Dan Lohrmann: Quer dizer, é sempre uma questão de comunicação e como você se comunica. Quem vai falar com quem? Quando? O que você faz primeiro? Em que ordem? Como você faz isso? Você está preparado? Como funcionam seus manuais? Você traz para esses exercícios, aquelas mesas, aqueles exercícios de escala completa, seus manuais para realmente quase praticar leva à perfeição, certo?
Dan Lohrmann: E assim, assim como uma equipe de bombeiros praticaria apagar incêndios, você não quer que alguém na primeira vez que vestir o traje venha até sua casa quando ela estiver pegando fogo, você quer que eles saibam o que eles estamos fazendo e sabemos para onde ir, o que fazer e como fazer com base em diferentes situações.
Palestrante 2: Olá e bem-vindo aos Visionários de Segurança apresentados por Jason Clark, CSO da Netskope. Você acabou de ouvir o convidado de hoje, Dan Lohrmann, diretor de segurança da informação do Presidio.
Orador 2: A ideia de estar pronto para qualquer coisa não acontece magicamente da noite para o dia, é preciso prática, repetição e diligência. E os maus atores sempre estarão lá, com novas maneiras de testar o quão preparado você está. Como líderes de segurança, é nosso trabalho estar preparados até mesmo para os desafios mais inesperados. Assim como um bombeiro não entraria em um prédio em chamas sem a preparação adequada, os líderes de segurança precisam encarar os incêndios digitais da mesma maneira. Colocar-se na mente do hacker exige treinamento e dramatização, procure estar sempre vários passos à frente, porque nenhuma empresa quer ser pega no primeiro incêndio sem nunca ter experimentado o traje. Portanto, antes de mergulharmos na entrevista de Dan, aqui vai uma breve palavra do nosso patrocinador.
Palestrante 3: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. A Netskope é líder em SASE, oferecendo tudo que você precisa para fornecer uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios de hoje. Saiba mais em netskope.com.
Palestrante 2: Sem mais delongas, aproveite o episódio de seis Visionários de Segurança com Dan Lohrmann, diretor de segurança da informação do Presidio, e seu anfitrião, Jason Clark.
Jason Clark: Bem-vindo aos Visionários de Segurança. Sou seu anfitrião, Jason Clark, diretor de estratégia e segurança da Netskope. Hoje estou acompanhado por um convidado muito especial, Dan Lohrmann. Dan, como você está?
Dan Lohrmann: Estou indo muito bem. Obrigado, Jasão.
Jason Clark: Acho que você e eu provavelmente nos conhecemos há cerca de 15 anos.
Dan Lohrmann: Exatamente. Lembro-me de ter conhecido você pela primeira vez na época do Websense. E quando eu era diretor de segurança da informação em Michigan, e você era um grande executivo focado no cliente naquela época, sei que ainda o é hoje, então é ótimo estar com você.
Jason Clark: Isso é uma coisa que adoro em fazer todos esses podcasts, é apenas me reconectar com todos. E especialmente durante os tempos loucos da pandemia. E então, vamos começar com: qual foi seu primeiro emprego em segurança cibernética, Dan?
Dan Lohrmann: Então terminei a faculdade na Universidade de Valparaíso, me formei em ciência da computação e comecei na Agência de Segurança Nacional. O velho clichê que usamos é: se eu contar o que fiz, terei que matá-lo. Mas eu trabalhava em redes de computadores e isso não era confidencial, mas meu primeiro trabalho no final dos anos 80 foi realmente trabalhar com uma variedade de fornecedores diferentes, interoperabilidade.
Dan Lohrmann: Então, naquela época, nem tudo era TCP/IP ou IP versão quatro, IP versão seis e toda essa bobagem. Mas era como a S&A, e tínhamos a DECnet, e tínhamos tudo isso diferente. Então, basicamente, conectar redes da IBM à DEC, ao digital, às estações Sun SPARC e todos esses tipos de coisas. E eu estava administrando aquele laboratório. E estávamos implantando redes em todo o mundo antes mesmo de existir a Internet, o que foi muito legal.
Jason Clark: Isso se parece muito com meu trabalho quando comecei no exército. Tratava-se apenas de fazer as redes falarem. Era uma figueira pesada. E então estávamos convertendo para NT 4.O e Active Directory. E foi muito divertido. É tão diferente quando você gerencia a tecnologia e é um CSO. Há dias em que você provavelmente sente falta, tenho certeza. Você diz o que fazer e isso não acontece.
Dan Lohrmann: Eu concordo. E um pedaço prático, eu perdi isso. Mas fomos para a Inglaterra depois disso, não vou contar toda a história lá, mas apenas como todos trabalham nas redes e algumas histórias malucas sobre como quase derrubamos um satélite. E isso foi muito assustador, mas foi tudo bom. E eu adoro as coisas práticas também, sinto falta de algumas delas.
Jason Clark: Vi a notícia sobre a nova função no Presidio. Então, eu definitivamente adoraria ouvir sobre isso.
Dan Lohrmann: Sim. Obrigado. Sou o diretor de segurança da informação de campo, com foco no setor público. Então, como você sabe, desempenhei muitas funções diferentes em funções de CSO no governo de Michigan e CTO no governo de Michigan. Nos últimos seis, sete anos estive no Security Mentor como diretor de segurança.
Dan Lohrmann: Portanto, esta função realmente faz parceria com a Netskope e uma variedade de outras empresas, fornecendo orientação real para executivos com foco principalmente em educação SLED, estadual, local e governamental, mas também trabalhei com outros governos. E realmente apenas ouvir quais são seus problemas e fornecer soluções, trabalhando com parceiros para fornecer uma solução completa para suas necessidades cibernéticas.
Dan Lohrmann: E então, estou muito animado. Estou bebendo de uma mangueira de incêndio agora. Estou aqui há apenas cinco semanas, mas estou amando o trabalho, amando as pessoas e já aprendendo muito. Então sim. É muito legal.
Jason Clark: Portanto, os governos, especialmente o SLED, sempre foram conhecidos historicamente por se moverem muito mais lentamente na adoção de tecnologia e transformação. Como é isso agora? Como isso está mudando, especialmente com algumas das novas ordens executivas em torno da segurança cibernética, em geral, eu adoraria saber sua perspectiva.
Dan Lohrmann: Sim. Quero dizer, assim como todo mundo que eles estão enfrentando, em primeiro lugar, o cenário de ameaças está enlouquecendo. Então, estou sendo duramente atingido por ransomware e outras coisas assim, e ataques cibernéticos. E é emocionante, a boa notícia. Quero dizer, não recebemos muitas boas notícias na área cibernética. Mas a boa notícia é que acabamos de receber os novos subsídios cibernéticos dedicados aos governos estaduais e locais; foram um bilhão de dólares em cinco anos. Acho que isso realmente vai ajudar muitos governos estaduais e locais.
Dan Lohrmann: Honestamente, agora, o maior problema que está matando é esse sangrento governo estadual e local, eles não conseguem manter o talento das pessoas. E é aí que eles cruzam o tabuleiro. Estamos vendo isso também no setor privado. Mas estou ouvindo o CSO dizer: “Dan, simplesmente não podemos”.
Dan Lohrmann: Quero dizer, uma equipe que conheço, um grande estado, perdeu metade de seu pessoal na equipe cibernética desde o início deste ano. Então isso é um enorme desafio. Acho que eles estão entendendo, devem realmente entender porque com o Oleoduto Colonial, todas as coisas diferentes têm acontecido este ano, está tão na frente e no centro e a transformação digital que vimos durante o COVID foi tão enorme.
Dan Lohrmann: Então, a necessidade existe, a mudança para trabalhar em casa existe, tudo isso existe, ainda é um desafio muito, muito difícil no momento.
Jason Clark: Então, quando falamos sobre bilhões de dólares, certo? Quando você olha para o SLED e apenas para o governo federal em geral, qual você acha que é a maior vulnerabilidade que eles têm e da qual não estão cientes no momento? É uma espécie de pergunta em duas partes: ou eles não sabem ou onde deveriam colocar a maior parte desses dólares?
Dan Lohrmann: Acho que visibilidade. O velho clichê que costumávamos dizer na NSA o tempo todo, você não sabe o que não sabe. E então, sabendo que houve uma grande mudança para a nuvem, o que foi ótimo, e tudo está indo para a nuvem agora.
Dan Lohrmann: Quero dizer, a resistência à nuvem não é nada parecida com a de uma década atrás. Quer dizer, tudo vai para a nuvem e isso é ótimo. É só que acho que os desafios são não saber onde estão todos os dados. Portanto, a visibilidade nos dados, sem conhecer todos os diferentes tipos de partes dessa jornada. E acho que as pessoas querem ter confiança zero. Eles querem fazer SASE. Eles querem fazer isso. E posso dizer que acho que os desafios que eles enfrentam no momento giram em torno do lado humano. É sempre tecnologia de processamento de pessoas. É sempre isso.
Dan Lohrmann: Mas como você sabe muito bem pelo que faz, basta dizer: “Vamos colocá-lo na nuvem e entregá-lo à Microsoft. Vamos entregá-lo à AWS." Não resolve o problema. É tipo, eu ouço muito isso. Bem, eu conheço AWS ou Microsoft, e essas são boas empresas. Não estou batendo em ninguém. Estou apenas dizendo. Eles pensam, bem, eles são maiores e mais poderosos, então podem fazer isso melhor do que nós, e talvez consigam, mas você realmente precisa pensar nas configurações. Você realmente tem que pensar de ponta a ponta. Você realmente tem que pensar no todo, nos pontos finais e, claro, no gerenciamento de identidade, em toda a peça. E acho que é aí que estão os desafios. E alguns estão fazendo isso bem, sempre há líderes, seguidores e retardatários. Existem três grupos. Há algumas pessoas que estão indo muito bem e há algumas pessoas que estão realmente lutando.
Jason Clark: Sim. Quero dizer, como você acabou de dizer, você acabou de falar sobre as grandes empresas enquanto estamos migrando para a nuvem. É estranho, como às vezes você chama o CIO, é como eu chamo. Bem, presumimos que eles tenham a segurança, certo? Em vez disso, não, você é o responsável pelos seus dados. Eles não se responsabilizam pela segurança dos seus dados, a exemplo das suas configurações.
Jason Clark: E acho que há muito mais consciência que precisa ser direcionada em torno disso. Então, espero que muito, como você disse, seja visibilidade. Ele está obtendo visibilidade total, especialmente à medida que as coisas migram para a nuvem.
Jason Clark: Quanto do esforço está focado nas pessoas? Desse bilhão de dólares, alguma coisa é direcionada para, bem, vamos pagar mais às pessoas ou vamos ajudá-lo a terceirizar mais? Quero dizer, como você disse, é o problema número um. Então, como o bilhão de dólares está indo para isso?
Dan Lohrmann: Bem, e acho que a orientação está chegando. A única coisa que diz a lei, a lei que foi assinada pelo presidente, é que é preciso ter um plano. Qual é bom. Muitas pessoas não têm planos. E então, não está claro se cada estado terá que ter um plano e então os municípios poderão alimentar o plano estadual, ou cada cidade, cada condado, cada município terá que ter seu próprio plano. Isso ainda não está claro pelo DHS e CSA, ainda está diminuindo.
Dan Lohrmann: Acho que será baseado nos resultados. E acho que parte disso será dividida pela população, e haverá listas de coisas nas quais você pode gastar o dinheiro, e coisas que são elegíveis e coisas que não são. E haverá peças competitivas para dizer: "Ok, o estado que tiver o melhor plano para fazer X, Y, Z, pode conseguir mais dinheiro."
Dan Lohrmann: Então, acho que muitos desses detalhes virão. Eu aplaudo isso. Porque é dedicado ao ciberespaço. E eu sei que no passado outras doações ao longo dos anos poderiam ser usadas para cibersegurança, mas muitos estados não conseguiram esse dinheiro. Foi usado para outras coisas. Eu também acho que é realmente um adiantamento, Jason, porque acho que isso vai durar, direi, uma década, provavelmente o resto de nossas vidas, esse é o problema. Vai estar lá fora, e os estados e os locais terão que contribuir com parte disso também. Eles terão que fazer 90, 10, 80, 20 partidas todos os anos. Aumenta em 10% o quanto os moradores locais têm que ceder.
Dan Lohrmann: Mas também não será necessário fazer nada operacional para pagar por isso depois que o novo material for instalado. Então acho que vai ajudar. Acho que vai mover a bola pelo campo de futebol. Provavelmente não será tudo.
Jason Clark: Mudando um pouco de assunto, Dan. Quero falar sobre algo que é interessante para você: seu novo livro. E isso saiu em novembro com Wiley. E é chamado Cyber Mayday e o dia seguinte. Eu amo o nome. Definitivamente vou ler. Eu ainda não. Vou fazer uma versão audível, como conversamos. Mas eu só quero ter sua perspectiva sobre o que se trata e por que todos deveriam lê-lo.
Dan Lohrmann: Sim. Muito obrigado. E estou tão feliz com isso. É o Cyber Mayday e o dia seguinte, e depois a segunda parte, com o título em letras pequenas, Guia do líder para preparar, gerenciar e se recuperar de interrupções inevitáveis nos negócios.
Dan Lohrmann: E então, apenas um rápido histórico do livro. Sou coautor com Shamane Tan. Shamane está na verdade em Sydney, Austrália. Ela é realmente a estrela da Mulher Cibernética do Ano. Ela acaba de ganhar novamente, outro prêmio na Austrália por liderança cibernética. E ela iniciou encontros cibernéticos por toda a Austrália, Japão e Cingapura. Então ela é muito grande na Ásia. E ela escreveu seu primeiro livro. Eu contribuí para isso com um monte de histórias dos meus dias de CSO. E ela disse: “Dan, vamos trabalhar em algo juntos”.
Dan Lohrmann: Cerca de um ano atrás, na verdade era 20 de agosto, bem no meio do COVID. Ela estendeu a mão. Nós conversamos sobre isso, mas isso foi antes do sucesso da SolarWinds, isso foi antes do sucesso do Colonial Pipeline, antes da chegada da JBS. Sobre o que queremos escrever? E o que pensávamos que realmente faltava, mesmo naquela época, com todos os ataques de ransomware, os ataques cibernéticos, são histórias verdadeiras sobre o que realmente acontece, não apenas com os CSOs, os executivos de segurança ou CTOs, executivos de tecnologia, mas os líderes empresariais C -suíte? O que acontece quando você é atingido por um ransomware, quando sofre um ataque cibernético, quando está no meio?
Dan Lohrmann: Existem muitas listas de verificação por aí. Existem muitos recursos gratuitos. Na verdade, fazemos referência a todos eles no final do livro. Nem todos eles. Não posso dizer tudo. Muitos dos grandes que estão por aí, portanto, recursos gratuitos. E há muitas listas de verificação, guias e white papers excelentes. Tentamos referenciar o maior número possível e apontar a direção certa.
Dan Lohrmann: Mas pensamos que a ideia aqui era casar três partes antes, durante e depois de um incidente. Então, o que você pode fazer antes? Quatro capítulos do livro tratam de preparação e tudo, desde ter manuais e fazer exercícios, exercícios de mesa e histórias reais e verdadeiras. O que as pessoas aprenderam e o bom, o ruim é feio.
Dan Lohrmann: Depois, durante os incidentes, no meio, histórias reais sobre isso. E no final, e depois? Como se o último capítulo transformasse limões cibernéticos em limonada organizacional. Então, na verdade, a ideia é: como podemos pegar o que aprendemos e, em seguida, revertê-lo em nosso plano, em nossos manuais, em nossos cenários, e melhorar e melhorar? E o objetivo era realmente ajudar as pessoas a aprender com o que outras pessoas vivenciaram. 35 histórias verdadeiras de todo o mundo, cerca de metade delas são governamentais, metade delas são do setor privado, organizações pequenas, médias e grandes. E realmente o objetivo é realmente ajudar as pessoas a caminhar um quilômetro no lugar de outra pessoa, por assim dizer, mas realmente pequenos trechos do que aconteceu quando você foi atingido?
Jason Clark: Isso é incrível. Bem, de todas as organizações por aí, certo? Vamos chamá-lo de qualquer coisa grande. Qual a porcentagem, se você atirar com o quadril, que porcentagem deles você acha que está bem preparada?
Dan Lohrmann: Bem preparado. Uau. É realmente difícil... E esta é uma grande organização ou é tudo?
Jason Clark: Eu diria qualquer organização com mais de 5.000 pessoas.
Dan Lohrmann: Só vou dizer metade, atirando com força.
Jason Clark: Eu acho que é menos. Na verdade, provavelmente acho que é ainda menos do que isso.
Dan Lohrmann: Bem, depende também do que você entende por bem preparado, porque você pensa que está pronto, mas nunca está pronto exatamente para o que acontece. E são tantas histórias de... Eu até conto a história, algumas das histórias são minhas pessoalmente. Como se eu fosse muito antigo e a maioria deles fosse mais recente. Mas mesmo voltando ao apagão de 2003 e ao que aconteceu quando eu estava no governo de Michigan, acho que você e eu já conversamos sobre isso no passado.
Dan Lohrmann: Mas o Nordeste perdeu todo o seu poder e isso não foi um ataque cibernético. Embora houvesse muitos componentes cibernéticos nisso. E para onde fomos, o que fizemos, tínhamos nossos planos para o Y2K, tínhamos esse plano, tínhamos feito alguns exercícios de mesa. Então, no final, acabamos saindo muito bem, não foi como se tivéssemos sido atingidos por um ransomware. Isso foi diferente. Mas havia o bom, o ruim e o feio. Portanto, acho que algumas organizações estão mais preparadas do que outras. Então talvez seja menos de 50%.
Jason Clark: Talvez dê outro exemplo de uma de suas histórias favoritas.
Dan Lohrmann: Deixe-me ler um para você. Porque quero apenas ler uma seção para você. E isso é do capítulo cinco, vou ler duas páginas bem rápido. Vou tentar ler rápido. Mas o título do capítulo é: Onde você estava quando as sirenes dispararam? Mas isso é de uma história verdadeira.
Dan Lohrmann: "Sua rede foi bloqueada. Você precisa pagar 30 milhões de dólares agora!" O seguinte foi uma negociação real da vida real entre uma gangue de ransomware e uma empresa vítima de 15 bilhões de dólares nos EUA que foi atingida por um pedido de resgate de 28,75 milhões de dólares em janeiro de 2021.
Dan Lohrmann: Depois de algumas rodadas, a empresa vítima contava com 2,25 milhões, o que foi recebido com desprezo pela resposta dos criminosos de ransomware. Parafraseando aqui, é muito engraçado ver alguns de seus administradores tentando instalar o servidor Ms Exchange em três dias e não conseguem. Criptografamos 5.000 dos 6.000 de seus servidores. Se fizermos alguns cálculos simples, suas despesas serão de, digamos, US$ 50 por hora, ou talvez você seja até generosos US$ 65 por hora. Portanto, 24 horas gastas para restaurar um servidor multiplicadas pelo número de servidores criptografados por nós, isso equivale a 10 milhões de dólares apenas em despesas de mão de obra.
Dan Lohrmann: É interessante notar como essas gangues de ransomware foram consideradas uma forma eficaz de comunicar o impacto financeiro da interrupção dos negócios causada pelos ataques cibernéticos e demonstrar como suas vítimas reduzirão suas perdas aderindo às suas demandas. Eles continuaram, mas não esqueça que você gastou todo o tempo na instalação. Ops, você não consegue nem restaurar nenhum dos seus dados. Você pode? Porque desaparecerá pelos próximos mil anos. Eles adicionaram a pressão do fator tempo no final da mensagem, mas também mostraram alguma misericórdia ao mesmo tempo.
Dan Lohrmann: O cronômetro está passando e, nas próximas oito horas, seu preço subirá para 60 milhões de dólares. Então, ou você aceita nossa oferta generosa e nos paga 28,75 bilhões, ou investe em computação quântica para agilizar o processo de descriptografia. Quando a empresa pediu mais tempo, os bandidos contaram correndo atrás, acho que não, vocês não eram pobres e não são crianças. Se você estiver chateado, terá que arcar com as consequências.
Dan Lohrmann: Um dia depois, quando a empresa finalmente conseguiu obter autoridade para pagar 4,75 milhões, o extorsionário concordou em reduzir a exigência para 12 milhões. A condição de que o valor restante seja pago em até 72 horas. Depois de algumas mensagens adicionais, eles chegaram a um acordo onde os criminosos prometeram quatro coisas rápidas. Os hackers não lançariam nenhum novo ataque. A empresa obteria as ferramentas para descriptografar totalmente os dados. Os hackers sairiam completamente da rede e nunca mais os atacariam. Os hackers dariam à empresa acesso aos dados para serem excluídos. Os dados nunca seriam publicados ou revendidos. E os hackers forneceriam um relatório completo sobre suas ações, como entraram na rede, como o ataque foi realizado agora, incluindo dicas sobre como melhorar a segurança da organização e contra a penetração de outros hackers. A empresa acabou pagando um resgate de 11 milhões de dólares." Pararemos por aí. Mas essa é uma história, continua e entra em mais alguns detalhes. Mas sim.
Jason Clark: Tive uma reunião recentemente com um CIO de viagens, vou tratar de duas empresas específicas, de viagens e lazer. E eles pegaram ransomware no meio, e são grandes, no meio da pandemia. Você está falando como maio, junho do ano passado. E eles pediram 20 milhões de dólares, a resposta do CIO foi: "Temos receita zero no momento, sem projeções de qualquer receita para o futuro. Não temos nada a perder agora. Nós não temos dinheiro. Não temos clientes."
Jason Clark: Então foi mais um bloqueio do sistema do que uma informação confidencial. Não foi PII. Mas sim, eles acabaram pagando cerca de 10 mil por causa do COVID. Mas eu adoro, quero dizer, acho que dar vida a essas histórias é uma daquelas coisas que você não quer que apenas o pessoal de segurança e CSOs leiam, você quer que os líderes empresariais leiam isso.
Dan Lohrmann: Isto foi realmente escrito para executivos, mas também para qualquer líder empresarial. Se você estiver em uma pequena empresa, quero dizer, você poderia possuir... Meu irmão, Steve, foi atingido por um ransomware há alguns anos. Ele tem um exemplar do livro agora. Ele tem 20 propriedades em Ocean City, Maryland, com 10 funcionários e foi atingido por ransomware. E felizmente naquela época eram os primeiros dias. E ele teve que pagar US$ 1.200. Isso foi há uns três, quatro anos.
Dan Lohrmann: Quer dizer, a questão é que isso pode acontecer com qualquer pessoa. E isso foi realmente escrito para a comunidade empresarial, bem como para a comunidade de tecnologia e segurança.
Jason Clark: Então, quanto tempo você levou para escrever este livro?
Dan Lohrmann: Então, começamos, escrevemos a proposta. Concordamos que faríamos isso em outubro passado. Cada um de nós escreveu um capítulo, montamos a proposta. Nós dois já havíamos escrito livros antes. Então este é meu terceiro livro. Fizemos a proposta no inverno, compramos e tivemos três editoras que queriam fazê-la. Wiley. Tivemos um acordo com Wiley e concluímos o primeiro rascunho do livro em 1º de maio. E o Oleoduto Colonial atingiu. As edições vieram blá, blá. O manuscrito final foi feito em 1º de julho.
Dan Lohrmann: Então, escrevemos a maior parte em cerca de três meses. Mas na verdade todo o processo durou cerca de nove meses. E nós meio que atualizamos por meio das carnes JBS, Colonial Pipeline e SolarWinds, mas o corte foi em julho deste ano.
Jason Clark: Quer dizer, isso o torna extremamente relevante para todos agora.
Dan Lohrmann: Ah, passa direto pela Colonial, direto pela JBS e Solar Winds e alguns outros. A questão é, Jason, as pessoas não percebem que o depoimento no Congresso acabou de dizer mais ransomware em 2021, nos últimos 10 anos juntos, o que me parece loucura. A propósito, isso não está no livro, foi publicado há algumas semanas em depoimento no Congresso. Esses números simplesmente me surpreendem, porque eu sei quão grande era 19 e quão grande era 20. E foram anos importantes para o ransomware. E está piorando no momento. Infelizmente, além disso, os resgates estão subindo e eles pedem mais. É certamente um grande problema que as organizações enfrentam.
Jason Clark: Quer dizer, isso é um assalto a banco, certo? Isso é apenas um assalto a banco, apenas reinventado agora. Então, mudando um pouco de assunto sobre o mesmo assunto e você fala sobre isso, então por que os exercícios de mesa e até mesmo os exercícios cibernéticos em escala real são tão importantes do que planejar e executar isso?
Dan Lohrmann: Quero dizer, em primeiro lugar, envolver todos. Porque a grande parte disso é que você certamente tem as peças técnicas, você tem a peça grande e tudo mais. Mas quero dizer, o maior problema é realmente a comunicação. E como você se comunica com o C-suite? Como você se comunica em toda a empresa? Como você comunica tudo de cima para baixo, de lado, para seus investidores, para a comunidade, para o público. A maneira como você se comunica, e vou lhe dizer, isso remonta a 20 anos, e qualquer pessoa esteve nesse gerenciamento de emergência de incêndios, inundações, tornados, as pessoas diriam há centenas de anos. Quero dizer, é sempre uma questão de comunicação e de como você se comunica. Quem vai falar com quem? Quando? O que você faz primeiro? Em que ordem? Como você faz isso? Você está preparado? Como funcionam seus manuais?
Dan Lohrmann: Você traz para esses exercícios, aquelas mesas e exercícios de escala completa, seus manuais para quase praticar leva à perfeição, certo? E assim, assim como uma equipe de bombeiros praticaria apagar incêndios, você não quer que alguém na primeira vez que vestir o traje venha até sua casa quando sua casa estiver pegando fogo, você quer que eles saibam o que estão fazendo e saber para onde ir, o que fazer e como fazer com base em diferentes situações e diferentes cenários, e injeções e tudo mais. Isso é o que você realmente precisa fazer.
Dan Lohrmann: E muitas pessoas pensam, ah, temos backup de nossos dados. Vou contar uma história rápida, sim, mas eles levariam seis semanas para restaurá-lo, porque eles não tinham largura de banda, não tinham conexões. Então acabaram tendo que pagar o resgate, porque não tinham pensado de ponta a ponta. Eles pensaram que tinham uma solução, mas na verdade nunca haviam passado por todo o processo. E eles simplesmente não sabiam o que não sabiam.
Jason Clark: Que porcentagem de empresas você acha que pagam e não pagam?
Dan Lohrmann: Acho que mais de 50% pagam agora. O que é tão difícil nesse caso, Jason, são aqueles que não denunciam.
Jason Clark: O que é mais.
Dan Lohrmann: Exatamente. E estou dizendo aqueles que o FBI... Os números que temos, como quando você vê todos esses relatórios saindo, e todas as revistas técnicas, e Forbes, e todo o resto, quantos ataques de ransomware, você verá relatórios de final de ano. Eu faço meu blog anual de previsões. E todos esses números de final de ano são baseados no que sabemos. Mas se uma pequena empresa paga um resgate de US$ 20 mil e nunca denuncia às autoridades, o valor nem sequer é contabilizado. E então, isso eleva esse número para bem mais de 50%. Quer dizer, acho que 70, 80%, por causa daqueles que não conhecemos.
Jason Clark: E assim como você falou sobre os números de 2021 vão explodir 10 vezes mais do que nunca. Acho que é significativamente maior.
Dan Lohrmann: É mais alto do que sabemos.
Jason Clark: Só um pouco para encerrar isso. Porque você acabou de mencionar suas previsões. Então, quais são as suas previsões favoritas para o próximo ano?
Dan Lohrmann: Quer dizer, posso lhe dar tantos. Estou passando por todos eles agora. Então, como você sabe, como você e eu conversamos sobre isso alguns anos seguidos, mas antes de tudo, essas não são as previsões de Dan Lohrmann. Compilei o que considero os principais relatórios de previsão de todas as principais empresas. Então, do Trend Micros e do FireEyes, e não estou dizendo isso.
Dan Lohrmann: Existem certas empresas que publicam relatórios de previsão realmente excelentes e gastam literalmente dezenas e centenas de milhares de dólares nesses relatórios, e eles são muito bem feitos. E não é como colocar a mão no ouvido e adivinhar que pode nevar amanhã. Quero dizer, eles realmente pesquisam e realmente tentam ligar os pontos e dizem: "Quer dizer, claramente haverá mais violações de dados. É evidente que haverá mais ransomware. É claro que teremos infraestruturas mais críticas atacadas." Todos os anos há sempre previsões de um grande 11 de setembro cibernético, e as pessoas querem ouvir notícias espetaculares.
Dan Lohrmann: Isso tem diminuído nos últimos anos, porque ninguém quer ouvir que toda a Internet vai cair ou que milhares de pessoas vão morrer em algum hospital. Porque, bem, acho que falaremos mais tarde, OSCs, apenas a mensagem da moda não é uma mensagem de sucesso. Quero dizer, gostamos de ser um pouco mais específicos sobre que tipo de ataques direcionados estão vindo contra você. Muitos dos relatórios, e minhas previsões favoritas no momento, giram em torno de como a inteligência artificial e os malfeitores estão usando o aprendizado de máquina, a inteligência artificial para realmente perseguir essas empresas de maneiras muito sofisticadas e atingir de maneiras diferentes. E não entrarei em detalhes agora do ponto de vista tecnológico.
Dan Lohrmann: Mas procurando por essas vulnerabilidades, procurando por zero dias conhecidos, procurando por problemas conhecidos, e então apenas vasculhando a internet, como se estivesse olhando, podemos dizer que é um diamante bruto, ou procurando aquela agulha no palheiro. Mas se você tiver as ferramentas certas do ponto de vista do aprendizado de máquina e da inteligência artificial, elas serão muito, muito eficazes.
Dan Lohrmann: Então, os ataques estão se tornando mais direcionados e mais específicos. As pessoas estão fazendo sua lição de casa, e não é apenas como se estivesse muito longe de onde estava há uma década, quando te conheci, como enviar spam para o mundo e esperar que alguém clique. Algumas delas ainda estão acontecendo, algumas ainda estão funcionando. Mas muito disso é muito mais direcionado. E ouvi recentemente que, como a dark web está cheia de senhas e credenciais, as pessoas ainda não usam autenticação de dois fatores, o que é uma loucura, ou autenticação multifator, MFA. E então eles nem estão hackeando, estão apenas fazendo login com as credenciais, o que é uma loucura, mas está acontecendo. Futuro
Jason Clark: E quem está ouvindo, quero dizer, cada aplicativo que você tem deve ser multifatorial, ponto final.
Dan Lohrmann: Absolutamente.
Jason Clark: Honestamente, em termos de segurança, você não está fazendo seu trabalho.
Dan Lohrmann Correto.
Jason Clark: Naquele período. Porque isso é um-
Dan Lohrmann: Bem dito. Isso está totalmente certo.
Jason Clark: E você está certo. Isso existe. Existem muitos produtos que são muitos aplicativos SaaS por aí que ainda nem suportam MFA. Porque eles são precoces, são jovens, têm 28 funcionários que criaram um aplicativo de RH, digamos, mas estão atendendo empresas muito grandes. Porque tudo é realmente impulsionado pela Shadow IT e, finalmente, a segurança descobre e é como: "Cara, estamos interrompendo você, a menos que você possa construir essa funcionalidade". Tem que ser integrado à nossa solução, como pagamento Okta, etc. Certo?
Dan Lohrmann: Totalmente. E nesse mesmo ponto, lembro que há um ano eu estava com um... não vou citar o nome do banco. Eu estava em um banco que literalmente subi na cadeia. Quero fazer multifator, não tinham autenticação multifator em banco. E fui até o CSO e acabei sendo adicionado ao piloto deles. E na verdade ainda estou com isso. Eles agora têm MFA em todos os níveis. Mas se você tiver algum seguro de instituição financeira, qualquer tipo de conta financeira ou negociação, e não for multifatorial, procure outra pessoa.
Jason Clark: Agora vou fazer uma transição um pouco mais parecida com o IR. Você fez muitas coisas diferentes. Você trabalhou em todos os tipos de segurança. Qual é o seu domínio favorito? Porque você também fez muito em relação à conscientização sobre segurança. Qual é o seu domínio favorito em segurança cibernética?
Dan Lohrmann: Gostei muito da conscientização sobre segurança. Fiquei nisso por sete anos. E o Security Mentor é uma ótima empresa e tem pouca mensagem secundária. Mas ainda os amo, são uma ótima companhia. O que gostei foi que era muito prático para usuários comuns. Eu poderia conversar com as pessoas da minha igreja, da minha comunidade e das pessoas que conheci nas festas de Natal. Quais são as três coisas que eu poderia fazer agora? Quero dizer, uma autenticação multifator, ative 2FA para Facebook e para Gmail.
Dan Lohrmann: E então, gostei disso porque era relevante para cem por cento da sociedade, onde você começa a falar sobre muitas coisas que vocês fazem um ótimo trabalho na Netskope e nas empresas com as quais estou trabalhando agora no Presidio , e Netskope é um deles, mas certamente AWS, e CrowdStrike, e pessoas diferentes, Okta e outros. E o verdadeiro é explicar isso para as pessoas é mais difícil do ponto de vista leigo. O que eu gosto na minha função atual, e me pergunto daqui a um ou dois anos, é mais amplo. E é realmente, eu volto à capacidade de escopo completo-
Jason Clark: Conjunto completo de soluções.
Dan Lohrmann: Sim, exatamente.
Jason Clark: Você pode ajudar as pessoas em tudo. Você tem um problema, eu posso resolvê-lo, certo?
Dan Lohrmann: É isso. Exatamente. E eu adoro isso. Ouça, adoro ter conversas honestas com CSOs e CIOs. E eu tenho que te dizer, eu estive para o bem ou para o mal, as pessoas dizem que sou louco porque provavelmente há muito mais dinheiro, e há no setor privado.
Dan Lohrmann: Mas eu estive tanto desde meus dias de NSA até na Inglaterra com a Lockheed e ManTech, e depois com o Estado de Michigan, eu realmente me concentro muito no governo e adoro o governo e a ajuda. Quero dizer, apenas a paixão de ajudar a melhorar a sociedade. E então, para mim, eles têm poucos recursos, são oprimidos em vários aspectos, mas tendo conversas honestas e abertas com o setor público e o governo, devo dizer que também sou apaixonado por isso. Porque quero dizer, eles são heróis na linha de frente agora. E é difícil. É difícil. E eles estão trabalhando longas sete horas, sete dias por semana, 14, 16 horas por dia, e estão suando. E eu sinto por eles. É um trabalho difícil.
Jason Clark: É um trabalho muito difícil, por isso eles geralmente não duram vários anos e mudam muito de emprego. E o estresse é imenso. Isso é. Como se você não conseguisse encontrar pessoas, a ameaça está evoluindo muito rapidamente, a empresa está migrando para a nuvem, mas você ainda precisa proteger no local. E agora você tem o dobro do ataque, a superfície triplica o ataque, mas não o triplo e o dobro do orçamento. Quero dizer, é um trabalho muito, muito, muito difícil, e não há dúvidas sobre isso.
Dan Lohrmann: É. E então você perde suas melhores pessoas. Você monta uma equipe e pensa: “Essa equipe é...” E então conseguimos, ainda amo, foram dias de glória, mas há 14 anos, quando escrevi meu primeiro livro. Tínhamos uma equipe no governo de Michigan, era uma economia muito diferente, um mundo cibernético muito diferente naquela época. Eu sei que tínhamos uma ótima equipe porque todas as 10 pessoas que eu poderia citar são todas OSCs agora ao redor do mundo fazendo grandes coisas.
Dan Lohrmann: Então você não consegue mais manter uma equipe assim unida. Quero dizer, simplesmente não posso fazer isso porque eles terão ofertas a torto e a direito. E especialmente no governo é muito difícil, você tem que ser um motivador também. Você tem que ser uma líder de torcida e um motivador.
Jason Clark: Na verdade, isso é conhecido por buscar talentos do governo e também do estado. Contratei Jonathan Troll, do Colorado, porque ele é brilhante e você sempre pode pagar pela primeira vez.
Jason Clark: Falando em tipo de talento, certo? E como se você fosse uma cratera de OSCs, como acabamos de falar. Foi uma das maiores coisas, acho que como medida de sucesso pessoal às vezes é quantas pessoas se tornam executivas logo depois de trabalhar para você, certo? Esse é um dos nossos trabalhos: aumentar a base de talentos e ajudar as pessoas em suas carreiras. Mas qual seria o seu principal conselho para um CSO pela primeira vez?
Dan Lohrmann: Encontre um mentor. Exatamente para o que você acabou de dizer, Jason, encontre um mentor que você possa encontrar fora de sua organização atual, mas alguém em quem você possa confiar, em quem você possa, sem tentar lhe vender algo. Quero dizer, não estou falando de um mentor que, pelo menos se for um vendedor, espero que possa sair dessa função e apenas dar a você um pouco de conversa sobre sua vida e sobre você. Você simplesmente arrisca, porque eles caminharam um quilômetro no seu lugar. Eles sabem como é. Há política envolvida. Há política de escritório. Não estou falando de republicanos e democratas. Quero dizer, isso também entra em jogo às vezes. Mas quero dizer, qualquer organização tem política.
Jason Clark: Toda empresa tem política, ponto final. A propósito, acho que uma das principais coisas com que todas as OSC lutam é o lado político das coisas. Porque você tem que colocar atrito no negócio, então você não pode simplesmente ter atrito. Eles vão simplesmente fazer qualquer coisa. E assim, ter esse equilíbrio. Há muitos CSOs com quem converso e eles dizem: “Ah, sim, eu ando pelo corredor e as pessoas ficam tipo, se viram e começam a andar na outra direção porque estão com medo de mim”. Eu estava tipo, “Isso não é uma coisa boa”.
Dan Lohrmann: Sim. E essa seria a segunda coisa. Quer dizer, vou te dar quatro ou cinco. Mas quero dizer, relacionamentos, relacionamentos, relacionamentos. Quero dizer, é a importância disso. Nossa meia original em Michigan chamava-se Batcaverna. Não fique na Batcaverna o tempo todo. Esse cara diz: “Isso é ótimo. Estou na Batcaverna."
Dan Lohrmann: Mas você precisa ter relacionamentos 360. Então, você será julgado pela forma como trabalha com seu pessoal, como trabalha com seus colegas, como trabalha com sua gestão, é claro, mas como trabalha com a comunidade de fornecedores e como trabalha com os clientes. E então, esses relacionamentos são fundamentais.
Dan Lohrmann: E é difícil. Quer dizer, não existem muitas OSCs. E eu lutei às vezes. E eu sei que é difícil ter um bom relacionamento com todo mundo, assim como tudo na sua vida, você não pode ser amigo de todo mundo. Mas ter bons relacionamentos 360º é outra coisa. E é fácil falar, todo mundo fala, mas é difícil fazer. E é muito difícil fazer bem. E isso leva anos. É preciso experiência.
Dan Lohrmann: Você não consegue um novo emprego como CSO e não é um veterano de cinco anos, porque não passou por cinco ciclos orçamentários, e não passou por cinco Natais, e no final do cerimônias de premiação do ano. Quer dizer, você aprende o bem, o mal e o feio, você aprende. E espero que você tenha tempo para realmente crescer em sua função.
Dan Lohrmann: Mas é aí que um mentor pode ajudar. Um mentor pode ajudar a orientá-lo através do pântano, porque você fará algumas coisas bem, há coisas que a maioria das OSC faz bem inicialmente, mas há algumas coisas com as quais eles geralmente têm dificuldade.
Jason Clark: O que você faria de diferente se pudesse voltar no tempo?
Dan Lohrmann: Há uma história que remonta a 2004, quando eu era CSO no estado de Michigan e Teri Takai era minha chefe. E Teri era CIO em Michigan. Ela se tornou CIO na Califórnia. Em seguida, ela se tornou CIO do Departamento de Defesa dos EUA. Muito famoso. Trabalhou para muitos governadores, Arnold Schwarzenegger e Jennifer Granholm, que agora é secretária de Energia.
Dan Lohrmann: De qualquer forma, dizem que em qualquer novo relacionamento de CSO, você sempre tem o tipo de coisa de formação, ataque, normatização e desempenho, certo? Bem, esta era a nossa cara agressiva. De qualquer forma, Teri e eu, para contar o final, acabamos nos tornando bons amigos.
Dan Lohrmann: Mas de qualquer maneira. No meio disso, Teri queria que eu colocasse Wi-Fi em todas as nossas salas de conferências estaduais. E eu era contra o Wi-Fi. Eu sou o cara da NSA. E eu tinha todos esses papéis brancos. Eu tinha feito todo o meu dever de casa. E eu fui para a CIA, NSA, FBI. Eu tinha todos esses papéis brancos. Má ideia do Wi-Fi. Estávamos dirigindo, as pessoas estavam invadindo o Home Depot-
Jason Clark: [conversa cruzada 00:38:10].
Dan Lohrmann: Todas essas coisas. De qualquer forma, resumindo, fui para esta reunião. Teri disse, “Ok, Dan...” Havia umas 10 pessoas nesta grande sala de conferências do governo. É a reunião da equipe da Teri, há cerca de 20 minutos nesta sala de conferências, reunião semanal da equipe. E temos o fórum de itens da agenda. E ela disse: "Dan, então como vamos fazer isso?" E eu disse: "Bem, Teri, isso é uma má ideia. Vamos cancelar este projeto." E então, distribuí essas folhas de papel e as distribuí pela sala. E eu disse: “Tenho todos esses documentos aqui para respaldar isso. Só quero resumir por que isso não é algo que deveríamos fazer."
Dan Lohrmann: Então Teri disse: “Pare. Quero que todos saiam da sala, menos Dan." Então, todo mundo se levanta e sai correndo da sala. Nunca vi o governo [inaudível 00:38:55] sair tão rapidamente. De qualquer forma, resumindo a história, ela me olha nos olhos e diz: "Dan, se essa é a sua resposta, você não pode ser o CSO em Michigan". E eu disse: "Bem, espere um minuto, Teri, deixe-me explicar." Ela disse: "Não, não, não pare." Ela disse: “Sabemos que você é inteligente. Você tem um mestrado, blá, blá, da NSA, nós temos tudo isso." Ela disse: “Mas estive na Dow Ford, Chrysler e GM, e todas elas têm Wi-Fi em suas salas de conferência. O que eles sabem que você não sabe?"
Dan Lohrmann: Ela disse: “Estou lhe dando uma semana para descobrir ou quero sua demissão”. E esse foi um momento chocante para mim. Quer dizer, foi um momento de mudança de vida. Quero dizer, minha carreira estava passando diante dos meus olhos. Claro, voltamos, conversamos com Dow Ford, Chrysler, GM. Temos Wi-Fi em todas as salas de conferências estaduais. Dois anos depois, ganhamos o prêmio de Wi-Fi de segurança máxima no governo em todo o país, blá, blá, blá. Mas a maior lição para mim foi que você precisa chegar a um sim, mas, ou a um sim e, você precisa analisar as opções. Você tem que dar ouro, prata, bronze. E não se trata apenas de Wi-Fi, obviamente, pode ser na nuvem. Isto pode ser-
Jason Clark: Sempre há um jeito.
Dan Lohrmann: Exatamente. É nuvem, ou IoT ou IA, qualquer que seja o novo tema quente. A resposta de segurança é sempre não. E você precisa descobrir o que outras pessoas sabem que você não sabe. A resposta às vezes pode ser não, Jason, já conversamos sobre isso antes. Mas a questão é que você realmente precisa... E isso realmente mudou minha mentalidade. Como posso ser um facilitador? Daquele momento em diante, eu estava certo em artigos. O5 uma palavra. Como você muda culturas para ter uma segurança cibernética facilitadora? E eu sei que a Netskope também faz isso. Como você permite que as pessoas trabalhem na nuvem com segurança?
Jason Clark: Ótimo conselho, Dan. Então, isso é tudo para o que temos tempo hoje. Dan, isso foi incrível. E obrigado. E sinto que poderíamos facilmente ter feito isso por muitas, muitas horas a mais. Mas antes de deixar você ir, onde as pessoas podem encontrar você e conseguir seu livro? E também, mais alguma coisa que você queira deixar para alguém?
Dan Lohrmann: Claro. Bem, muito obrigado. E Jason, mais uma vez, obrigado. Obrigado, Netskope. Obrigado por me receber, realmente, é uma honra estar no seu programa. E você é um verdadeiro líder inovador e um especialista no setor. Então, grande admirador seu e do que você fez.
Dan Lohrmann: Cyber Mayday e o dia seguinte é o nome do livro. Você pode obtê-lo na Amazon. Está lá fora. Também escrevo para revistas governamentais de tecnologia. Então eu tenho um blog semanal. Aparece todos os domingos e segundas-feiras. É a matéria principal das manhãs de segunda-feira da revista Government Technology. Você pode me ver lá, Lohrmann, sobre segurança cibernética. Também @govcso no Twitter. GOVCSO, @govcso é meu nome no Twitter.
Dan Lohrmann: E você também pode simplesmente se conectar comigo no LinkedIn porque adoro me conectar com profissionais do setor e até mesmo com novas pessoas no setor. Não posso orientar todo mundo. Recebo muitos pedidos para orientar pessoas. Eu sou mentor de algumas pessoas, mas adoraria me conectar com você. Portanto, sinta-se à vontade para entrar em contato com Dan Lohrmann no LinkedIn.
Jason Clark: Sim. Escutem, pessoal, vocês definitivamente se conectam com Dan. Tudo o que ele quer fazer é apenas ajudar as pessoas. Ele quer tornar esta indústria melhor e ajudar as comunidades. Então, isso é uma coisa que adoro em Dan. É tudo uma questão de comunidade. Então, obrigado, Dan. E verei todos vocês em uma semana.
Dan Lohrmann: Muito obrigado, Jason. Eu agradeço.
Palestrante 3: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para permitir sua jornada de transformação digital, a nuvem de segurança Netskope ajuda você a conectar usuários de forma segura e rápida diretamente à Internet, de qualquer dispositivo para qualquer aplicativo. Saiba mais em Netskope.
Palestrante 2: Obrigado por ouvir os Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas. E nos vemos no próximo.
Por que Netskope 
){kind=icon}
