0:00:01 Emily Wearmouth: Olá e bem-vindos a mais uma edição do podcast Visionários da Segurança, um espaço onde convidamos especialistas e os questionamos sobre diversos assuntos para ajudar você, nosso ouvinte, a entender um pouco mais sobre segurança cibernética de dados, todas as tendências e acontecimentos do seu setor. E meu convidado desta semana é um amigo do podcast. Estamos nos aproximando do Natal, então estamos convidando todos os amigos. Steve Riley, bem-vindo ao podcast.
0:00:22 Steve Riley: Obrigado, Emily. É um prazer estar aqui com vocês.
0:00:25 Emily Wearmouth: Então, para os ouvintes que nunca ouviram um episódio com Steve Riley antes de ele vir até nós, eu sempre começo falando sobre como a carreira das pessoas começou. E Steve vem de uma formação em análise de sistemas. Acho que isso dá uma boa ideia de como você poderia abordar o papel de analista de sistemas, passando por várias empresas de tecnologia diferentes, incluindo um período como analista na Gottner, onde acredito que você aprimorou suas brilhantes habilidades de explicar as coisas de uma forma que as torna realmente fáceis de entender. E agora, trabalhando como CTO de campo, abordei todos os pontos essenciais, Steve?
0:00:55 Steve Riley: Parece ótimo para mim.
0:00:57 Emily Wearmouth: Bem, convidei o Steve para o podcast hoje porque quero falar sobre uma sigla que, tecnicamente falando, infringe todas as nossas regras editoriais. Tentamos evitar siglas como a peste, mas acho que é por isso que você está aqui hoje, Steve. Existem siglas circulando por aí e, às vezes, merecem uma pequena pausa, uma discussão, só para garantir que todos estejamos na mesma página e entendamos o que elas significam. A sigla atual é CSMA, que significa Cybersecurity Mesh Architecture (Arquitetura de Malha de Segurança Cibernética). Agora todo mundo está pensando: "Ah, será que devo pular este podcast?" Você não deve perder este episódio. Vai ser muito bom. Prometo que começa com uma sigla, mas fica bom depois. Então, comece, Steve. O que é CSMA?
0:01:36 Steve Riley: CSMA é uma iniciativa que busca convencer fornecedores a trabalharem juntos para criar um dicionário de dados e um formato de dados comuns para trocar sinais e outras informações sobre as decisões que essas ferramentas de segurança estão tomando, para que outras ferramentas possam refinar as decisões que elas mesmas possam tomar posteriormente.
0:01:58 Emily Wearmouth: Então, quem está evangelizando em favor dessa sigla? Quem está por aí dizendo a todos que devemos apoiar isso?
0:02:04 Steve Riley: A ideia já existe há algum tempo, mas ultimamente a maior parte do esforço que vejo vindo da Gartner e de um analista em particular de lá, que por sinal é um bom amigo meu. Nos conhecemos há mais de 20 anos. Ele tem escrito muito sobre isso. Acho que ele já está na terceira ou quarta versão. E quando ele exibe o slide com todos os fornecedores participantes, ele fica cada
maior
cada ano. 0:02:28 Emily Wearmouth: E será que vemos o NIST, e outros institutos semelhantes, apoiando essa ideia? Ou será que ainda se trata de uma perspectiva mais acadêmica, de analista, sobre o mundo?
0:02:39 Steve Riley: Essa é uma pergunta interessante, Emily. Ainda não fui verificar se alguma agência governamental está respondendo a isso, mas posso fazê-lo. Não me vêm à mente nenhum exemplo neste momento. Então
imagino que ainda seja principalmente uma iniciativa
indústria neste momento. 0:02:54 Emily Wearmouth: Sim, quer dizer, se for isso mesmo, e pode ser, não é algo que eu tenha ouvido falar muito sobre o NIST. Ouvimos uma constante propaganda sobre confiança zero, mas não é algo que eu tenha visto ser inserido nessa conversa até o momento. Mas, como veremos daqui a pouco, também tem seu lugar dentro dessa estrutura de confiança zero, não é? Então
isso é apenas uma forma de descrever o que é essencialmente uma plataforma com múltiplos fornecedores, ou é materialmente diferente de quando se contrata um único fornecedor para uma plataforma cujos componentes já se comunicam entre si
0:03:29 Steve Riley: Bem, lembre-se de que não existe uma plataforma totalmente unificada, e isso é algo que a Netskope vem discutindo há uns dois anos. Vemos grandes fornecedores que possuem portfólios de produtos, em sua maioria obtidos por meio de aquisições, e que prometem integrá-los melhor. Mas concluir a próxima aquisição parece sempre ser uma prioridade maior. O que temos observado, no entanto, é que muitos compradores de soluções de segurança da informação estão tentando se afastar de grandes coleções de diversas ferramentas diferentes, sejam elas de um único fornecedor ou de vários fornecedores diferentes, e migrar para, digamos, este interessante conjunto de quatro plataformas. Um exemplo seria o gerenciamento de identidade, que não se limita a um diretório, mas também inclui aspectos como governança, administração, permissões, privilégios e o dimensionamento adequado. A próxima seria a plataforma de proteção de endpoints. Agora todos nós pensamos em coisas que estão nas nuvens. Então, por que nos importamos com os endpoints?
0:04:33 Steve Riley: Nós nos importamos com os pontos finais porque todas as ideias interessantes se originam na cabeça humana e viajam pelos braços e dedos humanos até algum dispositivo, e esse dispositivo é a primeira representação digital dessa informação interessante. Portanto, ainda merece proteção, mas essa informação não quer ficar lá. Ela quer se movimentar para que outras pessoas possam agregar valor a ela ou para que outras pessoas possam extrair valor dela. Então a terceira plataforma seria algo como redes, segurança de dados, esse é o escopo da nossa rede. E a quarta plataforma seria algo como um sistema de detecção e resposta a ameaças, que sempre será necessário. Nenhuma medida de proteção é perfeita. Atualmente, os fornecedores nesses quatro segmentos estão se esforçando mais do que outros para interoperar com as diversas outras plataformas e também com outros tipos de ferramentas. O CSMA é um esforço para tentar reunir ainda mais ferramentas, não apenas como as quatro plataformas que descrevi anteriormente, mas uma variedade de ferramentas independentes que possam atender a casos de uso específicos
para que todas possam participar e trocar informações entre si e gerar mais sinais em contexto
0:05:45 Emily Wearmouth: O que você quer dizer com sinais em contexto específico? Entendi a parte dos sinais, mas a parte do contexto...
0:05:51 Steve Riley: Bem, vamos entrar no elemento relacionado à confiança zero desta conversa. Agora. Muitos fornecedores têm diversas interpretações sobre o que consideram ser
conceito
confiança zero, e vou aproveitar a oportunidade para apresentar a visão da Netscope aqui por um instante. 0:06:10 Emily Wearmouth: Eu dei a ele um púlpito e ele está usando-o. Sim,
0:06:12 Steve Riley: Claro que sim. Você me ouviu arrastando isso para o palco? Rasgo. OK. E isso deriva de um trabalho que eu e outro analista da Gartner fizemos quando estávamos definindo o posicionamento da Gartner sobre confiança zero. A ideia é que no espaço da carne, o espaço da CARNE que os humanos ocupam,
0:06:33 Emily Wearmouth: Desculpe, isso é
0:06:34 Steve Riley: Muito engraçado. Era um ciberespaço, certo? OK. Assim, no mundo real, é impossível eliminar a confiança. Lee, quando entrei na Netskope, você e eu não nos conhecíamos, então havia um pouco de confiança mútua porque éramos da Netskope, mas não consigo me lembrar de nenhuma situação em que não houvesse nenhuma confiança entre as pessoas. Mas, ao longo dos anos em que trabalhamos juntos, fomos aprendendo cada vez mais um sobre o outro, colaboramos em projetos, sentamos em bares e tomamos um ou dois drinques. Portanto, existe um alto nível de confiança entre nós neste momento. O mesmo se aplica ao ciberespaço. É impossível eliminar a confiança nos sistemas digitais. De fato, para aqueles que estiverem suficientemente motivados, é possível encontrar alguns artigos de pesquisa de meados da década de 1990 que abordaram esse dilema. Portanto, essa noção de confiança zero é simplesmente estranha. Pense nisso desta forma
existe zero confiança no início de
interação. 0:07:28 Steve Riley: Dois nós que nunca se viram precisam comunicar nenhuma confiança, mas para que eles façam algo eficaz, como ter uma interação significativa, é necessário estabelecer um certo nível de confiança, e essa confiança deriva de sinais e contexto. Vamos usar um exemplo que envolve dois sinais diferentes: um será o tipo de dispositivo e o outro será um rótulo em um documento. Se um tipo de dispositivo for gerenciado, isso já estabelece um nível razoavelmente alto de confiança. Entre esse dispositivo e qualquer sistema interno, digamos, que armazene documentos, talvez não precisemos avaliar outros sinais. Nesse caso, a pessoa que utiliza um dispositivo gerenciado tem acesso total a todo o conteúdo. Agora, se o sinal do dispositivo mostrar "não gerenciado", o que significa que é um dispositivo pessoal que não pertence à empresa, então devemos considerar o rótulo como um sinal secundário. Se o rótulo for "público", a pessoa que usa esse dispositivo não gerenciado ainda poderá ter acesso total. Se o rótulo for privado, queremos reduzir o nível de acesso que a pessoa tem nesse dispositivo não gerenciado, para somente leitura.
0:08:52 Emily Wearmouth: Então o rótulo está no arquivo, e não no dispositivo ou no usuário.
0:08:55 Steve Riley: Isso mesmo. É o rótulo nos dados, o arquivo no arquivo. E se o rótulo indicar "confidencial", a política pode proibir totalmente o acesso a partir de dispositivos gerenciados. Em outras palavras, a política estabelece que, para trabalhar com informações confidenciais, você deve usar apenas um dispositivo gerenciado. É nisso que se baseia uma boa estratégia de confiança zero. Trata-se da ideia de poder combinar sinais, gerar algum contexto sobre eles e determinar exatamente o que virá a seguir. Isso garante que as pessoas certas tenham o acesso certo aos recursos certos, nos momentos certos e pelos motivos certos. Os cinco direitos. Aqui na Netskope, nos referimos a isso como confiança adaptativa contínua, ou confiança zero. No início, uma certa confiança é construída à medida que a interação se desenrola, conforme os sinais mudam, como o rótulo de um arquivo ou o estado de um dispositivo. O acesso pode ser adaptado com base no contexto em que esses sinais indicam que um dispositivo pode estar comprometido de alguma forma, por exemplo, porque o usuário baixou algo inseguro de algum lugar. Nesse caso, o acesso pode ser modificado até que a situação seja resolvida e
então
o controle pode ser removido. 0:10:13 Steve Riley: Esta é uma forma muito mais eficaz de alcançar essa estratégia do que simplesmente fingir que se pode eliminar completamente a confiança dos sistemas digitais. Agora, a importância disso reside no fato de que está se tornando um dos melhores mecanismos para que uma ampla variedade de ferramentas forneça sinais a uma ampla variedade de outras ferramentas que podem aplicar essas políticas. Mas existe uma ressalva: as ferramentas de aplicação de políticas e a ferramenta que fornece os sinais necessários precisam ter algum tipo de linguagem compartilhada, alguma definição e formato de dados comuns, algumas APIs que sejam documentadas. Assim
essas informações podem ser trocadas, e o objetivo do CS MA é estabelecer alguns desses padrões em toda a comunidade
fornecedores. 0:11:08 Emily Wearmouth: E quão avançado está o processo de consolidação desses padrões
ou ainda vemos fornecedores individuais precisando negociar entre si como integrarão os insights uns dos outros em suas plataformas
0:11:21 Steve Riley: Bem, a pesquisa da Gartner sobre isso está, como mencionei anteriormente, em sua terceira ou quarta iteração neste momento, e a comunidade de fornecedores que expressam interesse é muito, muito grande. O que ainda não vejo é um grande número de fornecedores que tenham concordado com o formato padronizado. Portanto, creio que as discussões sobre como esses formatos poderão ser estão em andamento. Lembre-se, isso empurra muitos vendedores para áreas que são um tanto desconfortáveis. Em alguns casos, são concorrentes que precisam descobrir como cooperar para que todos os seus compradores possam se beneficiar mais, e acho que esse pode ser um dos fatores de atrito que ainda existem nesse esforço. Não estou dizendo que isso esteja impedindo o esforço, e tenho certeza de que com o tempo os Vingadores descobrirão como contornar isso, mas existe
no momento. 0:12:11 Emily Wearmouth: Parece, e eu consigo ver os apetrechos de gato atrás de você, mas soa um pouco como tentar controlar gatos, e eu me pergunto se não é apenas a Gartner tentando controlar esses gatos, se precisa de outro órgão, uma espécie de órgão claramente independente e imparcial, que estabeleça um padrão ao qual todos se conformem para cruzar um limite e lidar com esses antagonismos competitivos. O que você acha disso?
0:12:37 Steve Riley: Acho que isso funcionaria. Claro, isso sempre me lembra da tirinha do XKCD, algo sobre padrões. Mais uma. Ah, isso também é ótimo. Mas sim, acho que algo um pouco mais formalizado, com um órgão independente, ajudaria a impulsionar isso ainda mais. Mas essa é outra área que eu, na verdade, não explorei a fundo. Então, talvez seja interessante para nossos observadores acompanharem qual é o nível de seriedade atual do CSMA entre os fornecedores e
possivelmente
alguma organização que esteja trabalhando para impulsionar ainda mais esses padrões. 0:13:11 Emily Wearmouth: E se, como organização, vocês gostarem disso, ótimo. Parece que você tem muitos fornecedores em sua infraestrutura de segurança e gostaria que eles trabalhassem melhor em conjunto. Então você vai embarcar numa missão de Ano New para conseguir que todos se inscrevam nisso. Que tipo de metas e objetivos você deve ter em mente, ou quais métricas específicas você deve buscar para avaliar se valeu a pena o esforço em 12 meses? Que tipo de métricas serão informadas ou influenciadas?
0:13:40 Steve Riley: Bem, Emily, acho que você tocou num ponto importante aqui, porque os analistas podem fazer afirmações fantásticas sobre o valor de algo e um órgão independente pode trabalhar para promover esses objetivos. Mas, na realidade, os vendedores respondem a uma única coisa: clientes que compram produtos. Portanto, sugiro que a melhor maneira para que esse esforço se materialize é que os compradores comecem a exigir que os fornecedores trabalhem em direção a um formato de dados e definições de dados compartilhados, para que a troca de informações se torne realidade. Os fornecedores adoram prometer, mas é preciso que os compradores, vocês que estão assistindo ou ouvindo aqui hoje e que compram tecnologia, concordem com a ideia de uma melhor interoperabilidade entre todos os fornecedores para criar mais sinais que sustentem uma estratégia de confiança zero mais
. Então
vocês precisam dizer aos seus fornecedores que é isso que desejam e também garantir que todos os fornecedores de seu interesse estejam em conformidade com o mesmo padrão mais recente, que está facilmente disponível. 0:14:51 Steve Riley: Todo mundo é cliente da Gartner, então todos que são clientes podem ter acesso a essas informações, e é isso que precisa acontecer. Em termos de métricas específicas, eu diria apenas que a métrica é a presença nos roteiros de desenvolvimento e a capacidade de demonstrar que esses esforços se refletem no lançamento de nossos produtos. Existe alguma API ou conjunto de APIs disponível que se relacione especificamente ao compartilhamento de informações de acordo com os padrões e práticas da CSMA, que estão em constante evolução? Se essas APIs estiverem presentes, então os fornecedores estão levando isso muito a sério. Mas se ainda não existem, se é apenas um diagrama de marketing sem nenhuma implementação real por trás, então comece a exigir que os fornecedores lancem esses materiais, forneçam um cronograma de quando seus vários produtos e serviços estarão prontos para o CSMA e talvez até peçam algumas demonstrações. Peça a um fornecedor de sua confiança que tenha um produto compatível com CSMA para demonstrar a capacidade de interação com outro fornecedor também compatível com CSMA. Sugira que você monte um pequeno laboratório ou algo similar, às custas do fornecedor, para que você possa ver o produto com seus próprios olhos e, em seguida
elabore planos para
ainda mais o restante da organização. 0:16:14 Emily Wearmouth: Eu senti como se estivesse vendo o Steve, o ativista, chegar lá e dizer: "Você vai pegar cartazes e todos serão encorajados a marchar com você e fazer certas reivindicações." Foi muito emocionante ver isso. Então, agora vou reformular um pouco a pergunta. Você quer que essas pessoas peguem seus cartazes, participem da marcha e façam essas perguntas aos seus vendedores. Por que eles fariam isso? Será que se trata de melhorar o seu nível de segurança? Será que se trata de encontrar maneiras de otimizar a eficiência dentro de suas equipes? Isso vai acabar custando menos para eles no final das contas? Eles vão gastar menos dinheiro com seus fornecedores? Quais são os benefícios organizacionais quando
belo mundo futuro existir
0:16:47 Steve Riley: Bem, a arquitetura de malha de cibersegurança está definitivamente relacionada à melhoria da segurança da informação e à redução de riscos, e a todos esses aspectos relacionados, simplesmente porque essa troca de informações permite que os responsáveis pela resposta e os formuladores de políticas, e quando digo formuladores de políticas, não me refiro à política. Refiro-me às pessoas que ficam sentadas no console escrevendo políticas. Isso permite que ambas as equipes sejam mais eficazes no que fazem. Quanto mais sinais eu puder incluir em todas as minhas políticas, melhor poderei elaborá-las para responder à variedade de imprevistos que possam surgir. E quanto mais informações essas ferramentas de detecção e resposta a ameaças tiverem sobre a natureza específica de um evento, mais isso ajudará as ferramentas a sintetizar eventos em incidentes. São essas as coisas às quais os socorristas realmente precisam reagir. Isso tudo só vai ser melhor para todos. Será melhor para os compradores de tecnologia. Será melhor para os fornecedores de tecnologia, porque, em vez de pensarem em criar pequenas parcerias entre dois ou três, isso lhes dará mais oportunidades de interagir com mais fornecedores, o que também melhora as opções disponíveis para os compradores, certo? Se a plataforma A e a plataforma B funcionam muito bem juntas, mas a plataforma A e a plataforma C não funcionam tão bem juntas, e se alguém gosta muito da plataforma C, mas ela não funciona com a plataforma A que essa pessoa já possui, o que fazer? Você escolheria a plataforma C, que possui todos os recursos que você gosta, mas com menos interoperabilidade? Ou você opta pela plataforma B, que pode não ter todos os recursos desejados, mas oferece ótima interoperabilidade? Eu encorajaria as pessoas a priorizarem a interoperabilidade em vez dos recursos neste momento,
0:18:44 Emily Wearmouth: Certo?
0:18:45 Steve Riley: Simplesmente porque, se você prioriza recursos e menos interoperabilidade, isso não é muito diferente de onde vivíamos há 10 anos, quando tínhamos 76 ferramentas que não funcionavam de jeito nenhum, certo? Portanto, ao priorizar a interoperabilidade, você consegue isso. Você entendeu. Você está mais perto daquele nirvana da estratégia de confiança adaptativa contínua, baseada em sinais e contexto. Portanto
precisamos
nossos fornecedores continuem nesse caminho para que os compradores tenham a melhor opção e não precisem fazer concessões. 0:19:15 Emily Wearmouth: E quem, se alguém, discorda disso? Então você disse que a Gartner está liderando esse protesto em massa, você na linha de frente com um sino, tenho certeza que você está dizendo que isso é ótimo. Alguém está propondo uma abordagem diferente para o mesmo objetivo? Ou será que alguém está resistindo a essas integrações? Existe alguma oposição ou é apenas que dá um pouco de trabalho, e essa é a maior resistência?
0:19:40 Steve Riley: A resistência é o trabalho. A resistência é a seguinte: "Se eu tiver uma API que permita que outra pessoa me manipule ou altere minhas políticas, posso perder vantagem competitiva, pois essa pessoa pode não conseguir mais acessar meu console e ver meu logotipo oito horas por dia." Penso que todas as razões pelas quais os fabricantes podem não querer participar no CSMA não têm absolutamente nada a ver com ajudar os seus clientes, mas sim com preocupação. Talvez seja uma preocupação com a diluição ou algo do tipo, mas vivemos em um mundo com divisões, desconfiança e polarização crescentes. Está repleto de organizações e entidades que parecem se preocupar apenas com a própria sobrevivência e cada vez menos com a construção de um mundo próspero. Talvez isso seja um pouco grandioso para uma conversa sobre a CSMA, mas se a CSMA puder refletir um pouco de resistência a isso e incentivar a cooperação, mostrando o valor da cooperação, então talvez isso possa dar um pequeno passo para reduzir um pouco da, sei lá, raiva que existe no nosso mundo agora.
0:20:54 Emily Wearmouth: Gostei disso. Gosto principalmente da energia. Você me conquistou. Com certeza vou colocar um cartaz mais tarde sobre alguma coisa. Você veio, você veio com boas energias hoje, Steve,
0:21:05 Steve Riley: Emily, eu costumava ser aer. Eu costumava ser uma pessoa cética. Lembro-me de quando me deparei com isso pela primeira vez, pensei: nenhum desses vendedores vai abrir, abrir.
0:21:12 Emily Wearmouth: Eu sei que quando mencionei isso pela primeira vez com você, você disse que não. Temos uma conversa inteira por mensagem em que você dizia: "Não, Emily, não vai acontecer." É muito trabalho. Ninguém tem interesse financeiro nisso. Você é como um homem New . O que mudou?
0:21:23 Steve Riley: Sim. O que mudou foi que meu amigo, que estava escrevendo a pesquisa, demonstrou perseverança e apresentou uma lista de fornecedores cada vez maior. Ele acredita nisso. Confio nele, e ele me convenceu de que este é um esforço
vale
pena. 0:21:42 Emily Wearmouth: Você quer mencionar o nome dele?
0:21:45 Steve Riley: Patrick Hevesi.
0:21:46 Emily Wearmouth: Pronto. Patrick. Steve está te apoiando em todos os momentos. E você está vendo? Última pergunta. Você tem observado integrações do tipo CSMA acontecendo, talvez sob a marca do fornecedor? Essas coisas estão acontecendo lentamente por parte de fornecedores individuais e sendo transformadas em produtos quase que automaticamente?
0:22:05 Steve Riley: Sim, então vamos usar o NES UPP como exemplo. Temos um serviço chamado Cloud Exchange, que é composto por quatro outros componentes. Todos os clientes da NES UPP podem usufruir deste benefício. Não há custos envolvidos, e isso se manifesta em um conjunto de APIs com um formato de dados e um dicionário de dados documentados. Está alinhado com o CSMA neste momento? Não, mas é um esforço que demonstra nosso desejo de integrar com mais ferramentas que nossos clientes adquiriram, e não seria tão difícil para nós incorporar os padrões em constante evolução do CSMA ao que já fazemos. Portanto, é bem possível que seja esse o caso. Emily, e esse é um bom ponto: alguns fornecedores estão caminhando nessa direção, mas, como você disse, sob uma marca diferente. Acho
isso talvez seja
abordagem provisória enquanto os padrões amadurecem. 0:23:02 Emily Wearmouth: Interessante. Brilhante. Eu prometi que as pessoas não ficariam entediadas, e acho que, tirando essa sigla, evitamos todas as outras. Então, acho que você fez um ótimo trabalho ao explicar um sem incluir outros sete na explicação.
0:23:16 Steve Riley: Bem, obrigado.
0:23:17 Emily Wearmouth: Muito obrigada por se juntar a nós hoje. Obrigado por esclarecer isso um pouco mais para todos.
0:23:21 Steve Riley: Sim, de nada.
0:23:22 Emily Wearmouth: Você estava ouvindo o podcast Security Visionaries, e eu fui sua apresentadora, Emily Wout, e se você gostou deste episódio, dê uma olhada em nosso catálogo anterior e veja alguns dos outros episódios em que Steve participou e esclareceu algumas coisas. E eu sei que na verdade temos mais um. Esta semana faremos duas gravações seguidas, então, se você gostou desta, haverá outra logo em seguida. Mais uma sigla explicada e esclarecida de uma forma um pouco melhor. Se quiser, obrigado por se juntar a nós e nos vemos na próxima.
){kind=icon}
