Estar pronto para qualquer coisa com Dan Lohrmann

Dan Lohrmann: Quer dizer, é sempre uma questão de comunicação e de como você se comunica. Quem vai falar com quem? Quando? O que você faz primeiro? Em que ordem? Como você faz isso? Você está preparado? Como funcionam seus manuais? Você traz para esses exercícios, esses exercícios de mesa, esses exercícios em escala real, seus manuais para realmente quase praticar e levar à perfeição, certo?

Dan Lohrmann: E então, assim como uma equipe de bombeiros praticaria o apagamento de incêndios, você não quer que alguém, ao vestir o traje pela primeira vez, venha até sua casa quando ela estiver pegando fogo. Você quer que eles saibam o que estão fazendo, para onde ir, o que fazer e como fazer com base em diferentes situações.

Palestrante 2: Olá e bem-vindos ao Security Visionaries, apresentado por Jason Clark, CSO da Netskope. Você acabou de ouvir o convidado de hoje, Dan Lohrmann, diretor de segurança da informação de campo da Presidio.

Orador 2: A ideia de estar pronto para qualquer coisa não acontece magicamente da noite para o dia, exige prática, repetição e diligência. E os maus atores sempre estarão lá, com New maneiras de testar o quão preparado você está. Como líderes de segurança, é nosso trabalho estarmos preparados até mesmo para os desafios mais inesperados. Assim como um bombeiro não entraria em um prédio em chamas sem a preparação adequada, os líderes de segurança precisam encarar os incêndios digitais da mesma maneira. Colocar-se na mente do hacker exige treinamento e dramatização. Tente estar vários passos à frente o tempo todo, porque nenhuma empresa quer ser pega no primeiro incêndio sem nunca ter experimentado o traje. Então, antes de começarmos a entrevista com Dan, aqui vai uma breve palavra do nosso patrocinador.

Palestrante 3: O podcast Security Visionaries é promovido pela equipe da Netskope. Netskope é líder SASE , oferecendo tudo o que você precisa para proporcionar uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios de hoje. Saiba mais em Netskope.

Palestrante 2: Sem mais delongas, aproveite o episódio seis Security Visionaries com Dan Lohrmann, diretor de segurança da informação de campo da Presidio, e seu anfitrião, Jason Clark.

Jason Clark: Bem-vindos ao Security Visionaries. Sou seu anfitrião, Jason Clark, diretor de estratégia e segurança da Netskope. Hoje estou acompanhado de um convidado muito especial, Dan Lohrmann. Dan, como vai?

Dan Lohrmann: Estou indo muito bem. Obrigado, Jason.

Jason Clark: Acho que você e eu provavelmente nos conhecemos há cerca de 15 anos.

Dan Lohrmann: Exatamente. Lembro-me de tê-lo conhecido pela primeira vez nos tempos do Websense. E quando eu era diretor de segurança da informação em Michigan, e você era um ótimo executivo focado no cliente naquela época, sei que você ainda é hoje, então é ótimo estar aqui com você.

Jason Clark: Uma coisa que adoro em fazer todos esses podcasts é me reconectar com todo mundo. E especialmente durante os tempos loucos da pandemia. Então, vamos começar com... qual foi seu primeiro emprego em segurança cibernética, Dan?

Dan Lohrmann: Então, saí da faculdade na Universidade de Valparaíso, me formei em ciência da computação e comecei na Agência de Segurança Nacional. O velho clichê que usamos é: se eu te contar o que fiz, terei que te matar. Mas eu estava em redes de computadores e isso é um plantão não classificado, mas meu primeiro emprego no final dos anos 80 foi realmente trabalhar com uma variedade de fornecedores diferentes, interoperabilidade.

Dan Lohrmann: Naquela época, não era só TCP/IP ou IP versão quatro, IP versão seis e toda essa bobagem. Mas era como a S&A, e tínhamos a DECnet, e tínhamos todas essas coisas diferentes. Então, basicamente, conectar redes entre si, da IBM para a DEC, para a digital, para as estações Sun SPARC e todos esses tipos de coisas. E eu estava comandando aquele laboratório. E estávamos implantando redes em todo o mundo antes mesmo de existir a internet, o que foi muito legal.

Jason Clark: Isso parece muito com meu trabalho quando comecei no exército. Era tudo uma questão de fazer as emissoras falarem. Era uma figueira-de-bengala pesada. E então estávamos meio que convertendo para o NT 4.O e o Active Directory. E foi muito divertido. É muito diferente quando você gerencia a tecnologia e quando é um CSO. Tenho certeza de que há dias em que você provavelmente sente falta disso. Você diz o que fazer e ele não faz.

Dan Lohrmann: Concordo. E uma peça prática, eu sentia falta disso. Mas fomos para a Inglaterra depois disso. Não vou contar toda a história de lá, mas apenas como todos se envolveram nas redes e algumas histórias malucas sobre como quase derrubamos um satélite. E isso foi bem assustador, mas estava tudo bem. E eu também adoro coisas práticas, sinto falta de algumas delas.

Jason Clark: Vi a notícia sobre a New função na Presidio. Então, eu definitivamente adoraria ouvir sobre isso.

Dan Lohrmann: Sim. Obrigado. Sou o diretor de segurança da informação de campo, com foco no setor público. Então, como você sabe, eu desempenhei muitas funções diferentes como CSO no governo de Michigan e como CTO no governo de Michigan. Nos últimos seis, sete anos, trabalhei na Security Mentor como diretor de segurança.

Dan Lohrmann: Então, essa função realmente faz parceria com a Presidio, a Netskope e uma variedade de outras empresas, fornecendo orientação à alta gerência, focada principalmente em SLED, educação governamental estadual, local e outros setores, mas também trabalhei com outros governos. E realmente ouvir quais são os seus problemas e fornecer soluções, trabalhando com parceiros para fornecer uma solução completa para suas necessidades cibernéticas.

Dan Lohrmann: E então, estou realmente animado. Estou bebendo água de uma mangueira de incêndio agora. Estou aqui há apenas cinco semanas, mas estou amando o trabalho, amando as pessoas e já aprendendo muito. Então, sim. É muito legal.

Jason Clark: Então, os governos, especialmente o SLED, sempre foram historicamente conhecidos por serem muito mais lentos na adoção de tecnologia e transformação. Como isso se parece agora? Como isso está mudando, especialmente com algumas das New ordens executivas sobre segurança cibernética, em geral, eu adoraria saber sua perspectiva.

Dan Lohrmann: Sim. Quer dizer, assim como acontece com todos os outros, em primeiro lugar, o cenário de ameaças está ficando louco. Então, estamos sendo duramente atingidos por ransomware e outras coisas do tipo, além de ataques cibernéticos. E é emocionante, a boa notícia. Quer dizer, não recebemos muitas notícias boas no mundo cibernético. Mas a boa notícia é que acabamos de receber New subsídios cibernéticos dedicados aos governos estaduais e locais, que somam um bilhão de dólares ao longo de cinco anos. Acho que isso realmente vai ajudar muitos governos estaduais e locais.

Dan Lohrmann: Honestamente, o maior problema agora é esse governo estadual e local sangrando, eles não conseguem manter os talentos das pessoas. E é aí que eles ultrapassam os limites. Estamos vendo isso também no setor privado. Mas estou ouvindo o CSO dizer: "Dan, nós simplesmente não podemos."

Dan Lohrmann: Quer dizer, um time que eu conheço, o Big State, perdeu metade do pessoal da equipe cibernética desde o começo deste ano. Então esse é um desafio enorme. Acho que eles estão entendendo, eles realmente precisam entender, porque com o Colonial Pipeline, todas as coisas diferentes que aconteceram este ano estão tão em evidência e a transformação digital que vimos durante a COVID foi tão grande.

Dan Lohrmann: Então, a necessidade existe, a mudança para trabalhar em casa existe, tudo isso existe, mas ainda é um desafio muito, muito difícil no momento.

Jason Clark: Então, quando falamos sobre bilhões de dólares, certo? Quando você olha para o SLED e para o governo federal em geral, qual você acha que é a maior vulnerabilidade que eles têm e da qual não estão cientes agora? É uma questão de duas partes: ou eles não sabem, ou onde deveriam investir a maior parte desse dinheiro?

Dan Lohrmann: Acho que visibilidade. O velho clichê que costumávamos dizer na NSA o tempo todo: você não sabe o que não sabe. E então, sabendo que houve uma grande migração para a nuvem, o que foi ótimo, e tudo está indo para a nuvem agora.

Dan Lohrmann: Quer dizer, a resistência à nuvem não é mais a mesma de uma década atrás. Quer dizer, tudo está indo para a nuvem e isso é ótimo. Acho que o desafio é não saber onde estão todos os dados. Então, a visibilidade dos dados, sem conhecer todos os diferentes tipos de partes de ponta a ponta dessa jornada. E acho que as pessoas querem fazer confiança zero. Eles querem fazer SASE. Eles querem fazer isso. E posso dizer que acho que os desafios que eles estão enfrentando no momento estão relacionados ao lado humano. São sempre pessoas processando tecnologia. É sempre isso.

Dan Lohrmann: Mas como você sabe muito bem pelo que faz, estamos apenas dizendo: "Vamos colocá-lo na nuvem e entregá-lo à Microsoft. Vamos entregá-lo à AWS." Não resolve o problema. É como se eu ouvisse isso muito. Bem, eu conheço a AWS ou a Microsoft, e essas são boas empresas. Não estou criticando ninguém. Só estou dizendo. Eles pensam, bem, eles são maiores e mais poderosos, então eles podem fazer isso melhor do que nós, e talvez eles possam, mas você realmente precisa pensar sobre as configurações. Você realmente tem que pensar de ponta a ponta. Você realmente precisa pensar no todo, nos pontos finais e, claro, no gerenciamento de identidade, em toda a peça, de ponta a ponta. E acho que é aí que realmente estão os desafios. E alguns estão fazendo isso bem, sempre há líderes, seguidores e retardatários. Há três grupos. Algumas pessoas estão indo muito bem e outras estão com dificuldades.

Jason Clark: Sim. Quero dizer, como você acabou de dizer, você acabou de falar sobre as grandes empresas que estão migrando para a nuvem. Existe algo estranho, como às vezes você pega o CIO, é como eu chamo isso. Bem, presumimos que eles tenham a segurança, certo? Versus, não, você é o responsável pelos seus dados. Eles não se responsabilizam pela segurança dos seus dados, por exemplo, pelas suas configurações.

Jason Clark: E acho que é preciso haver mais conscientização sobre isso. Então espero que muito disso, como você disse, seja visibilidade. Está obtendo visibilidade total, especialmente à medida que as coisas migram para a nuvem.

Jason Clark: Mas quanto do esforço é focado nas pessoas? Desse bilhão de dólares, alguma coisa é direcionada para, bem, vamos pagar mais às pessoas ou vamos ajudar você a terceirizar mais? Quero dizer, como você disse, esse é o problema número um. Então, como esse bilhão de dólares está sendo destinado a isso?

Dan Lohrmann: Bem, e acho que a orientação está chegando. A única coisa que a lei diz, o ato que foi assinado pelo presidente diz, é que você precisa ter um plano. O que é bom. Muitas pessoas não têm planos. E então, não está claro se cada estado terá que ter um plano e então os municípios poderão contribuir com o plano estadual, ou se cada cidade, cada condado, cada município terá que ter seu próprio plano. Isso ainda não está claro para o DHS e a CSA, mas ainda está sendo decidido.

Dan Lohrmann: Acho que será baseado em resultados. E acho que parte disso será dividido pela população, e haverá listas de coisas nas quais você pode gastar o dinheiro, coisas que são elegíveis e coisas que não são. E haverá partes competitivas disto para dizer: "Ok, o estado que tiver o melhor plano para fazer X, Y, Z, pode obter mais dinheiro."

Dan Lohrmann: Então, acho que muitos desses detalhes ainda vão aparecer. Eu aplaudo isso. Porque é dedicado ao ciberespaço. E eu sei que no passado outros subsídios ao longo dos anos poderiam ser usados para cibersegurança, mas muitos estados não conseguiram esse dinheiro. Era usado para outras coisas. Eu também acho que é realmente um adiantamento, Jason, porque acho que isso vai durar, digamos, uma década, provavelmente o resto de nossas vidas, esse é o problema. Isso vai acontecer, e os estados e os municípios também terão que contribuir com parte disso. Eles terão que ter 90, 10, 80, 20 partidas todo ano. Aumenta em 10% o valor que os moradores locais têm que ceder.

Dan Lohrmann: Mas também não vai realmente fazer uma parte operacional para pagar por isso depois que o New material for instalado. Então acho que isso vai ajudar. Acho que isso vai fazer a bola avançar pelo campo de futebol. Provavelmente não será tudo.

Jason Clark: Mudando um pouco de assunto, Dan. Quero falar sobre algo que é emocionante para você: seu New livro. E isso saiu em novembro com a Wiley. E se chama Cyber Mayday e o Dia Seguinte. Adoro o nome. Com certeza vou ler. Eu ainda não. Vou fazer uma versão audível, como conversamos. Mas eu só quero saber sua perspectiva sobre o que é isso e por que todos deveriam ler.

Dan Lohrmann: Sim. Muito obrigado. E estou muito feliz com isso. É o Cyber Mayday e o Dia Seguinte, e então a segunda parte, o título em letras pequenas, Um Guia do Líder para Preparar, Gerenciar e Recuperar de Interrupções Inevitáveis nos Negócios.

Dan Lohrmann: E então, um rápido resumo do livro. Sou coautor com Shamane Tan. Shamane está na verdade em Sydney, Austrália. Ela é realmente a estrela da Mulher Cibernética do Ano. Ela acaba de ganhar novamente, outro prêmio na Austrália por liderança cibernética. E ela começou a realizar encontros virtuais por toda a Austrália, Japão e Cingapura. Então ela é muito famosa na Ásia. E ela escreveu seu primeiro livro. Eu contribuí para isso com um monte de histórias dos meus dias no CSO. E ela disse: "Dan, vamos trabalhar em algo juntos."

Dan Lohrmann: Então, cerca de um ano atrás, na verdade, foi em 20 de agosto, bem no meio da COVID. Ela estendeu a mão. Nós conversamos sobre isso, mas isso foi antes do SolarWinds, antes do Colonial Pipeline, antes do JBS Meats. Sobre o que queremos escrever? E o que pensávamos que estava realmente faltando, mesmo naquela época, com todos os ataques de ransomware e os ataques cibernéticos, são histórias verdadeiras sobre o que realmente acontece, não apenas com os CSOs, os executivos de segurança ou CTOs, executivos de tecnologia, mas também com os líderes empresariais de alto escalão? O que acontece quando você é atingido por um ransomware, quando sofre um ataque cibernético, quando você está no meio?

Dan Lohrmann: Então, há muitas listas de verificação por aí. Há muitos recursos gratuitos. Na verdade, fazemos referência a todos eles no final do livro. Nem todos eles. Não posso dizer tudo. Muitos dos grandes recursos que existem por aí são gratuitos. E há muitas listas de verificação, guias e white papers excelentes. Tentamos fazer referência a tantos deles quanto possível e apontar a direção certa.

Dan Lohrmann: Mas pensamos que a ideia aqui é unir três partes antes, durante e depois de um incidente. Então o que você pode fazer antes? Quatro capítulos do livro tratam de preparação, desde ter manuais e fazer exercícios, exercícios de simulação até histórias reais. O que as pessoas aprenderam e o bom, o ruim e o feio.

Dan Lohrmann: Então, durante os incidentes, no meio, histórias reais sobre isso. E no final, o que acontece depois? Como o último capítulo está transformando limões cibernéticos em limonada organizacional. Então, a ideia real é: como podemos pegar o que aprendemos e aplicar de volta em nosso plano, em nossos manuais, em nossos cenários, e melhorar e aprimorar? E o objetivo era realmente ajudar as pessoas a aprender com o que outras pessoas vivenciaram. 35 histórias reais de todo o mundo, cerca de metade delas são do governo, metade delas são do setor privado, organizações pequenas, médias e grandes. E o objetivo real é ajudar as pessoas a andar uma milha nos sapatos de outra pessoa, por assim dizer, mas realmente pequenos trechos do que aconteceu quando você foi atingido?

Jason Clark: Isso é incrível. Bem, de todas as organizações que existem, certo? Vamos chamar de qualquer coisa grande. Qual a porcentagem, se você simplesmente improvisasse, qual a porcentagem deles que você acha que estaria bem preparada?

Dan Lohrmann: Bem preparado. Uau. É muito difícil... E esta é uma grande organização, ou é só isso?

Jason Clark: Eu diria que qualquer organização com mais de 5.000 pessoas.

Dan Lohrmann: Vou dizer apenas metade, sem pensar duas vezes.

Jason Clark: Eu acho que é menos. Na verdade, acho que é ainda menos que isso.

Dan Lohrmann: Bem, depende também do que você quer dizer com bem preparado, porque você acha que está pronto, mas nunca está pronto para exatamente o que acontece. E há tantas histórias de... Eu até conto a história, algumas das histórias são minhas. Tipo, eu tenho uma longa história e a maioria delas é mais recente. Mas mesmo voltando ao apagão de 2003, e ao que aconteceu quando eu estava no governo de Michigan, acho que você e eu já conversamos sobre isso no passado.

Dan Lohrmann: Mas o Nordeste perdeu todo o seu poder e isso não foi um ataque cibernético. Embora houvesse muitos componentes cibernéticos nisso. E para onde fomos, o que fizemos, tínhamos nossos planos para o Y2K, tínhamos esse plano, fizemos alguns exercícios de simulação. Então, no final, saímos muito bem, não foi como se tivéssemos sido atingidos por um ransomware. Isso foi diferente. Mas havia o bom, o mau e o feio. Então acredito que algumas organizações estão mais preparadas que outras. Então talvez seja menos de 50%.

Jason Clark: Talvez dê outro exemplo de uma de suas histórias favoritas.

Dan Lohrmann: Deixe-me ler uma para você. Porque eu quero ler apenas uma parte para você. E isso é do capítulo cinco, vou ler duas páginas bem rápido. Tentarei ler rápido. Mas o título do capítulo é: Onde você estava quando as sirenes tocaram? Mas isso é uma história real.

Dan Lohrmann: "Sua rede foi bloqueada. Você precisa pagar 30 milhões de dólares americanos agora!" O texto a seguir foi uma negociação real entre uma gangue de ransomware e uma empresa vítima de 15 bilhões de dólares americanos que foi atingida por um pedido de resgate de 28,75 milhões de dólares em janeiro de 2021.

Dan Lohrmann: Após algumas rodadas, a empresa vítima contabilizou 2,25 milhões, o que foi recebido com desprezo pelos criminosos de ransomware. Parafraseando aqui, é muito engraçado ver alguns de seus administradores tentando instalar o servidor Ms Exchange em três dias e não conseguindo. Criptografamos 5.000 dos 6.000 servidores. Se fizermos alguns cálculos simples, seu gasto será de, digamos, US$ 50 por hora, ou talvez até mesmo, generosos US$ 65 por hora. Então, 24 horas gastas para restaurar um servidor multiplicadas pelo número de servidores criptografados por nós, o que equivale a 10 milhões de dólares somente em despesas com mão de obra.

Dan Lohrmann: É interessante notar como essas gangues de ransomware descobriram uma maneira eficaz de comunicar o impacto financeiro da interrupção de negócios causada pelos ataques cibernéticos e demonstrar como suas vítimas reduzirão suas perdas ao atender às suas exigências. Eles continuaram, mas não se esqueça de que você gastou todo o tempo na instalação. Ops, você não consegue nem restaurar nenhum dado. Você pode? Porque ele desapareceu pelos próximos mil anos. Eles adicionaram o fator tempo no final da mensagem, mas também mostraram alguma misericórdia ao mesmo tempo.

Dan Lohrmann: O tempo está passando e, nas próximas oito horas, seu preço subirá para 60 milhões de dólares. Então, ou você aceita nossa oferta generosa e nos paga 28,75 bilhões, ou investe em computação quântica para agilizar o processo de descriptografia. Quando a empresa pediu tempo adicional, os bandidos contaram correndo atrás, eu não acho, vocês não eram pobres e não são crianças. Se você estiver ferrado, terá que arcar com as consequências.

Dan Lohrmann: Um dia depois, quando a empresa finalmente conseguiu autorização para pagar 4,75 milhões, o extorsionário concordou em reduzir a demanda para 12 milhões. A condição é que o valor restante seja pago em até 72 horas. Depois de algumas mensagens adicionais, eles chegaram a um acordo onde os criminosos prometeram quatro coisas rápidas. Os hackers não lançariam nenhum New ataque. A empresa obteria as ferramentas para descriptografar completamente os dados. Os hackers abandonariam completamente a rede e nunca mais os atacariam. Os hackers dariam à empresa acesso aos dados para que eles mesmos os excluíssem. Os dados nunca seriam publicados ou revendidos. E os hackers forneceriam um relatório completo sobre suas ações, como entraram na rede, como o ataque foi realizado e agora, incluindo dicas sobre como melhorar a segurança da organização e contra a penetração de outros hackers. A empresa acabou pagando um resgate de 11 milhões de dólares." Pararemos por aqui. Mas essa é uma história, ela continua e entra em mais detalhes. Mas sim.

Jason Clark: Tive uma reunião recentemente com um CIO de viagens. Vou lidar com duas empresas específicas de viagens e lazer. E eles têm ransomware no meio, e eles são grandes, no meio da pandemia. Você está falando como em maio, junho do ano passado. E eles pediram 20 milhões de dólares, a resposta do CIO foi: "Não temos receita nenhuma agora, nem projeções de receita para o futuro. Não temos nada a perder agora. Não temos dinheiro. Não temos clientes."

Jason Clark: Então era mais um bloqueio do sistema do que informação confidencial. Não eram PII. Mas sim, eles acabaram pagando cerca de 10 mil por causa da COVID. Mas eu adoro, quero dizer, acho que dar vida a essas histórias é uma daquelas coisas que você não quer que apenas profissionais de segurança e OSCs leiam, você quer que líderes empresariais leiam.

Dan Lohrmann: Isso foi escrito para a alta gerência, mas também para qualquer líder empresarial. Se você tem uma pequena empresa, quer dizer, você poderia ter... Meu irmão, Steve, foi atingido por um ransomware alguns anos atrás. Ele tem uma cópia do livro agora. Ele tem 20 propriedades em Ocean City, Maryland, onde tem 10 funcionários, mas foi atingido por um ransomware. E felizmente naquela época ainda era o começo. E ele teve que pagar US$ 1.200. Isso foi há cerca de três, quatro anos.

Dan Lohrmann: A questão é que isso pode acontecer com qualquer um. E isso foi realmente escrito para a comunidade empresarial, bem como para a comunidade de tecnologia e segurança.

Jason Clark: Então, quanto tempo você levou para escrever este livro?

Dan Lohrmann: Então, começamos e escrevemos a proposta. Concordamos que faríamos isso em outubro passado. Cada um de nós escreveu um capítulo e elaboramos a proposta. Nós dois já tínhamos escrito livros antes. Então este é meu terceiro livro. Fizemos a proposta no inverno, fizemos algumas negociações e tivemos três editoras que queriam fazê-la. Wiley. Fizemos um acordo com a Wiley e concluímos o primeiro rascunho do livro em 1º de maio. E o Oleoduto Colonial foi atingido. As edições vieram em blá, blá. O manuscrito final foi concluído em 1º de julho.

Dan Lohrmann: Então, escrevemos a maior parte em cerca de três meses. Mas, na verdade, todo o processo durou cerca de nove meses. E nós meio que atualizamos isso por meio das carnes JBS, Colonial Pipeline e SolarWinds, mas o corte foi em julho deste ano.

Jason Clark: Quer dizer, isso o torna extremamente relevante para todos agora.

Dan Lohrmann: Ah, isso passa pela Colonial, pela JBS, pela Solar Winds e por algumas outras. O problema, Jason, é que as pessoas não percebem que o depoimento no Congresso apenas disse que houve mais ransomware em 2021, nos últimos 10 anos combinados, o que me parece loucura. Aliás, isso não está no livro. Isso só saiu há algumas semanas em um depoimento no Congresso. Esses números simplesmente me surpreendem, porque eu sei o quão grande era o 19 e o quão grande era o 20. E foram anos importantes para o ransomware. E a situação está piorando no momento. Infelizmente, além disso, os resgates estão aumentando e eles estão pedindo mais. É certamente um grande problema que as organizações estão enfrentando.

Jason Clark: Quer dizer, isso é um assalto a banco, certo? Isso é apenas um assalto a banco, só que reinventado agora. Então, mudando um pouco de assunto e falando sobre isso, por que exercícios de simulação e até mesmo exercícios cibernéticos em grande escala são tão importantes do que planejar e executar isso?

Dan Lohrmann: Quero dizer, antes de tudo, envolver todos. Porque a parte mais importante disso é que você certamente tem as peças técnicas, você tem a parte mais importante e tudo mais. Mas o problema maior é realmente a comunicação. E como você se comunica com a alta gerência? Como você se comunica na empresa? Como você se comunica de cima para baixo, de lado para baixo, com seus investidores, com a comunidade e com o público? A maneira como você se comunica, e eu vou te dizer, isso remonta a 20 anos, e qualquer um que esteja envolvido nesse gerenciamento de emergências para incêndios, inundações, tornados, as pessoas diriam que isso acontece há centenas de anos. Quer dizer, é sempre uma questão de comunicação e de como você se comunica. Quem vai falar com quem? Quando? O que você faz primeiro? Em que ordem? Como você faz isso? Você está preparado? Como funcionam seus manuais?

Dan Lohrmann: Você traz para esses exercícios, esses exercícios de mesa e esses exercícios completos, seus manuais para realmente quase praticar e levar à perfeição, certo? E então, assim como uma equipe de bombeiros praticaria a extinção de incêndios, você não quer que alguém, ao vestir o traje pela primeira vez, venha até sua casa quando ela estiver pegando fogo. Você quer que eles saibam o que estão fazendo, para onde ir, o que fazer e como fazer com base em diferentes situações e cenários, injeções e tudo mais. É isso que você realmente precisa fazer.

Dan Lohrmann: E muitas pessoas pensam: "Ah, temos backup dos nossos dados". Vou lhe contar uma história rápida: sim, mas levaria seis semanas para restaurá-lo, porque eles não tinham largura de banda, não tinham conexões. Então eles acabaram tendo que pagar o resgate, porque não pensaram muito bem no assunto. Eles achavam que tinham uma solução, mas nunca tinham passado por todo o processo. E eles simplesmente não sabiam o que não sabiam.

Jason Clark: Qual a porcentagem de empresas que pagam e qual a porcentagem de empresas que não pagam?

Dan Lohrmann: Acho que mais de 50% pagam agora. O mais difícil nisso, Jason, são aqueles que não denunciam.

Jason Clark: Qual é a maioria.

Dan Lohrmann: Exatamente. E estou dizendo que o FBI... Os números que temos, como quando você vê todos esses relatórios sendo publicados, e todas as revistas técnicas, e a Forbes, e todo o resto, quantos ataques de ransomware, você verá os relatórios de fim de ano. Eu faço meu blog anual de previsões. E todos esses números de fim de ano são baseados no que sabemos. Mas se uma pequena empresa paga um resgate de US$ 20.000 e nunca informa à polícia, o valor nem é contabilizado. E isso eleva esse número para bem mais de 50%. Quer dizer, acho que 70, 80%, por causa daqueles que não conhecemos.

Jason Clark: E assim como você falou, os números de 2021 vão aumentar 10 vezes mais do que nunca. Acho que é significativamente maior.

Dan Lohrmann: É mais alto do que sabemos.

Jason Clark: Só um pouquinho sobre isso. Porque você acabou de mencionar suas previsões. Então, quais são suas principais previsões favoritas para o próximo ano?

Dan Lohrmann: Quer dizer, posso te dar muitas. Estou revisando todos eles agora. Então, como você sabe, como você e eu conversamos sobre isso há alguns anos seguidos, mas antes de tudo, essas não são previsões de Dan Lohrmann. Eu compilo o que considero os melhores relatórios de previsão de todas as principais empresas. Então, da Trend Micros e da FireEyes, e não estou falando dessas.

Dan Lohrmann: Há certas empresas que produzem relatórios de previsão realmente excelentes e que gastam literalmente dezenas e centenas de milhares de dólares nesses relatórios, e eles são muito bem feitos. E não é como colocar a mão no ouvido e adivinhar que pode nevar amanhã. Quer dizer, eles realmente fazem pesquisas e tentam conectar os pontos e dizem: "Quer dizer, claramente haverá mais violações de dados. É claro que haverá mais ransomware. É claro que teremos mais infraestruturas críticas atacadas." Todo ano há previsões de grandes ataques cibernéticos de 11 de setembro, e as pessoas querem ouvir sobre eventos espetaculares.

Dan Lohrmann: Isso foi meio que amenizado nos últimos anos, porque ninguém quer ouvir que a Internet vai cair ou que milhares de pessoas vão morrer em algum hospital. Porque, bem, acho que falaremos sobre isso mais tarde, OSCs, mas a mensagem da moda passageira não é uma mensagem de sucesso. Quer dizer, gostaríamos de ser um pouco mais específicos sobre que tipo de ataques direcionados estão sendo feitos a você. Então, muitos dos relatórios e minhas previsões favoritas no momento são sobre como a inteligência artificial e os malfeitores estão usando o aprendizado de máquina, a inteligência artificial para realmente perseguir essas empresas de maneiras muito sofisticadas, e atingir de diferentes maneiras. E não vou entrar em detalhes específicos agora, de uma perspectiva tecnológica.

Dan Lohrmann: Mas procurar por essas vulnerabilidades, procurar por dias zero conhecidos, procurar por problemas conhecidos e então vasculhar a internet, como se estivéssemos procurando, podemos dizer que é um diamante bruto, ou uma agulha no palheiro. Mas se você tiver as ferramentas certas, da perspectiva de aprendizado de máquina e inteligência artificial, elas serão muito, muito eficazes.

Dan Lohrmann: Então, os ataques estão se tornando mais direcionados, mais específicos. As pessoas estão fazendo a lição de casa, e não é como se estivéssemos muito longe de onde estávamos há uma década, quando te conheci, mas sim como se estivéssemos enviando spam para o mundo e esperando que alguém se identificasse. Algumas coisas ainda estão acontecendo, algumas coisas ainda estão funcionando. Mas muito disso é muito mais direcionado. E ouvi recentemente que a dark web está cheia de senhas e credenciais, e as pessoas ainda não usam autenticação de dois fatores, o que é loucura, ou autenticação multifator, MFA. E eles nem estão hackeando, eles estão apenas fazendo login com as credenciais, o que é loucura, mas está acontecendo. Futuro

Jason Clark: E para quem estiver ouvindo, quero dizer, cada aplicativo que você tem deve ser multifatorial, ponto final.

Dan Lohrmann: Absolutamente.

Jason Clark: Honestamente, em termos de segurança, você não está fazendo seu trabalho.

Dan Lohrmann Correto.

Jason Clark: Naquele período. Porque isso é um-

Dan Lohrmann: Bem dito. Isso é totalmente correto.

Jason Clark: E você está certo. Ela existe. Há muitos produtos e aplicativos SaaS por aí que ainda nem oferecem suporte a MFA. Porque eles são pioneiros, são jovens, têm 28 funcionários que criaram um aplicativo de RH, digamos, mas estão atendendo empresas muito grandes. Porque tudo é meio que controlado pela TI paralela, e então finalmente a segurança descobre e pensa: "Cara, vamos cortar seu acesso a menos que você consiga desenvolver essa funcionalidade." Ele precisa ser integrado à nossa solução, como o Okta Payment, etc. Certo?

Dan Lohrmann: Totalmente. E nesse mesmo ponto, lembro-me de um ano atrás eu estava com um... Não vou citar o nome do banco. Eu estava em um banco em que literalmente subi na hierarquia. Quero fazer autenticação multifator, eles não tinham autenticação multifator em um banco. E eu fui até o CSO e acabei sendo adicionado ao piloto deles. E na verdade ainda estou com isso. Agora eles têm MFA em todos os níveis. Mas se você tem algum seguro de instituição financeira, qualquer tipo de conta financeira ou negociação, e não é muito multifatorial, encontre outra pessoa.

Jason Clark: Agora vou fazer uma transição um pouco mais aprofundada em RI. Você fez muitas coisas diferentes. Você trabalhou em todos os tipos de partes da segurança. Qual é seu domínio favorito? Porque você também fez muita coisa em relação à conscientização sobre segurança. Qual é o seu domínio favorito em segurança cibernética?

Dan Lohrmann: Gostei muito da conscientização sobre segurança. Fiquei nisso por sete anos. E a Security Mentor é uma ótima empresa, e há pouca mensagem adicional aí. Mas eu ainda os amo, eles são uma ótima empresa. O que eu gostei foi que ele é muito prático para usuários comuns. Eu poderia conversar com pessoas da minha igreja, da minha comunidade e com pessoas que conheci nas festas de Natal sobre três coisas que eu poderia fazer agora. Quero dizer, uma autenticação multifator, ative o 2FA para o Facebook e para o Gmail.

Dan Lohrmann: E então, eu gostei disso porque era relevante para cem por cento da sociedade, quando você começa a falar sobre muitas coisas que vocês fazem, o ótimo trabalho na Netskope, e as empresas com as quais estou trabalhando agora na Presidio, e a Netskope é uma delas, mas certamente a AWS, a CrowdStrike, e pessoas diferentes, a Okta e outras. E a verdade é que explicar isso às pessoas é mais difícil na perspectiva de um leigo. O que eu gosto no meu cargo atual, e me perguntem daqui a um ou dois anos, é que ele é mais amplo. E é realmente, eu volto à capacidade de escopo completo-

Jason Clark: Conjunto completo de soluções.

Dan Lohrmann: Sim, exatamente.

Jason Clark: Você pode ajudar as pessoas com tudo. Você tem um problema, eu posso resolvê-lo, certo?

Dan Lohrmann: É isso. Exatamente. E eu adoro isso. Olha, eu adoro ter conversas honestas com CSOs e CIOs. E eu tenho que te dizer, para o bem e para o mal, as pessoas dizem que eu sou louco porque provavelmente há muito mais dinheiro, e há no setor privado.

Dan Lohrmann: Mas eu trabalhei em ambos, desde meus dias na NSA até mesmo na Inglaterra, com a Lockheed e a ManTech, e depois no Estado de Michigan. Eu realmente me concentro muito no governo e adoro o governo e ajudar. Quero dizer, apenas a paixão de ajudar a melhorar a sociedade. E então, para mim, eles não têm recursos suficientes, são azarões em muitos aspectos, mas tenho que dizer que tenho paixão por isso também, tendo conversas honestas e abertas com o setor público e o governo. Porque, quero dizer, eles são heróis que estão lá na linha de frente agora. E é difícil. É difícil. E eles trabalham sete horas por dia, sete dias por semana, 14, 16 horas por dia, e estão suando. E eu sinto por eles. É um trabalho difícil.

Jason Clark: É um trabalho muito difícil, e é por isso que eles geralmente não duram muitos anos e mudam de emprego com frequência. E o estresse é imenso. Isso é. Assim como você não consegue encontrar pessoas, a ameaça está evoluindo muito rápido, os negócios estão migrando para a nuvem, mas você ainda precisa se proteger no local. E agora você tem o dobro do ataque, o triplo do ataque, mas não o triplo e o dobro do orçamento. Quer dizer, é um trabalho muito, muito, muito difícil, e não há dúvidas sobre isso.

Dan Lohrmann: É sim. E então você perde seus melhores funcionários. Você monta uma equipe e pensa: "Essa equipe é..." E então conseguimos, eu ainda amo minha, foram dias de glória, mas 14 anos atrás, quando escrevi meu primeiro livro. Tínhamos uma equipe no governo de Michigan, era uma economia muito diferente, um mundo cibernético muito diferente naquela época. Eu sei que tínhamos uma ótima equipe porque todas aquelas 10 pessoas que eu poderia citar são OSCs ao redor do mundo fazendo grandes coisas.

Dan Lohrmann: Então é como se você não conseguisse mais manter um time unido como esse. Quer dizer, simplesmente não dá para fazer isso porque eles vão receber ofertas de todos os lados. E especialmente no governo, é muito difícil, você tem que ser um motivador também. Você tem que ser uma líder de torcida e uma motivadora.

Jason Clark: Na verdade, isso é conhecido por perseguir talentos do governo e do estado também. Contratei Jonathan Troll do Colorado porque ele é brilhante e você sempre pode pagar por ele na primeira vez.

Jason Clark: Então, falando em talento, certo? E como se você fosse uma cratera de OSCs, como acabamos de falar. Acho que foi uma das maiores coisas, como medida de sucesso pessoal, às vezes é quantas pessoas se tornam executivas logo depois de trabalhar para você, certo? Esse é um dos nossos trabalhos: aumentar a base de talentos e ajudar as pessoas em suas carreiras. Mas qual seria seu principal conselho para um CSO iniciante?

Dan Lohrmann: Encontre um mentor. Exatamente o que você acabou de dizer, Jason, encontre um mentor que você possa encontrar fora da sua organização atual, mas alguém em quem você possa confiar, em quem você possa confiar, e que não esteja tentando lhe vender algo. Quer dizer, não estou falando de um mentor que, pelo menos se for um vendedor, possa sair desse papel e simplesmente falar sobre sua vida e sobre você. Você simplesmente arrisca, porque eles já passaram por isso. Eles sabem como é. Há política envolvida. Há política de escritório. Não estou falando de republicanos e democratas. Quer dizer, isso também entra em jogo às vezes. Mas, quero dizer, qualquer organização tem política.

Jason Clark: Toda empresa tem política, ponto final. A propósito, acho que uma das principais dificuldades de todas as OSCs é o lado político. Porque você tem que colocar atrito no negócio, então você não pode simplesmente ter algo sem atrito. Eles vão fazer qualquer coisa. E assim, ter esse equilíbrio. Há muitas OSCs com quem converso que dizem: "Ah, sim, eu ando pelo corredor e as pessoas dizem: 'se virem e começarem a andar na outra direção porque estão com medo de mim'". Eu fiquei tipo, "Isso não é uma coisa boa."

Dan Lohrmann: Sim. E essa seria a segunda coisa. Quer dizer, vou te dar quatro ou cinco. Mas quero dizer, relacionamentos, relacionamentos, relacionamentos. Quero dizer, é a importância disso. Nossa meia original em Michigan era chamada de Batcaverna. Não fique só na Batcaverna o tempo todo. Esse cara disse: "Isso é ótimo. Estou na Batcaverna."

Dan Lohrmann: Mas você precisa ter relacionamentos 360. Então você será julgado pela forma como trabalha com seu pessoal, como trabalha com seus colegas, como trabalha com sua gerência, é claro, mas também pela forma como trabalha com a comunidade de fornecedores e como trabalha com os clientes. E então, esses relacionamentos são essenciais.

Dan Lohrmann: E é difícil. Quer dizer, não há muitas OSCs. E eu tive dificuldades às vezes. E eu sei que é difícil ter bons relacionamentos com todo mundo, assim como qualquer coisa na vida, você não pode ser amigo de todo mundo. Mas ter bons relacionamentos 360 é outra coisa. E é fácil dizer, todo mundo diz, mas é difícil fazer. E é muito difícil fazer bem. E isso leva anos. É preciso experiência.

Dan Lohrmann: Você não assume um New emprego como CSO e não é um veterano de cinco anos, porque você não passou por cinco ciclos orçamentários, nem por cinco Natais e cerimônias de premiação de fim de ano. Quer dizer, você aprende o que é bom, ruim e feio, você aprende. E espero que você tenha tempo para realmente crescer em sua função.

Dan Lohrmann: Mas é aí que um mentor pode ajudar. Um mentor pode ajudar você a atravessar esse pântano, porque você fará algumas coisas bem. Há coisas que a maioria das OSCs faz bem no início, mas há algumas coisas com as quais elas geralmente têm dificuldade.

Jason Clark: O que você faria de diferente se pudesse voltar no tempo?

Dan Lohrmann: Então, há uma história que remonta a 2004, quando eu era CSO no estado de Michigan, e Teri Takai era minha chefe. E Teri era CIO em Michigan. Ela se tornou CIO na Califórnia. Depois, ela se tornou CIO do Departamento de Defesa dos EUA. Tão famoso. Trabalhou para muitos governadores, Arnold Schwarzenegger e Jennifer Granholm, que agora é secretária de energia.

Dan Lohrmann: De qualquer forma, dizem que em qualquer relacionamento de New CSO, você sempre tem o tipo de coisa de formação, tempestade, normatização e execução, certo? Bem, essa era nossa cara de tempestade. Então, para contar o final, Teri e eu acabamos nos tornando boas amigas.

Dan Lohrmann: Mas enfim. No meio disso, Teri queria que eu colocasse Wi-Fi em todas as nossas salas de conferência estaduais. E eu era contra o Wi-Fi. Eu sou o cara da NSA. E eu tinha todos esses papéis brancos. Eu tinha feito todo meu dever de casa. E eu fui para a CIA, NSA, FBI. Eu tinha todos esses papéis brancos. Wi-Fi é uma má ideia. Estávamos dirigindo, as pessoas estavam arrombando o Home Depot-

Jason Clark: [conversa cruzada 00:38:10].

Dan Lohrmann: Tudo isso. Então, resumindo, eu fui para essa reunião. Teri disse: "Ok, Dan..." Havia umas 10 pessoas em volta daquela grande sala de conferências do governo. É a reunião da equipe da Teri, cerca de 20 minutos depois do início da sala de conferências, reunião semanal da equipe. E temos o fórum de itens da pauta. E ela diz: "Dan, então como vamos fazer isso?" E eu disse: "Bem, Teri, isso é uma má ideia. Vamos cancelar esse projeto." E então, distribuí essas folhas de papel e as passei pela sala. E eu disse: "Tenho todos esses documentos aqui para comprovar isso. Só quero resumir por que isso não é algo que deveríamos fazer."

Dan Lohrmann: Então Teri disse: “Pare. Quero que todos saiam da sala, menos o Dan." Então, todos se levantam e saem correndo da sala. Nunca vi o governo [inaudível 00:38:55] sair tão rápido. Enfim, para encurtar a história, ela me olhou nos olhos e disse: "Dan, se essa é sua resposta, você não pode ser o CSO em Michigan". E eu disse: "Bem, espere um minuto, Teri, deixe-me explicar." Ela disse: "Não, não, não, pare." Ela disse: "Sabemos que você é inteligente. Você tem um mestrado, blá blá blá da NSA, nós temos tudo isso." Ela disse: "Mas eu estive na Dow Ford, Chrysler e GM, e todas elas têm Wi-Fi em suas salas de conferência. O que eles sabem que você não sabe?"

Dan Lohrmann: Ela disse: "Vou te dar uma semana para descobrir, ou quero sua renúncia." E esse foi um momento chocante para mim. Quer dizer, foi um momento de mudança de vida. Quer dizer, minha carreira passou como um raio diante dos meus olhos. Claro, voltamos, conversamos com a Dow Ford, Chrysler, GM. Temos Wi-Fi em todas as salas de conferência estaduais. Dois anos depois, ganhamos o prêmio de Wi-Fi de maior segurança do governo em todo o país, blá blá blá. Mas a maior lição para mim foi que você precisa chegar a um sim, mas, ou a um sim e, você precisa analisar as opções. Você tem que dar ouro, prata, bronze. E não se trata apenas de Wi-Fi, obviamente, isso pode ser feito na nuvem. Isso poderia ser-

Jason Clark: Sempre há um jeito.

Dan Lohrmann: Exatamente. É nuvem, IoT ou IA, seja qual for o New tópico do momento. A resposta de segurança é sempre não. E você tem que descobrir o que as outras pessoas sabem que você não sabe. Às vezes a resposta pode ser não, Jason, já falamos sobre isso antes. Mas a questão é que você realmente tem que... E isso realmente mudou minha mentalidade. Como posso ser um facilitador? Daquele momento em diante, eu estava certo artigos. O5 uma palavra. Como mudar culturas para ter uma segurança cibernética favorável? E eu sei que a Netskope também faz isso. Como você capacita as pessoas a usar a nuvem com segurança?

Jason Clark: Ótimo conselho, Dan. Então, é só isso que temos tempo para hoje. Dan, isso foi incrível. E obrigado. E sinto que poderíamos facilmente ter feito isso por muitas e muitas horas mais. Mas antes de deixar você ir, primeiro, onde as pessoas podem encontrá-lo e obter seu livro? E também, há mais alguma coisa que você queira deixar para alguém?

Dan Lohrmann: Claro. Bem, muito obrigado. E Jason, mais uma vez, obrigado. Obrigado Netskope. Obrigado por me receber, realmente, é uma honra estar no seu programa. E você é um verdadeiro líder de pensamento e um especialista no setor. Então, sou um grande admirador seu e do que você fez.

Dan Lohrmann: Cyber Mayday and the Day After é o nome do livro. Você pode comprá-lo na Amazon. Está lá fora. Também escrevo para revistas de tecnologia do governo. Então eu tenho um blog semanal. Acontece todo domingo e segunda-feira. É a principal notícia nas manhãs de segunda-feira da revista Government Technology. Você pode me ver lá, Lohrmann, sobre segurança cibernética. Também @govcso no Twitter. GOVCSO, @govcso é meu nome de usuário no Twitter.

Dan Lohrmann: E você também pode se conectar comigo no LinkedIn porque adoro me conectar com profissionais do setor e até mesmo com pessoas New no setor. Não é possível orientar todo mundo. Recebo muitos pedidos para orientar pessoas. Sou mentor de algumas pessoas, mas adoraria me conectar com você. Então, sinta-se à vontade para entrar em contato pelo LinkedIn, Dan Lohrmann.

Jason Clark: Sim. Escutem, pessoal, vocês definitivamente se conectam com o Dan. Tudo o que ele quer é ajudar as pessoas. Ele quer melhorar esta indústria e ajudar as comunidades. Então, isso é uma coisa que eu amo no Dan. É tudo uma questão de comunidade. Então obrigado, Dan. E vejo vocês em uma semana.

Dan Lohrmann: Muito obrigado, Jason. Eu aprecio isso.

Palestrante 3: O podcast Security Visionaries é promovido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para viabilizar sua jornada de transformação digital? A nuvem de segurança da Netskope ajuda você a conectar usuários diretamente à internet com segurança e rapidez, de qualquer dispositivo a qualquer aplicativo. Saiba mais em Netskope.com.

Orador 2: Obrigado por ouvir os Visionários de Segurança. Por favor, reserve um momento para avaliar e comentar o programa e compartilhe com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas. E nos vemos na próxima.