Definindo os princípios da transformação da segurança

[00:00:00] James Christiansen: Quer dizer, acho que você tem que ser um inovador para ser um líder. Você tem que continuar desafiando o status quo. Você tem que continuar desafiando os pensamentos de ontem. Foi isso que realmente fizemos quando nos reunimos como uma equipe e começamos a ouvir nossos colegas e a considerar essas contribuições, juntamente com seus próprios custos, para realmente desenvolver esses princípios, desafiando a maneira como temos feito as coisas e realmente pensando sobre como essa digitalização está mudando a nós e à nossa organização.

[00:00:34] Produtor: Olá e bem-vindos aos visionários de segurança apresentados por Jason Clark, diretor de segurança e diretor de estratégia da Netskope. Você acabou de ouvir James Christianson, vice-presidente e diretor de segurança da informação da Netskope, neste programa. Você ouvirá profissionais de classe mundial e líderes de pensamento como James sobre como eles se mantêm no topo da segurança de rede e nuvem. Você está prestes a ouvir a segunda metade de uma discussão em duas partes sobre os princípios da transformação da segurança. Nesta metade, Jason e Erick estão acompanhados pelos colegas James Christianson, vice-presidente e diretor de segurança da informação da Netskope. James Robinson, vice-diretor de segurança da informação da Netskope e Lamont Orange, diretor de segurança da informação da Netskope. A discussão a seguir e o podcast dos visionários de segurança fazem parte do manual de transformação de segurança, um conjunto de New recursos da Netskope e de alguns dos líderes mais inovadores do setor que examinam as questões mais importantes em segurança hoje. Antes de começarmos, aqui está uma breve palavra de nossos patrocinadores.

[00:01:38] Patrocinador: O podcast Security Visionaries é promovido pela equipe da Netskope. A Netskope é líder em SASE. Oferecemos tudo o que você precisa para proporcionar uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios de hoje. Saiba mais em Netskope.com

[00:01:57] Produtor: sem mais delongas, aproveite o episódio dois de Visionários de Segurança com seu apresentador, Jason Clark.

[00:02:05] Jason Clark: No último episódio, Erick e eu conversamos sobre a gênese do projeto de transformação de segurança e explicamos que há vários princípios para o futuro nos quais devemos trabalhar, certo. 10 princípios nos quais vamos nos aprofundar especificamente hoje. E então me juntam primeiro Erick, Rudiak, Erick, como vai?

[00:02:24] Erickk Rudiak: Olá Jason. Que bom estar de volta. Muito obrigado por me receber.

[00:02:29] Jason Clark: É um prazer tê-lo aqui. E Laranja Lamont.

[00:02:31] Lamont Orange: Olá, Jason, obrigado por me receber no programa. Estou ansioso pela conversa.

[00:02:36] Jason Clark: E James Robinson.

James Robinson: Olá, estou feliz por estar aqui. Obrigado.

Jason Clark: E James Christiansen.

James Christiansen: Vamos agitar!

Jason Clark: Então, pessoal, sejam bem-vindos. Bem-vindo à conversa. Como vocês estão? Você está pronto?

James Robinson: Estou pronto. Vamos fazer isso.

Jason Clark: Incrível. Lamont, eu sei que você, uh, esta manhã teve que, uh, você já estava no palco em um painel de discussão. Você teve que correr para essa conversa. Então, obrigado por isso, mas provavelmente será fácil e agradável fazer isso em sequência.

[00:03:06] Lamont Orange: Com certeza. Então o prazer é meu.

[00:03:09] Jason Clark: Então, todos nós, você sabe, trabalhamos juntos nos últimos dois anos. Realmente com a indústria, certo. Passar tempo em centenas de jantares de mesa redonda, workshops, pesquisas e conversas individuais, certo? Tentando coletar. Como será o futuro da segurança? E neste New mundo, uma espécie de transformação digital está apenas acontecendo. Certo. Para cada organização. E a segurança está nesse mundo de cabeça para baixo, onde estamos tentando, você sabe, as equipes de segurança estão sendo levadas além do que se pode imaginar. Certo. E, e tentando acompanhar. Então, como eles conseguirão ter um bom desempenho e ganhar vantagem? Neste New modelo, certo? Porque eles estão obviamente estressados e, hum, eles estão olhando para as arquiteturas de tecnologia legadas e, no final, meio que essas, essas formas passadas que fizemos as coisas nos últimos 25 anos, que todos nós temos trabalhado neste setor ou mais, passamos um tempo juntos em 10 princípios para o futuro. Certo. E então, obviamente, o resto do manual de transformação de segurança como parte do que acontece se eu precisar chegar aos 20, 25 e além. Então, vocês sabem, todos vocês ajudaram muito nisso, certo? E então, basta esperar que cada um de vocês dê, você sabe, seu contexto para cada princípio, enquanto falamos com eles e as experiências que vocês tiveram nessas conversas, quando essas, você sabe, eu diria que mais de, nossa, provavelmente bem mais de mil conversas de CISOs e CIOs que nós. Nesta. Certo. Mas também em suas experiências como CISOs em qualquer vida passada, como na operação de outras organizações, como CISOs que escrevem sobre o passado, caminhando para o futuro. Então, com isso, vou começar com o princípio, certo? O primeiro princípio é desafiar todos os seus princípios existentes, certo? Então, quais princípios do passado você acredita que precisam ser desafiados?

[00:05:04] James Christiansen: Sim, você sabe, eu realmente estou. Eu sempre desafio tudo. Eu penso todo dia. Quer dizer, acho que você tem que ser um inovador para ser um líder. Você tem que continuar desafiando o status quo. Você tem que continuar desafiando os pensamentos de ontem. E acho que foi isso que realmente fizemos quando nos sentamos. E quando a equipe começou a ouvir nossos colegas e a levar essas contribuições junto com nossos próprios pensamentos para realmente desenvolver esses princípios, o que realmente importava era desafiar o status quo. Trata-se de desafiar a maneira como temos feito as coisas e realmente pensar sobre como a digitalização empresarial está mudando a nós e às nossas organizações e, certamente, a rápida mudança para trabalhar de qualquer lugar e o que isso está fazendo com as coisas que temos que fazer enquanto buscamos.

[00:05:51] Jason Clark: E quanto ao princípio de que, se não está quebrado, não conserte?

[00:05:54] James Christiansen: Sim. Não sei. Sempre fui muito bom em quebrar coisas, então não sou a pessoa certa para perguntar.

[00:06:00] Lamont Orange: E quando você olha para a transformação digital, honestamente, você provavelmente está esgotado. Já está quebrado. Sobre como você quer levar a organização adiante, você tem que dizer que ela já está quebrada e precisa ser consertada porque ainda estamos tendo uma quantidade crescente de ataques de invasores. Eles ainda estão fazendo sucesso e estão fazendo sucesso em alta velocidade. Então precisamos voltar, pois ele já está quebrado. Agora é como plantamos uma semente e seguimos em frente?

[00:06:32] Jason Clark: Então, James, você é um especialista em segurança de produtos e aplicativos. E na minha opinião, certo, vocês fazem isso há muito tempo para organizações muito grandes. Bem, como os princípios são alterados? Do ponto de vista de segurança de aplicativos, segurança de produtos ou pipeline de software.

[00:06:50] James Robinson: Sim, um, o que me veio à mente, que, uh, acho que também foi incluído em um princípio diferente, foi que a confiança, mas verifique se foi algo em que confiamos por muito, muito, muito tempo em todo o domínio de segurança do produto AppSec. E acho que agora isso realmente é muito questionado. Esse era um princípio que na verdade era muito confortável. Hum, e um que eu confiei por muitos e muitos anos e que agora está totalmente quebrado, totalmente desafiado, e sei que há muitas conversas sobre os princípios de confiança zero e que ele tem os seus próprios. Mas são realmente as arquiteturas de confiança zero

[00:07:24] Jason Clark: Esse é um bom ponto. Confie, mas verifique, isso se transformou em confiança zero. Certo? Esse é um ponto muito bom. Então, princípio dois. Pare de comprar soluções de caixa preta e compre soluções abertas e integradas. Então, eu gostaria de dizer que, em geral, os fornecedores compraram muitas empresas de tecnologia, certo, eles compraram muitas empresas e as integraram, ou alegam integrá-las. Mas geralmente a integração é uma lista de preços e o vendedor vendendo para você. Então, no geral, qual é a visão de vocês sobre como a indústria precisa mudar a maneira como adquirimos tecnologias?

[00:07:59] James Robinson: Vou começar falando sobre isso, porque isso, isso foi algo que eu vi e sobre o qual tenho conversado muito internamente com Lamont. Hum, e é essa ideia. Eu adoro a ideia de aberto, sabe, NDR aberto, XDR aberto, nuvem aberta. Sim, esses tipos de coisas, nós temos que ser capazes de, você sabe, fazer disso quase o requisito número um. De muitas maneiras, você sabe, sabemos que a soma de muitas coisas é melhor do que a soma de Uma, se você comprar a caixa preta, o que você está recebendo é a soma de uma, ou talvez a soma de algumas, hum, e você tem que, você sabe, construir essa inteligência sendo aberto. É aí que realmente entra a questão. Eu acredito muito que você vai sair de, uh, de alguns deles, sabe, eu sei que falamos apenas sobre dois, mas agora este provavelmente está mais bem classificado para mim do que o princípio um sobre o qual falamos com desafio, tudo, certo? Este é, você sabe, este é, é o núcleo. Acho que para termos sucesso no futuro,

[00:08:54] James Christiansen: Sabe, eu sou Jason. Comprei muitos produtos de primeira linha ao longo da minha carreira. Sabe, nós, nós fomos muito atrás com empresas muito agressivas como essas, para as quais eu trabalhava, sabe, mas no mundo de hoje, sabe, eu tenho que olhar para as melhores plataformas. Simplesmente não posso pagar a mão de obra necessária para gerenciar todas essas soluções diferentes. E a complexidade que isso traz para a organização, sabe, só leva a erros humanos, leva a patches, não obtendo versões aplicadas, não sendo atualizadas. Então eu realmente tive que abandonar meu processo de pensamento e começar a olhar para as melhores plataformas. Agora, o que pode me dar a melhor integração possível, como você disse na sua conversa de abertura, não pode ser alguém com muitos números distorcidos, tem que ser uma plataforma verdadeiramente integrada para resolver os problemas reais.

[00:09:50] Jason Clark: Então, Erick, alguma ideia sua sobre aberto e integrado? Por que cada solução que comprarmos daqui para frente deve fazer mais parte do ecossistema em vez de ser apenas uma caixa-preta do tipo que adquirimos no passado.

[00:10:03] Erick Rudiak: Sim. Ótima pergunta, Jason. Então, quando penso em aberto e integrado e por que isso é tão importante, nossos sistemas estão muito interconectados. Se não houver uma API para criar visibilidade, como a complexidade e a interconexão dos nossos sistemas exigem que o sinal de um sistema defensivo esteja disponível para outros, para que eles possam orquestrar uma resposta mais próxima de onde o invasor está, e também para que uma experiência de usuário coerente resulte. Hum, e fica muito, você sabe, difícil para os defensores administrarem isso. E francamente cria um ralo e exige um nível de complexidade para entrelaçar esses sistemas que abrem um padrão integrado, uh, é apenas um padrão superior para eles.

[00:10:51] Jason Clark: Resposta brilhante. Adoro. Portanto, o terceiro princípio se concentra em tecnologias fundamentais que se integram a todo o seu ecossistema de segurança. Então, vou começar com Lamont, você teve a oportunidade de criar um programa de segurança Greenfield. O que isso significa, você sabe, quando, quando você olha para isso, certo. Qual foi a primeira pilha que você construiu? Quais eram os cinco principais tipos de tecnologias fundamentais que faziam parte dessa infraestrutura Greenfield?

[00:11:16] Lamont Orange: Então, acho que essa é uma questão muito importante porque quando você fala sobre a transformação pela qual a segurança deve passar, você tem que analisar isso. Não apenas pelas ferramentas que tenho na minha pilha, mas também pelos recursos que queremos e como torná-los mais alinhados ao resultado. Então eu diria que a primeira capacidade que eu queria. É sobre visibilidade. Eu tinha que ver o que estava acontecendo e ordenar para afetar o nível de risco da organização e ser capaz de colocar controles em torno disso e ferramentas que ajudassem você a entender o que estava acontecendo, seria uma ferramenta que analisasse seu uso de aplicativos legados, bem como tecnologias SaaS, IaaS e PaaS, você também tem que levar em consideração suas identidades. Muitas empresas estão enfrentando dificuldades com identidade, pois têm vários PDIs. Eles têm vários gerentes dessas identidades, sejam eles sistemas de produção ou sistemas corporativos. E o que você quer fazer é ter algum tipo de governança em torno disso. Então a identidade foi uma das outras áreas em que me concentrei. E então você olha para a proteção de dados. Bem, estamos todos aqui para proteger nossos dados. Essa é a joia da coroa do mau ator. Precisamos entender quais dados valiosos temos e quais dados gostaríamos de proteger. E então você olha para onde isso vai dar? Então você quer entender a proteção de dados do usuário ao aplicativo e ao ponto final. Então você tem que voltar ao comentário que James Robinson fez sobre ser aberto com XDR NDR e tudo o que colocamos na frente. Para ter essa capacidade de DR, você precisa ter esse entendimento sobre a configuração desse dispositivo e até mesmo das organizações que podem estar usando esses dados. E há outro recurso que considero muito importante para ajudar as organizações a crescer. Bem, quando se olha para um Greenfield, é preciso algo que gerencie sua configuração, automação e orquestração. E eu acho que essas são soluções que podem ser mantidas em uma única área, mas elas precisam ter as três capacidades a seguir para serem eficazes.

[00:13:29] Jason Clark: Erick, sobre esse princípio em torno de tecnologias fundamentais. Você sabe, desembarcou em outras organizações. E agora, como CTO, o que você acha disso do ponto de vista do ecossistema em relação à segurança?

[00:13:43] Erick Rudiak: Há algumas coisas. Então a identidade é uma só. Hum, e você sabe, eu penso nisso em termos dos vários níveis de afirmações que as pessoas em sistemas podem fazer sobre quem é o humano do outro lado da linha ou quem é o sistema com o qual outro sistema está trabalhando. Para que isso abranja tudo, desde serviços multifatoriais até serviços de diretório, como é absolutamente vital fazer isso corretamente. Concordo com Lamont, uh, que ter proteção de dados, ter visibilidade sobre dados em repouso e dados em movimento. É outro, e então, uh, hoje em dia não é particularmente emocionante, mas o tipo de fundamentos de criptografia e gerenciamento de configuração e, você sabe, pensando sobre gerenciamento de configuração, meio que incorporando ambos, uh, tipo de configuração de deriva de construção dourada, você sabe, reforço do sistema, bem como, uh, gerenciamento de vulnerabilidade, que eu considero uma instância dessa classe. Meio que juntando tudo isso. Esses estão entre os primeiros lugares que eu mesmo procurei, o tipo de garantia de que o bloqueio básico e o enfrentamento, o fator de indignação de, uh, errar, são gerenciados e minimizados para qualquer organização da qual eu faça parte.

[00:15:04] Jason Clark: Certo. Portanto, o quarto princípio é comprar apenas New tecnologias baseadas em nuvem. Certo? Então, basicamente, tudo o que você compra deve ser baseado em nuvem ou ter suporte para nuvem. Sabe, tem um artigo da Gartner. Isso é. O futuro da segurança está na nuvem. Enquanto fazíamos esse tour, havia uma frase que dizia que a nuvem é o reinício perfeito para programas de segurança, certo? Porque você pode começar do zero e fazer as coisas direito. O que você, quando você, então, no geral para todos vocês, o que é curioso é o que vocês pensam sobre isso, esse princípio e por que nós o escrevemos.

[00:15:34] James Robinson: Acho que o princípio é bom. Acho que para aproveitarmos isso e atendermos, você sabe, uma das coisas que dizemos internamente é atender seu cliente, onde ele está, você sabe, se o cliente está na nuvem ou está migrando para a nuvem, certo, o que é ainda melhor para estar onde ele estará, você tem que adotar esse princípio. Ele tem que ser um componente fundamental para qualquer coisa que você esteja analisando. você sabia? E se for, você sabe, assistido pela nuvem, você pode dar uma olhada. Por exemplo, EDR assistido por nuvem. Certo, faça certo. Tem que ter algo no ponto final. Não pode ser tudo apenas na nuvem, mas, você sabe, para qualquer coisa que esteja na pilha de rede, para qualquer coisa que esteja na pilha de aplicativos, na pilha de servidores, hum, você sabe, em qualquer lugar entre os dois, você sabe, definitivamente tem que seguir esse princípio.

[00:16:17] James Christiansen: Sabe, Jason, esta é a terceira grande transformação pela qual passei na minha carreira e, e, hum, tecnologia e segurança versus migração de mainframes para cliente-servidor. Depois, do servidor cliente para o sistema habilitado para nuvem. E agora, com os negócios Digitas, a digitalização, você sabe, vemos essas transformações e eu acho que, quanto mais você resiste a elas e não as reconhece, mais você fica para trás. Então, quando você começa a pensar sobre nuvem e capacitação em nuvem, eu converso com muitos CISOs todo ano, quero dizer, trezentos ou quatrocentos. E quando falamos sobre quais são os planos deles, onde eles veem o SASE surgindo ou onde eles estão agora, e você começa a olhar para as definições. Quando começo a trabalhar com uma organização e começo a observar onde ela está, ela já está em algum ponto do caminho. Eles podem estar mais abaixo na escada, talvez bem abaixo, mas eles já estão nesse caminho, o que apenas mostra que somos os profissionais de segurança mais comuns e que esse é o padrão a seguir. Esta é a direção. Os únicos New investimentos que vejo são realmente em energias renováveis. Porque eles não conseguem migrar rápido o suficiente para as New tecnologias habilitadas para a nuvem. Mas eu acho que, você sabe, de uma perspectiva de processo humano e tecnologia, todos os três se tratam de treinar nosso pessoal sobre como trabalhar nessas tecnologias de nuvem. É desenvolver os processos que dão suporte a essas coisas e, finalmente, implementar a tecnologia para permitir que essas pessoas e esses processos forneçam o nível de controle que precisamos hoje em dia. Mas certamente o negócio está indo para lá. Temos visto a aceleração desse movimento nos negócios e em nós, como profissionais de segurança.

[00:17:59] Jason Clark: Quer dizer, no final, não é, cada parte das empresas vai para lá e, portanto, sua segurança precisa estar onde os dados estão e onde as empresas estão. E também, sempre que você tem uma força de trabalho móvel, você precisa aproveitar a nuvem para poder proteger essa força de trabalho, porque você não pode fazer isso simplesmente do seu data center, certo? Como em sua forma mais simples, você apenas altera um ponto de alavancagem em sua escala.

[00:18:18] James Robinson: Adorei o que James disse, porque quando você falou sobre migrar do mainframe para o cliente-servidor, vimos essa grande mudança. Se alguém faz parte disso, eu definitivamente vi e fiz parte também. E vendo isso acontecer, eu não consigo imaginar se você não fizesse essa mudança, ou se você fizesse essa mudança e ainda tentasse manter, lembre-se de como era difícil manter no servidor cliente, aqueles controles que você tinha e entregá-los através do mainframe. Era quase impossível fazer isso. Na verdade, era impossível, e é por isso que todos mudaram e você viu o mercado mudar.

[00:18:49] Jason Clark: Então o próximo é o princípio cinco e. Ele tem potencialmente mais peso do que muitos outros. Protege dados empresariais com controles de segurança que acompanham os dados em todos os lugares. Certo. Então, o que essencialmente para mim é, você sabe, essa é a grande estratégia de segurança, é por isso que a segurança existe para muitas empresas ou organizações. Certo. É apenas proteger as informações. Então, sabe, talvez seja melhor falarmos um pouco sobre isso, nós chamamos isso de princípio por um motivo, certo? Porque acho que sentimos que as pessoas historicamente não eram maduras o suficiente em relação à proteção de dados. Então, Erick, o que você pensa sobre o motivo pelo qual estabelecemos isso como um princípio e sobre como as pessoas precisam mudar a forma como encaram a segurança ou a proteção de dados?

[00:19:34] Erick Rudiak: Sim, acho que há dois elementos nisso, Jason. Uma maneira de ver isso é que a indústria de segurança tem um histórico de negociação contra si mesma. Em controles como esse de dizer, ah, bem, esses dados costumavam estar em nosso, você sabe, em nosso data center, hum, você sabe, protegidos por controles de perímetro, mas queremos movê-los para a nuvem e, você sabe, a nuvem simplesmente não tem a mesma coisa, mas cara, a nuvem é tão atraente, então aceitamos menos. Hum, e então, uh, uma maneira de encarar esse princípio é que eles não são mutuamente exclusivos. Nunca aceite menos, como não comprometer, você sabe, esse tipo de ideia muito básica de que não importa para onde seus dados vão, seus controles importam, porque eles certamente, você sabe, o invasor não vê o mundo dessa forma. E isso faz parte do custo de fazer negócios. Isso faz parte da economia de lidar com dados confidenciais. E então a obrigação para com a pessoa cujos dados você está traficando não muda. Se você permitiu que os dados fossem movidos de um ambiente para outro. Acho que outra maneira de encarar isso é que é algo imensamente ambicioso. Então, acho que qualquer um de nós que tenha feito modelagem de ameaças, olhará para esse princípio orientador e dirá: "Oh, Jason, uh, certamente, uh, certamente você não pode proteger os dados quando eu faço isso com eles, quando uso esteganografia ou quando uso canais secretos ou quando eu, você sabe, quando eu aproveito, você sabe, escolho sua linha e coluna favorita da estrutura de ataque MITRE". Hum, e eu acho que, em termos de aspiração, é um desafio para nós dizer não a dizer. Bem, vamos implementar controles que reafirmem nossas obrigações como guardiões, de que, para onde quer que os dados vão, saberemos sobre eles. Vamos afirmar nossos controles, para que o invasor não consiga vencer usando esses padrões comuns.

[00:21:42] Jason Clark: Sim. É, hum, é, uh, você sabe, justo. Se conseguirmos que os controles sigam o usuário e os dados, isso será o Nirvana, especialmente quando não precisamos investir muito para isso, mas adoramos. Princípio seis: priorize seu negócio e avalie os riscos e recompensas ao criar a estratégia de segurança correta. Ou decisões. Certo. E construindo suas táticas, etc. Certo. Então, basicamente, o negócio mudou constantemente, certo. Então é sempre uma troca constante e precisamos estar em sintonia com o negócio para poder tomar essa decisão. Certo. Mas habilite-os. E eu adoro, sabe, esse ditado. Não se trata de eliminar o atrito, certo? É a quantidade certa de atrito para o negócio. Tão curioso, o que, o que, uh, cada um de vocês, James, talvez possamos começar com você, uh, Christiansen, sobre, você sabe, seus pensamentos sobre esse princípio.

[00:22:29] James Christiansen: Sim. Isso, isso para mim é importante porque os CISOs são mais bem-sucedidos. Eles não estão focados em impedir a proteção de dados. Eles estão focados em capacitar os negócios e entendem o papel de capacitar os negócios para encontrar o equilíbrio certo entre risco e recompensa. Certo. E não é possível ficar muito inclinado para nenhum dos lados, ou você não estará gerando valor para a empresa e para os acionistas. Você tem que cumprir seu papel, mas o importante é viabilizar o negócio. E quando penso nisso, em termos de mudança e quão rápido as coisas mudam. Eu realmente penso sobre as sete forças que compõem uma estratégia de segurança, e essas forças são algo que você realmente deveria observar, porque elas estão mudando constantemente. E à medida que elas mudam, você deve estar em sintonia com essa mudança e pensar em como isso afeta meu estresse. Isso realmente fez diferença entre o que eu estava planejando fazer e o que eu deveria fazer agora? E as sete forças, publicamos um white paper sobre isso recentemente que eu recomendo que você leia, mas parece que a cultura da empresa, uma fusão e aquisição, pode mudar. A cultura pode mudar de muitas maneiras. Então, como isso muda a maneira como você olha para a economia e as forças econômicas, forças governamentais, conflitos, coisas que não estão diretamente relacionadas, mas que têm impactos na sua estratégia geral de segurança. E à medida que elas mudam, você precisa ser ágil como organização. Você precisa ser capaz de mudar rapidamente e de forma eficaz para acompanhar o ritmo dos negócios, porque lembre-se de onde começamos: trata-se de capacitação. O negócio e é isso que você deve sempre ter em mente.

[00:24:16] Jason Clark: Então, alguém mais, você conhece James, Erick e Lamont para adicionar a isso a priorização do risco e recompensa do negócio.

[00:24:23] Erick Rudiak: Então, quando penso no que aconteceu no último ano e meio, você sabe, todos nós acordamos no dia 13 de março do ano passado e todas as nossas curvas de expectativa de perdas anualizadas eram lixo. Como eles, uh, eles eram fundamentalmente falhos porque houve essa injeção de um risco completamente New e de necessidades de risco-recompensa totalmente New em termos de ALE. E então, quando penso em onde nossa indústria estava há 10 anos, muitos de nós, profissionais, diríamos: não gaste mil dólares para proteger 10. E acho que o que aconteceu desde então é que nossos colegas da diretoria, os conselhos que nos governam, se tornaram muito mais sofisticados. E então eles esperam que nós, como profissionais de segurança, entendamos a tolerância ao risco dos negócios. E para entrar com uma narrativa que diz: olhe como seu CISO, veja o quão próximas nossas curvas de expectativa de perdas correspondem à nossa tolerância a riscos. E aqui está o que precisa ser feito, você sabe, o que precisamos fazer em alguns lugares, podemos precisar investir, em outros, podemos realmente ter tanto controle que podemos nos dar ao luxo de correr um pouco mais de risco, hum, e você sabe, nos ajustar e sermos positivos em relação aos negócios e oferecer suporte a recursos adicionais para melhorar a produtividade. E então todos nós, por meio de uma experiência forçada no Sentinel, tivemos que aprender essa habilidade muito rapidamente ao longo do último ano e meio. O lado bom para nós, como profissionais de segurança, é que essa habilidade vai ser muito útil para nós. À medida que voltamos para nossos conselhos, à medida que voltamos para a diretoria e discutimos com nossos colegas na mesa. Não é por isso que dizemos sim ou não a controles específicos, mas como todo o nosso ambiente de controle corresponde à nossa tolerância a riscos. E isso é, você sabe, apenas um amadurecimento do diálogo em que nos envolvemos e é, você sabe, muito emocionante. Isso nos dá um lugar à mesa.

[00:26:29] Jason Clark: Sim, acho que sim, vamos analisar. Temos que pensar nisso novamente. É só que sempre dizemos isso, mas como líderes empresariais, e como isso, o que essa atividade, o negócio está tentando fazer, para empresas focadas em, você sabe, adquirir e reter clientes lucrativos, certo? Que é qualquer forma de ganhar dinheiro no negócio. E como as atividades, o desempenho dos negócios, vão acelerar esse direito? E até que ponto, o que, o quanto eu preciso fazer para protegê-los? Ou posso deixá-los ir e então aplicar proteções e, simplesmente, simplesmente entender verdadeiramente as coisas que podem fazer a diferença no negócio. E eu quero dizer que eu, eu pessoalmente lido com isso todos os dias. E olhando para coisas de marketing e de segurança. Lamont e eu conversamos diariamente, certo? Ou sobre o que é, uh, querer abrir algo que queremos fazer versus o equilíbrio de segurança disso. Certo. E a equipe de marketing quer, você sabe, sempre quer, quer seguir em frente, mas queremos ter certeza de que o parceiro com quem estamos inscrevendo para acessar nossas informações do Salesforce esteja seguro. Certo. E tudo se resume aos resultados. E então, por quanto tempo teremos que fazer isso? Para aplicar os controles de segurança. Então eu acho que não é algo com o qual todas as equipes de segurança se desenvolvam hoje em dia, elas também pensam nas coisas. É preciso haver uma exceção. Quem vai aprovar o risco em vez de racionalizá-lo? Como você acabou de dizer, Erick. Então, o sétimo princípio é criar modelos de ameaças e usá-los em todas as decisões de arquitetura que você tomar. Então, Erick, você sabe, quando você ouviu James Robinson falar pela primeira vez sobre modelos de ameaça. Em certo momento, acho que você veio até mim e disse: Jason Knight, quero contratar James Robinson para ti.

[00:28:08] Erick Rudiak: Isso parece comigo. Como se eu tivesse dito descaradamente "nada" para vocês, nada para mim. Isso é totalmente típico,

[00:28:16] Jason Clark: Mas gostaríamos de saber sua opinião sobre o sétimo princípio aqui.

[00:28:21] Erick Rudiak: Não, quero dizer, eu acho, cara, é muito difícil se defender de algo que você nunca viu ou pensou. E então, todo mundo gosta de usar analogias militares para isso, mas, tipo, eu penso nisso, então eu tenho um garoto que adora ir às quadras de tênis do bairro comigo e, sabe, bater na bola, hum, cara, a primeira vez que eu dei um slice de backhand naquele garoto, foi previsivelmente hilário. Como se eles só tivessem visto a tacada de maior rotação e simplesmente tivessem balançado e errado assim que a bola caiu e deslizou para longe. E então eu acho que essa é a prática para nossos defensores, e nossos defensores são todos nós. Certo? É o nosso pessoal de infraestrutura. É a nossa engenharia de nuvem. São nossos engenheiros de software e todos os que estão entre eles. Então, pessoal da experiência do usuário, é nosso, você sabe, é nosso pessoal do banco de dados e do middleware. Eles precisam ter visto tanto o top spin quanto o back spin para conseguir fazer isso de forma eficaz. E é por isso que o Red Teaming e a simulação de ataque são partes tão vitais de qualquer organização de proteção de informações de classe mundial, porque essa prática é muito importante.

[00:29:34] Jason Clark: Oito diretores expandem a automação das operações de segurança. Certo? Então, no fim das contas, basta focar muito na automatização das suas operações. Então, Lamont, você pode falar um pouco sobre o porquê dessa música principal?

[00:29:46] Lamont Orange: Acho que é um princípio muito importante, visto que falei anteriormente sobre o aumento da velocidade dos ataques que vemos. E acho que também foi mencionado sobre algumas das complexidades que temos em nossa organização. Então, quando você pensa em tudo isso, e pensa em nossas equipes, em nossas habilidades, em quão qualificadas nossas equipes são. E apenas com os recursos de ferramentas que temos, temos que acompanhar a velocidade do nosso atacante. E de certa forma. Temos que ir e nos impulsionar mais longe e mais rápido do que a velocidade do nosso atacante, o que seria uma maneira melhor de dizer isso. E acho que a maneira de fazer isso é por meio da automação. Acho que passamos muito tempo no setor de segurança, trabalhando com automação de segurança, ferramentas e recursos, anteriormente conhecidos como SOAR. Passamos algum tempo com ferramentas de orquestração e as confundimos com ferramentas SOAR. E acho que nós realmente precisamos dar um passo para trás e dizer que a automação é algo em que devemos nos concentrar quando buscamos escala e flexibilidade. E isso permitirá que a velocidade seja reduzida em relação ao sinal e ao ruído. E então podemos reagir ainda mais a esses alertas que chegam. Algumas dessas coisas vêm na forma de alguns dos componentes fundamentais criados, como runbooks. E entender como você deve executar um processo padrão em todo o seu SOC. Isso é algo que você pode automatizar do ponto de vista da maturidade, mas você pode orquestrar uma resposta desde o início, entendendo como você faz a triagem. A triagem é algo que pode ser orquestrado e, então, você pode automatizar a resposta e o controle. Quando você fala sobre automatizar e usar orquestração dentro do seu SOC, você também está atualizando seus procedimentos de gerenciamento e resposta a incidentes. As práticas de gerenciamento de incidentes que usamos no passado não necessariamente se adaptam muito bem ao ataque, o tipo de ameaças que temos, o tipo de interação que temos, tem que ter o que eu força de trabalho, nosso suporteliers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.

[00:32:54] Jason Clark: Sim. É engraçado quando você olha para esses princípios, certo? Eles estão todos tão interligados uns com os outros, certo. E dependentes um do outro para serem muito, muito bons. Antes, antes de passar para o princípio nove, alguém quer acrescentar algo sobre operações de segurança que Lamont.

[00:33:11] James Robinson: Eu tenho um que, uh, é mais apenas uma pergunta para ele ou para todos. Então, uma das coisas em que tenho pensado cada vez mais, e olho para alguns dos meus, uh, construtores, desenvolvedores, engenheiros, engenheiros de software, irmãos, e trabalhei com todos os jogos e a ideia de runbooks e manuais e, e assim por diante, você sabe, fora da arquitetura e design, você sabe, ou, ou uma dessas coisas, isso é meio que no passado, em alguns casos, e eu me pergunto se, onde você está no que diz respeito à automação, você ainda está exigindo e fazendo com que sua equipe construa, desenvolva os run books, playbooks e essas, essas coisas diferentes, e é isso que governa e define, a automação para escala, ou você está tomando um abordagem diferente?

[00:33:52] Lamont Orange: Esse é um debate interessante. Honestamente, acho que muito poucos programas foram automatizados e automatizados de maneira confiável. Acho que voltando ao que falei sobre orquestração, orquestração será a execução das tarefas que precisam acontecer. Acho que os runbooks e estou usando esse termo de maneira muito vaga. Pode ser um processo padrão usado para responder a um determinado tipo de incidente. Ou um certo tipo de pergunta da equipe de segurança, um certo requisito que é feito dentro do desenvolvimento ou com qualquer uma das suas equipes para as quais você emitiria requisitos se eles estivessem lidando com certos tipos de dados, ou se tivessem certo tipo das interações do sistema, acho que você pode orquestrar essas respostas. Temos que amadurecer para a automação porque não tenho certeza se todos os programas confiam na ação automatizada ainda. Esse tem sido o desafio.

[00:34:53] Erick Rudiak: Vou lhe dar uma perspectiva da engenharia de software sobre este assunto. Quando penso nas características de desempenho de um programa de software, certo. Existe uma espécie de, você sabe, em comp, comp sci, todos nós podemos ter aprendido sobre, O, notação, certo. Ou notação O de N. E então tive uma ótima conversa com nossa CISO recentemente e ela estava perguntando. Para conhecer algumas de nossas velocidades e feeds, quantos repositórios GitHub temos? Quantos commits fazemos por dia? Você sabe, quantas vezes executamos nossos pipelines por dia? E foi uma ótima conversa sobre se conseguiríamos escalar nossa segurança em O de N ou em O de log N. E é aqui que a automação é absolutamente vital, você sabe, ela realmente fala do desafio do talento e alguns dos desafios da diversidade na segurança da informação e na automação são o melhor caminho a seguir. Para dimensionar nossos controles de O de N para O de log N ou até algo menor. E assim como a capacidade de remover o elemento humano ou canalizar os elementos humanos para resolver problemas mais complexos e mais interessantes é tão vital. Tipo, eu não sei como, você sabe, como uma empresa pode acompanhar a escala da demanda. Tanto do lado do invasor com novas técnicas e tipos de malware em evolução, ransomware, técnicas de ataque, etc., bem como, uh, apenas a capacidade de uma organização hoje em dia de dimensionar seu fornecimento de superfície de ataque com serviços em nuvem facilmente provisionados, etc., como se a automação fosse o único caminho. E no livro, meio que falamos sobre essa ideia de antigamente para alguns de nós, onde realmente conhecíamos nossos servidores pelo nome. Certo. Uh, eles foram tratados como animais de estimação. Eles eram amados. Esperava-se que eles tivessem uma vida útil muito longa, em comparação com a ideia de que os servidores hoje são como peças de Lego, produzidos em massa e com vida útil intencionalmente ou não extremamente curta. E simplesmente não há uma maneira realmente boa de conseguir criar a escala da organização de segurança para atender às necessidades contemporâneas. Que não apresentam automações, um princípio fundamental

[00:37:10] Jason Clark: Adoro a analogia, Erick. E, uh, essa é uma ótima seção do livro que todo mundo deveria, definitivamente deveria ler. Então, princípio nono e começarei com, uh, James Christiania e depois passarei para Erick sobre isso porque tive o melhor tipo de conversa de risco com vocês dois. Mas o princípio nove é exigir visibilidade contínua e avaliação de riscos e todo controle de segurança, essencialmente, queremos em tempo real. Avaliação e controles de risco versus avaliações únicas, certo, de avaliações de risco uma vez por ano. Então James começando com você.

[00:37:43] James Christiansen: Sim. Obrigado. Hum, você sabe, este é sempre um assunto quente para mim e você sabe, vou seguir isso, uh, apenas algumas instruções, mas serei breve aqui. Você sabe, a ideia de visibilidade contínua. Sim. O primeiro princípio e risco é que você não pode gerenciar riscos que não conhece, então é absolutamente necessário obter esse risco e/ou essa visibilidade. E o que vimos é uma mudança: passamos de, você sabe, cliente-servidor para nuvem, nuvem, e então para este, este novo mundo, perdemos essa visibilidade. Perdemos as capacidades que tínhamos, você sabe, em nossos dias anteriores. E precisamos recuperá-los. A visibilidade é absolutamente essencial, você sabe, e a outra parte disso é contínua. E muitas vezes ouvimos a palavra confiança zero, mas, uh, é um termo do qual não sou fã, principalmente porque, você sabe, com equipes executivas, traz à tona a conotação errada de Oh, você é o cara da segurança. Você não confia em ninguém. E havia, você sabe, pessoal de segurança, eles pensavam em, você sabe, tokens. Eu cuidei disso. Bem, eu prefiro pensar nisso como uma confiança adaptativa contínua. Ou um programa de segurança em contínua adaptação que analisa automaticamente os riscos e é capaz de medir as diferentes telemetrias de risco e ajustar a reação a esses riscos. Você sabe, por que precisamos do mesmo nível de controles? Se, se alguém for à ESPN e verificar isso, hum, segurança ou resultados de futebol, como seria, se eles vão dar uma olhada. Você sabe, os materiais para o pré-lançamento do conselho, obviamente, níveis de risco muito, muito diferentes. Muita telemetria vem naquele aparelho, no aplicativo, na localização do indivíduo, naquele tráfego, isso tudo pode ser medido agora. E isso é o principal para os ouvintes. Existe a capacidade. Ser capaz de fazer isso agora e tomar decisões adaptativas em tempo real sobre o nível de risco, essa rota de controles e ser capaz de adaptar esses controles. Portanto, acho que este é um momento realmente emocionante para podermos analisar esses riscos e sermos capazes de nos adaptar à medida que avançamos. Sim. Há toda uma outra conversa sobre riscos de terceiros e, em seguida, riscos de terceiros que, bem, teremos que guardar para outro dia, mas outro grande assunto é esse. Devolva para você, Jason,

[00:39:59] Erick Rudiak: Estou tentando encontrar uma maneira de argumentar contra a visibilidade constante. E não consigo encontrar um, hum, você sabe, tipo, eu preferiria ter mais informações ou menos, preferiria capturar ataques e progredir mais cedo ou mais devagar? Hum, eu preferiria ter um tempo de permanência longo ou curto? Sim. Uh, eu preferiria estar ganhando. E então, você sabe, eu penso sobre essa ideia de visibilidade contínua, uh, pode, isso me leva de volta a Peter Sandman e às comunicações de crise. Hum, e Peter, a definição meio não ortodoxa de risco de Sandman é a soma de perigo e indignação. E então o fator indignação de gostar, não saber. De nós, nesta era moderna, com a capacidade de monitorar algo constantemente e não na escolha, sem saber que um controle falhou, sem saber que uma configuração mudou, sem saber que, você sabe, um malfeitor havia entrado em nossos sistemas. Como se o fator de indignação nisso fosse simplesmente, hum, é insustentável

[00:41:09] Jason Clark: Então, por último, uh, último princípio, sabemos o que são. Estes são, novamente, os 10 que consideramos os mais importantes, que estimulam as pessoas fundamentalmente para o futuro. Provavelmente poderíamos, você sabe, tivemos vários com os quais começamos e tínhamos 20 para começar e reduzimos para 10, mas então o décimo é reduzir a superfície de ataque usando confiança zero princípios.

[00:41:31] Erick Rudiak:] Acabei de ouvir que não gostamos de confiança zero. Teremos que mudar isso.

[00:41:36] Jason Clark: Acho que a indústria está confusa em torno da confiança zero. Não são? Hum, você sabe, o que é confiança zero?

[00:41:43] Erick Rudiak: Para mim, a coisa, você sabe, a coisa com confiança zero é que a confiança meio que decai com o tempo. E então, quando penso, uh, o exemplo mais clássico disso para mim é o tempo limite da tela inativa, como se o controle clássico fizesse parte do PCI. Costumava fazer parte do NIST como parte de praticamente todas as estruturas de segurança durante décadas, onde foi feita uma aproximação que dizia, ah, bem, se alguém soubesse a senha de Jason. Insirai-o no terminal de Jason e, eventualmente, no PC ou laptop de Jason e, eventualmente, no telefone de Jason. Então, supõe-se que, por algum período de tempo, provavelmente ainda seja Jasonn. Hum, e, uh, meio que desafia a lógica, uh, especialmente quando pensamos sobre, você sabe, fatores humanos e design e a maneira como as pessoas realmente trabalham, você sabe, 14,9 minutos depois que a senha foi digitada, que nós devemos ter a mesma confiança nas entradas daquele terminal, daquele PC, daquele telefone, como tivemos no momento em que Jason digitou sua senha. E é assim quando penso em confiança zero e por quê. Para mim é porque reconhece esta falsidade que a indústria da segurança tolerou durante anos, porque a tecnologia era demasiado difícil porque era demasiado cara e fizemos este compromisso. Nós dissemos, sim. Confiamos nesse termo. Por até 15 minutos e atribuiríamos o mesmo nível de confiança à entrada, os pacotes que, você sabe, aquele, aquele, aquele dispositivo gerou no 14º nono minuto como fizemos no primeiro. Hum, então é hora de seguirmos em frente.

[00:43:23] Jason Clark: Você sabe que o debate sobre confiança zero é que, você sabe, obviamente existem fornecedores, que dirão, ah, é tudo sobre isso. Certo, ou é tudo uma questão de ponto final ou eu acho, não é uma coisa binária, não está ligado ou desligado. Certo. Que há pessoas que argumentam que a confiança está ligada ou desligada. E eu vejo isso como se você pudesse entrar em minha casa pela porta da frente e eu deixasse você entrar, mas isso não significa que você pode entrar em todos os cômodos. Não significa que você pode entrar no meu cofre.

[00:43:44] Erick Rudiak: Ooh, teremos que conversar sobre a última vez que fui à sua casa, Jason.

[00:43:49] Jason Clark: E, você sabe, apenas com base no seu comportamento, certo? Como você disse, há quanto tempo você está aí e naquela instância, certo? Quanto mais tempo você ficar aqui, talvez eu confie mais em você porque observei seu comportamento. Certo. Então, eu poderia argumentar o outro lado, talvez de tudo, do ponto de vista da autenticação, mas quanto mais tempo você fica aqui, mais eu vejo seu comportamento, mais eu saio com você. Quanto mais eu deixo você ir para outros quartos. Acho que o que estou tentando dizer é que para mim existe uma confiança em um dispositivo. Confio no seu dispositivo e quanto? E naquele momento, como aquela avaliação de risco em tempo real. Confio na rede que você vem da rede Irã. Eu confio em você como pessoa neste momento, com base no seu comportamento, confio no aplicativo que você está acessando, certo? Porque não é só você, é o aplicativo, o seu ato com o qual você está interagindo e ele está potencialmente comprometido? Os dados que você está tentando fazer upload ou download, qual é o impacto disso? Certo. E para mim, existe uma espécie de decisão de controle condicional baseada em risco em tempo real para nos atender. Como o Nirvana de confiança zero em minha mente, ou vou te dar zero. Verdadeiro. Vou lhe dar acesso zero ou vou confiar completamente em você. Vamos chamar esse zero de nível cinco e então há 1, 2, 3, 4, 5, certo. Para mim, três no meio é que estou dando a você acesso aos dados, mas é apenas visualização e edição online, não. Certo. Pode haver vários saltos extras de você escrevendo um parágrafo explicando por que precisa desses dados e que é uma emergência ou o que quer que seja. Então, eu meio que vejo isso como uma confiança zero, já que esse lugar que precisamos chegar está levando à confiança zero para reduzir a superfície de ataque, mas, em última análise, fazer com que as pessoas, por comportamento, ganhem mais confiança conforme necessário. Portanto, não colocamos atrito nos ocupados. Mas Lamont. Eu sei que estou curioso, já que falamos muito sobre confiança zero aqui, mas a primeira parte desse princípio foi reduzir a superfície de ataque usando confiança zero. Certo. Então, você sabe, enquanto você defende sua organização, certo? Todos os dias, como você conduz esse princípio, estamos reduzindo os ataques?

[00:45:46] Lamont Orange: Acho que o primeiro lugar que devemos olhar no início é em torno da visibilidade e da análise, da visibilidade. Sinto muito, análise, porque se você não consegue ver, é difícil para o homem aplicar e controlar ou proteger e, e isso será visibilidade para o seu usuário, visibilidade para sua infraestrutura, para seus dados. E então você pode começar a relacionar esses casos de uso sobre o que é mais importante para a organização naquele momento. Gosto dos níveis e de como você descreveu isso. Mas também temos que entender qual é o ativo mais importante e podemos chegar e concordar e dizer que são dados, mas quais dados, que definem os dados e você olha para esses controles por meio dessa capacidade de visibilidade e análise para aplicar esses controles a aquele dia.

[00:46:32] Jason Clark: Acho que também cobrimos absolutamente esses 10 princípios. Então, obrigado por ouvir os Visionários de Segurança e fique atento aos novos episódios que aparecem todas as semanas com profissionais de segurança de todo o setor. Então, obrigado, Erick Lamont e James pelo tempo. E, uh, tem sido divertido

[00:46:50] Patrocinador: O podcast de visionários de segurança é desenvolvido pela equipe da Netskope que procura a plataforma de segurança em nuvem certa para permitir sua jornada de transformação digital. A nuvem de segurança Netskope ajuda você a conectar usuários com segurança e rapidez diretamente à Internet, de qualquer dispositivo a qualquer aplicativo. Saiba mais em Netskope.

[00:47:11] Produtor: Obrigado por ouvir Security Visionaries, reserve um momento para avaliar e comentar o programa e compartilhá-lo com alguém. Fique ligado nos novos episódios que serão lançados a cada duas semanas. E nos vemos no próximo episódio.