O futuro do Zero Trust e do SASE é agora! Assista sob demanda

fechar
fechar
  • Por que Netskope chevron

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes chevron

    A Netskope atende a mais de 3.000 clientes em todo o mundo, incluindo mais de 25 das empresas da Fortune 100

  • Nossos parceiros chevron

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Ajudamos nossos clientes a estarem prontos para tudo

Veja nossos clientes
Woman smiling with glasses looking out window
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Group of diverse young professionals smiling
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Apresentando a plataforma Netskope One

O Netskope One é uma plataforma nativa da nuvem que oferece serviços convergentes de segurança e rede para permitir sua transformação SASE e zero trust.

Saiba mais sobre o Netskope One
Abstrato com iluminação azul
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vídeo da Netskope
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Boat driving through open sea
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog chevron

    Saiba como a Netskope permite a transformação da segurança e da rede por meio do SSE (Security Service Edge)

  • Eventos e workshops chevron

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined chevron

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

How to Use a Magic Quadrant and Other Industry Research
Neste episódio, Max Havey, Steve Riley e Mona Faulkner analisam o intrincado processo de criação de um Magic Quadrant e por que ele é muito mais do que apenas um gráfico.

Reproduzir o podcast
Como usar um Quadrante Mágico e outros podcasts de pesquisa do setor
Últimos blogs

Leia como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio de recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
SASE Week 2023: Sua jornada SASE começa agora!

Replay das sessões da quarta SASE Week anual.

Explorar sessões
SASE Week 2023
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Saiba mais sobre o Security Service Edge
Four-way roundabout
  • Empresa chevron

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Liderança chevron

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Customer Solutions chevron

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e certificação chevron

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Group of young professionals working
Miniatura da postagem

Neste episódio de Security Visionaries, a apresentadora Emily Wearmouth explora o conceito de confiança zero com os especialistas em segurança cibernética John Kindervag, o "padrinho da confiança zero", e Neil Thacker. Ouça enquanto eles contam as origens da confiança zero, seus princípios subjacentes e como ela está reformulando as organizações modernas. Eles também esclarecem o equívoco comum de que a confiança zero se refere apenas ao gerenciamento de identidade e acesso, enfatizando que seu escopo mais amplo é a proteção dos ativos organizacionais. Além disso, eles se aprofundam nas provações e tribulações da implementação da confiança zero e na necessidade de compreender a missão da organização e proteger a superfície. Por fim, incentivamos as organizações a adotar a confiança zero de forma gradual, iterativa e discreta, mantendo um olhar atento sobre o sistema.

As pessoas não são pacotes. O senhor não pode aplicar o conceito de confiança. Portanto, o senhor deve se livrar da palavra confiança. Essa é a coisa mais fácil de fazer, substituí-la pela validação. Estamos validando sinais para que tenhamos confiança em permitir o acesso a um recurso.

-John Kindervag, evangelista-chefe da Illumio
John Kindervag

 

Carimbos de data/hora

*00:01 - Introdução*18:29 - Importância de entender a superfície de proteção e a missão
*01:36 - Promovendo a concepção inicial de confiança zero*20:32 - Confiança zero além das redes e o papel da tecnologia
*03:14 - Reação inicial ao conceito de confiança zero*25:23 - Zero trust como uma abordagem sob medida
*06:54 - Fatores a serem considerados na tomada de decisões de confiança zero*28:59 - Por que confiança zero é o termo certo
*10:12 - Confiança zero como um tópico em nível de diretoria*29:35 - Conclusão
*14:26 - Transição para a arquitetura zero trust

 

Outras formas de ouvir:

mais verde

Neste episódio

John Kindervag
Evangelista-chefe da Illumio

chevron

John Kindervag

Com mais de 25 anos de experiência como profissional e analista do setor, Kindervag é um dos maiores especialistas em segurança cibernética do mundo e é conhecido por criar o modelo transformacional de confiança zero em segurança cibernética. Anteriormente, Kindervag liderou a estratégia de segurança cibernética como vice-presidente sênior da ON2IT. Anteriormente, ele atuou como CTO de campo na Palo AltoNetworks. Antes disso, Kindervag passou mais de oito anos como vice-presidente e analista principal da equipe de segurança e risco da Forrester Research. Foi lá que ele desenvolveu o famoso conceito de Zero Trust, uma abordagem arquitetônica baseada no princípio "nunca confie, sempre verifique", que opera com base no pressuposto de que as violações são inevitáveis e que as ameaças podem se originar de qualquer lugar, mesmo dentro da rede. Kindervag também atua como consultor de várias organizações, incluindo a Cloud Security Alliance e a empresa de capital de risco NightDragon, e contribuiu para o Relatório do Comitê Consultivo de Telecomunicações de Segurança Nacional para o Presidente.

Logotipo do LinkedIn

Neil Thacker
CISO, EMEA na Netskope

chevron

Neil Thacker

Neil Thacker é um veterano profissional de segurança da informação e especialista em proteção de dados e privacidade no Regulamento Geral sobre a Proteção de Dados (EU GDPR).

Logotipo do LinkedIn

Emily Wearmouth
Diretora de Comunicações Internacionais e Conteúdo da Netskope

chevron

Emily Wearmouth

Emily Wearmouth é uma comunicadora de tecnologia que ajuda engenheiros, especialistas e organizações de tecnologia a se comunicarem de forma mais eficaz. Na Netskope, Emily dirige os programas internacionais de comunicação e conteúdo da empresa, trabalhando com equipes na EMEA, LATAM e APJ. Ela passa os dias desenterrando histórias e contando-as de uma forma que ajuda uma ampla gama de públicos a compreender melhor as opções e benefícios da tecnologia.

Logotipo do LinkedIn

John Kindervag

Com mais de 25 anos de experiência como profissional e analista do setor, Kindervag é um dos maiores especialistas em segurança cibernética do mundo e é conhecido por criar o modelo transformacional de confiança zero em segurança cibernética. Anteriormente, Kindervag liderou a estratégia de segurança cibernética como vice-presidente sênior da ON2IT. Anteriormente, ele atuou como CTO de campo na Palo AltoNetworks. Antes disso, Kindervag passou mais de oito anos como vice-presidente e analista principal da equipe de segurança e risco da Forrester Research. Foi lá que ele desenvolveu o famoso conceito de Zero Trust, uma abordagem arquitetônica baseada no princípio "nunca confie, sempre verifique", que opera com base no pressuposto de que as violações são inevitáveis e que as ameaças podem se originar de qualquer lugar, mesmo dentro da rede. Kindervag também atua como consultor de várias organizações, incluindo a Cloud Security Alliance e a empresa de capital de risco NightDragon, e contribuiu para o Relatório do Comitê Consultivo de Telecomunicações de Segurança Nacional para o Presidente.

Logotipo do LinkedIn

Neil Thacker

Neil Thacker é um veterano profissional de segurança da informação e especialista em proteção de dados e privacidade no Regulamento Geral sobre a Proteção de Dados (EU GDPR).

Logotipo do LinkedIn

Emily Wearmouth

Emily Wearmouth é uma comunicadora de tecnologia que ajuda engenheiros, especialistas e organizações de tecnologia a se comunicarem de forma mais eficaz. Na Netskope, Emily dirige os programas internacionais de comunicação e conteúdo da empresa, trabalhando com equipes na EMEA, LATAM e APJ. Ela passa os dias desenterrando histórias e contando-as de uma forma que ajuda uma ampla gama de públicos a compreender melhor as opções e benefícios da tecnologia.

Logotipo do LinkedIn

Transcrição do episódio

Aberto para transcrição

Emily Wearmouth [00:00:01] Olá e bem-vindos a mais uma edição do podcast Security Visionaries, o lugar onde reunimos especialistas em uma ampla gama de dados cibernéticos e outros tópicos relacionados. Sou a anfitriã, Emily Wearmouth, e hoje tenho dois convidados especialistas, John Kindervag e Neil Thacker. Então, vamos começar com algumas apresentações. Vou começar com o senhor, John, porque tem um dos títulos informais mais impressionantes que acho que já tivemos no programa, The Godfather of Zero Trust. O senhor pegou o título na Forrester, onde, para o benefício dos ouvintes, John deu o nome ao princípio do que hoje conhecemos como confiança zero como uma abordagem de segurança de dados. Acho que, para um analista, o título de The Godfather é provavelmente o auge de sua carreira. Assim, nos últimos anos, ele tem trabalhado como evangelista para vários fornecedores de segurança e agora é o evangelista-chefe da Illumio. Então, bem-vindo ao programa, John.

John Kindervag [00:00:47] Olá, obrigado por me receber.

Emily Wearmouth [00:00:49] Neil Thacker é uma voz que os ouvintes habituais talvez reconheçam, pois ele participou do nosso episódio piloto em setembro. Ele é um CSO praticante e muito ocupado, mas ainda arranja tempo para ser um dos meus especialistas em governança, conformidade, IA e todos os tipos de assuntos. Neil está aqui para nos dar uma visão das trincheiras, pois, como CISO praticante, ele poderá nos dar algumas doses de realidade sobre o que realmente acontece quando princípios e ideologias entram nos negócios. Então, o senhor consegue adivinhar sobre o que vamos falar hoje? Sim, é o assunto que está na boca de todo mundo, sem confiança. E vamos mergulhar de cabeça. E acho que seria uma negligência não ter trazido O Poderoso Chefão para o podcast. John, podemos começar com o senhor? Gostaria de pedir que o senhor nos desse uma breve explicação sobre a confiança zero, mas, em particular, gostaria de saber o que motivou a concepção inicial da abordagem de confiança zero quando o senhor estava na Forrester.

John Kindervag [00:01:36] Então, antes de chegar à Forrester, eu era um profissional. Desde o início, eu tinha esse modelo de confiança em que as interfaces recebiam um nível de confiança de 0 a 100. Portanto, zero, a interface menos confiável, foi para a Internet pública, e 100, a interface mais confiável, foi para a rede interna. E todas as outras interfaces tinham um número diferente. Mas isso não poderia ser nem zero nem 100 e não poderia ser igual ao outro. E esses níveis de confiança determinam a política. Assim, por exemplo, o senhor não precisava ter uma regra de saída se estivesse passando de um nível de confiança alto para um nível de confiança baixo. E eu sempre tentava inseri-los porque estava preocupado com a exfiltração de dados e acabava tendo problemas, porque não é assim que o fabricante diz que o senhor precisa fazer. Eu penso: "Bem, a lógica dita que, se alguém entrar, vai sair". E ter uma porta que, o senhor sabe, só precisa dar para um lado é bobagem. Portanto, a confiança zero é minha reação a esse modelo de confiança quebrada. Essa confiança é uma emoção humana. E precisa sair do mundo digital. Ele não tem relação com os pacotes. As pessoas não são pacotes. O senhor não pode aplicar o conceito de confiança. Portanto, o senhor deve se livrar da palavra confiança. Essa é a coisa mais fácil de fazer. Substitua-o por validação, em que os sinais de validação são usados para que tenhamos confiança ao permitir o acesso a um recurso.

Emily Wearmouth [00:03:14] E sei que estamos todos falando sobre confiança zero agora, mas já faz um tempinho que o senhor teve a ideia inicial. Então, como foi a reação quando o senhor a criou pela primeira vez?

John Kindervag [00:03:22] Bem, o senhor não ficou muito entusiasmado. Na verdade, as pessoas me disseram que eu estava completamente louco. Isso nunca iria a lugar algum. Outras coisas que eu não diria em um podcast público. Então, o senhor sabe, 11 anos depois, em 2010, escrevi o primeiro relatório. 11 anos depois, o presidente emitiu uma ordem executiva exigindo que todos os órgãos do governo federal dos EUA a adotassem. E agora isso se tornou um movimento global. Então, isso é algo que eu nunca pensei que aconteceria. E muitas pessoas me disseram explicitamente que isso nunca aconteceria e que eu era literalmente uma das pessoas mais loucas do planeta.

Emily Wearmouth [00:04:00] Por que o senhor acha que isso pegou?

John Kindervag [00:04:03] Porque faz sentido lógico, e também porque muitos dos primeiros usuários que estavam tendo grandes dificuldades para proteger suas redes, experimentaram e contaram para outras pessoas, e contaram para outras pessoas, e contaram para outras pessoas que isso funciona. E assim, ele se provou nas trincheiras. Quero dizer, fiz dois anos de pesquisa primária antes de publicar o primeiro relatório. Construí protótipos de ambientes. Trabalhei com órgãos governamentais. Portanto, nunca tive dúvidas de que funcionaria, de que era a estratégia certa. Porque a confiança zero é uma estratégia que, antes de mais nada, repercute nos níveis mais altos de qualquer organização, como o presidente dos Estados Unidos. E, em seguida, pode ser implementado taticamente com o uso de tecnologia de prateleira disponível comercialmente. Por isso, eu sempre soube que precisava garantir que a estratégia fosse dissociada das táticas. As estratégias não mudam. As táticas ficam cada vez melhores com o tempo. Certo. Sim. Então, Neil e eu voltamos muito tempo atrás, em um hotel em Londres. Certo, Neil?

Neil Thacker [00:05:13] Sim. Acho que nos conhecemos em 2012. Isso é assustador, pois já faz 12 anos. E ouvi falar do termo. Ouvi falar de sua definição de confiança zero. E tivemos uma discussão. Acho que foi no almoço durante a conferência. E, sim, estávamos falando sobre como a confiança zero pode ser aplicada. E, naquela época, sim, era firewall, era IPS. Lembro-me de falar sobre o IPS e analisar o contexto em torno do IPS e dessas ferramentas ou desses novos recursos que estavam sendo implementados, como o reconhecimento da rede em tempo real, em que se tentava obter diferentes variáveis de confiança. Exatamente. O que o senhor quer dizer, certo, em termos de como definir políticas e como ajustar as políticas com base nos níveis de confiança. Mas foi interessante porque, naquela época, Tom Cruise estava hospedado no hotel. E provavelmente é uma ótima analogia, certo, em termos de que havia pessoas ao redor do hotel, no hotel, hospedadas no hotel ou fazendo conferências no hotel. E no último andar, Tom Cruise tinha cerca de 6 ou 7 quartos que se chocavam uns com os outros. Então, ele tinha sua academia e, obviamente, o local onde estava hospedado, enquanto filmava Missão Impossível. E acho que essa é uma ótima analogia, certo, em termos de confiança zero e o fato é que havia pessoas naquele hotel, mas não havia confiança zero aplicada a esses indivíduos, certo? Eles não tinham permissão para entrar nesses andares. Havia uma segurança muito rígida para restringir completamente o acesso a essas áreas. Então, sim, essa foi a primeira vez que nos encontramos. E tenho acompanhado o senhor desde então. Nos últimos 12 anos, como organizações, assumimos e adotamos a confiança zero.

Emily Wearmouth [00:06:39] Neil, posso perguntar e ser honesto, qual foi a reação inicial do senhor ao conceito de confiança zero? O senhor percebeu imediatamente que se tratava de algo incrível, viável e com todas as respostas? Ou havia algum ceticismo no início? Como foi a experiência inicial?

Neil Thacker [00:06:54] Eu era fã dos princípios. Eu era absolutamente um fã dos princípios. O senhor já passou por isso há muitos anos. Não se trata apenas de confiar em um endereço IP, por exemplo, para proteger o acesso aos serviços. Há muitas condições diferentes que precisam ser atendidas. Sempre fui um grande fã do tipo dos cinco Ws. Quando o senhor começa a construir qualquer coisa, precisa entender melhor quem, o quê, onde, quando, onde, como e aplicar esses princípios. Esse é o método Kipling que tem sido usado há muitos e muitos anos também fora da segurança, é claro. Por isso, sempre fui um grande fã da utilização dessas coisas, mas também de como entender melhor as políticas que estamos implementando. Na época, eu sempre desafiava minha equipe, uma equipe de operações de segurança, para que, sempre que colocassem uma política ou condição, entendessem o que ela estava realmente fazendo de certo, que benefício estava proporcionando à organização. E quando falamos de coisas como ameaça interna ou ameaça externa, temos que levar isso em consideração. E, nesses casos, é preciso haver uma forma de confiança zero. Eu era um grande fã dos princípios, mas, é claro, procurava ver como poderíamos implementá-los por meio de elementos de pessoas, processos e tecnologia também.

Emily Wearmouth [00:08:00] E John, agora que o senhor já viu isso na natureza por um longo tempo e seu bebê foi para a escola, qual é a sensação de ver, essencialmente, os fornecedores interpretarem a confiança zero de várias maneiras diferentes, fazendo com que o termo se adeque aos seus propósitos. Eles não necessariamente construíram de acordo com sua ideologia, eles pegaram sua marca e a colocaram, muitas coisas que eles já estão fazendo, talvez, ou manipularam os significados para se adequarem a eles. Como o senhor se sente com isso?

John Kindervag [00:08:29] Bem, o senhor sabe, às vezes pode ser um pouco frustrante, mas eu vejo essas pessoas como multiplicadores de força para o conceito, porque há muitas outras coisas por aí que as pessoas acabarão acessando, e elas podem ouvir sobre isso de alguma coisa, e talvez isso soe bem ou talvez não. Eventualmente, eles perceberão que essa é apenas uma peça do quebra-cabeça, certo? Mas há muitas outras coisas que podem ser analisadas. Há orientações do NIST, há orientações da CISA. Fui nomeado para participar de um subcomitê presidencial chamado NSTAC, o Subcomitê do Conselho Consultivo de Telecomunicações de Segurança Nacional do Presidente sobre acesso à identidade Zero Trust e Trusts. Isso não parece um comitê do governo? Mas publicamos um relatório para o presidente Biden em fevereiro de 2022. E esse foi um relatório colaborativo que incluiu, o senhor sabe, pessoas dos setores público e privado. E isso é único porque todo o resto é uma espécie de perspectiva única. E isso foi colaborativo. Eu diria que esse relatório é algo que todos deveriam ler, pois é uma autoridade sobre o que é confiança zero. Certo. Portanto, essa também é a base do grupo de trabalho Zero Trust da Cloud Security Alliance, do qual faço parte. Portanto, se usarmos isso como base, todos poderão começar a trabalhar para construí-la. Passamos muitos anos falando sobre o que é isso e não passamos tempo suficiente fazendo isso. Por isso, espero que a próxima fase da confiança zero seja apenas fazer o que é certo. Pegue o lema da Nike e faça isso.

Emily Wearmouth [00:10:12] Então, uma das coisas pelas quais ouvi os vendedores criticarem o uso do termo confiança zero foi que a confiança zero é apenas a forma mais recente de falar e vender o que é essencialmente gerenciamento de identidade e acesso. Vou perguntar aos dois senhores. Vou começar pelo senhor, John. Isso é justo? O senhor acha que ela está sendo usada dessa forma e, em caso afirmativo, por que isso é problemático?

John Kindervag [00:10:32] Bem, está sendo usado dessa forma, mas está errado. Certo. A identidade é um sinal importante que podemos consumir. Portanto, a identidade é consumida na política em confiança zero. Mas isso não é igual a zero confiança, certo? Portanto, é claro que os fornecedores de identidade aproveitaram isso de forma inteligente. Mas agora estamos vendo muitos comprometimentos dos sistemas de identidade. Não apenas alguns dos grandes fornecedores de identidade estão sendo comprometidos, mas também temos a fadiga da MFA, em que o usuário continua a clicar em sim, sim, sim, porque entra em um loop de MFA e simplesmente não se importa mais. Vemos muitas maneiras de contornar a identidade. A identidade é sempre fungível, certo? Sempre, sempre, sempre fungível em sistemas digitais. Ele também é fungível em sistemas humanos. Mas, certamente, em sistemas digitais, ela é altamente fungível, o que significa que é fácil de ser contornada ou manipulada. E, se o senhor observar, eu sempre refuto o conceito de que identidade é confiança zero com duas palavras. Snowden e Manning, como eu os chamo, são as duas pessoas mais famosas da segurança cibernética. Eu as chamo de Beyoncé e Rihanna do mundo cibernético. Certo. Porque eles são pessoas de uma palavra só. E eles eram usuários confiáveis em sistemas confiáveis. Eles tinham o nível de patch correto. Eles tinham os controles de ponto final corretos. Eles tinham uma MFA realmente poderosa, muito mais poderosa do que a que usamos no setor privado. Mas eles são muito difíceis de usar, muito complicados e criam muito atrito. Mas ninguém olhou para os pacotes após a autenticação e perguntou o que eles estavam fazendo na rede e no que é coloquialmente chamado de rede de alto nível do governo federal. Uma vez autenticado nessa rede, o senhor tem acesso a tudo o que há nela. Então, eu estava conversando com um advogado envolvido no caso Manning, e ele disse que, quando isso passou pela minha mesa pela primeira vez, eu perguntei: como um soldado em uma base operacional avançada no Iraque poderia ter acesso a cabos confidenciais do Departamento de Estado em Washington, DC? E ele disse: "Finalmente entendi o que é confiança zero depois de ler todas as evidências que me foram apresentadas. Então, sim, a identidade é consumida na política. Não é que não seja importante, mas também não é extremamente importante. Trata-se de criar um sistema, não de implementar uma tecnologia.

Emily Wearmouth [00:13:02] Então, Neil, quais podem ser alguns dos outros fatores? E só para voltar um pouco no que o John estava dizendo, sempre pensei em confiança zero, ou é frequentemente usado como abreviação para verificar e depois confiar, em vez de confiar e verificar. Mas parece que estamos falando de verificar e depois verificar outra coisa. E, um pouco mais tarde, verificar novamente.

John Kindervag [00:13:19] Se o senhor for usar essa coisa de confiar, mas verificar, é verificar e nunca confiar se precisar de outra coisa. Certo. Sim. Mas confie, mas verifique. Se o senhor observar a história disso, Ronald Reagan nunca disse isso. Ele estava usando um provérbio russo e o disse em russo. O senhor sabe, minha Rússia, eu nunca fui capaz de dizer essa frase, mas foi algo como da noite para o dia, não comprovado. E, como meus amigos russos apontam, o senhor sabe, o objetivo disso é que rima, certo, em russo. E, então, ele disse, e é claro, isso significa "confie, mas verifique". Era uma piada e todos riram. Portanto, foi uma piada literal que Ronald Reagan fez, e nós a levamos a sério. Então, eu conversava com as pessoas. O quê? Claro que a estratégia de segurança cibernética é confiar, mas verificar. Bem, por que o senhor diz isso? Porque Ronald Reagan disse isso. Sim. O grande especialista em segurança cibernética Ronald Reagan diz que sim. Isso foi em uma época anterior à criação do primeiro malware, eu acho, o senhor sabe, então era uma insanidade as pessoas saírem por essas tangentes porque outra pessoa disse isso. É a loucura das multidões.

Emily Wearmouth [00:14:26] Sim, com certeza. Então, quais são, Neal, alguns dos sinais que o senhor observa como CISO que o ajudam a tomar essas decisões sobre acesso?

Neil Thacker [00:14:33] Quero dizer, concordo que a identidade é uma parte desse controle crítico. Mas o senhor precisa garantir que tenha, por exemplo, cobertura de dispositivo, pois o dispositivo é outro elemento disso. É em torno de qual rede ou e se estamos falando de serviços em nuvem, bem, se o senhor estiver usando uma rede, é possível que esteja usando a Internet. Trata-se de computação. Trata-se de aspectos de atividade. É o aplicativo que o senhor está acessando. Há elementos em torno, é claro, da atividade em si e, depois, do armazenamento e dos dados. Portanto, há muitos elementos ou componentes diferentes disso. Quero dizer que eles são, de certa forma, definidos em várias estruturas que precisam ser. Cada uma delas precisa ser um consumo, um nível ou uma confiança. Certo. Em termos de construção disso. E acho que é aí que as organizações precisam realmente começar a analisar isso. Vou dar um exemplo. Fiz uma palestra e falei sobre os diferentes níveis de maturidade, da adoção da confiança zero. E foi alguém da plateia que levantou a mão e disse: "Bem, eu não confio em nada porque tenho uma VPN e tenho controle de acesso, tenho ACLs". E minha resposta foi: bem, sim, tudo bem, o senhor tem talvez um, um ou dois fundamentos aqui, mas precisa considerar esses muitos outros componentes, certo. E isso deve fazer parte do processo. Concordo plenamente com o John. E isso é absolutamente essencial para que possamos ir além da identidade como sendo o controle que determina a confiança em nossas organizações.

John Kindervag [00:15:51] Bem, não é possível determinar, confiar ou não confiar. Tenho que tirar o senhor da palavra "t". Uma palavra de quatro letras em confiança zero, senhor. É uma palavra de quatro letras. Mas o problema é o seguinte. Isso está faltando, certo? O senhor mencionou o método Kipling. Quem, o quê, quando, onde, por que e como. E, na verdade, o senhor mencionou que deixou de fora o "por quê" quando estava dizendo isso, e eu pensei: "Não fizemos o "por quê"? Por que é a primeira pergunta. Por que estamos fazendo isso? Bem, por que fazemos segurança cibernética? O que é um cyber e por que devemos protegê-lo? Em primeiro lugar, o nome do negócio em que atuamos está errado. Mas, em segundo lugar, a única razão para fazer segurança é proteger algo. Certo? Portanto, a confiança zero tem tudo a ver com o conceito fundamental, não com a tecnologia, mas com a superfície de proteção. O que estou protegendo? É isso que começamos no modelo de cinco etapas. E isso está documentado no relatório do NSTAC. Por isso, criei uma jornada simples de cinco etapas que todos podem seguir. Defina a superfície de proteção. O que o senhor está protegendo. Os elementos que o senhor está protegendo são conhecidos como dash elements, que significa dados, aplicativos, ativos ou serviços. O senhor coloca um tipo de elemento DAAS em uma única superfície de proteção e, em seguida, constrói sua superfície de proteção, ou seu ambiente de confiança zero, uma superfície de proteção por vez. Dessa forma, a confiança zero se transforma em três coisas incrementais. O senhor está fazendo um de cada vez, iterativamente, um após o outro. E, em seguida, sem interrupções. O máximo que o senhor pode estragar é uma superfície de proteção de cada vez. O maior problema que vejo são as pessoas que tentam fazer tudo ao mesmo tempo. E isso é impossível. É um desafio muito grande. Depois disso, o senhor mapeia os fluxos de transação. Como o sistema funciona em conjunto como um sistema? O senhor sabe que, na semana passada, a NSA publicou uma nova orientação sobre segmentação e a importância da segmentação dentro da confiança zero. E eles destacaram que o mapeamento do fluxo de dados é um dos principais elementos, juntamente com a micro segmentação, a macro segmentação e a rede definida por software. Portanto, o senhor precisa entender como o sistema funciona. E, na terceira etapa, o senhor pode descobrir qual é a tecnologia certa. Fomos ensinados a começar pela tecnologia porque é assim que os fornecedores vendem, certo? Eles vendem tecnologia e nós precisamos deles. Certo. Porque eles fornecem as coisas para as quais pressionamos a política, mas eles, por si só, não fornecem segurança. O senhor precisa entender por que está fazendo isso. E a quarta etapa é a criação da política. E a quinta etapa é o monitoramento e a manutenção. Certifique-se de que o senhor não o abandone e olhe constantemente para ele e deixe que ele se desenvolva e fique cada vez melhor com o tempo.

Neil Thacker [00:18:29] E é um ciclo, certo? O que acontece é que o senhor repete isso. E acho que é aí que a tecnologia pode ajudar a identificar novas superfícies de ataque que o senhor precisa proteger, certo? A sua superfície de proteção precisa ser constantemente expandida ou, à medida que o senhor for descobrindo novamente, mais ativos.

John Kindervag [00:18:45] Bem, espero que isso não custe que minha superfície de proteção não se expanda constantemente. Espero que ele permaneça relativamente estável. Quero dizer, ele ficará maior em termos de quantidade de dados armazenados em um banco de dados específico, por exemplo, mas não quero adicionar mais elementos à superfície de proteção. Certo? Quero tentar desconectar, desacoplar ou segmentar a superfície do resto da superfície de ataque. Portanto, não preciso me preocupar com isso, certo? Quero dizer, se o senhor observar a orientação da NSA que foi publicada, eles começam falando sobre a violação de um varejista e, em seguida, fazem uma nota de rodapé sobre a violação da Target. E, o senhor sabe, todo mundo gosta de dizer que a violação da Target, que aconteceu em 2013, que eu acho que é o início da segurança cibernética no mundo moderno. Eu divido o mundo em BT e AT. Estamos no ano 11 AT após o alvo, certo? Porque a Target foi a primeira vez que o CEO foi demitido por causa de algo que fez, que foi permitir uma violação de dados. E se houver uma violação de dados na sua organização, o senhor tinha políticas que permitiam isso. O senhor não é apenas uma vítima aleatória. O senhor é um cúmplice involuntário de uma política ruim. Então eles mencionam isso e falam sobre o HVAC e o HVAC que não era o problema. O problema foi que a Target colocou o sistema de controle HVAC na mesma rede que o ambiente de dados do titular do cartão, o que é uma clara violação do PCI, DSS. Quero dizer, sou um QSA em recuperação. Fiz parte da primeira geração de QSAs que obtiveram essa certificação para o PCI. Então, nunca, jamais, o senhor teria colocado conscientemente um sistema como esse no ambiente de dados do titular do cartão? Isso seria uma clara violação.

Emily Wearmouth [00:20:32] O senhor fala sobre antes da Target e depois da Target. Acho que essa é uma maneira muito boa de dividir o mundo. Neste mundo pós-alvo. Estamos vendo confiança zero, e isso se dá por meio de coisas como a ordem executiva de Biden. Estamos vendo a confiança zero não ser apenas um termo ou uma ideologia que está sendo adotada pela comunidade de tecnologia. É uma conversa que está acontecendo até o nível da diretoria dentro das organizações. E eu me pergunto: quanto os senhores acham que isso é útil? Porque, o senhor sabe, as empresas estão pensando nas coisas certas e quanto disso está criando mais desafios por meio de mal-entendidos ou, talvez, pela expectativa de que exista uma tecnologia que possa resolver isso imediatamente.

Neil Thacker [00:21:08] Então, sou membro de um grupo, o Cyber Collective, e temos cerca de 300 membros. E eu lhes fiz algumas perguntas. Então, na verdade, o senhor se dirigiu ao John. E, na verdade, uma das perguntas que surgiram foi sobre a análise da arquitetura de confiança zero líquida. E agora estamos vendo mais ênfase nisso em termos de confiança zero e procurando como criar uma arquitetura para aplicar a confiança zero. E uma das perguntas que chegaram foi: como vemos isso e a transição? Como estamos vendo e agregando valor aos nossos negócios com a adoção da ZTNA e, principalmente, analisando como estamos indo além das redes. Portanto, os princípios estão se tornando mais ou menos eficazes à medida que nos afastamos das redes. Mas quando digo redes, digo redes tradicionais, não sabemos que as redes ainda existem em serviços de nuvem, etc., mas é assim que estou ouvindo essa discussão, talvez até mesmo em nível de diretoria, sobre como as organizações talvez estejam passando por uma transformação, seja por meio da transformação da rede ou da segurança. E acho que seria bom, talvez, entender um pouco mais em termos disso. Estamos nesse estágio de evolução em termos disso?

John Kindervag [00:22:12] Bem, a segurança cibernética é absolutamente um tópico de nível de diretoria, e já conversei com muitos membros da diretoria. Conversei com generais, almirantes e pessoas de alto nível em governos de todo o mundo. E eles percebem isso mais facilmente do que os tecnólogos, porque os tecnólogos estão presos em sua bolha tecnológica. Eles entendem a estratégia. Há algumas coisas que acontecem. Uma delas é que os conselhos de administração precisam saber sobre esse assunto, porque já vi muitas vezes outros executivos tentarem esconder dos conselhos de administração e dos CEOs problemas de segurança cibernética porque isso os deixaria mal vistos. E então há uma violação de dados e todos são demitidos. Sinceramente, Neil, eu não seria um CIISO hoje, porque o senhor é o cara que é jogado debaixo do ônibus e, depois, eles o apoiam para frente e para trás ao longo do tempo. E então, talvez o senhor acabe na prisão. Não sabemos quem vai acabar na prisão. Mas certamente houve algumas condenações por fraude e outras coisas que aconteceram com a comunidade CISO. É um lugar perigoso, porque o senhor existe para ser demitido por algo sobre o qual pode ou não ter tido controle, porque não tinha orçamento. O senhor não se reportava ao CEO, como todos os CISOs deveriam se reportar ao CEO. Assim, o CEO obtém informações claras. Mas, além disso, o NIST não é uma organização de padrões de segurança cibernética, certo? Portanto, o senhor no Reino Unido nunca deve fazer o NIST. Isso não tem valor para o senhor porque não faz parte do sistema de agências civis federais dos EUA. O NIST existe apenas para fornecer orientação aos órgãos civis do governo federal dos EUA. E, francamente, há muitas coisas que não me interessam. Certo? Certo. Porque eles estão projetando para agências tipicamente pequenas que os ouvem. As grandes agências não se importam. O DoD não se importa. Por isso, o senhor sabe, é por isso que eu gostaria de chamar a atenção dos ouvintes para o que estamos fazendo na Cloud Security Alliance, porque estamos desacoplando isso. E não estamos dizendo que existem padrões. Não deve haver padrões na segurança cibernética. Não precisamos de padrões porque os padrões proporcionam interoperabilidade. E a interoperabilidade agora vem das APIs. Portanto, tudo o que os padrões fazem é inibir a inovação. Por isso, eu diria que os padrões agora são uma coisa muito ruim. Esse é o problema dos órgãos de padronização: há tanto comprometimento que eles não são realmente valiosos para os usuários finais.

Neil Thacker [00:24:43] Sim. Acho que o que quero dizer é que o senhor está procurando tirar o melhor de algumas dessas coisas, como exemplos de aprendizado sobre isso. Acho que há algo que estou vendo e são aspectos bastante interessantes quando analisamos coisas como a arquitetura de confiança zero em torno do ponto de aplicação de políticas. Certo. Acredito que, atualmente, muitas organizações estão tentando padronizar os pontos de aplicação de políticas, utilizando os princípios e garantindo que possam ver valor nisso. Certo. Mas, sim, concordo, o senhor precisa aproveitar o que há de melhor no mercado. Mas também, na maioria das vezes, é o que o senhor mesmo está aprendendo. O que a sua organização está fazendo é que é único. Isso realmente faz alguma diferença, certo? Para mim, essa é a recomendação.

John Kindervag [00:25:23] Bem, vou usar uma palavra britânica para o senhor, já que ambos são britânicos. Todo ambiente de confiança zero deve ser personalizado para as superfícies de proteção. Portanto, lamento que o senhor não possa voltar aos anos 90 e ter arquiteturas de referência em que tudo o que precisamos fazer é alterar os endereços IP para os nossos endereços IP e os pacotes simplesmente fluirão. Era assim que fazíamos as coisas nos velhos tempos. E esse é um conceito muito do século XX e é isso que as pessoas querem. Apenas me mostre o que fazer. E isso nunca funcionou porque criamos essas redes para os negócios. E a empresa disse: "Puxa, o senhor me deu um monte de buracos redondos, mas eu tenho pinos quadrados". E dissemos que, felizmente, o fornecedor nos deu um canivete de graça para que o senhor possa cortar os cantos e fazer com que ele se encaixe no que construímos, porque nós somos os mais importantes. E os negócios, o senhor sabe, tinham, por causa disso, uma opinião muito baixa sobre ele. E a segurança cibernética é um inibidor de negócios e disse: "Ei, eu tenho um cartão de crédito, vou para a nuvem". Vou fazer shadow IT, todas essas coisas, que eles deveriam ter feito porque estávamos sendo idiotas, o senhor sabe, estávamos tentando forçá-los a entrar em nosso mundo em vez de alinhá-los ao mundo deles. E vi que, quando estava fazendo algumas das pesquisas primárias sobre Zero Trust, fiz um projeto de pesquisa em que os líderes de TI e os líderes de negócios classificaram algumas das coisas mais importantes, e obtive uma lista completa de coisas de pessoas diferentes. E as três principais prioridades dos líderes empresariais foram aumentar a receita, aumentar a lucratividade e impedir a exfiltração de dados. Impedir a exfiltração de dados foi o único aspecto tecnológico que entrou na lista. Essas foram as três principais prioridades dos líderes de TI. A taxa de captura de antivírus deles era semelhante à da época, quantos phishing, porcentagem de phishing em meus testes de phishing, eu impedi todo esse tipo de coisa? E eles não se importavam em aumentar a receita, a lucratividade e impedir a exfiltração de dados, que são as grandes coisas estratégicas de uma empresa, certo? Se o senhor não estiver aumentando a receita, a lucratividade e impedindo violações de dados, não estará fazendo o seu trabalho. Por isso, ficamos muito atentos às minúcias e não entendemos a missão.

Emily Wearmouth [00:27:42] Vejo meu produtor começando a acenar para mim na hora certa. E tenho uma pergunta que quero fazer ao senhor, John: se pudesse voltar no tempo, o senhor ainda chamaria isso de confiança zero?

John Kindervag [00:27:52] Com certeza, eu faria isso. Confiança absoluta como uma emoção humana. E quando as pessoas dizem que o senhor está dizendo que as pessoas não são confiáveis, eu digo que não, não estou. Estou dizendo que as pessoas não são pacotes. John não está na rede no momento. Neil, Emily e eu não estamos nas redes. Nossa identidade declarada é declarada para gerar pacotes de algum dispositivo, e não estamos na rede. Portanto, pare de antropomorfizar o que estamos fazendo. Não se trata de Tron, Lawnmower Man ou Wreck-It Ralph. Este é o mundo real. Então, com certeza, eu o faria. E todo mundo que rebate, quero dizer, eu digo, o senhor nem sabe o que significa confiança. O senhor pode definir isso para mim. E não podem, porque se trata de uma emoção humana que, durante séculos, foi usada apenas na filosofia, na religião e na interação humana, nunca nos negócios. E eu sei como isso entrou na tecnologia. Foi um acidente. Alguém está codificando algo em sua garagem no meio da noite e chamou isso de nível de confiança. Mas não, o senhor pode se livrar dele. As únicas pessoas para quem ele tem valor são os agentes mal-intencionados que vão explorá-lo, porque o senhor não precisa dele para mover um pacote do ponto A para o ponto B. Essa resposta foi suficiente para o senhor?

Emily Wearmouth [00:28:59] Foi mesmo. Sou apaixonado pelo que estou aprendendo e é assim que o senhor responde a todas as perguntas. John. Obrigado ao senhor. Obrigado aos dois senhores por isso.

John Kindervag [00:29:07] Posso fazer uma pergunta ao Neil antes de irmos embora?

Emily Wearmouth [00:29:09] Com certeza. Por favor, faça isso.

John Kindervag [00:29:11] O senhor chegou a ver o Tom Cruise no hotel? Eu nunca o vi.

Neil Thacker [00:29:14] Não. Nós nunca. Não, na verdade nunca chegamos a vê-lo no final. Não, havia sim. Acho que houve algumas tentativas por parte das pessoas na conferência, mas ninguém teve a oportunidade.

John Kindervag [00:29:23] Sei que tentei andar por aí e encontrei pessoas grandes e corpulentas que disseram para o senhor ir por ali.

Emily Wearmouth [00:29:30] Acesso negado.

John Kindervag [00:29:31] Zero trust, baby.

Neil Thacker [00:29:34] Aqui está o senhor.

Emily Wearmouth [00:29:35] Obrigada aos senhores por se juntarem a mim hoje. Quero dizer, esse é um tópico extremamente interessante. Já existe há algum tempo, John, e acho que vai continuar existindo por mais algum tempo. O senhor está ouvindo o podcast Security Visionaries. Eu fui sua anfitriã, Emily Weymouth, e se o senhor gostou deste episódio, e quem não gostaria de gostar deste episódio, compartilhe-o e não deixe de assinar o podcast Security Visionaries.

John Kindervag [00:29:56] Dê o like. Certo?

Emily Wearmouth [00:29:58] Dê o like. Sim, com certeza. Curtir e se inscrever. E dê uma olhada no catálogo anterior, pois temos alguns tópicos muito interessantes que o senhor também pode gostar. Portanto, obrigado a ambos, John e Neil, e vejo os senhores na próxima vez.

Assine o futuro da transformação da segurança

Ao enviar este formulário, você concorda com nossos Termos de Uso e reconhece a nossa Declaração de Privacidade.