Steve Riley: Os benefícios do SSE, ou Security Service Edge, e da jornada SASE são muito claros. É a primeira vez para mim, é aquela reinicialização perfeita para segurança. Eles conseguem mover a maioria dos seus pontos de inspeção para mais perto do usuário, mais perto dos dados. Eles conseguem movê-lo do data center para a nuvem, certo? Onde pode ser aplicado em qualquer lugar onde os dados vão para qualquer lugar do usuário.
Produtor: Olá e bem-vindos ao Security Visionaries postado por Jason Clark CSO da Netskope. Estamos agora no meio de uma das maiores evoluções em segurança cibernética, tanto nos últimos 10 anos quanto na próxima década. Esse é o sentimento que impulsiona o episódio muito especial de hoje sobre o lançamento do primeiro Quadrante Mágico do Gartner para o Security Service Edge, que estabelece a estrutura de como a segurança precisará ser entregue na nuvem e a empresa mais bem equipada para fornecê-la, incluindo a Netskope. Neste episódio, trazemos uma conversa com Steve Riley, ex-analista da Gartner e atual CTO de campo da Netskope, que desempenhou um papel importante em muitos Quadrantes Mágicos anteriores. Steve se reúne com Jason para discutir o recente Quadrante Mágico para SSE, que fornece detalhes sobre os porquês, os o quês e os comos do SSE e ressalta por que isso é tão importante para o futuro da segurança. Esta é a Security Visionaries. Antes de começarmos a entrevista com Steve, aqui vai uma breve palavra do nosso patrocinador.
Anúncio: O podcast Security Visionaries é promovido pela equipe da Netskope. A Netskope é líder em SASE, oferecendo tudo o que você precisa para proporcionar uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios de hoje. Aprenda
[email protected] Produtor: Sem mais delongas, aproveite o episódio especial de Security Visionaries com Steve Riley, CTO de campo da Netskope e seu apresentador. Jason Clark.
Jason Clark: Bem-vindos, visionários da segurança. Sou seu anfitrião, Jason Clark, CMO, diretor de estratégia e diretor de segurança da Netskope. E hoje estou acompanhado de um convidado muito especial. Steve Riley, Steve, como você está?
Steve Riley: Muito bem, Jason. Obrigado. E você?
Jason Clark: Eu sou super fantástico. Hoje é um dia divertido porque acabamos de receber uma grande notícia e vamos falar sobre ela. E isso seria um pouco de preenchimento de grande parte da nossa conversa que os ouvintes irão gostar, mas talvez vamos começar com você se apresentando e descrevendo, porque você é mais famoso por ser um analista da Gartner, certo? E o criador do primeiro Quadrante Mágico para CASB, o que foi um grande negócio. Então, talvez você possa descrever, falar sobre essa vida, sobre ser um analista da Gartner e sobre a criação do Quadrante Mágico, além de contar um pouco sobre você.
Steve Riley: Quando eu era Gartner, cobri praticamente tudo relacionado à segurança da nuvem pública. Então, eu recebia perguntas de pessoas sobre como estar seguro em ambientes IAS, AWS, Azure, um pouco de GCP, ambientes SASE, principalmente no Office 365 e alguns outros. E então, é claro, quando o trabalho do CASB MQ começou, comecei a pesquisar muito sobre isso também. Então, um dia típico para mim seria de cinco horas de conversas com clientes. E então, no restante do meu dia, eu me dividia entre coisas como escrever, pesquisar, ler e outras coisas, para formular New ideias e conduzir alguma análise do material que eu havia coletado. E a revisão por pares é um grande componente disso. Nenhuma pesquisa da Gartner é publicada sem que outro conjunto de olhos, bem, múltiplos, a analisem para garantir que as opiniões sejam sólidas e que haja alguma consistência nela.
Jason Clark: Então, quais eram suas áreas de cobertura?
Steve Riley: Então, qualquer coisa sobre segurança de nuvem pública, muitas coisas sobre segurança da AWS e do Azure. Não recebi muitas perguntas sobre a segurança do GCP. Só não sei se os clientes da Gartner usam muito o Google Cloud. Recebi muitas perguntas sobre segurança do Office 365. Na verdade, a primeira nota que escrevi foi sobre como ficar seguro no Office 365. E então, é claro, o CASB e o inquérito da ZTA começaram a ganhar força depois que escrevi os primeiros documentos sobre esses dois mercados.
Jason Clark: Acho que o aspecto do GCP está mudando rápido. Vejo muitas discussões em torno do GCP, de forma bem ampla, eu diria que nos últimos 12 meses, mais rápido do que nunca. Então eu diria que provavelmente está começando a ficar pesado, mas como você evitou o tédio? Uma vez você me disse que sua esposa disse que poderia fazer seu trabalho porque você fica repetindo a mesma coisa várias e várias vezes, certo? E eu pensei, ok, como você lida com o tédio então?
Steve Riley: Bem, é verdade. Muitas das minhas conversas soariam iguais se você ouvisse apenas a minha metade, que é o que ela ouviria, certo. Minha metade. E não importa o que a outra pessoa diz. Eu só digo a primeira coisa, faço uma pausa, digo a próxima coisa, faço uma pausa, digo a próxima coisa, tipo, bem, não é bem assim. O que tornou isso interessante foi ouvir a outra pessoa, ouvir o cliente, o que eles queriam aprender? O que eles estavam tentando resolver? Que questões espinhosas os impediam de avançar? Então é verdade que a maioria das pessoas enfrenta problemas essencialmente semelhantes, mas sempre houve um conjunto diferente de contextos ou algo único sobre isso que me permitiu sentar na frente do meu computador por cinco, às vezes seis horas por dia e ter o que poderia parecer a mesma conversa, mas sempre aprendendo algo New com isso. Então foi assim que evitei ficar entediado, pois geralmente aprendo alguma coisa.
Jason Clark: Então, com qual porcentagem de clientes você falaria? Uau [inaudível 00:05:42]
Steve Riley: Não muito. Lembro-me de alguns casos em que percebi que estava falando com um cliente que já estava pensando muito sobre segurança na nuvem e estava tentando otimizar o que estava fazendo. A maioria das minhas conversas, no entanto, foi com pessoas que estavam começando a usar a nuvem. Então, como faço para mudar meu pensamento de dispositivos locais para essa ideia de assinar coisas em que os controles de segurança vêm das pessoas que também me fornecem o resto da infraestrutura? Então não quero dizer que pessoas inteligentes não precisam do Gartner e que somente pessoas estúpidas usam o Gartner. Isso não é totalmente verdade, mas da perspectiva da minha área de cobertura, já que ela era dedicada exclusivamente à segurança na nuvem, o que ainda era New para muitas pessoas, a maioria das minhas interações tendia a ser nesse nível, de iniciante a intermediário. E eu estava totalmente bem com isso. Não me importei nem um pouco com isso.
Jason Clark: Eu estava em Londres assistindo você no palco. Há algo que você disse que ficou comigo desde então. E a grande diferença na segurança é que os dados não estão mais em uma CPU que você possui ou controla. E eu pensei, uau, essa é a maneira mais simples de dizer isso em uma frase, isso muda tudo. E quando você pensa sobre isso, é aí que entra o CASB e por isso seu amor pela segurança na nuvem, certo? Ao conduzir essa mudança, por quanto tempo você previu que o CASB MQ permaneceria antes que o mercado exigisse convergência ou uma mudança?
Steve Riley: Bem, a primeira iteração do MQ foi no final de 2017, no Halloween, na cúpula de gerenciamento de riscos de segurança de 2018. Eu estava fazendo uma apresentação de teatro no Quadrante Mágico. Então, são apenas 15 minutos onde você fala sobre o que é o mercado e por que os fornecedores chegaram, onde eles chegaram e para onde você acha que ele pode ir. Alguém me fez essa pergunta: quanto tempo você acha que esse mercado vai durar? E eu disse, imagino, provavelmente faremos mais três iterações deste MQ antes que o mercado [mais 00:07:52] nos envie outra coisa e precisaremos escrever outro MQ. E o empresário do meu empresário estava parado lá atrás, com os braços cruzados, balançando a cabeça, não, não, não. Porque as MQs são coisas que geram receita para a Gartner, mas acabou dando certo.
Jason Clark: Então, tudo bem. Então vamos direto às grandes notícias. Então, hoje, a Gartner anunciou um New MQ, chamado Security Service Edge, que faz parte do tipo de estrutura ou jornada SASE , certo? E o que ele faz é entrar em colapso e dizer: olha, não há mais gateway de aplicativo MQ seguro, certo? Não há mais CASB. E ele abrange tudo o que é ZTNA, junto com uma série de outros aspectos, e assim, agora é uma plataforma, um MQ. Eu vejo isso como algo que provavelmente é a maior coisa que aconteceu na segurança cibernética nos últimos 10 anos, e definitivamente nos próximos 10, essa é realmente uma grande transformação, a maior que eu já vi. E você foi uma parte importante disso. Você pode falar um pouco sobre SSE, seu envolvimento na criação dessa coisa e o proponente dela, e também por que existe um New MQ e por que os outros estão sendo eliminados?
Steve Riley: Meu coautor com o Quadrante Mágico CASB e recursos críticos. Lembre-se, eles são sempre mais úteis quando você olha para os dois. Estávamos no meio de 2020 e começamos a pensar: "Ei, você olha para os fornecedores no CASB MQ e, em seguida, no SWG MQ, há muita sobreposição e também vimos que os próprios fornecedores estavam começando a se sobrepor". Então propusemos ao restante da comunidade de analistas que precisamos que a pesquisa reflita o que está acontecendo no mercado. E o mais importante, o que as pessoas queriam comprar, elas queriam consolidar, a consolidação de fornecedores é real. E então precisamos, obviamente, que nossa pesquisa reflita o que está acontecendo no mercado e para onde achamos que o mercado irá. Agora, inicialmente, quando fizemos essa proposta, nem todos concordaram. Havia outras pessoas que se sentiam confortáveis com o que estavam fazendo. Eles não achavam que o CASB seria um problema tão grande que a segurança no local ainda seria essencial. Mas a realidade é que, se você analisar as notas de previsão publicadas pela Gartner, embora seja verdade, o valor gasto em segurança na nuvem nos próximos anos não será tão alto quanto o gasto no local. O crescimento é muito maior. Então, a segurança local ficará ociosa enquanto a segurança na nuvem será esgotada e atingirá o limite. Então precisávamos criar esse New Quadrante Mágico que representasse a consolidação. E inicialmente houve alguns pensando que, bem, nós simplesmente aposentaríamos o CASB MQ e levaríamos o SWG MQ para ser ambos. E Craig e eu não gostamos disso. Queríamos enviar a mensagem certa: ambos os mercados, como entidades autônomas, chegaram ao fim de suas vidas. E você faz isso aposentando ambos os MQs, cria um New MQ que tem um New nome e informa onde está o histórico. Mas o que é realmente interessante e que eu não esperava é que essa decisão foi tomada depois que saí da Gartner em março do ano passado, de que o SSE MQ também incluiria o ZTNA. Acho que é absolutamente a coisa certa a fazer. Então, provavelmente não haverá mais guias de mercado da ZTNA, mas faz todo o sentido ter um mecanismo, uma plataforma que tenha visibilidade e controle sobre todos os seus dados, não importa em que faixa eles estejam.
Jason Clark: Então, eu meio que penso nisso, como se um usuário estivesse acessando um aplicativo, e sempre adicionamos New tecnologias dependendo do tipo de aplicativo que o usuário acessa, ou de onde o aplicativo ou o usuário estava. E estávamos constantemente tentando resolver isso no local e ampliando a segurança, o que criava atrito nos negócios, na equipe de segurança, etc. Mas acho que, em termos mais simples, digamos que muitas pessoas têm um proxy na nuvem para proteger o tráfego na nuvem, um proxy da web para proteger o tráfego da web e, então, uma solução de VPN de confiança zero para aplicativos privados, certo? Acesso de um usuário remoto, indo para um aplicativo no data center. São três tecnologias diferentes. Quando a realidade é que você está tentando resolver o mesmo problema. É parar ameaças, proteger dados e gerenciar acesso, certo? Quer dizer, isso é meio louco quando você pensa por que fizemos isso? Faz sentido, Steve, a consolidação de fornecedores e o problema é o mesmo. Você deve ter um único ponto de inspeção para qualquer uso no aplicativo, mas qual foi o momento que ajudou a impulsionar esse pensamento? Porque obviamente você teve pessoas dizendo, não, é só mover tudo para SWG em vez de mover tudo para CASB, certo? Então, seu proxy de nuvem e proxy da web, qual foi o principal ponto de dados ou algo que aconteceu que convenceu a todos de que a nuvem era realmente um pouco mais importante ou muito mais importante e deveria ser um New MQ?
Steve Riley: Eu diria que foi finalmente a percepção de que a maior parte do tráfego crítico de uma organização foi movido para fora do data center. Então, de um centro de dados para muitos centros de dados. E se você pensar nisso, especialmente com SaaS, isso pode significar centenas ou milhares de centros de dados, e a maioria dos aplicativos SaaS tem muito pouco a observar em controles de segurança incorporados. Perfeito. Foi isso que tornou o CASB tão crítico nos primeiros dias e continua crítico hoje. Quase odeio dizer isso, mas vou dizer mesmo assim. Na verdade, essa é talvez a primeira vez que vemos uma segurança integrada funcionar. Se todo o seu tráfego SaaS passar pelo CASB, você terá toda essa ótima inspeção, DLP, neutralização de ameaças, talvez você estivesse acostumado apenas com seu SWG. Mas a única coisa que seu SWG sabia era falar com a internet. Podemos fazer isso muito bem com um produto CASB para cada aplicativo SaaS que alguém possa estar assinando. Bem, então é natural pensar: por que eu precisaria de um produto para internet, um produto para SaaS e um produto para aplicativos internos quando todos eles fazem a mesma coisa? Quero DLP em todos eles. Quero neutralização de ameaças em todos eles. Quero alguma capacidade de fornecer controle granular sobre atividades, talvez com base no fato de eles terem um dispositivo gerenciado ou não gerenciado. E você consegue imaginar o quão complicado seria se você tivesse políticas de dispositivos duplicadas, políticas de DLP duplicadas e políticas de acesso duplicadas em três categorias diferentes, com três consoles diferentes e pessoas discutindo sobre quem fica em qual console? Isso se tornou uma posição quase impossível, e é por isso que muitos clientes responderam: sim, quando a Gartner fez uma pesquisa alguns anos atrás, perguntando onde você está no caminho de consolidação do seu fornecedor de segurança, mais de 70% dos entrevistados já tinham começado isso ou estavam planejando começar. Mesmo que eles achassem que custaria um pouco mais no curto prazo, porque eles estavam prevendo economias de custos significativas no longo prazo com redução de despesas administrativas, esse tipo de coisa.
Jason Clark: Sim. Os benefícios do SSE ou Security Service Edge e uma jornada SaaS. Está bem claro, certo? Como se fosse a primeira vez, para mim é a reinicialização perfeita da segurança. Eles conseguem mover a maioria dos seus pontos de inspeção para mais perto do usuário, mais perto dos dados. Eles conseguem movê-lo do data center para a nuvem, certo? Onde pode ser aplicado em qualquer lugar onde os dados vão, onde quer que o usuário vá. Quer dizer, isso muda o jogo e a maneira como eles podem viabilizar o negócio, para fusões e aquisições ou parar de dizer não às coisas, certo? Eu odeio a palavra quando as pessoas falam sobre TI paralela. Eu penso: não, isso é TI empresarial, é nosso trabalho gerenciar isso e ajudá-los a fazer isso com segurança. Certo, você não pode fazer isso sentado no data center porque a maior parte agora é SaaS, certo? A maioria das empresas tem mil aplicativos SaaS e então você consolida, obtendo a função de custo-benefício, mas então sua equipe começa a gerenciar as coisas como uma solução na nuvem, sem precisar fazer todos os tipos de patches, o que todo mundo estava fazendo praticamente em dezembro com as New vulnerabilidades. Certo? Então você começa a remover toda a complexidade operacional. Não é nada além de coisas boas, em todos os sentidos: melhor experiência do usuário, melhor segurança nas equipes de rede e executivos mais felizes. São apenas os resultados comerciais, somando-se, somando-se, somando-se.
Steve Riley: As pessoas pensam há anos sobre a teoria da política. Eles falam sobre coisas como pontos de decisão de políticas e pontos de aplicação de políticas. Você poderia voltar a algumas das antigas formas de Jericho de 20 anos atrás. Se você ainda puder encontrá-lo on-line em algum lugar e ler algumas dessas ideias, a SSE realmente torna isso real: você centraliza as decisões políticas e também centraliza a definição de políticas. Então você poderia dizer que está sobrecarregando a parte D, mas está distribuindo a aplicação da política o mais próximo possível de onde os dados estão sendo acessados. Então, isso envolve os dados, envolve os trabalhadores e é algo que as pessoas querem obter de seus produtos de segurança há anos. Mas com o SSE finalmente podemos conseguir isso, certo? O valor comercial vem de uma única plataforma que elimina a redundância. Falamos há alguns segundos sobre um modelo único de aplicação de políticas que simplifica a geração de relatórios e a conformidade. E isso é muito importante porque todas as organizações que usam a nuvem, ou seja, todas as organizações, terão que demonstrar que têm a nuvem sob controle. Então é assim que você faz. O SSE oferece um passe único para todas as faixas de tráfego e para todos os tipos de tráfego. Então isso ajuda a manter o desempenho. Os usuários basicamente não perceberão se o SSE for implementado, certo? Ainda um único agente, que simplifica o gerenciamento diário e um único console. Agora, o que é realmente importante aqui é que algumas organizações ainda podem querer delegar funções diferentes para equipes diferentes. Então é bom que você possa fazer isso no console.
Jason Clark: Sim. Eu definitivamente já vi equipes, vamos chamá-las de equipe VPN, dizerem: não, eu quero minha própria solução VPN onde as outras equipes não podem gerenciar meu console, certo? E é assim, e às vezes você tem pessoas que querem conduzir suas próprias opiniões, seu próprio controle, ou até mesmo seu próprio produto, o que não é eficiente e eficaz para sua organização, mas certamente a delegação de direitos, certo? E o que eles gerenciam é, e é por isso que eu acho... Então, muitas dessas, quando falamos sobre consolidação, essas decisões precisam ser tomadas em níveis mais altos nas organizações, para o CISO e para o CIO, para que as pessoas não as tomem de forma tendenciosa com base nas necessidades específicas daquela organização, mas no geral, certo? O todo como um todo. Então, quando pensamos em algo parecido com o que falamos sobre SSE versus fatura SASE. Então SASE foi um tópico muito importante e surgiu muito rápido. Qual é a diferença entre o Security Service Edge ou SSE e o Secure Access Service Edge?
Steve Riley: Service Edge? Bem, SASE, mesmo nos primeiros dias, houve discussões novamente sobre se era uma arquitetura. É um produto? É uma jornada? Acredito que a maioria das pessoas se acostumou com a noção de que o SASE é uma arquitetura e representa uma jornada, mas é um esforço para ilustrar a consolidação em andamento entre redes e segurança, grupos anteriormente separados que provavelmente tentavam fazer tudo o que podiam para evitar interagir uns com os outros, tanto profissionalmente quanto socialmente, mas que simplesmente não estavam mais funcionando e organizações com visão de futuro já estavam combinando as funções. E então fez sentido começar a pensar em uma arquitetura onde eles fossem reunidos. Bem, nos primeiros dias do SASE, havia um diagrama interessante que tinha duas partes. Havia um lado esquerdo e um lado direito. O lado esquerdo continha todas as funções de rede, mas elas seriam entregues como um serviço, em vez de comprar 18 caixas diferentes, SD-WAN, otimização de WAN, DNS. Várias outras coisas no lado esquerdo, o lado direito era segurança como serviço. E tinha CASB, SWG e ZTNA lá. O que aconteceu, porém, é que o SASE talvez tenha se tornado grande demais. E, de fato, a Gartner modificou sua definição de SASE. A apresentação de Lawrence Orange na cúpula de segurança e gerenciamento de riscos no final de 2021 mostrou uma versão simplificada do SASE, onde o lado esquerdo, lembre-se do lado da rede, tinha um item SD-WAN, e todo o resto foi removido. Então podemos concluir que a única função de rede razoável para ser entregue como serviço seria a SD-WAN. Algumas das outras talvez não sejam mais necessárias. Jason Clark: Então, basicamente, você está dizendo que SASE é SSE mais SD-WAN.
Steve Riley: Sim, você se adiantou.
Jason Clark: Sim, portanto, contanto que você tenha uma solução SSE, você pode combiná-la com qualquer solução SD-WAN, integrá-las e você terá seu SASE completo.
Steve Riley: Sim. O bom do SSE é que ele é o lado direito do SASE e agora tem seu próprio MQ. Então, está mais ou menos alinhado com o lado esquerdo, as coisas de rede, mas elas não precisam ser do mesmo fornecedor, o SSE é independente da rede subjacente. Não importa. Como você vai levar os bits para o SSE, você quer levar todo o seu tráfego para lá? Absolutamente. Mas como você vai chegar lá? SD-WAN, MPLS, Metro Ethernet, IP sobre operadora Avian. Realmente não importa. A SSE simplesmente não se importa. Então, o mais útil é que o fornecedor de SSE que você escolher tenha boas maneiras de se integrar com um parceiro SD-WAN, mas eles não precisam ser do mesmo fornecedor. Não.
Jason Clark: Certo. Que é muito bom. Acho que isso será muito útil para nossos ouvintes, porque há muita confusão aí. Então, falando sobre SSE, vamos voltar a isso, porque é algo muito importante, certo? É claramente uma corrida de dois cavalos. E acho que você está olhando essencialmente para as duas organizações baseadas em nuvem: Zscaler e Netskope como líderes, e então você tem uma terceira, que é a McAfee, perto do resultado final, uma espécie de tecnologia legada delas, certo? Tentar trabalhar com nuvem ao mesmo tempo, o que é muito difícil, e ser um capital privado, certo? Então é muito difícil, mas você tem esses três, e imagino que a maioria dos New que seguem esse caminho provavelmente escolheriam algo entre Netskope e Zscaler. O que você acha que a Gartner aconselhará as pessoas? Houve algum chamado e investigação que você fez? Quero dizer, quantas pesquisas você já fez na vida?
Steve Riley: Ah, 1000 por ano, vezes cinco anos e meio.
Jason Clark: Tudo bem. Então, depois de 5.000 perguntas, agora eu sei por que sua esposa diz que você diz a mesma coisa repetidamente. O que um analista da Gartner provavelmente diria quando alguém ligasse, certo? E disse, tudo bem, olha, há esse New SSE, você me disse por que fazê-lo, mas enquanto eu olho para isso, como você me orienta? Devo escolher dois desses vendedores ou três desses vendedores ou qual a diferença entre eles?
Steve Riley: Há algumas coisas que as empresas devem pensar ao tentar migrar para o SSE: não faça disso um projeto isolado, capitalize o que você já estiver fazendo para a transformação de um funcionário remoto e de uma filial e integre o SSE ao escopo do projeto. Vimos muitas implantações de SSE bem-sucedidas. Quando você adota essa atitude, em relação a quem você vai olhar, há algumas coisas que eu gostaria de sugerir: certifique-se de que a consolidação seja real. É assim que você pode reduzir a complexidade, mantendo-se seguro e protegido contra ameaças contemporâneas comuns, em oposição às ameaças antigas de quando tudo estava no data center. Certifique-se de que todos os componentes do SSE sigam o modelo comum de configuração, gerenciamento de políticas e relatórios. Essa é a evidência que você deve procurar para saber se o que está avaliando é realmente uma plataforma integrada. E também elimina o risco que componentes desconexos possam ter, como lacunas ou inconsistências, falando em inconsistências, certifique-se de que não haja controles sobrepostos. Então, por exemplo, se você quiser um console DLP para todos os componentes em vez de um DLP separado para SWG, para proxy CASB, para API CASB e para ZTNA, eu garanto que um DLP desarticulado e separado como esse resultará em políticas que não correspondem ou em comportamento inconsistente. E vai ser muito difícil descobrir como consertar isso. Algumas outras coisas, procure um único agente. Isso torna mais simples gerenciar todo o seu patrimônio. E ao olhar para o console, certifique-se de que diferentes partes podem ser delegadas a diferentes equipes. Pode ser que nem todo mundo queira olhar para o mesmo console. Então você poderia simplificar isso para as pessoas. Agora certifique-se de que a avaliação do SSE opere de forma independente, qualquer tipo específico de arquitetura ou infraestrutura de rede. Realmente não deveria haver nenhuma dependência entre os dois. E a última coisa que gostaria de pedir é que você não negligencie o desempenho e a disponibilidade. Se você estiver enviando todo o seu tráfego para um provedor de SSE, ele precisará de uma rede rápida com pontos de presença em todos os lugares onde seus funcionários estejam ou precisem visitar. Duas coisas que você deve observar aqui. Um provedor que permite que você se conecte de qualquer lugar à sua rede, sem pagar dinheiro extra pelo privilégio e a um provedor que oferece um nível de serviço de desempenho. Estou relutante em pensar que de repente a questão será me ajude a escolher um SSE. SSE é totalmente New, ninguém sabia disso antes do MQ ser lançado, certo? Não é como se a Gartner costumasse fazer anúncios sobre essas coisas. Então, as pessoas não saberão pedir um SSE, elas provavelmente ainda dirão: "Ei, preciso fazer um trabalho melhor de governança e proteção do meu SaaS", ou "preciso obter acesso remoto a aplicativos privados", ou "preciso fazer alguma filtragem da web". Talvez ainda digam filtragem da web. [interferência 00:28:14].
Jason Clark: Então eles estão trazendo um problema.
Steve Riley: Eles vão trazer problemas. Sim. E então o que eu faria na investigação agora é dizer que o mercado para essas coisas individuais se consolidou e nós criamos um New MQ para um SSE, você viu? Não. Certo. Então eu o abriria e compartilharia na tela com o cliente. E eu basicamente explicaria a eles como é o mercado e por que os diversos fornecedores estão onde estão. Algumas pessoas chegam a uma consulta já sabendo quais fornecedores desejam. Outros podem não saber nada e estão usando o MQ como uma forma de facilitar a decisão.
Jason Clark: Onde eles geralmente escolhem dois ou três fornecedores para POC.
Steve Riley: Eu diria que a mistura estava bem no meio, metade das vezes eram dois e metade das vezes eram três. Nunca vi ninguém com quatro candidatos na lista final.
Jason Clark: Sim. Isso faz sentido.
Steve Riley: Quero dizer que os analistas da Gartner criam opiniões e elas se tornam posições da Gartner. Portanto, tudo nos direitos dos analistas da Gartner é uma opinião fundamentada. Agora tentamos fazer isso com base em fatos, é claro. Então, quando escrevemos os pontos fortes e as advertências, e quando colocamos um ponto em um lugar, isso se baseia em fatos que reunimos de várias fontes, não apenas a demonstração, mas um RFI onde fazemos várias perguntas e podemos analisar as respostas a essas perguntas que são influentes no posicionamento do ponto MQ. Também analisaríamos as percepções dos colegas e talvez conversássemos com alguns fornecedores e clientes, embora a COVID tenha tornado isso mais difícil. Então paramos com isso nos últimos dois anos. Há um período em que os fornecedores podem fazer uma verificação de fatos e a ideia é: interpretamos algo errado e entendemos um fato errado? Há trabalho extra. Existe uma função da Gartner chamada ombudsman. E o trabalho do ombudsman é garantir que nós, analistas, estejamos seguindo a metodologia e que não estejamos deixando que nossas opiniões se tornem substitutos dos fatos.
Jason Clark: Esse é um nome estranho no ombudsman.
Steve Riley: Sim. Mas os jornais também os têm. Sim. E é mais ou menos a mesma função. Mas de qualquer forma, a escalada seria difícil se um fornecedor estivesse realmente insatisfeito e quisesse forçar a barra. Então, Craig e eu teríamos que criar mais evidências para mostrar por que fizemos uma pontuação, mas do jeito que fizemos e sempre que tivemos que fazer isso, fomos bem-sucedidos.
Jason Clark: Sim. Mas não parece ser um processo divertido. Então falamos sobre para onde o SSE vai, a evolução disso, certo. Então, claramente vimos que 65 a 80% do tráfego agora é limpo, certo? Não são pessoas que vão ao NewYorktimes.com para trabalhar, certo? O ZTNA está indo para aplicativos e é exatamente onde você precisa essencialmente de um CASB invertido, certo? Você quer controlar o aplicativo da mesma forma que faz com o aplicativo SASE. E então tudo faz sentido, certo? Já vimos isso acontecer. E também acho que um grande elemento do SSE, como eu vejo o SSE como um sistema nervoso, é que você ouve seu cheiro, o gosto, certo? Seu tato, todos esses sentidos, a visão, tudo se junta em um cérebro. E esse cérebro é realmente como algo comum, é realmente uma proteção de dados, é por isso que existimos e essa é a grande estratégia de segurança, proteger dados. E assim tudo se une, mas ao pensar sobre isso, como será o futuro do SSE? Como eles continuarão a evoluir e adicionar componentes? Quão rápido você acha que as pessoas vão parar de comprar SWGs e CASBs individuais e adotar SSE, certo? Então é uma questão dupla. Quão rápido as pessoas realmente comprarão SSE como um produto e não como algo individual, e qual será o futuro?
Steve Riley: Os principais componentes, o CASB e o SWG, estão maduros. Eu estava movendo o ponto CASB muito rápido no ciclo de hype quando adquiri esse perfil. ZTNA ainda é New , mas acho improvável que surja como um mercado independente agora que estamos vendo tanto interesse nos fornecedores de CASB e SWG para adicionar ZTNA , e faz todo o sentido para o que você acabou de dizer, Jason, você comparou ZTNA a um CASB invertido. É realmente interessante ouvir você dizer isso, porque esse era um dos mecanismos que eu às vezes usava para descrever o ZTNA aos clientes. Eles já sabem o que é um CASB. Se você pudesse pegar seu CASB e girá-lo para que ele apontasse para seus aplicativos internos, em vez de um aplicativo SaaS, você basicamente obteria a mesma funcionalidade e lâmpada que funcionaria para as pessoas. Mas nenhum mercado é estático. Pelo menos nenhum mercado bom é estático. Então eu imagino que a evolução do SSE seria caracterizada pela montagem de um [Creedy 00:33:19] adquirindo qualquer verbo que você queira usar. Todos os recursos necessários para garantir o uso contínuo, bem governado e seguro da nuvem. Então, coisas como gerenciamento de postura, gerenciamento de direitos, o que eu gosto de chamar de risco da parte final porque o aplicativo SaaS que você pode estar usando, pode na verdade ser como um produto force.com. Então você assina este aplicativo force.com, que é executado dentro de uma instância do Salesforce. Bem, não no caso do Salesforce, mas em algum outro aplicativo SaaS, que provavelmente está sendo executado em uma nuvem privada, desculpe, uma nuvem pública. Então você pode pensar em como é uma cadeia de risco? E quanto aos riscos de terceiros, quartas e quintas partes, como você garante que, não importa onde você esteja armazenando seus dados confidenciais, o que pode incluir os dados confidenciais de seus clientes, onde estão todos os pontos de contato potenciais onde esses dados podem ser expostos inadvertidamente? E acho que uma das coisas em que a SSE vai se tornar realmente boa é esclarecer todos esses riscos da parte final para que as pessoas possam tomar decisões bem informadas sobre onde armazenar seus dados.
Jason Clark: Isso é ótimo, Steve, porque eu diria que esse é provavelmente o risco número um que existe e que as pessoas simplesmente não conseguem controlar. É o risco da parte final, é o risco da terceira, quarta, quinta, sexta parte, mas quando você sabe para onde seus usuários estão enviando dados, para quais dispositivos eles são levados e os riscos em torno de qualquer infraestrutura na qual eles colocam seus dados e então para onde esses dados estão indo dessa infraestrutura para outra infraestrutura, para outro aplicativo e então os riscos em torno deles, isso elimina tudo, certo? E isso acaba sendo como a segurança de Nevada, onde seus controles de segurança seguem o usuário e os dados, o que não temos hoje. Então isso é enorme. Se conseguirmos que o SSE seja assim, o que, se você pensar bem hoje, faremos essas avaliações de risco únicas. Muitas pessoas com quem converso fazem avaliações de risco únicas de 365 ou duas vezes por ano, em vez de fazerem avaliações em tempo real, você sabe a qualquer momento exatamente qual é o risco de cada dado que você coleta. have sitting anywhere, period. Right? And if one thing changes right? One the user or one network or one device or one app or one piece of data, anything changes, you know when that likelihood or impact just became unbearable, right? To the risk equation.
Steve Riley: Eu iria mais longe e diria que produtos SSE bem desenvolvidos em um ambiente bem gerenciado poderiam dar a uma organização mais visibilidade e controle do que jamais tiveram quando tudo estava no data center, porque na verdade era muito fácil. Lembro-me de que em algumas das minhas carreiras anteriores, eu poderia construir um servidor, conectá-lo ao terreno, ninguém vai saber, certo? E eu poderia contar à minha comunidade de pessoas sobre isso. E o departamento de TI pode estar meio cego para essas coisas. Eu realmente me pergunto o quanto a TI paralela estava realmente sob a TI de mesa, em oposição ao SaaS.
Jason Clark: Ah, sim, quando comecei como CISO para uma empresa com 100 e 140.000 funcionários, descobri que tínhamos 1.200-
Steve Riley: Pronto.
Jason Clark: Conexão de internet sob a mesa.
Steve Riley: E alguém trouxe um pouco de Wi-Fi que eles trouxeram para comprar. E ...
Jason Clark: Quer dizer, foi- [crosstalk 00:37:28].
Steve Riley: [crosstalk 00:37:28] Selvagem, certo? Mas-
Jason Clark: Então, Steve, isso foi incrível. Foi esclarecedor compartilhar sua experiência sobre os altos e baixos de criar um MQ de ser um analista deste novo MQ de SSE, o que faço novamente, reiterarei que é provavelmente a maior coisa que acontecerá na segurança cibernética para o próximos 10 anos. E definitivamente nos últimos 10 anos, qualquer coisa que se compare, é um mercado muito menor. Algo como, lembro quando as pessoas pensavam que EDR e AV eram mercados diferentes, e agora é XDR e aquela convergência, isso é 10 vezes maior porque é todo o perímetro da rede migrando para a nuvem, certo? Então é um grande momento. E obrigado por estar aqui no dia do lançamento deste MQ e discutir isso e ajudar todos os nossos ouvintes.
Steve Riley: De nada. Agradeço a oportunidade de ter essa interação.
Anúncio: O podcast de visionários de segurança é desenvolvido pela equipe da Netskope, que busca a plataforma de segurança em nuvem certa para permitir sua jornada de transformação digital. A nuvem de segurança Netskope ajuda você a conectar usuários com segurança e rapidez diretamente à Internet, de qualquer dispositivo a qualquer aplicativo, saiba
[email protected].
Produtor: Obrigado por ouvir Visionários de Segurança, reserve um momento para escrever e avaliar o programa e compartilhe-o com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas. E nos vemos no próximo.
){kind=icon}
