Emily Wearmouth [00:00:01] Olá e bem-vindos a mais uma edição do podcast Security Visionaries, o lugar onde reunimos especialistas em uma ampla gama de dados cibernéticos e outros tópicos relacionados. Sou a anfitriã, Emily Wearmouth, e hoje tenho dois convidados especialistas, John Kindervag e Neil Thacker. Então, vamos começar com algumas apresentações. Vou começar com o senhor, John, porque tem um dos títulos informais mais impressionantes que acho que já tivemos no programa, The Godfather of Zero Trust. O senhor pegou o título na Forrester, onde, para o benefício dos ouvintes, John deu o nome ao princípio do que hoje conhecemos como confiança zero como uma abordagem de segurança de dados. Acho que, para um analista, o título de The Godfather é provavelmente o auge de sua carreira. Assim, nos últimos anos, ele tem trabalhado como evangelista para vários fornecedores de segurança e agora é o evangelista-chefe da Illumio. Então, bem-vindo ao programa, John.
John Kindervag [00:00:47] Olá, obrigado por me receber.
Emily Wearmouth [00:00:49] Neil Thacker é uma voz que os ouvintes habituais talvez reconheçam, pois ele participou do nosso episódio piloto em setembro. Ele é um CSO praticante e muito ocupado, mas ainda arranja tempo para ser um dos meus especialistas em governança, conformidade, IA e todos os tipos de assuntos. Neil está aqui para nos dar uma visão das trincheiras, pois, como CISO praticante, ele poderá nos dar algumas doses de realidade sobre o que realmente acontece quando princípios e ideologias entram nos negócios. Então, o senhor consegue adivinhar sobre o que vamos falar hoje? Sim, é o assunto que está na boca de todo mundo, sem confiança. E vamos mergulhar de cabeça. E acho que seria uma negligência não ter trazido O Poderoso Chefão para o podcast. John, podemos começar com o senhor? Gostaria de pedir que o senhor nos desse uma breve explicação sobre a confiança zero, mas, em particular, gostaria de saber o que motivou a concepção inicial da abordagem de confiança zero quando o senhor estava na Forrester.
John Kindervag [00:01:36] Então, antes de chegar à Forrester, eu era um profissional. Desde o início, eu tinha esse modelo de confiança em que as interfaces recebiam um nível de confiança de 0 a 100. Portanto, zero, a interface menos confiável, foi para a Internet pública, e 100, a interface mais confiável, foi para a rede interna. E todas as outras interfaces tinham um número diferente. Mas isso não poderia ser nem zero nem 100 e não poderia ser igual ao outro. E esses níveis de confiança determinam a política. Assim, por exemplo, o senhor não precisava ter uma regra de saída se estivesse passando de um nível de confiança alto para um nível de confiança baixo. E eu sempre tentava inseri-los porque estava preocupado com a exfiltração de dados e acabava tendo problemas, porque não é assim que o fabricante diz que o senhor precisa fazer. Eu penso: "Bem, a lógica dita que, se alguém entrar, vai sair". E ter uma porta que, o senhor sabe, só precisa dar para um lado é bobagem. Portanto, a confiança zero é minha reação a esse modelo de confiança quebrada. Essa confiança é uma emoção humana. E precisa sair do mundo digital. Ele não tem relação com os pacotes. As pessoas não são pacotes. O senhor não pode aplicar o conceito de confiança. Portanto, o senhor deve se livrar da palavra confiança. Essa é a coisa mais fácil de fazer. Substitua-o por validação, em que os sinais de validação são usados para que tenhamos confiança ao permitir o acesso a um recurso.
Emily Wearmouth [00:03:14] E sei que estamos todos falando sobre confiança zero agora, mas já faz um tempinho que o senhor teve a ideia inicial. Então, como foi a reação quando o senhor a criou pela primeira vez?
John Kindervag [00:03:22] Bem, o senhor não ficou muito entusiasmado. Na verdade, as pessoas me disseram que eu estava completamente louco. Isso nunca iria a lugar algum. Outras coisas que eu não diria em um podcast público. Então, o senhor sabe, 11 anos depois, em 2010, escrevi o primeiro relatório. 11 anos depois, o presidente emitiu uma ordem executiva exigindo que todos os órgãos do governo federal dos EUA a adotassem. E agora isso se tornou um movimento global. Então, isso é algo que eu nunca pensei que aconteceria. E muitas pessoas me disseram explicitamente que isso nunca aconteceria e que eu era literalmente uma das pessoas mais loucas do planeta.
Emily Wearmouth [00:04:00] Por que o senhor acha que isso pegou?
John Kindervag [00:04:03] Porque faz sentido lógico, e também porque muitos dos primeiros usuários que estavam tendo grandes dificuldades para proteger suas redes, experimentaram e contaram para outras pessoas, e contaram para outras pessoas, e contaram para outras pessoas que isso funciona. E assim, ele se provou nas trincheiras. Quero dizer, fiz dois anos de pesquisa primária antes de publicar o primeiro relatório. Construí protótipos de ambientes. Trabalhei com órgãos governamentais. Portanto, nunca tive dúvidas de que funcionaria, de que era a estratégia certa. Porque a confiança zero é uma estratégia que, antes de mais nada, repercute nos níveis mais altos de qualquer organização, como o presidente dos Estados Unidos. E, em seguida, pode ser implementado taticamente com o uso de tecnologia de prateleira disponível comercialmente. Por isso, eu sempre soube que precisava garantir que a estratégia fosse dissociada das táticas. As estratégias não mudam. As táticas ficam cada vez melhores com o tempo. Certo. Sim. Então, Neil e eu voltamos muito tempo atrás, em um hotel em Londres. Certo, Neil?
Neil Thacker [00:05:13] Sim. Acho que nos conhecemos em 2012. Isso é assustador, pois já faz 12 anos. E ouvi falar do termo. Ouvi falar de sua definição de confiança zero. E tivemos uma discussão. Acho que foi no almoço durante a conferência. E, sim, estávamos falando sobre como a confiança zero pode ser aplicada. E, naquela época, sim, era firewall, era IPS. Lembro-me de falar sobre o IPS e analisar o contexto em torno do IPS e dessas ferramentas ou desses novos recursos que estavam sendo implementados, como o reconhecimento da rede em tempo real, em que se tentava obter diferentes variáveis de confiança. Exatamente. O que o senhor quer dizer, certo, em termos de como definir políticas e como ajustar as políticas com base nos níveis de confiança. Mas foi interessante porque, naquela época, Tom Cruise estava hospedado no hotel. E provavelmente é uma ótima analogia, certo, em termos de que havia pessoas ao redor do hotel, no hotel, hospedadas no hotel ou fazendo conferências no hotel. E no último andar, Tom Cruise tinha cerca de 6 ou 7 quartos que se chocavam uns com os outros. Então, ele tinha sua academia e, obviamente, o local onde estava hospedado, enquanto filmava Missão Impossível. E acho que essa é uma ótima analogia, certo, em termos de confiança zero e o fato é que havia pessoas naquele hotel, mas não havia confiança zero aplicada a esses indivíduos, certo? Eles não tinham permissão para entrar nesses andares. Havia uma segurança muito rígida para restringir completamente o acesso a essas áreas. Então, sim, essa foi a primeira vez que nos encontramos. E tenho acompanhado o senhor desde então. Nos últimos 12 anos, como organizações, assumimos e adotamos a confiança zero.
Emily Wearmouth [00:06:39] Neil, posso perguntar e ser honesto, qual foi a reação inicial do senhor ao conceito de confiança zero? O senhor percebeu imediatamente que se tratava de algo incrível, viável e com todas as respostas? Ou havia algum ceticismo no início? Como foi a experiência inicial?
Neil Thacker [00:06:54] Eu era fã dos princípios. Eu era absolutamente um fã dos princípios. O senhor já passou por isso há muitos anos. Não se trata apenas de confiar em um endereço IP, por exemplo, para proteger o acesso aos serviços. Há muitas condições diferentes que precisam ser atendidas. Sempre fui um grande fã do tipo dos cinco Ws. Quando o senhor começa a construir qualquer coisa, precisa entender melhor quem, o quê, onde, quando, onde, como e aplicar esses princípios. Esse é o método Kipling que tem sido usado há muitos e muitos anos também fora da segurança, é claro. Por isso, sempre fui um grande fã da utilização dessas coisas, mas também de como entender melhor as políticas que estamos implementando. Na época, eu sempre desafiava minha equipe, uma equipe de operações de segurança, para que, sempre que colocassem uma política ou condição, entendessem o que ela estava realmente fazendo de certo, que benefício estava proporcionando à organização. E quando falamos de coisas como ameaça interna ou ameaça externa, temos que levar isso em consideração. E, nesses casos, é preciso haver uma forma de confiança zero. Eu era um grande fã dos princípios, mas, é claro, procurava ver como poderíamos implementá-los por meio de elementos de pessoas, processos e tecnologia também.
Emily Wearmouth [00:08:00] E John, agora que o senhor já viu isso na natureza por um longo tempo e seu bebê foi para a escola, qual é a sensação de ver, essencialmente, os fornecedores interpretarem a confiança zero de várias maneiras diferentes, fazendo com que o termo se adeque aos seus propósitos. Eles não necessariamente construíram de acordo com sua ideologia, eles pegaram sua marca e a colocaram, muitas coisas que eles já estão fazendo, talvez, ou manipularam os significados para se adequarem a eles. Como o senhor se sente com isso?
John Kindervag [00:08:29] Bem, o senhor sabe, às vezes pode ser um pouco frustrante, mas eu vejo essas pessoas como multiplicadores de força para o conceito, porque há muitas outras coisas por aí que as pessoas acabarão acessando, e elas podem ouvir sobre isso de alguma coisa, e talvez isso soe bem ou talvez não. Eventualmente, eles perceberão que essa é apenas uma peça do quebra-cabeça, certo? Mas há muitas outras coisas que podem ser analisadas. Há orientações do NIST, há orientações da CISA. Fui nomeado para participar de um subcomitê presidencial chamado NSTAC, o Subcomitê do Conselho Consultivo de Telecomunicações de Segurança Nacional do Presidente sobre acesso à identidade Zero Trust e Trusts. Isso não parece um comitê do governo? Mas publicamos um relatório para o presidente Biden em fevereiro de 2022. E esse foi um relatório colaborativo que incluiu, o senhor sabe, pessoas dos setores público e privado. E isso é único porque todo o resto é uma espécie de perspectiva única. E isso foi colaborativo. Eu diria que esse relatório é algo que todos deveriam ler, pois é uma autoridade sobre o que é confiança zero. Certo. Portanto, essa também é a base do grupo de trabalho Zero Trust da Cloud Security Alliance, do qual faço parte. Portanto, se usarmos isso como base, todos poderão começar a trabalhar para construí-la. Passamos muitos anos falando sobre o que é isso e não passamos tempo suficiente fazendo isso. Por isso, espero que a próxima fase da confiança zero seja apenas fazer o que é certo. Pegue o lema da Nike e faça isso.
Emily Wearmouth [00:10:12] Então, uma das coisas pelas quais ouvi os vendedores criticarem o uso do termo confiança zero foi que a confiança zero é apenas a forma mais recente de falar e vender o que é essencialmente gerenciamento de identidade e acesso. Vou perguntar aos dois senhores. Vou começar pelo senhor, John. Isso é justo? O senhor acha que ela está sendo usada dessa forma e, em caso afirmativo, por que isso é problemático?
John Kindervag [00:10:32] Bem, está sendo usado dessa forma, mas está errado. Certo. A identidade é um sinal importante que podemos consumir. Portanto, a identidade é consumida na política em confiança zero. Mas isso não é igual a zero confiança, certo? Portanto, é claro que os fornecedores de identidade aproveitaram isso de forma inteligente. Mas agora estamos vendo muitos comprometimentos dos sistemas de identidade. Não apenas alguns dos grandes fornecedores de identidade estão sendo comprometidos, mas também temos a fadiga da MFA, em que o usuário continua a clicar em sim, sim, sim, porque entra em um loop de MFA e simplesmente não se importa mais. Vemos muitas maneiras de contornar a identidade. A identidade é sempre fungível, certo? Sempre, sempre, sempre fungível em sistemas digitais. Ele também é fungível em sistemas humanos. Mas, certamente, em sistemas digitais, ela é altamente fungível, o que significa que é fácil de ser contornada ou manipulada. E, se o senhor observar, eu sempre refuto o conceito de que identidade é confiança zero com duas palavras. Snowden e Manning, como eu os chamo, são as duas pessoas mais famosas da segurança cibernética. Eu as chamo de Beyoncé e Rihanna do mundo cibernético. Certo. Porque eles são pessoas de uma palavra só. E eles eram usuários confiáveis em sistemas confiáveis. Eles tinham o nível de patch correto. Eles tinham os controles de ponto final corretos. Eles tinham uma MFA realmente poderosa, muito mais poderosa do que a que usamos no setor privado. Mas eles são muito difíceis de usar, muito complicados e criam muito atrito. Mas ninguém olhou para os pacotes após a autenticação e perguntou o que eles estavam fazendo na rede e no que é coloquialmente chamado de rede de alto nível do governo federal. Uma vez autenticado nessa rede, o senhor tem acesso a tudo o que há nela. Então, eu estava conversando com um advogado envolvido no caso Manning, e ele disse que, quando isso passou pela minha mesa pela primeira vez, eu perguntei: como um soldado em uma base operacional avançada no Iraque poderia ter acesso a cabos confidenciais do Departamento de Estado em Washington, DC? E ele disse: "Finalmente entendi o que é confiança zero depois de ler todas as evidências que me foram apresentadas. Então, sim, a identidade é consumida na política. Não é que não seja importante, mas também não é extremamente importante. Trata-se de criar um sistema, não de implementar uma tecnologia.
Emily Wearmouth [00:13:02] Então, Neil, quais podem ser alguns dos outros fatores? E só para voltar um pouco no que o John estava dizendo, sempre pensei em confiança zero, ou é frequentemente usado como abreviação para verificar e depois confiar, em vez de confiar e verificar. Mas parece que estamos falando de verificar e depois verificar outra coisa. E, um pouco mais tarde, verificar novamente.
John Kindervag [00:13:19] Se o senhor for usar essa coisa de confiar, mas verificar, é verificar e nunca confiar se precisar de outra coisa. Certo. Sim. Mas confie, mas verifique. Se o senhor observar a história disso, Ronald Reagan nunca disse isso. Ele estava usando um provérbio russo e o disse em russo. O senhor sabe, minha Rússia, eu nunca fui capaz de dizer essa frase, mas foi algo como da noite para o dia, não comprovado. E, como meus amigos russos apontam, o senhor sabe, o objetivo disso é que rima, certo, em russo. E, então, ele disse, e é claro, isso significa "confie, mas verifique". Era uma piada e todos riram. Portanto, foi uma piada literal que Ronald Reagan fez, e nós a levamos a sério. Então, eu conversava com as pessoas. O quê? Claro que a estratégia de segurança cibernética é confiar, mas verificar. Bem, por que o senhor diz isso? Porque Ronald Reagan disse isso. Sim. O grande especialista em segurança cibernética Ronald Reagan diz que sim. Isso foi em uma época anterior à criação do primeiro malware, eu acho, o senhor sabe, então era uma insanidade as pessoas saírem por essas tangentes porque outra pessoa disse isso. É a loucura das multidões.
Emily Wearmouth [00:14:26] Sim, com certeza. Então, quais são, Neal, alguns dos sinais que o senhor observa como CISO que o ajudam a tomar essas decisões sobre acesso?
Neil Thacker [00:14:33] Quero dizer, concordo que a identidade é uma parte desse controle crítico. Mas o senhor precisa garantir que tenha, por exemplo, cobertura de dispositivo, pois o dispositivo é outro elemento disso. É em torno de qual rede ou e se estamos falando de serviços em nuvem, bem, se o senhor estiver usando uma rede, é possível que esteja usando a Internet. Trata-se de computação. Trata-se de aspectos de atividade. É o aplicativo que o senhor está acessando. Há elementos em torno, é claro, da atividade em si e, depois, do armazenamento e dos dados. Portanto, há muitos elementos ou componentes diferentes disso. Quero dizer que eles são, de certa forma, definidos em várias estruturas que precisam ser. Cada uma delas precisa ser um consumo, um nível ou uma confiança. Certo. Em termos de construção disso. E acho que é aí que as organizações precisam realmente começar a analisar isso. Vou dar um exemplo. Fiz uma palestra e falei sobre os diferentes níveis de maturidade, da adoção da confiança zero. E foi alguém da plateia que levantou a mão e disse: "Bem, eu não confio em nada porque tenho uma VPN e tenho controle de acesso, tenho ACLs". E minha resposta foi: bem, sim, tudo bem, o senhor tem talvez um, um ou dois fundamentos aqui, mas precisa considerar esses muitos outros componentes, certo. E isso deve fazer parte do processo. Concordo plenamente com o John. E isso é absolutamente essencial para que possamos ir além da identidade como sendo o controle que determina a confiança em nossas organizações.
John Kindervag [00:15:51] Bem, não é possível determinar, confiar ou não confiar. Tenho que tirar o senhor da palavra "t". Uma palavra de quatro letras em confiança zero, senhor. É uma palavra de quatro letras. Mas o problema é o seguinte. Isso está faltando, certo? O senhor mencionou o método Kipling. Quem, o quê, quando, onde, por que e como. E, na verdade, o senhor mencionou que deixou de fora o "por quê" quando estava dizendo isso, e eu pensei: "Não fizemos o "por quê"? Por que é a primeira pergunta. Por que estamos fazendo isso? Bem, por que fazemos segurança cibernética? O que é um cyber e por que devemos protegê-lo? Em primeiro lugar, o nome do negócio em que atuamos está errado. Mas, em segundo lugar, a única razão para fazer segurança é proteger algo. Certo? Portanto, a confiança zero tem tudo a ver com o conceito fundamental, não com a tecnologia, mas com a superfície de proteção. O que estou protegendo? É isso que começamos no modelo de cinco etapas. E isso está documentado no relatório do NSTAC. Por isso, criei uma jornada simples de cinco etapas que todos podem seguir. Defina a superfície de proteção. O que o senhor está protegendo. Os elementos que o senhor está protegendo são conhecidos como dash elements, que significa dados, aplicativos, ativos ou serviços. O senhor coloca um tipo de elemento DAAS em uma única superfície de proteção e, em seguida, constrói sua superfície de proteção, ou seu ambiente de confiança zero, uma superfície de proteção por vez. Dessa forma, a confiança zero se transforma em três coisas incrementais. O senhor está fazendo um de cada vez, iterativamente, um após o outro. E, em seguida, sem interrupções. O máximo que o senhor pode estragar é uma superfície de proteção de cada vez. O maior problema que vejo são as pessoas que tentam fazer tudo ao mesmo tempo. E isso é impossível. É um desafio muito grande. Depois disso, o senhor mapeia os fluxos de transação. Como o sistema funciona em conjunto como um sistema? O senhor sabe que, na semana passada, a NSA publicou uma nova orientação sobre segmentação e a importância da segmentação dentro da confiança zero. E eles destacaram que o mapeamento do fluxo de dados é um dos principais elementos, juntamente com a micro segmentação, a macro segmentação e a rede definida por software. Portanto, o senhor precisa entender como o sistema funciona. E, na terceira etapa, o senhor pode descobrir qual é a tecnologia certa. Fomos ensinados a começar pela tecnologia porque é assim que os fornecedores vendem, certo? Eles vendem tecnologia e nós precisamos deles. Certo. Porque eles fornecem as coisas para as quais pressionamos a política, mas eles, por si só, não fornecem segurança. O senhor precisa entender por que está fazendo isso. E a quarta etapa é a criação da política. E a quinta etapa é o monitoramento e a manutenção. Certifique-se de que o senhor não o abandone e olhe constantemente para ele e deixe que ele se desenvolva e fique cada vez melhor com o tempo.
Neil Thacker [00:18:29] E é um ciclo, certo? O que acontece é que o senhor repete isso. E acho que é aí que a tecnologia pode ajudar a identificar novas superfícies de ataque que o senhor precisa proteger, certo? A sua superfície de proteção precisa ser constantemente expandida ou, à medida que o senhor for descobrindo novamente, mais ativos.
John Kindervag [00:18:45] Bem, espero que isso não custe que minha superfície de proteção não se expanda constantemente. Espero que ele permaneça relativamente estável. Quero dizer, ele ficará maior em termos de quantidade de dados armazenados em um banco de dados específico, por exemplo, mas não quero adicionar mais elementos à superfície de proteção. Certo? Quero tentar desconectar, desacoplar ou segmentar a superfície do resto da superfície de ataque. Portanto, não preciso me preocupar com isso, certo? Quero dizer, se o senhor observar a orientação da NSA que foi publicada, eles começam falando sobre a violação de um varejista e, em seguida, fazem uma nota de rodapé sobre a violação da Target. E, o senhor sabe, todo mundo gosta de dizer que a violação da Target, que aconteceu em 2013, que eu acho que é o início da segurança cibernética no mundo moderno. Eu divido o mundo em BT e AT. Estamos no ano 11 AT após o alvo, certo? Porque a Target foi a primeira vez que o CEO foi demitido por causa de algo que fez, que foi permitir uma violação de dados. E se houver uma violação de dados na sua organização, o senhor tinha políticas que permitiam isso. O senhor não é apenas uma vítima aleatória. O senhor é um cúmplice involuntário de uma política ruim. Então eles mencionam isso e falam sobre o HVAC e o HVAC que não era o problema. O problema foi que a Target colocou o sistema de controle HVAC na mesma rede que o ambiente de dados do titular do cartão, o que é uma clara violação do PCI, DSS. Quero dizer, sou um QSA em recuperação. Fiz parte da primeira geração de QSAs que obtiveram essa certificação para o PCI. Então, nunca, jamais, o senhor teria colocado conscientemente um sistema como esse no ambiente de dados do titular do cartão? Isso seria uma clara violação.
Emily Wearmouth [00:20:32] O senhor fala sobre antes da Target e depois da Target. Acho que essa é uma maneira muito boa de dividir o mundo. Neste mundo pós-alvo. Estamos vendo confiança zero, e isso se dá por meio de coisas como a ordem executiva de Biden. Estamos vendo a confiança zero não ser apenas um termo ou uma ideologia que está sendo adotada pela comunidade de tecnologia. É uma conversa que está acontecendo até o nível da diretoria dentro das organizações. E eu me pergunto: quanto os senhores acham que isso é útil? Porque, o senhor sabe, as empresas estão pensando nas coisas certas e quanto disso está criando mais desafios por meio de mal-entendidos ou, talvez, pela expectativa de que exista uma tecnologia que possa resolver isso imediatamente.
Neil Thacker [00:21:08] Então, sou membro de um grupo, o Cyber Collective, e temos cerca de 300 membros. E eu lhes fiz algumas perguntas. Então, na verdade, o senhor se dirigiu ao John. E, na verdade, uma das perguntas que surgiram foi sobre a análise da arquitetura de confiança zero líquida. E agora estamos vendo mais ênfase nisso em termos de confiança zero e procurando como criar uma arquitetura para aplicar a confiança zero. E uma das perguntas que chegaram foi: como vemos isso e a transição? Como estamos vendo e agregando valor aos nossos negócios com a adoção da ZTNA e, principalmente, analisando como estamos indo além das redes. Portanto, os princípios estão se tornando mais ou menos eficazes à medida que nos afastamos das redes. Mas quando digo redes, digo redes tradicionais, não sabemos que as redes ainda existem em serviços de nuvem, etc., mas é assim que estou ouvindo essa discussão, talvez até mesmo em nível de diretoria, sobre como as organizações talvez estejam passando por uma transformação, seja por meio da transformação da rede ou da segurança. E acho que seria bom, talvez, entender um pouco mais em termos disso. Estamos nesse estágio de evolução em termos disso?
John Kindervag [00:22:12] Bem, a segurança cibernética é absolutamente um tópico de nível de diretoria, e já conversei com muitos membros da diretoria. Conversei com generais, almirantes e pessoas de alto nível em governos de todo o mundo. E eles percebem isso mais facilmente do que os tecnólogos, porque os tecnólogos estão presos em sua bolha tecnológica. Eles entendem a estratégia. Há algumas coisas que acontecem. Uma delas é que os conselhos de administração precisam saber sobre esse assunto, porque já vi muitas vezes outros executivos tentarem esconder dos conselhos de administração e dos CEOs problemas de segurança cibernética porque isso os deixaria mal vistos. E então há uma violação de dados e todos são demitidos. Sinceramente, Neil, eu não seria um CIISO hoje, porque o senhor é o cara que é jogado debaixo do ônibus e, depois, eles o apoiam para frente e para trás ao longo do tempo. E então, talvez o senhor acabe na prisão. Não sabemos quem vai acabar na prisão. Mas certamente houve algumas condenações por fraude e outras coisas que aconteceram com a comunidade CISO. É um lugar perigoso, porque o senhor existe para ser demitido por algo sobre o qual pode ou não ter tido controle, porque não tinha orçamento. O senhor não se reportava ao CEO, como todos os CISOs deveriam se reportar ao CEO. Assim, o CEO obtém informações claras. Mas, além disso, o NIST não é uma organização de padrões de segurança cibernética, certo? Portanto, o senhor no Reino Unido nunca deve fazer o NIST. Isso não tem valor para o senhor porque não faz parte do sistema de agências civis federais dos EUA. O NIST existe apenas para fornecer orientação aos órgãos civis do governo federal dos EUA. E, francamente, há muitas coisas que não me interessam. Certo? Certo. Porque eles estão projetando para agências tipicamente pequenas que os ouvem. As grandes agências não se importam. O DoD não se importa. Por isso, o senhor sabe, é por isso que eu gostaria de chamar a atenção dos ouvintes para o que estamos fazendo na Cloud Security Alliance, porque estamos desacoplando isso. E não estamos dizendo que existem padrões. Não deve haver padrões na segurança cibernética. Não precisamos de padrões porque os padrões proporcionam interoperabilidade. E a interoperabilidade agora vem das APIs. Portanto, tudo o que os padrões fazem é inibir a inovação. Por isso, eu diria que os padrões agora são uma coisa muito ruim. Esse é o problema dos órgãos de padronização: há tanto comprometimento que eles não são realmente valiosos para os usuários finais.
Neil Thacker [00:24:43] Sim. Acho que o que quero dizer é que o senhor está procurando tirar o melhor de algumas dessas coisas, como exemplos de aprendizado sobre isso. Acho que há algo que estou vendo e são aspectos bastante interessantes quando analisamos coisas como a arquitetura de confiança zero em torno do ponto de aplicação de políticas. Certo. Acredito que, atualmente, muitas organizações estão tentando padronizar os pontos de aplicação de políticas, utilizando os princípios e garantindo que possam ver valor nisso. Certo. Mas, sim, concordo, o senhor precisa aproveitar o que há de melhor no mercado. Mas também, na maioria das vezes, é o que o senhor mesmo está aprendendo. O que a sua organização está fazendo é que é único. Isso realmente faz alguma diferença, certo? Para mim, essa é a recomendação.
John Kindervag [00:25:23] Bem, vou usar uma palavra britânica para o senhor, já que ambos são britânicos. Todo ambiente de confiança zero deve ser personalizado para as superfícies de proteção. Portanto, lamento que o senhor não possa voltar aos anos 90 e ter arquiteturas de referência em que tudo o que precisamos fazer é alterar os endereços IP para os nossos endereços IP e os pacotes simplesmente fluirão. Era assim que fazíamos as coisas nos velhos tempos. E esse é um conceito muito do século XX e é isso que as pessoas querem. Apenas me mostre o que fazer. E isso nunca funcionou porque criamos essas redes para os negócios. E a empresa disse: "Puxa, o senhor me deu um monte de buracos redondos, mas eu tenho pinos quadrados". E dissemos que, felizmente, o fornecedor nos deu um canivete de graça para que o senhor possa cortar os cantos e fazer com que ele se encaixe no que construímos, porque nós somos os mais importantes. E os negócios, o senhor sabe, tinham, por causa disso, uma opinião muito baixa sobre ele. E a segurança cibernética é um inibidor de negócios e disse: "Ei, eu tenho um cartão de crédito, vou para a nuvem". Vou fazer shadow IT, todas essas coisas, que eles deveriam ter feito porque estávamos sendo idiotas, o senhor sabe, estávamos tentando forçá-los a entrar em nosso mundo em vez de alinhá-los ao mundo deles. E vi que, quando estava fazendo algumas das pesquisas primárias sobre Zero Trust, fiz um projeto de pesquisa em que os líderes de TI e os líderes de negócios classificaram algumas das coisas mais importantes, e obtive uma lista completa de coisas de pessoas diferentes. E as três principais prioridades dos líderes empresariais foram aumentar a receita, aumentar a lucratividade e impedir a exfiltração de dados. Impedir a exfiltração de dados foi o único aspecto tecnológico que entrou na lista. Essas foram as três principais prioridades dos líderes de TI. A taxa de captura de antivírus deles era semelhante à da época, quantos phishing, porcentagem de phishing em meus testes de phishing, eu impedi todo esse tipo de coisa? E eles não se importavam em aumentar a receita, a lucratividade e impedir a exfiltração de dados, que são as grandes coisas estratégicas de uma empresa, certo? Se o senhor não estiver aumentando a receita, a lucratividade e impedindo violações de dados, não estará fazendo o seu trabalho. Por isso, ficamos muito atentos às minúcias e não entendemos a missão.
Emily Wearmouth [00:27:42] Vejo meu produtor começando a acenar para mim na hora certa. E tenho uma pergunta que quero fazer ao senhor, John: se pudesse voltar no tempo, o senhor ainda chamaria isso de confiança zero?
John Kindervag [00:27:52] Com certeza, eu faria isso. Confiança absoluta como uma emoção humana. E quando as pessoas dizem que o senhor está dizendo que as pessoas não são confiáveis, eu digo que não, não estou. Estou dizendo que as pessoas não são pacotes. John não está na rede no momento. Neil, Emily e eu não estamos nas redes. Nossa identidade declarada é declarada para gerar pacotes de algum dispositivo, e não estamos na rede. Portanto, pare de antropomorfizar o que estamos fazendo. Não se trata de Tron, Lawnmower Man ou Wreck-It Ralph. Este é o mundo real. Então, com certeza, eu o faria. E todo mundo que rebate, quero dizer, eu digo, o senhor nem sabe o que significa confiança. O senhor pode definir isso para mim. E não podem, porque se trata de uma emoção humana que, durante séculos, foi usada apenas na filosofia, na religião e na interação humana, nunca nos negócios. E eu sei como isso entrou na tecnologia. Foi um acidente. Alguém está codificando algo em sua garagem no meio da noite e chamou isso de nível de confiança. Mas não, o senhor pode se livrar dele. As únicas pessoas para quem ele tem valor são os agentes mal-intencionados que vão explorá-lo, porque o senhor não precisa dele para mover um pacote do ponto A para o ponto B. Essa resposta foi suficiente para o senhor?
Emily Wearmouth [00:28:59] Foi mesmo. Sou apaixonado pelo que estou aprendendo e é assim que o senhor responde a todas as perguntas. John. Obrigado ao senhor. Obrigado aos dois senhores por isso.
John Kindervag [00:29:07] Posso fazer uma pergunta ao Neil antes de irmos embora?
Emily Wearmouth [00:29:09] Com certeza. Por favor, faça isso.
John Kindervag [00:29:11] O senhor chegou a ver o Tom Cruise no hotel? Eu nunca o vi.
Neil Thacker [00:29:14] Não. Nós nunca. Não, na verdade nunca chegamos a vê-lo no final. Não, havia sim. Acho que houve algumas tentativas por parte das pessoas na conferência, mas ninguém teve a oportunidade.
John Kindervag [00:29:23] Sei que tentei andar por aí e encontrei pessoas grandes e corpulentas que disseram para o senhor ir por ali.
Emily Wearmouth [00:29:30] Acesso negado.
John Kindervag [00:29:31] Zero trust, baby.
Neil Thacker [00:29:34] Aqui está o senhor.
Emily Wearmouth [00:29:35] Obrigada aos senhores por se juntarem a mim hoje. Quero dizer, esse é um tópico extremamente interessante. Já existe há algum tempo, John, e acho que vai continuar existindo por mais algum tempo. O senhor está ouvindo o podcast Security Visionaries. Eu fui sua anfitriã, Emily Weymouth, e se o senhor gostou deste episódio, e quem não gostaria de gostar deste episódio, compartilhe-o e não deixe de assinar o podcast Security Visionaries.
John Kindervag [00:29:56] Dê o like. Certo?
Emily Wearmouth [00:29:58] Dê o like. Sim, com certeza. Curtir e se inscrever. E dê uma olhada no catálogo anterior, pois temos alguns tópicos muito interessantes que o senhor também pode gostar. Portanto, obrigado a ambos, John e Neil, e vejo os senhores na próxima vez.
Por que Netskope 
){kind=icon}
