Emily Wearmouth [00:00:01] Olá e bem-vindos a mais uma edição do Podcast Security Visionaries, o lugar onde entrevistamos especialistas sobre uma ampla gama de dados cibernéticos e outros tópicos relacionados. Sou sua anfitriã, Emily Wearmouth, e hoje tenho dois convidados especialistas comigo, John Kindervag e Neil Thacker. Então, vamos fazer algumas apresentações. Vou começar com você, John, porque você tem um dos títulos informais mais impressionantes que já tivemos no programa: O Poderoso Chefão do Zero Trust. Você aprendeu o título na Forrester, onde, para benefício dos ouvintes, John deu o nome ao princípio do que hoje conhecemos como confiança zero como uma abordagem de segurança de dados. Acho que para um analista, o título O Poderoso Chefão é provavelmente o ápice de uma carreira. Então, nos últimos anos, ele tem trabalhado como evangelista para vários fornecedores de segurança e agora é o evangelista-chefe da Illumio. Então seja bem-vindo ao show, John.
John Kindervag [00:00:47] Olá, obrigado por me receber.
Emily Wearmouth [00:00:49] Neil Thacker é uma voz que ouvintes regulares podem reconhecer porque ele se juntou a nós em nosso episódio piloto em setembro. Ele é um CSO praticante e muito ocupado, mas ainda assim arranja tempo para ser um dos meus especialistas em governança, conformidade, IA e todos os tipos de assuntos. Neil está aqui para nos dar uma visão prática como CISO. Esperamos que ele consiga nos dar algumas doses de realidade sobre o que realmente acontece quando princípios e ideologias entram nos negócios. Então você consegue adivinhar sobre o que vamos falar hoje? Sim, esse é o assunto que está na boca do povo: confiança zero. E vamos direto ao assunto. E acho que seria negligente colocar O Poderoso Chefão no podcast. John, podemos começar com você? Gostaria de pedir que você nos desse uma breve explicação sobre confiança zero, mas, em particular, gostaria de saber o que motivou a concepção inicial da abordagem de confiança zero quando você estava na Forrester.
John Kindervag [00:01:36] Então, antes de chegar a Forrester, eu era um praticante. Eu era engenheiro de segurança e engenheiro de rede, arquiteto de segurança, testador de penetração e firewalls. Desde o início, tive esse modelo de confiança em que as interfaces recebiam um nível de confiança de 0 a 100. E assim, zero, a interface menos confiável, foi para a internet pública, e 100, a interface mais confiável, foi para a rede interna. E então cada outra interface tinha um número diferente. Mas isso não poderia ser nem zero nem 100 e não poderia ser o mesmo que o outro. E esses níveis de confiança determinam as políticas. Então, por exemplo, você não precisaria ter uma regra de saída se estivesse passando de um nível de confiança alto para um nível de confiança baixo. E eu sempre tentava colocá-los porque estava preocupado com a exfiltração de dados e poderia ter problemas, porque não é assim que o fabricante diz que você precisa fazer. Eu penso, bem, a lógica dita que, se alguém entra, ele vai sair. E ter uma porta que, você sabe, só precisa abrir em um sentido é bobagem. E então a confiança zero é minha reação a esse modelo de confiança quebrado. Essa confiança é uma emoção humana. E precisa sair do mundo digital. Não tem relação com pacotes. Pessoas não são pacotes. Você não pode aplicar o conceito de confiança. Então livre-se da palavra confiança. Essa é a coisa mais fácil de fazer. Substitua-o por validação onde a validação sinaliza para que tenhamos confiança em permitir o acesso a um recurso.
Emily Wearmouth [00:03:14] E eu sei que estamos todos falando sobre confiança zero agora, mas já faz um tempo que você teve a ideia inicial. Então, qual foi a reação quando você teve a ideia pela primeira vez?
John Kindervag [00:03:22] Bem, não foi nada entusiasmado. Na verdade, as pessoas me disseram que eu era completamente louco. Isso nunca daria em nada. Outras coisas que eu não diria em um podcast público. Então, você sabe, 11 anos depois, em 2010, escrevi o primeiro relatório. Onze anos depois, o presidente emitiu uma ordem executiva determinando que todas as agências do governo federal dos EUA a adotassem. E agora se tornou um movimento global. Então isso é algo que nunca pensei que aconteceria. E muitas pessoas me disseram explicitamente que isso nunca aconteceria e que eu era literalmente uma das pessoas mais loucas do planeta.
Emily Wearmouth [00:04:00] Por que você acha que isso pegou?
John Kindervag [00:04:03] Porque faz sentido lógico, e também porque muitos dos primeiros usuários que estavam tendo grandes dificuldades para proteger sua rede, testaram e disseram a outras pessoas que funciona. E assim, provou seu valor nas trincheiras. Quer dizer, fiz dois anos de pesquisa primária antes de publicar o primeiro relatório. Criei ambientes protótipos. Trabalhei com agências governamentais. Então nunca tive dúvidas de que iria funcionar, de que era a estratégia certa. Porque a confiança zero é uma estratégia que, antes de tudo, repercute nos níveis mais altos de qualquer organização, como o presidente dos Estados Unidos. E então pode ser taticamente implementável usando tecnologia comercialmente disponível. Então eu sempre soube que precisava ter certeza de que a estratégia estava dissociada das táticas. As estratégias não mudam. As táticas melhoram cada vez mais com o tempo. Certo. Sim. Então Neil e eu nos conhecemos há muito tempo, em um hotel em Londres. Certo, Neil?
Neil Thacker [00:05:13] Sim. Acho que nos conhecemos em 2012. Então isso é assustador, já faz 12 anos. E ouvi falar do termo. Ouvi sobre sua definição de confiança zero. E tivemos uma discussão. Acho que foi durante o almoço, durante a conferência. E, sim, estávamos falando sobre como a confiança zero pode ser aplicada. E naquela época, sim, era firewall, era IPS. Lembro-me de falar sobre IPS e observar o contexto em torno do IPS e dessas ferramentas ou desses New recursos que estavam sendo implementados, como reconhecimento de rede em tempo real, onde se tentava obter diferentes variáveis de confiança. Exatamente. Quanto ao seu ponto, certo, em termos de como você define políticas e como você deve ajustá-las com base nos níveis de confiança. Mas foi interessante porque naquela época Tom Cruise estava hospedado naquele hotel. E provavelmente é uma ótima analogia, certo, em termos de haver pessoas ao redor do hotel, no hotel, hospedadas no hotel ou tendo conferências no hotel. E então, no último andar, o Tom Cruise tinha cerca de 6 ou 7 quartos que ficavam um dentro do outro. Então ele tinha sua academia e, obviamente, seu lugar onde ficava enquanto filmava Missão Impossível. E eu acho que essa é uma ótima analogia, certo, em termos de confiança zero, e o fato é que havia pessoas naquele hotel, mas não havia confiança zero aplicada a esses indivíduos, certo? Eles não tinham permissão para subir naqueles andares. Havia uma segurança muito rígida para restringir completamente o acesso a essas áreas. Então sim, essa foi a primeira vez que nos conhecemos. E eu tenho seguido você desde então. Nos últimos 12 anos, como organizações, assumimos e adotamos a confiança zero.
Emily Wearmouth [00:06:39] Neil, posso perguntar, e ser honesto, qual foi sua reação inicial ao conceito de confiança zero? Isso imediatamente soou como algo incrível e viável, contendo todas as respostas? Ou havia algum ceticismo para começar? Como foi inicialmente?
Neil Thacker [00:06:54] Eu era um fã dos princípios. Eu era totalmente fã dos princípios. Tendo vivenciado isso por muitos anos. Não se trata apenas de confiar em um endereço IP, por exemplo, para proteger o acesso aos serviços. Há muitas condições diferentes que devem ser atendidas. Sempre fui um grande fã dos cinco W's. Quando você começa a construir qualquer coisa, você tem que entender melhor quem, o quê, onde, quando, onde, como e aplicar esses princípios. Esse é o método Kipling que tem sido usado há muitos e muitos anos também fora da área de segurança, é claro. Então, sempre fui um grande fã da utilização dessas coisas, mas também de como entendemos melhor as políticas que estamos implementando. Eu sempre desafiava minha equipe na época, uma equipe de operações de segurança, em termos de sempre que eles colocavam uma política ou condição, eles entendiam o que estava realmente fazendo certo, qual benefício estava trazendo para a organização. E quando falamos sobre coisas como ameaças internas ou externas, temos que considerar isso. E nesses casos, tem que haver uma forma de confiança zero. Eu era um grande fã dos princípios, mas é claro, também estávamos analisando como poderíamos implementá-los por meio de elementos de pessoas, processos e tecnologia.
Emily Wearmouth [00:08:00] E John, agora que você viu isso acontecer por aí há muito tempo e é como se seu bebê tivesse ido para a escola, como é ver, essencialmente, fornecedores interpretando a confiança zero de muitas maneiras diferentes, fazendo com que o termo se adapte aos seus propósitos. Eles não necessariamente construíram sua ideologia, mas sim pegaram sua marca e a fixaram, muitas coisas que eles já estão fazendo, talvez, ou manipularam os significados para se adequarem a eles. Como você se sente?
John Kindervag [00:08:29] Bem, você sabe, às vezes pode ser um pouco frustrante, mas eu vejo essas pessoas como multiplicadores de força para o conceito, porque há muitas outras coisas por aí que as pessoas acabarão descobrindo, e elas podem ouvir sobre isso de alguma forma, e talvez isso soe bem e talvez não. Eventualmente eles perceberão: "Ah, isso é só uma peça do quebra-cabeça, certo?" Mas há muitas outras coisas que eles podem observar. Há orientação do NIST, há orientação do CISA. Fui nomeado para servir em um subcomitê presidencial chamado NSTAC, o Subcomitê do Conselho Consultivo de Telecomunicações de Segurança Nacional do Presidente sobre Confiança Zero e Acesso à Identidade de Trusts. O quê, isso não parece um comitê do governo? Mas publicamos um relatório ao presidente Biden em fevereiro de 2022. E esse foi um relatório colaborativo que incluiu, você sabe, pessoas do setor público e privado. E isso é único porque todo o resto é uma espécie de perspectiva. E isso foi colaborativo. Eu diria que esse relatório é algo que todos deveriam ler porque ele é uma autoridade no que diz respeito à confiança zero. Certo. E também é a base para o grupo de trabalho Zero Trust da Cloud Security Alliance, do qual faço parte. E se usarmos isso como base, todos poderão começar a construir isso. Passamos muitos anos falando sobre o que é e pouco tempo fazendo isso. E então espero que a próxima fase da confiança zero seja simplesmente fazer direito. Pegue o lema da Nike e faça.
Emily Wearmouth [00:10:12] Então, uma das coisas que ouvi os fornecedores usarem sobre o termo confiança zero sendo criticado é que ouvi dizer que confiança zero é apenas a maneira mais recente de falar e vender o que é essencialmente gerenciamento de identidade e acesso. Vou perguntar a vocês dois. Vou começar com você, John. Isso é justo? Você acha que ele está sendo usado dessa forma e, se sim, por que isso é problemático?
John Kindervag [00:10:32] Bem, está sendo usado dessa forma, mas está errado. Certo. Identidade é um sinal importante que podemos consumir. Então a identidade é consumida na política de confiança zero. Mas isso não é igual a confiança zero, certo? Então, é claro que os fornecedores de identidade aproveitaram isso de forma inteligente. Mas agora estamos vendo muitos comprometimentos de sistemas de identidade. Não apenas alguns dos grandes fornecedores de identidade estão sendo comprometidos, mas também temos uma fadiga de MFA, em que você continua clicando em sim, sim, sim, porque entra em um ciclo de MFA e simplesmente não se importa mais. Vemos muitas maneiras de contornar a identidade. Identidade é sempre fungível, certo? Sempre, sempre, sempre fungível em sistemas digitais. Também é fungível em sistemas humanos. Mas certamente em sistemas digitais ele é altamente fungível, o que significa que é fácil de contornar ou manipular. E, você sabe, se você analisar bem, eu sempre refuto o conceito de que identidade é confiança zero em duas palavras. Snowden e Manning, como eu os chamo, são as duas pessoas mais famosas em segurança cibernética. Eu as chamo de Beyoncé e Rihanna do ciberespaço. Certo. Porque são pessoas de uma palavra só. E eles eram usuários confiáveis em sistemas confiáveis. Eles tinham o nível de patch correto. Eles tinham os controles de ponto final corretos. Eles tinham um MFA muito poderoso, muito mais poderoso do que o que usamos no setor privado. Mas elas são muito difíceis de usar, muito pesadas e criam muito atrito. Mas ninguém olhou para seus pacotes após a autenticação e perguntou o que eles estavam fazendo na rede e no que é coloquialmente chamado de rede de alto nível do governo federal. Depois de ser autenticado nessa rede, você terá acesso a tudo nela. Então, eu estava conversando com um advogado envolvido no caso Manning, e ele disse que, quando isso chegou à minha mesa pela primeira vez, perguntei: como um soldado de primeira classe em uma base operacional avançada no Iraque poderia ter acesso a telegramas confidenciais do Departamento de Estado em Washington, DC? E ele disse: Eu finalmente entendi a confiança zero depois de ler todas as evidências apresentadas a mim. Então, sim, a identidade é consumida na política. Não é que não seja importante, mas também não é extremamente importante. Trata-se de construir um sistema, não de implementar uma tecnologia.
Emily Wearmouth [00:13:02] Então, Neil, quais seriam alguns dos outros fatores? E só para voltar um pouco no que John estava dizendo, eu sempre pensei em confiança zero, ou é frequentemente usado como uma abreviação de verificar e então confiar, em vez de confiar neles para verificar. Mas parece que estamos falando sobre verificar e depois verificar outra coisa. E então um pouco mais tarde verifique novamente.
John Kindervag [00:13:19] Se você for usar essa coisa de confiança, mas verifique, verifique e nunca confie se precisar de outra coisa lá. Certo. Sim. Mas confie e verifique. Se você olhar para a história, Ronald Reagan nunca disse isso. Ele estava usando um provérbio russo e disse isso em russo. Sabe, minha Rússia, eu nunca consegui dizer essa frase, mas foi algo do dia para a noite, não comprovado. Eu e meus amigos russos, como eu disse, o ponto principal disso é que rima, certo, em russo. E, e então ele disse, e claro, isso significa confiar, mas verificar. E era uma brincadeira e todo mundo riu. Então foi literalmente uma piada que Ronald Reagan fez, e nós levamos isso a sério. Então eu conversava com as pessoas. O quê? Claro, estratégia de segurança cibernética e ela confiará, mas verificará. Bem, por que você diz isso? Porque Ronald Reagan disse isso. Sim. O grande especialista em segurança cibernética Ronald Reagan disse que sim. Acho que foi numa época anterior à criação do primeiro malware, então era uma loucura que as pessoas simplesmente seguissem esse caminho só porque outra pessoa havia dito. É a loucura das multidões.
Emily Wearmouth [00:14:26] Sim, com certeza. Então, o que você está observando, Neal, como CISO, que o ajudam a tomar decisões sobre acesso?
Neil Thacker [00:14:33] Quer dizer, concordo, a identidade é uma parte disso, é um controle crítico. Mas você precisa garantir que tem, por exemplo, cobertura de dispositivo, porque o dispositivo é outro elemento disso. Depende de qual rede ou, se estamos falando de serviços de nuvem, bem, se você estiver usando uma rede, há potencial para que você esteja usando a Internet. É sobre computação. É sobre aspectos da atividade. É o aplicativo que você está acessando. Há elementos em torno, é claro, da atividade em si e também do armazenamento e dos dados. Então há muitos elementos ou componentes diferentes nisso. Quero dizer que elas são de certa forma definidas em diversas estruturas que precisam ser seguidas. Cada um deles tem que ser um consumo e/ou um nível de confiança. Certo. Em termos de construção disso. E acho que é aí que as organizações realmente precisam começar a analisar isso. E vou dar um exemplo. Fiz uma palestra e falei sobre os diferentes níveis de maturidade da adoção do zero trust. E foi alguém na plateia que levantou a mão e disse: bem, eu tenho confiança zero porque tenho uma VPN e tenho controle de acesso, tenho ACLs. E minha resposta foi: bem, sim, ok, você tem, talvez, um, 1 ou 2 fundamentos aqui, mas você tem que considerar muitos outros componentes, certo. E isso deve desempenhar um papel nisso. Concordo plenamente com o John. E é absolutamente crítico que possamos ir além da mera identidade como sendo aquele que controla e determina a confiança em nossas organizações.
John Kindervag [00:15:51] Bem, não há como determinar, confiança ou não confiança. Preciso tirar você da palavra "t". Uma palavra de quatro letras em confiança zero, cara. É uma palavra de quatro letras. Mas aqui está a questão. Está faltando, certo? Você mencionou o método Kipling. Quem, o quê, quando, onde, por que e como. E, na verdade, você mencionou que deixou de fora o porquê quando disse isso, e eu fiquei tipo, nós não fizemos o porquê? Por que é a primeira pergunta. Por que estamos fazendo isso? Bem, por que fazemos segurança cibernética? O que é uma rede cibernética e por que devemos protegê-la? Primeiro, demos um nome errado ao negócio em que atuamos. Mas em segundo lugar, a única razão para fazer segurança é proteger algo. Certo? E então, a confiança zero tem tudo a ver com o conceito fundamental, não a tecnologia, mas a superfície de proteção. O que estou protegendo? É com isso que começamos no modelo de cinco etapas. E isso está documentado no relatório do NSTAC. Então criei uma jornada simples de cinco etapas que todos podem seguir. Defina a superfície de proteção. O que você está protegendo? Os itens que você está protegendo são conhecidos como elementos de painel, que significam ativos ou serviços de aplicativos de dados. Você coloca um tipo de elemento DAAS em uma única superfície de proteção e então constrói sua superfície de proteção, ou seu ambiente de confiança zero, uma superfície de proteção por vez. Então, dessa forma, a confiança zero se torna três coisas incrementais. Você está fazendo isso um de cada vez, iterativo, um após o outro. E então não perturbador. O máximo que você pode fazer é proteger uma superfície de cada vez. O maior problema que vejo é que as pessoas tentam fazer tudo de uma vez. E isso é impossível. É um desafio muito grande. Depois disso, você mapeia os fluxos de transações. Como o sistema funciona como um sistema? Sabe, a NSA lançou New orientações sobre segmentação e a importância da segmentação dentro da confiança zero na semana passada. E eles destacaram que o mapeamento do fluxo de dados é um dos elementos-chave, juntamente com a microssegmentação, a macrossegmentação e a rede definida por software. E então você precisa entender como o sistema funciona. E então, no terceiro passo, você pode descobrir qual é a tecnologia certa. Fomos ensinados a começar com tecnologia porque é assim que os fornecedores vendem, certo? Eles vendem tecnologia e nós precisamos deles. Certo. Porque eles fornecem as coisas que nós promovemos nas políticas, mas eles por si só não fornecem segurança. Você tem que entender por que está fazendo isso. E então o quarto passo é criar a política. E o quinto passo é monitorar e mantê-lo. Certifique-se de não deixá-lo para trás e, constantemente, observe-o e deixe-o se desenvolver e melhorar cada vez mais com o tempo.
Neil Thacker [00:18:29] E é um ciclo, certo? É que você repete isso. E acho que é aí que a tecnologia definitivamente pode ajudar em termos de identificação de New superfícies de ataque que você precisa proteger, certo? Você protege as necessidades de superfície para expandir constantemente ou, à medida que você descobre novamente, mais ativos.
John Kindervag [00:18:45] Bem, espero que não custe nada, pois minha superfície de proteção não se expande constantemente. Espero que continue relativamente, quero dizer, que fique maior em termos da quantidade de dados armazenados em um banco de dados específico, por exemplo, mas não quero adicionar mais elementos à superfície de proteção. Certo? Quero tentar desconectar, desacoplar ou segmentar a superfície do resto da superfície de ataque. Então nem preciso me preocupar com isso, certo? Quer dizer, se você olhar a orientação da NSA que foi divulgada, eles começam falando sobre uma violação de dados de um varejista e então dão uma nota de rodapé sobre a violação da Target. E, você sabe, todo mundo gosta de dizer que a violação da Target, que aconteceu em 2013, que eu acho que é o início da segurança cibernética no mundo moderno. Eu divido o mundo em BT e AT. Estamos no ano 11 AT depois da meta, certo? Porque foi a primeira vez que o CEO da Target foi demitido por algo que a empresa fez, que foi permitir uma violação de dados. E se ocorrer uma violação de dados na sua organização, você terá políticas em vigor que permitirão isso. Você não é apenas uma vítima aleatória. Você é um cúmplice involuntário por ter uma política ruim. Então eles mencionam isso e falam sobre a questão do HVAC e o HVAC não era o problema. O problema era que a Target colocou o sistema de controle HVAC na mesma rede que o ambiente de dados do titular do cartão, o que é uma clara violação do PCI e DSS. Quer dizer, sou um QSA em recuperação. Eu fiz parte da primeira geração de QSAs que obteve a certificação para PCI. Então, nunca, jamais, você colocaria conscientemente um sistema como esse no ambiente de dados do titular do cartão? Isso seria uma violação clara.
Emily Wearmouth [00:20:32] Você fala sobre antes e depois da Target. Acho que essa é uma maneira muito legal de dividir o mundo. Neste mundo pós-Target. Estamos presenciando confiança zero, e isso acontece por meio de coisas como a ordem executiva de Biden. Estamos vendo a confiança zero não ser apenas um termo ou uma ideologia que está sendo adotada pela comunidade tecnológica. É uma conversa que acontece até no nível do conselho dentro das organizações. E eu me pergunto: o quanto vocês dois acham que isso é útil? Porque, você sabe, as empresas estão pensando nas coisas certas e muito disso está criando mais desafios por meio de mal-entendidos, ou talvez uma expectativa de que exista uma tecnologia que possa resolver isso imediatamente.
Neil Thacker [00:21:08] Então, sou membro de um grupo, o Cyber Collective, e temos cerca de 300 membros. E eu fiz algumas perguntas a eles. Então, na verdade, ele se apresentou para John. E, na verdade, uma dessas questões que surgiram foi sobre a arquitetura de confiança zero líquida. E agora estamos vendo cada vez mais ênfase nisso em termos de confiança zero e analisando como construir uma arquitetura para aplicar confiança zero. E uma das perguntas que surgiram foi: como vemos isso e a transição? Como estamos enxergando e agregando valor aos nossos negócios ao adotar o ZTNA e, especialmente, observando como estamos indo além das redes. Então, os princípios estão se tornando mais ou menos eficazes à medida que nos afastamos das redes. Mas quando digo redes, digo redes tradicionais, não sabemos se ainda existem redes em serviços de nuvem, etc., mas é assim que ouço essa discussão, talvez até mesmo no nível do conselho, como as organizações talvez estejam todas passando por uma transformação, seja por meio de transformação de rede ou de segurança. E acho que seria bom, talvez, entender um pouco mais sobre isso. Estamos nesse estágio de evolução em termos disso?
John Kindervag [00:22:12] Bem, a segurança cibernética é definitivamente um tópico de nível de diretoria, e conversei com muitos membros da diretoria. Conversei com generais, almirantes, conversei com pessoas de alto escalão em governos do mundo todo. E eles conseguem isso mais facilmente do que os tecnólogos porque os tecnólogos estão presos em sua bolha tecnológica. Eles entendem a estratégia. Há algumas coisas que acontecem. Uma delas é que os conselhos precisam saber sobre essas coisas, porque já vi muitas vezes outros executivos tentarem esconder dos conselhos e CEOs os problemas de segurança cibernética porque isso os faria parecer mal. E então ocorre uma violação de dados e todos são demitidos. Francamente, Neil, eu não seria um CIISO hoje, porque você é o cara que é jogado embaixo do ônibus, e então eles vão voltando e avançando ao longo do tempo. E então talvez você acabe na prisão. Não sabemos quem vai acabar na prisão. Mas certamente houve algumas condenações por fraude e outras coisas que aconteceram com a comunidade CISO. É um lugar perigoso para se estar porque você existe com o propósito de ser demitido por algo que você pode ou não ter controle porque não tinha orçamento. Você não se reportava ao CEO, como todos os CISOs deveriam se reportar ao CEO. Então o CEO obtém informações cruas. Mas, também, a outra coisa é que, como o NIST, o NIST não é uma organização de padrões de segurança cibernética, certo? Portanto, você no Reino Unido nunca deve fazer o NIST. Não tem valor para você porque você não faz parte do sistema de agências civis federais dos EUA. O NIST existe apenas para fornecer orientação às agências civis do governo federal dos EUA. E, francamente, há muitas coisas com as quais não me importo. Certo? Certo. Porque eles estão projetando para agências normalmente pequenas que os ouvem. As grandes agências não se importam. O DoD não se importa. E é por isso que eu gostaria de focar os ouvintes no que estamos fazendo na Cloud Security Alliance, porque estamos dissociando isso. E não estamos dizendo que existem padrões. Não deve haver padrões em segurança cibernética. Não precisamos de padrões porque eles proporcionam interoperabilidade. E a interoperabilidade agora vem das APIs. Então, tudo o que os padrões fazem é inibir a inovação. E então eu diria que os padrões agora são uma coisa muito ruim. O problema com os órgãos de normalização é que eles fazem tantos concessões que não são realmente valiosos para os usuários finais.
Neil Thacker [00:24:43] Sim. Acho que meu ponto é analisar, extrair o melhor de algumas dessas coisas, como aprender exemplos sobre isso. Acho que o que estou vendo é algo bem interessante quando olhamos para coisas como a arquitetura de confiança zero em torno do ponto de aplicação de políticas. Certo. Acredito que muitas organizações hoje em dia estão tentando padronizar pontos de aplicação de políticas, utilizando os princípios e garantindo que possam ver valor nisso. Certo. Mas, sim, concordo, você tem que aproveitar o melhor que existe por aí. Mas, na maioria das vezes, é o que você está aprendendo sozinho. O que sua organização faz é único. Isso realmente faz alguma diferença, certo? Essa é para mim, essa é essa, essa é essa, essa é a recomendação.
John Kindervag [00:25:23] Bem, vou usar uma palavra britânica para você, já que ambos são britânicos. Todo ambiente de confiança zero deve ser personalizado para proteger superfícies. Então, sinto muito que você não possa, não podemos voltar aos anos 90 e ter arquiteturas de referência onde tudo o que precisamos fazer é mudar os endereços IP para os nossos endereços IP e os pacotes simplesmente fluirão. Era assim que costumávamos fazer as coisas antigamente. E esse é um conceito muito do século XX e é isso que as pessoas querem. Apenas me mostre o que fazer. E isso nunca funcionou porque construímos essas redes para os negócios. E a empresa disse: "Nossa, você me deu um monte de furos redondos, mas eu tenho pinos quadrados". E nós dissemos que, felizmente, o vendedor nos deu um canivete de bolso de graça para que pudéssemos aparar os cantos e fazer com que se adaptasse ao que construímos, porque somos os mais importantes. E o negócio, sabe, tinha, por causa disso, uma opinião muito baixa sobre ele. E a segurança cibernética é um inibidor de negócios e disse: ei, tenho um cartão de crédito, vou para a nuvem. Vou fazer shadow IT, todas essas coisas, o que eles deveriam ter feito porque estávamos sendo idiotas, sabe, estávamos tentando forçá-los a entrar no nosso mundo em vez de nos alinharmos ao mundo deles. E eu vi que quando eu estava fazendo algumas das pesquisas primárias sobre Zero Trust, eu fiz um projeto de pesquisa onde eu pedi para líderes de TI e líderes empresariais classificarem algumas das coisas mais importantes, e eu obtive uma lista inteira de coisas de pessoas diferentes. E as três principais prioridades dos líderes empresariais eram aumentar a receita, aumentar a lucratividade e impedir a exfiltração de dados. Interromper a exfiltração de dados foi a única medida tecnológica que entrou na lista. Essas eram as três principais prioridades dos líderes de TI. A taxa de captura deles era parecida com a de antivírus naquela época. Quantos por cento de phishing nos meus testes de phishing eu consegui impedir? E eles não se importavam em aumentar a receita, aumentar a lucratividade e impedir a exfiltração de dados, que são as grandes estratégias de um negócio, certo? Se você não está aumentando a receita, aumentando a lucratividade e impedindo violações de dados, então você não está fazendo seu trabalho. E assim nos aprofundamos demais nos detalhes e não entendemos a missão.
Emily Wearmouth [00:27:42] Vejo meu produtor começando a acenar para mim sobre o tempo. E eu tenho uma pergunta que definitivamente quero ter certeza de que faremos a você, John: se você pudesse voltar no tempo, você ainda chamaria isso de confiança zero?
John Kindervag [00:27:52] Com certeza, eu faria. Confiança absoluta como uma emoção humana. E quando as pessoas dizem que você está dizendo que as pessoas não são confiáveis, eu estou dizendo que não, eu não sou. Estou dizendo que as pessoas não são pacotes. John não está na rede no momento. Neil, Emily e eu não estamos em redes. Nossa identidade declarada é declarada para gerar pacotes de algum dispositivo, e não estamos na rede. Então pare de antropomorfizar o que estamos fazendo. Este não é Tron, Lawnmower Man ou Detona Ralph. Este é o mundo real. Com certeza eu faria isso. E todo mundo que resiste, quero dizer, eu digo, vocês nem sabem o que significa confiança. Defina isso para mim. E não podem porque é uma emoção humana que durante séculos foi usada apenas em filosofia, religião, interação humana, nunca nos negócios. E eu sei como isso entrou na tecnologia. Foi um acidente. Alguém está codificando algo na garagem no meio da noite e eles simplesmente chamam isso de nível de confiança. Mas não, livre-se disso. As únicas pessoas para as quais ele tem valor são os agentes maliciosos que vão explorá-lo, porque você não precisa dele para mover um pacote do ponto A para o ponto B. Essa resposta foi suficiente para você?
Emily Wearmouth [00:28:59] Foi absolutamente. O que me apaixona é como você responde a todas as perguntas. John. Obrigado. Obrigado a vocês dois por.
John Kindervag [00:29:07] Posso fazer uma pergunta ao Neil antes de irmos?
Emily Wearmouth [00:29:09] Com certeza. Por favor, faça isso.
John Kindervag [00:29:11] Você viu Tom Cruise no hotel? Eu nunca o vi.
Neil Thacker [00:29:14] Não. Nós nunca. Não, na verdade nunca chegamos a vê-lo no final. Não, havia, havia. Acho que houve algumas tentativas feitas pelas pessoas na conferência, mas ninguém teve a oportunidade.
John Kindervag [00:29:23] Eu sei que tentei andar por aí e encontrei pessoas grandes e corpulentas que disseram: vá por ali.
Emily Wearmouth [00:29:30] Acesso negado.
John Kindervag [00:29:31] Confiança zero, querida.
Neil Thacker [00:29:34] Pronto.
Emily Wearmouth [00:29:35] Obrigada a ambos por se juntarem a mim hoje. Quer dizer, esse é um tópico extremamente interessante. Isso já existe há algum tempo, John, e acho que vai continuar assim por mais um tempo. Você está ouvindo o podcast Security Visionaries. Fui sua anfitriã, Emily Weymouth, e se você gostou deste episódio e quem não gostaria dele, compartilhe e certifique-se de se inscrever no podcast Security Visionaries também.
John Kindervag [00:29:56] Dê um like. Certo?
Emily Wearmouth [00:29:58] Dê um like. Sim, com certeza. Curta e inscreva-se. E dê uma olhada no catálogo anterior porque temos alguns tópicos realmente interessantes que você também pode gostar. Então, obrigado a ambos, John e Neil, e até a próxima.
){kind=icon}
