sie im Unternehmen haben wird. Wie helfen wir diesen Menschen bei diesem Wandel? Wie investieren wir in diese Menschen, um ihnen die richtigen Fähigkeiten zu vermitteln, die sie brauchen, um in diesen New Bereichen erfolgreich zu sein? Zweitens: Wenn Sie über SASE nachdenken, bewerten Sie zunächst Ihre Umgebung, um herauszufinden, wo Sie am besten anfangen. Sei es, dass Sie meinen heute verwendeten lokalen Proxy ersetzen, der nun Teil davon wird, oder dass Sie das VPN ersetzen, das ich für den Anwendungszugriff verwende. Steve sagte, dass viele Unternehmen in diesem Bereich ansetzen können: „Wie denke ich über den Zugang nach?“ Das kann neben dem stehen, was ich heute habe, und dann in Zukunft zu meinem Mainstream werden. Und das letzte Thema, das in unseren Gesprächen in diesem Jahr häufig zur Sprache kam, drehte sich um die Automatisierung. Automatisieren Sie so viel wie möglich in Ihrer Umgebung. Insbesondere wenn Sie an die Datenklassifizierung denken, ist dies definitiv ein Automatisierungsbereich, den wir untersuchen.
Steve Riley: Vielen Dank, dass Sie heute wieder bei dieser Folge des Netskope Security Visionaries Podcast eingeschaltet haben. Bleiben Sie dran für zukünftige Folgen und haben Sie einen schönen Tag.
[Musik] Produzent 2: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Die Netskope-Plattform ist schnell und einfach zu verwenden und bietet optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo immer sie sich befinden. So können Kunden Risiken reduzieren, die Leistung steigern und einen unübertroffenen Einblick in alle Aktivitäten in der Cloud, im Web oder bei privaten Anwendungen erhalten. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer SASE -Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE dot com.
Produzent 1: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu bewerten und zu rezensieren und sie mit jemandem zu teilen, dem Sie gefallen könnten. Bleiben Sie dran für die Episoden, die alle zwei Wochen erscheinen, und wir sehen uns in der nächsten.
){kind=icon}
