Zero-Trust praktizieren und Assume Breach einführen

0:00:04.1 Raghu Nandakumara: Willkommen zu The Segment, einem Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter von Industry Solutions bei Illumio, dem Zero-Trust-Segmentierungsunternehmen. Heute gesellt sich Dr. Chase Cunningham, auch bekannt als Dr. Zero Trust, Chief Strategy Officer bei Ericom Software und ehemaliger Forrester-Analyst, zu mir. Als Chief Strategy Officer von Ericom ist Chase für die Entwicklung, Führung, Kommunikation, Umsetzung und Pflege der Unternehmensstrategie verantwortlich. In seiner Rolle fungiert er als Servant Leader, strategischer Denker und Macher und stellt sicher, dass die Umsetzungsstrategien die Gesamtvision des Unternehmens unterstützen. Vor seiner Tätigkeit bei Ericom war Chase VP und Principal Analyst bei Forrester Research, wo er sich auf die Planung von Sicherheitszentren, Maßnahmen zur Bedrohungsabwehr, Verschlüsselung, Netzwerksicherheit sowie Zero-Trust-Konzepte und -Implementierung konzentrierte. Im Laufe der Jahre hatte Chase auch verschiedene Positionen in den Bereichen Bedrohungsforschung und Nachrichtendienste bei Organisationen wie Armour, Accenture und der National Security Agency inne. Heute spricht Chase mit uns über die Entwicklung des Zero-Trust-Frameworks, darüber, wie Zero-Trust-Strategien richtig umgesetzt werden können und welche Fehler Unternehmen bei der Ausarbeitung ihrer Zero-Trust-Strategien machen. Jeder liebt eine gute Entstehungsgeschichte, richtig, also hören wir uns die Entstehungsgeschichte von Dr. Zero Trust an.

0:01:09.1 Chase Cunningham: Ich sage den Leuten, und ich scherze nicht, ich habe großes Glück, im Leben oder im Cyberbereich Erfolg gehabt zu haben, einfach weil es eine Konstante ist, Glück zu haben und gute Leute um mich herum zu haben. Ich trat der Marine als Dieselmechaniker bei. Ich hatte überhaupt nichts mit Computern zu tun, was auch immer. Die Art und Weise, wie ich ins Internet gekommen bin, war rein zufällig.

0:01:31.1 Raghu Nandakumara: Nett, nett. Also richtig, das ist der Zero Trust-Podcast, also werden wir am Ende über Zero Trust sprechen, richtig. Wie war Ihr Kontakt zu Zero Trust — stand das in direktem Zusammenhang mit dem, was Sie bei Forrester gemacht haben, oder waren Sie schon davor damit konfrontiert?

0:01:48.5 Chase Cunningham: Nachdem ich all meine Cyber- und Krypto-Sachen beim Militär gemacht habe und dann Sachen für die Regierung gemacht habe, habe ich tatsächlich unterrichtet und Lehrpläne für Computernetzwerkausnutzung geschrieben, was die Art war, wie die Regierung wirklich teure Sachen abrechnet, wenn man Red Teaming macht. Also habe ich eine ganze Weile Red Teaming im Regierungsbereich gemacht und als ich mit John Kindervag sprach, den ich gekannt hatte, als er noch bei Forrester war, sprach er über die ZT-Sache und zu der Zeit sagte ich, okay, klar, was auch immer das nach Marketing-Spielereien klingt 101, cool, bla bla. Und dann kam ich zu Forrester und ich war tatsächlich, ich würde sagen, sauer, dass sie gesagt haben, Hey, du wirst Johns dreckige Unterwäsche abholen und diese ZT-Sache machen. Aber als ich anfing, es aus der Perspektive zu betrachten, ob ich ein Bösewicht oder ein roter Teamer wäre, würden mich diese Konzepte dazu veranlassen, aufzuhören und mir ein anderes Ziel zu suchen? Und das würden sie, plötzlich ging die Glühbirne an und ich dachte, okay, John war an etwas dran. Also habe ich es einfach gemacht. Aber ich mochte, ich habe ernsthaft mit meinem Chef, Joseph Blankenship und anderen Leuten bei Forrester gestritten, wie ich... Bitte zwingen Sie mich nicht, etwas zu tun, was schon jemand anderes getan hat, denn ich will in keiner Hinsicht die zweite Geige sein. Aber es stellte sich heraus, dass es eine gute, du weißt schon, gute Nutzung meiner Zeit war.

0:03:01.9 Raghu Nandakumara: Ja, absolut. Und ich würde sagen, als Praktiker, richtig, ich würde sagen, dass John Kindervag gewissermaßen den Grundstein für eine Art moderne Definition von Zero Trust gelegt hat. Ich würde sagen, dass Sie mehr als wahrscheinlich jeder andere am meisten dafür getan haben, diesen Mainstream wirklich zu erobern. Also, wie fühlst du dich jetzt, dass dieses Baby, das du genährt hast, endlich anfängt, auf seinen zwei Beinen zu laufen?

0:03:30.3 Chase Cunningham: Mitstolpern.

0:03:31.9 Raghu Nandakumara: Ich würde noch nicht Schneeball sagen, aber geh wenigstens auf seinen beiden Füßen.

0:03:35.5 Chase Cunningham: Es ist gut, dass es Leute gibt, die den Wert einer Strategie sehen, die Sinn macht. Ich habe es satt, Leute meckern und stöhnen zu hören über das, das Buzzword und was auch immer und all den Hass, der damit einhergeht. Denn für mich bin ich buchstäblich, ich, ich arbeite gerade an einem Blog über so, schau, wenn du nicht kaufst, was wir verkaufen und du denkst, dass das keinen Sinn macht, sei bitte weiterhin dämlich bei dem, was du tust, und du wirst derjenige sein, der die langsame Gazelle ist. Also mach weiter. Ich komme gerade zur Sache, wenn es diese massiven Marktbewegungen und all diese Adoption gibt und ich... Ich hatte gestern Telefonate mit Leuten in Argentinien, ich werde nächsten Monat in Kolumbien auf ZT sprechen. Wenn die ganze Welt denkt, dass das eine echte Sache ist und du, die Hasser, das nicht tun, gut, sei ein Hasser und lass es mich wissen, wenn du deinen Hintern bekommst und dann komm und rede mit mir über ZT.

0:04:26.7 Raghu Nandakumara: Also ja, ich stimme zu, oder? Sonst würden wir das nicht tun, oder? Also, was ist der... Und wenn du dich umsiehst, ja, und du sagst irgendwie, okay, was war der Wendepunkt, richtig? Weil es genug von der eigentlichen Prämisse hinter dem Warum gab, zum Beispiel warum Zero Trust, oder? Es ist gesunder Menschenverstand, oder? Aber es hat ewig gedauert, bis die Menschen fast dieses Niveau an gesundem Menschenverstand erreicht haben. Was war Ihrer Meinung nach der Wendepunkt?

0:04:56.5 Chase Cunningham: Ich denke, COVID war das Gas ins Feuer, das gebraucht wurde, weil es so einen Schritt gab, um wirklich schnell herauszufinden, wie Unternehmen am Laufen gehalten werden können. Und wie kann man dann auch nicht einfach die Tür öffnen, groß schreiben und sagen, ich hoffe, wir werden nicht in dem Maße ruiniert, weißt du, dass es genug Leute gab, die irgendwie eine Chance hatten, eine Krise, eine Chance, oder? Crisistunity, um einen Schritt zurückzutreten und zu gehen, okay, wir können etwas anderes machen und so können wir etwas machen, das ein bisschen mehr Sinn macht, weil wir offensichtlich Beweise hatten, auf Pong-Beweis, dass das andere Modell nicht funktioniert hat und jetzt mit der Fernbedienung und all den anderen Dingen, die wir sehen, und ich glaube, ich habe heute Morgen einen Artikel darüber gelesen, wie Hybrid irgendwie akzeptiert wurde, weißt du, Vielleicht muss nicht jeder im Büro sein, es sei denn, du arbeitest für Musk oder was auch immer dort drüben vor sich geht. Und der Rest von uns kann irgendwie, du weißt schon, wie Menschen leben, die... Diese Realität erfordert eine solche Herangehensweise und ZT war einfach zur richtigen Zeit am richtigen Ort, mit der Technologie, die sich weiterentwickelt hat, um dieses Ding zu ermöglichen.

0:06:03.2 Raghu Nandakumara: Ja, absolut. Und weil... Und... Und ich denke auch, denkst du, das ist nicht nur eine Art von COVID und die Umstellung auf hybrides Arbeiten usw., oder? Aber glauben Sie, es war auch eine umfassendere Erkenntnis dessen, wie diese Bedrohungslandschaft jetzt aussah, richtig. Und irgendwie, und ich weiß, Sie sprechen darüber, dass ZT fast mit Assume Breach gleichgesetzt wird oder umgekehrt. Gehen Sie davon aus, dass Breach das Fundament ist, auf das ZT dann die Antwort ist.

0:6:34.4 Chase Cunningham: Ja, ich meine, es ist lustig, weil das früher so ein Knackpunkt für die Leute war, zu akzeptieren, dass man bereits einen Kompromiss hat. Oh nein, nein, wir sind, das ist keine Sache und dass wir keine Kompromisse eingehen und es gibt keine, wir stecken Millionen von Dollar in dieser Sache. Und es ist wie, oh, ich meine, okay, lass mich das aufschreiben, weil du, weißt du, mich in sechs Monaten anpingen wirst und jetzt, das scheint, du weißt schon, es ist kein Schlag auf eine Person oder so, es ist einfach die Realität des Raums. Also akzeptiere es und richte dann deine Ressourcen darauf aus, um das Problem zu lösen. Es muss nicht sein... Ich würde sagen, es muss nicht wirklich negativ sein, wenn du anders darüber nachdenkst. Und es, weißt du, der andere Hass, der momentan so, du weißt schon, überall ist, nun, das ist nicht neu. Richtig. Das ist nicht neu. Das ist eine Entwicklung und eine Reifung von etwas, das sehr viel Sinn macht und das schon seit langem Sinn macht. Wie du schon sagtest, die Leute haben es einfach ignoriert, weil Menschen, ich weiß nicht, Menschen sind, wir sind generell mies.

0:7:33.9 Raghu Nandakumara: Ich glaube, du bist tatsächlich... Es war an... Es war vor Kurzem auf Ihrem LinkedIn oder Twitter, wo ich glaube, Sie haben etwas gepostet, etwas in der Art, dass es keinen Patch für menschliche Dummheit gibt oder so. Aber es tut mir leid, Sie falsch zu zitieren, wenn ich das getan habe, aber ich möchte einfach, ich weiß, dass unsere Zuhörer erfahrene Sicherheitsexperten sein werden und sie werden Assume Breach gehört haben, sie werden es lieben, von Zero Trust zu hören, oder? Leg es einfach hin, oder? Warum tut... Warum ist Zero Trust die natürliche Antwort auf eine Sicherheitsverletzung? Wenn die Frage sozusagen „Gehen Sie von einem Verstoß aus“ lautet, warum muss dann Zero Trust die Antwort sein?

0:8:10.8 Chase Cunningham: Wenn du dir das ansiehst, was erforderlich ist. Lassen Sie uns das Drehbuch für eine Sekunde umdrehen und sagen, dass wir uns keine Sorgen um die Verteidigung machen. Sagen wir einfach, wir akzeptieren, dass es einen Kompromiss gibt. Okay, fertig. Also, was wollen wir nicht wirklich, dass passiert? Ich möchte, dass sie nicht in meinem Netzwerk oder meiner Umgebung bleiben können. Ich möchte, dass sie sich nicht bewegen können. Ich meine, wenn jemand in mein Haus einbricht, ist das ein Problem, aber ich will nicht, dass du einziehst und bei mir wohnst. Also, weißt du, lass uns das ehrlich sagen. Wenn wir akzeptieren, dass es das ist, was wir versuchen zu tun, was braucht der Bösewicht, um auf diese Weise erfolgreich zu sein? Sie brauchen Vertrauensbeziehungen innerhalb der Systeme. Und John sagt es ständig, Vertrauen in menschliche Emotionen, das haben wir in Computer eingebaut. Wenn man die Vertrauensbeziehungen entfernt, ist es nicht so, dass es kein Vertrauen mehr geben wird, sondern dass sie ein überschaubares Risiko haben werden, das auf Vertrauensbeziehungen basiert und dass... Das macht den Tag des Bösewichts wirklich schwer. Als ob das... Das wollen wir. Das ist, wo es ist. Ich bin nicht... Du bist nicht... Du wirst niemals einen Verstoß haben, du wirst keinen Kompromiss eingehen. Du wirst nicht... Und ich stimme den Leuten zu, sie werden sagen, nun ja, so etwas wie Zerovertrauen gibt es nicht. Richtig. Genauso wie es so etwas wie Null Körperfett nicht gibt, weil du sterben würdest, aber du versuchst, richtig fettarm zu werden.

0:9:24.2 Raghu Nandakumara: Ja, ja, zu 100%. Und ich denke, die Art von etwas, das du gerade gesagt hast, geht darum, dem Angreifer das Leben schwer zu machen, oder? Ich denke, wir werden in diesem Ansatz immer besser, aber ich denke, zu oft gehen wir bei der Einrichtung von Sicherheitskontrollen nicht aus dieser Perspektive an, oder? Wie deine Gedanken, zum Beispiel warum, weil es einfach so natürlich ist, oder? Mach es ihnen schwer, sie gehen woanders hin.

0:9:52.5 Chase Cunningham: Es sind Leute, die versuchen, ihre Position im Unternehmen falsch zu verteidigen. Ich meine, Sie haben jetzt CISOs, die ihren Platz am Tisch haben und großartig und das ist super toll und was auch immer. Aber ich meine, die Realität ist, dass sie normalerweise versuchen, ihre Position in einem Unternehmen zu rechtfertigen und den Leuten sagen, dass sie perfekt verteidigt werden oder was auch immer. Anstatt dieses echte Gespräch darüber, schauen Sie, was ich tue, wird unser Risiko exponentiell reduzieren und das wird es überschaubarer machen und wir können die Verfügbarkeit aufrechterhalten und was auch immer. Ich habe noch keinen einzigen Workshop mit einem Kunden gesehen, in dem es um die Technologie von ZT ging. Es ging zu 100% um die Führungsprobleme, mit denen Sie dort konfrontiert waren.

0:10:32.9 Raghu Nandakumara: Ja, genau richtig. Und ich bin irgendwie... Einige Blogs, die ich letzte Woche gelesen habe, darüber, wie Zero Trust ist... Oder bei der Einführung einer Zero-Trust-Strategie geht es so sehr um die funktionsübergreifende Zustimmung, oder? Mehr... Viel mehr als nur ein Sicherheitsprogramm für die Sicherheitsorganisation, oder? Würden Sie also sagen, dass es für Unternehmen, die Zero Trust Is einführen, irgendetwas gibt, bei dem eine Organisation Zero Trust falsch macht? Oder würden Sie sagen, dass jedem, der Zero-Trust praktiziert, Anerkennung geschenkt werden sollte?

0:11:07.3 Chase Cunningham:Nein, ich glaube... Ich denke, es gibt eine Möglichkeit, es falsch zu machen. Wenn Sie nicht verstehen, wo Sie anfangen, und Sie kein sehr reales Gespräch über die Dinge führen, die am wichtigsten sind, und sich von dort aus nach außen arbeiten, wie wir schon lange darüber gesprochen haben, dann fehlt Ihnen der Wald vor lauter Bäumen. Persönlich ist meine Methode und jeder, mit dem ich zu tun habe, das Erste, was wir tun werden, vielleicht ist es kein rotes Team in der echten Welt, aber ich werfe ein Szenario vor dich und dann werde ich da sitzen und zuschauen, was passiert. Denn solange Sie den Stress dieser Situation nicht überstanden haben und tatsächlich mit den Füßen im Feuer stehen, ist das alles Pontifikation. Weißt du was ich meine? Wenn die... Wenn die Realität der Sicherheit darin besteht, dass wir nach einer Sicherheitsverletzung überleben, was einer dieser Oh mein Gott Momente ist, dann müssen wir darauf reagieren, was tatsächlich passieren wird. Und ich... Ich hatte so viele Unternehmen, die gesagt haben, wir sind bereit und ich gehe rein und lege den Lageordner vor ihnen hin und dann siehst du zu, wie die Köpfe rollen, die Auseinandersetzungen passieren, die Leute aus den Türen rennen und es ist so, hier fangen wir an. Ich kann, dieses Problem ist lösbar. Dies ist eine Frage der Unternehmensführung. Technologie, das ist Bratensaft. Das kommt später.

0:12:15.4 Raghu Nandakumara: Ja, ja, ja. 100%. Also, wie macht eine Organisation das richtig? Richtig. Nun, was ist der... Was ist der Spielplan, den sie anwenden müssen, um Zero-Trust-Strategien zu verfolgen, damit erfolgreich zu sein und sie messen zu können? Lassen Sie uns das auspacken.

0:12:31.3 Chase Cunningham: Nun, ich denke, das Erste ist... Ist, wie ich schon sagte, stellen Sie Ihre Füße ins Feuer und verstehen Sie nicht nur aus der Sicht des Sicherheitsteams, sondern auch entlang des gesamten Weges entlang der Nahrungskette, in die Sie involviert sein können. Wie das, was tatsächlich durchdrehen würde, wenn etwas passiert, sodass Sie auf diese Weise zumindest das Elend erlebt haben, das kommen wird. Also das ist ein organisatorischer Teil. Das zweite, was ich für entscheidend halte, ist ein wirklich gutes Verständnis der Gesamtheit der Ressourcen, die dieses Unternehmen, dieses Netzwerk, was auch immer betreffen, weil ich nichts verteidigen kann, wovon ich nichts weiß. Und dann ordnen Sie Ihre Kontrollen auf der Grundlage der Lücken zu, die Sie sehen. Wenn du... Wenn du es aus der Perspektive des... Der General an der Spitze des Schlachtfeldes, richtig? Und ich kann über alles hinwegschauen. Wenn ich das kann, kann ich Ressourcen als Vektor verwenden, um die Lücken zu schließen. Ich will nicht im Untergrund sein und dann nach oben schauen und gehen, meine Güte, ich hoffe wirklich, dass ich auf diesem Schlachtfeld die richtigen Dinge an den richtigen Ort bringe.

0:13:25.3 Raghu Nandakumara: Und für Organisationen, die diese Reise beginnen, oder? Wo ist... Wo lösen sie sich gewöhnlich?

0:13:33.4 Chase Cunningham: Normalerweise werden sie zu groß, zu schnell. Sie werden sagen, das ist eigentlich ein gutes Beispiel. Ich habe mit einer Bank gearbeitet, einer großen, und sie sagten, nun, wir machen ZT für Benutzer. Ich war cool, super toll. Ich finde das positiv. Und sie sagten, wir werden es auf den Markt bringen und mit 5000 beginnen. Und ich dachte, whoa, whoa, das ist nicht klein. Und sie sagten, oh, nun, wir sind eine globale Bank, was auch immer. Und ich dachte, das ist nicht klein. Und sie sagten, okay, mit welcher Zahl sollten wir beginnen? Und ich sagte, fünf. Und sie waren ungefähr fünf? Das ist... Das ist nicht mal unsere Zeit wert. Und ich sagte, nun ja, wenn ich fünf Leute in Ihrer Firma verletzen würde, würde das Ihren Laden ruinieren? Okay, fair. Also, und wenn du es für fünf richtig machst, machst du es für 10, und wenn du es für 10 machst, machst du es für 50. Und dann bist du... Und dann rollt man quasi, man schärft die Klinge, indem man sie gegen das Metall schleift, anstatt zu schwingen und zu denken, dass man es richtig gemacht hat.

0:14:23.2 Raghu Nandakumara: Aber wie wählt man die fünf aus? Richtig? Hast du gesagt, richtig, wähle genau diese fünf aus, die diesen Profilen entsprechen, oder war es so, okay, lass uns klein anfangen.

0:14:33.5 Chase Cunningham: Richtig. Für mich geht es darum, wer wäre... Wenn Sie die fünf Personen auswählen, die den meisten Administratorzugriff in einem System haben, dann sind diese fünf, das sind die Leute, auf die ich mich zuerst konzentrieren möchte. Und wenn sie zurückkommen und gehen, nun ja, einer von ihnen ist der CEO, okay, wir haben da ein echtes Problem. Warum zum Teufel hat der CEO Admin-Zugriff auf Dinge.

0:14:50.0 Raghu Nandakumara: Also, es werden Leute hier reinhören und denken, okay, was kann ich... Was sind diese kleinen Perlen der Weisheit, mit denen Dr. Zero Trust uns überschütten wird? Richtig? Richtig, das liegt daran, dass ich mit dieser Zero-Trust-Strategie zu kämpfen habe. Also, was wäre das in diesem Moment, basierend auf dem, was Sie gesehen haben? Was ist, hier sind meine Perlen der Weisheit.

0:15:13.5 Chase Cunningham: Ich denke, das Wichtigste ist, Cybersicherheit genauso zu behandeln, wie Sie die anderen Bereiche Ihres Unternehmens behandeln. Wie oft waren wir schon in einer Besprechung mit dem CEO und sie sagten etwas in der Art von: „Jeder ist in diesem Unternehmen im Vertrieb tätig.“ Und steht irgendjemand auf und sagt: „Mist drauf, auf keinen Fall.“ Sie sind engagiert, weil Sie Teil dieser Organisation sind und der Vertrieb entscheidend für den Geschäftserfolg ist. Ratet mal was? Cybersicherheit ist genauso. Sprechen Sie also mit den Leuten, als wären sie Teil davon und sie müssten sich engagieren. Und darüber hinaus denke ich, dass Sie auch aufhören sollten, in Lösungen zu investieren, die keine technischen Kontrollen sind, weil das eine technologische Lösung ist und es dämlich ist, Menschen wie Ausrüstungsgegenstände zu behandeln, und Sie werden keine Rendite dafür bekommen. Das ist eine großartige Sache für Investoren und es ist gut für die Risikokapitalgeber, aber stellen Sie sie dort auf. Suchen Sie mir eine Organisation, die sich ohne Kompromisse geschult hat, und ich werde ein paar Leute hinzuziehen, die sehr schnell den Ruin treiben werden.

0:16:18.3 Raghu Nandakumara:Du hast angefangen, über Anbieter zu sprechen, und die Anbieter sind mit Sicherheit auf den Zero Trust aufgesprungen und das schon lange vor den Praktizierenden. Was haben Anbieter getan, um, würde ich sagen, den Zero-Trust-Markt zu korrumpieren?

0:16:43.1 Chase Cunningham: Nun, ich denke, es sind ein paar Dinge. Erstens, offensichtlich hatten sie eine Menge davon: „Wir haben X gemacht, also wo ist ZT jetzt? Moment mal, ZT hat mehr zu bieten als das, es gibt keinen Knopf und es gibt kein Produkt dafür“, also das war einer. Und dann vermarkten sie es. Es scheint fast so, als ob diejenigen, die noch ungeheuerlicher waren als das, es noch härter vermarktet haben. Sie sagten: „Wenn wir so sein wollen, verdoppeln und verdreifachen wir, bis uns jemand anruft“, was sie... Das ist deine Strategie, was auch immer. Und der andere Teil ist die Umstellung auf die Plattform, die mit all dem Zeug bezahlt wurde. Ja, ich nenne es den Walmart der Cybersicherheit, bei all dem Mist, der irgendwo in unserem Regal steht, und ich schwöre bei Gott, wenn du genug davon kaufst, funktioniert alles irgendwann wie von Zauberhand und du hast das Lego-Haus deines ZT-Sings, und wir verkaufen es dir alles auf einen Schlag. Und es funktioniert nicht, es ist nicht... Es gibt Portfolios und es gibt sehr, sehr wenige Plattformen in diesem Bereich, und das hat es meiner Meinung nach am meisten aus dem Gleichgewicht gebracht.

0:17:39.4 Raghu Nandakumara: Also, was ist deine Botschaft an Anbieter und Zero Trust ist eine wichtige Port-Initiative, an der sich Anbieter beteiligen können, was ist deine Botschaft... Was ist Ihre Botschaft an sie? Was müssen sie noch tun, um die Einführung von Zero Trust in ihrem Kundenstamm tatsächlich zu fördern?

0:18:09.4 Chase Cunningham: Nun, ich denke, man geht einfach davon aus, dass der Grund, warum dich jemand in ein Gespräch über ZT verwickelt, darin besteht, dass er eine strategische Frage stellt. Seien Sie also in der Lage, die strategische Frage mit einem strategischen Wertversprechen zu beantworten. Das ist sehr wertvoll. Und die andere Sache, über die ich die Leute ständig informiere, wenn ich Anbieter berate und so weiter, ist, dass ich die Anbieter frage wie: „Sagen Sie mir, wo Sie auf Ihrer Zero-Trust-Reise stehen? Was macht ihr für euren eigenen ZT?“ Normalerweise kriege ich Grillen oder sehe mich viel um. Wenn du nicht selbst ZT machst, warum in aller Weisheit Gottes sollte ich dann dein Zeug kaufen, um ZT für mich zu machen? Wenn du nicht fährst, sag mir nicht, wie ich meinen Rennwagen bewegen soll.

0:18:54.3 Raghu Nandakumara: 100%. 100%. Ich weiß also, dass Sie am Zero-Trust-Demoforum beteiligt sind. Was bedeutet das, wenn es um die Bereitstellung einer Plattform für Anbieter geht, aber auch um die Endnutzer, die Verbraucher? Was ermöglicht diese Art von, sagen wir, andere ähnliche Organisationen nicht?

0:19:17.2 Chase Cunningham: Ja, ein Teil des Problems ist, wenn man das bekommen will, was ich als gute Juryinhalte zu Technologien von Anbietern bezeichnen würde, muss man viel Vogelbeobachtung betreiben und sich selbst, und das kann zeitaufwändig sein. Was wir also mit dem Demo-Forum gemacht haben, ist zu sagen: „Lassen Sie uns die Anbieter, die hier einen gültigen Anspruch haben, fahren, sie über die Dinge sprechen lassen, eine Vordenkerrolle übernehmen und dann ihr System buchstäblich vorführen.“ Und ja, es ist eine Herstellerdemo, aber es ist eine Demo, damit sich ein Endbenutzer das ansehen und sagen kann: „Okay, ich möchte wirklich sehen, dass dieses X-Problem gelöst wird. Diese Leute haben anscheinend eine wirklich gute Technologie. Lass mich ihnen zuhören, wie sie darüber sprechen. Und dann kann ich übrigens sehen, was diese Lösung tatsächlich bewirkt.“ Und aus meiner Sicht ist die Forschungsseite so, dass der Endbenutzer viel weniger Schritte hat, durch die er springen muss, um wirklich gute Informationen darüber zu erhalten, was mit dem Anbieter vor sich geht.

0:20:12.8 Raghu Nandakumara: Und ist der Fokus da? Und ich will das nur ein bisschen besser verstehen, weil du über Anwendungsfälle sprichst. Und darüber haben wir nicht wirklich gesprochen, und was Sie hier sagen, ist, dass es sehr spezifische Anwendungsfälle sind, die Zero Trust ermöglicht und in der Lage ist, das zu zeigen, im Gegensatz zu generischen, Oh, wir ermöglichen es Ihnen, Ihre Zero-Trust-Reise irgendwie zu beschleunigen, und das gilt auch für den Fokus auf sehr gezielte Anwendungsfälle?

0:20:42.2 Chase Cunningham: Es geht also um Anwendungsfälle, und es geht auch darum, den Platz des Anbieters einzunehmen und die Fähigkeiten in die Säulen des Frameworks zu unterteilen. Und so, wenn ich... Wie ich bereits sagte, es gibt nicht viele Plattformen, es gibt einige solide Portfolios. Wenn ich nach einem Anbieter suche, der das tut, ist Cloud-Zugriffsmanagement das, was auch immer das ist. Wählen Sie einfach Ihren zufälligen Super-Cyber-ZT-Begriff aus, sie machen Cloud-Zugriffsmanagement oder so. Ich kann mir das ansehen und sagen: „Okay, das sind die Anbieter, die über diese Funktionen verfügen.“ Es gibt fünf oder sechs von ihnen, die das tatsächlich tun, ich sollte mir fünf oder sechs statt 247 ansehen. Ich glaube, ich habe heute nachgesehen und alles zusammengezählt und es gab 2731 Anbieter im Bereich Cybersicherheit. Das ist verrückt. Wir reden, ich glaube, die Zahlen, die Richard Sternan veröffentlicht hat, waren etwa 60 Milliarden Dollar auf dem Markt, das ist puh.

0:21:39.2 Raghu Nandakumara: Also eigentlich, genau auf der rechten Seite, die Anbietervielfalt, die es heute gibt, siehst du... Und du hast auch irgendwie über Portfolio versus Plattform gesprochen, siehst du das... Oder sehen Sie mit Blick auf das Jahr 2023, dass die Gründung einer echten Zero-Trust-Plattform bevorsteht? Anbieter schauen sich also den Umfang einer echten Zero-Trust-Plattform an und entwickeln diese miteinander verbundene Reihe von Akquisitionen oder selbst entwickelten Produkten. Halten Sie das für real oder müssen wir zumindest in den nächsten 24 Monaten immer noch eine Vielzahl von Anbietern beobachten?

0:22:19.5 Chase Cunningham: Ich denke, aus einer Vielzahl von Gründen werden wir eine Konsolidierung eines Großteils dieses Raums erleben. Die Rezession wird einen Teil davon haben. Wir haben den wirtschaftlichen Gegenwind und was auch immer sonst noch dazu beitragen wird. Ich denke, wir haben den Markt auch irgendwie mit interessanten, neuen, coolen, sexy Dingen gesättigt. Wir haben auch in diesem Bereich eine Verlangsamung gesehen. Und APIs sind jetzt so gut, dass es sinnvoll ist, ein Portfolio von Funktionen zu nehmen und sie in die Betriebsplattform zu integrieren, nach der Sie suchen. Und das ist eigentlich das wirklich Wertvolle, was ich denke, wenn ich sagen kann, ich möchte diese Leute einsetzen, die wirklich gut darin sind, und diese Leute, die wirklich gut darin sind. Ich will ihnen nicht alles abkaufen, aber ich möchte, dass sie kooperieren und zusammenarbeiten, um mir den größtmöglichen Output zu bieten. Da wird die Plattformseite tatsächlich zum Tragen. Und das ist irgendwie eine selbstentwickelte Seite, aber das liegt an den APIs, die Teil dieser Integration sind.

0:23:18.0 Raghu Nandakumara:Ja, ich stimme zu, und ich denke, wir hatten schon einmal dieses Gespräch darüber, wirklich zusammenzubringen, und du warst ein großer Befürworter dessen ständig, darum, die besten Technologien zusammenzubringen, aber sie fast in einer einzigen Steuerungsebene vereinen zu können. Und wie du schon sagtest, vieles davon ist größtenteils hausgemacht. Du musst es ernst meinen, das zu wollen und es dann zu bauen.

0:23:44.7 Chase Cunningham: Ja, ich denke, du kannst einen Anschein davon bekommen. Und der andere Teil der Diskussion über den Anwendungsfall ist, dass es für verschiedene Unternehmen und verschiedene Branchen immer diesen einen Anwendungsfall geben wird, für den sie das Beste aus der Branche benötigen, was auch immer, was in Ordnung ist. Das ist deine wichtigste Sache, dass dein Radio auf jeden Fall aktiv ist, hol dir den Lamborghini von dem Zeug. Aber für die Belegschaft ist dieser andere Ansatz meiner Meinung nach am sinnvollsten. Lustigerweise vergisst jeder, wenn man über Lamborghini spricht, dass Lamborghini als Traktorenhersteller begann.

0:24:25.1 Raghu Nandakumara: Ja, genau. Nun, der einzige Lamborghini, den ich habe, ist der, den mein Sohn aus Legos gebaut hat, und glauben Sie mir, wir haben sechs Monate gebraucht, um ihn fertig zu stellen. Sie haben irgendwie auf die makroökonomischen Bedingungen angespielt, Sie haben über ROIs gesprochen, also lassen Sie uns ein bisschen darüber sprechen. Wie führt die Einführung einer Zero-Trust-Strategie auf hoher Ebene zu einem ROI? Oder wie zeigt sich der ROI für die Einführung von Zero Trust?

0:24:56.4 Chase Cunningham: Also ich denke, eine der besten Möglichkeiten, mit Organisationen zu arbeiten, ist das, was sie loswerden, wenn sie sich einer strategischen Seite zuwenden. Ich habe mit Organisationen zusammengearbeitet, die mindestens zwei, wenn nicht sogar drei ähnliche Lösungen hatten und ähnliche Probleme lösten, die im Laufe der Zeit von neuen Teams implementiert wurden. Ich denke, die interessanteste war jemand, der drei IAM-Lösungen hatte, die alle dasselbe taten, und es war wie: „Nun, welche ist die beste?“ „Also, los geht's, lassen Sie uns das einbringen.“ In den Jahren davor gab es viele reflexartige Reaktionen auf die neuen Bedürfnisse, neue Probleme, neue Risiken, neue Bedrohungen. Okay, wir haben eine Menge davon übersättigt, jetzt ist die nächste Sache, loszulegen und zu sagen: „Was erfüllt eigentlich die Bedürfnisse? Was ermöglicht meine Strategie? Lassen Sie mich etwas von dem Mist wegschneiden, den ich nicht brauche. „Dann ist das Budget für andere Dinge frei. Und jedes Mal, wenn Sie im Geschäft ein Gespräch mit „Ich habe das Budget freigegeben“ führen, fangen die Leute plötzlich an zu lächeln. Sie wollen nicht mehr verlangen, aber Sie können gut sagen: „Ich bin bereit, etwas zu opfern.“

0:26:00.2 Raghu Nandakumara: Aber wann wird nach Ihrer Erfahrung mit der Leitung vieler Zero-Trust-Initiativen dieser ROI oft realisiert? Weil ich davon ausgehe, dass es... Sie haben vielleicht den Anschein, dass es von vornherein realisiert wird, aber es tatsächlich in Fleisch und Blut zu sehen, ist ein Weg in den Kreislauf, also wann wird das oft realisiert?

0:26:24.2 Chase Cunningham: Der Prozess wird eine Weile dauern. Das Gute ist, dass Sie es ausloten können und quasi, ich würde sagen, fast ein vorausschauendes Budget haben, das Sie zurückgehen und quasi sagen können: „Wenn wir von Null auf Drei migrieren, wird Folgendes verschwinden, und hier wird das Budget frei.“ Weil wir wissen, was Zeug kostet, und dann kannst du anfangen zu sagen: „Dieses Jahr werde ich frei...“ Es ist die Kehrseite deines Budgets, es ist wie das, was du getan hast, um an dieses Zeug zu kommen, jetzt gibst du es einfach ab und du kannst vorhersagen, was du freisetzen wirst.

0:26:54.7 Raghu Nandakumara: Und ich denke, dass der gesamte Umfang des Zero-Trust-Programms ein so wichtiger Teil davon ist, dass Sie am Anfang nicht zu viel planen und daher zu wenig Ressourcen für die Umsetzung haben.

0:27:08.4 Chase Cunningham: Umfang bevor du lebst. Und deshalb denke ich, dass es so wichtig ist, das Führungsgespräch in die Planung mit einzubeziehen, bevor man anfängt, das zu tun, weil man nicht... Verwechseln Sie taktische Ausführung nicht mit strategischem Wert, und das tun viele Leute. „Wir haben das gemacht. Okay, cool. Was kommt als Nächstes?“ Das ist taktische Ausführung. Strategischer Wert ist: „Ich marschiere auf dieses Ding zu, welche Taktik verwende ich, um diesen Marsch fortzusetzen?“

0:27:36.4 Raghu Nandakumara: Ja, und ich denke, das ist der... Ich finde es toll, wie du das ausdrückst, denn ich denke, das ist der Teil, den die Leute verpassen, wenn sie versuchen, eine Zero-Trust-Strategie umzusetzen. Dass sie dieses strategische Ziel haben, aber was ihnen tatsächlich fehlt, sind die taktischen Schritte, die sie ergreifen müssen, um das zu erreichen, und dann sehen sie nie die Rendite ihrer Investition oder sie machen nicht einmal den ersten Schritt, weil sie nur das große Ganze betrachten. Lassen Sie uns also ein bisschen über Zero Trust nachdenken und darüber, wie Aufsichtsbehörden, Regierungsbehörden usw. beginnen, wirklich auf die Einführung der Zero-Trust-Strategie zu drängen. Es gibt natürlich, die Art von EO der Biden-Administration ist jetzt offensichtlich irgendwie weltberühmt, würde ich sagen.

0:28:32.2 Chase Cunningham: Es war ein Wendepunkt.

0:28:34.5 Raghu Nandakumara: 100%, aber es ist ungefähr 18 Monate her, seit es herausgegeben wurde. Wo stehen wir in Bezug auf tatsächliche Fortschritte dagegen?

0:28:44.3 Chase Cunningham: Im Oktober 2022 richtete die Bundesregierung endlich früher ein DoD Zero Trust Program Office ein, und das war... Jedes Mal, wenn das DoD ein Programmbüro einrichtet, ist das etwas Besonderes. Darüber hinaus haben sie etwa eine Milliarde und 1,1 Milliarden Dollar für dieses Büro bereitgestellt und gesagt: „Geh los und aktiviere ZT.“ Aus Sicht der Regierung ist das also ziemlich schnell, 18 Monate bis zu einer PO, der viel Geld zugewiesen ist, geht schnell und sie fangen an, die Dinge in Ordnung zu bringen. Ohne mich in Schwierigkeiten zu bringen, habe ich einige der Gespräche mit einigen dieser Organisationen geführt und es gibt Bewegung, aber sie halten an der Strategie fest, die sie in dem am 23. November veröffentlichten Dokument des DoD Zero Trust skizziert haben. Sie tun also, was ich für das Richtige halte, halten an ihren Waffen fest und machen weiter, das wird ein Schlag sein. Was alle irgendwie durch das Strategiedokument gelesen haben, sagten sie: „Oh, das DoD sagt, dass sie bis 2027 ZT sein werden.“ Das ist überhaupt nicht das, was sie gesagt haben, sie sagten, dass sie bis 2027 in einem Zero-Trust-Zustand sein werden. Wenn Sie sich das Ganze durchlesen, ist tatsächlich davon die Rede, dass sie erst 2032 in einem operativen Zustand sein werden, in dem die vollständige Einhaltung der Vorschriften gewährleistet ist, und das ist früh. Meiner Meinung nach ist das ein sehr realistischer Zeitplan.

0:30:10.5 Raghu Nandakumara: Und glaubst du, es ist ein Programm, das genug Schwung hinter sich hat, sodass es seinen Kurs verlieren wird, oder ist es noch zu früh, um das zu sagen?

0:30:22.2 Chase Cunningham: Ich denke, es ist ziemlich früh, um in eine Glaskugel zu schauen, aber ich denke, dass die Art und Weise, wie sie die Anreizstruktur geändert haben, sie von viel Peitsche zu viel mehr Karotte übergegangen sind, das vorantreiben wird. Denn ob du einen großen Nutzen daraus ziehen willst und die Unterhaltung, die bereits stattfindet, ist, dass sie die Umgehungsbanditen haben, die einfach schreien und kreisen wie Haie mit Blut im Wasser, um zu helfen, dass das passiert. Und so werden die Dinge in der Regierung gemacht, wenn die Banditen der Umgehungsstraße kommen und es tatsächlich geschehen lassen. Wenn Sie sich darauf verlassen würden, dass das Verteidigungsministerium es selbst macht, würde die Sonne ausbrennen, bevor etwas unternommen wird.

0:31:02.0 Raghu Nandakumara: Beltway Bandits, das höre ich zum ersten Mal, aber ich verstehe es sofort.

0:31:06.9 Chase Cunningham: Ich wohne in der Nähe der Umgehungsstraße, also sehe ich sie den ganzen Tag.

0:31:11.8 Raghu Nandakumara: Und ich denke, die ganze Reaktion anderer Regulierungsbehörden und anderer Regierungsorganisationen wie der TSA, die Sicherheitsrichtlinien an diese LNG-Betreiber herausgeben, ist eine direkte Folge der EO, aber auch Bedrohungen für kritische Infrastrukturen. Und das wiederum ist wahrscheinlich, dass die Bedrohungen keine gute Sache sind, aber ihr Handeln ist ein guter treibender Faktor für die Einführung von Zero Trust.

0:33:44.5 Chase Cunningham: Ja, ich sage den Leuten, mir sind die Bedrohungen wirklich egal. Wenn Sie Ihre ganze Zeit damit verbringen, sich Gedanken über den nächsten sexy, coolen russischen Exploit zu machen oder was auch immer jemand von der NSA stehlen und im offenen Internet veröffentlichen wird, ist das eine Übung der Nützlichkeit. Eigentlich sollten Sie sich ansehen, worüber wir in ZT sprechen, was die Grundlagen für den Erfolg dieser Dinge sind, denn das ist Physik. Es gibt Dinge, die hier oben sexy und cool sein können. Ich werde das Problem hier unten auf der untersten Ebene lösen und es dahin bringen, dass diese Dinge nicht funktionieren. Und dann ist ein Sieg ein Gewinn, ist ein Gewinn, und arbeite damit.

0:32:21.6 Raghu Nandakumara: Ja, denn letztlich sind es dieselben Dinge, die immer wieder ausgenutzt werden, von denen Angreifer profitieren. Das hat sich sehr selten geändert.

0:32:31.6 Chase Cunningham: In der gesamten Kriegsführung, weil Cybersicherheit ein Bereich der Kriegsführung ist, in der gesamten Kriegsführung der Geschichte musste niemand jemals so klar sein, was der Feind tun wird, um zu gewinnen, und sie sitzen immer noch herum und sagen: „Nun, ich frage mich, wie wir das verteidigen.“ Komm schon, Mann, es ist die Farbe mit Buntstiften. Es steht genau hier geschrieben.

0:32:47.5 Raghu Nandakumara: Ja, genau, genau. Es ist also die Jahreszeit, in der Sie sicher mit Anfragen überschwemmt werden: „Hey, Chase, gib uns deine Prognosen für 2023.“ Ich werde Sie hier in Verlegenheit bringen, 2023, was bedeutet das für Zero Trust?

0:33:07.9 Chase Cunningham: Ich denke, das Wichtigste ist, dass Sie außerhalb des US-Marktes eine stärkere Akzeptanz von ZT erleben werden. Das ist die einzige Prognose, auf die ich mich stützen und sagen kann, dass sie wahrscheinlich realistisch sein wird, und das liegt wortwörtlich daran, dass ich diese Gespräche mit Organisationen in Lateinamerika, Australien, Japan, Indien, Großbritannien und der nordischen Region führe. Ich denke also, dass das die Sache ist, die weiter wachsen wird. Davon abgesehen würde ich sagen, dass das meiste davon dasselbe sein wird, ein anderer Tag mit etwas anderen Spielereien.

0:33:47.1 Raghu Nandakumara: Und siehst du die Beschleunigung der Einführung von Zero Trust? Siehst du das speziell im öffentlichen Sektor oder wenn es vom öffentlichen Sektor getrieben wird? Also eher vom IO-Typ, Erlasse, die von Regierungen in anderen Ländern kommen oder die vom privaten Sektor gesteuert werden?

0:34:08.2 Chase Cunningham: Ich denke, international wird es hauptsächlich vom privaten Sektor getrieben sein. Ich denke, /wink wink habe ein bisschen Ahnung, dass einige Dinge in den USA wahrscheinlich bis hin zu öffentlichen Richtlinien kommen. Aber zum Beispiel ist Cyber eine Art Trickle-Down-Raum, in dem die USA und das Verteidigungsministerium allen anderen voraus sind oder Dinge vom Typ Erste mit der Fledermaus machen, und es funktioniert überall. Ich glaube, Australien, das ich kenne, hat ein bisschen daran gearbeitet, die wichtigsten Acht auf Zero Trust abzubilden, also denke ich, dass es solche Dinge geben wird, aber vielleicht passiert es dieses Jahr, vielleicht auch nicht.

0:33:47.3 Raghu Nandakumara: In Ordnung, also bevor du fertig bist, du und John, ihr trefft euch auf einen Drink und tauscht Zero-Trust-Analogien aus. Wer hat eine bessere Zero-Trust-Analogie?

0:35:01.5 Chase Cunningham: Es könnte in beide Richtungen gehen, ehrlich gesagt, je nachdem, wie viele Drinks wir getrunken haben, um ganz ehrlich zu sein. Ja, John ist offensichtlich Der Pate, aber ich habe ab und zu ein paar gute da draußen rausgeschmissen.

0:35:16.3 Raghu Nandakumara: Mach weiter, lass uns eins hören. Lass uns den letzten hören, den du zusammengestellt hast.

0:35:21.4 Chase Cunningham: Was ist Zero Trust? Ja, ich würde sagen, Zero Trust ist für mich wie eine Verabredung mit meiner Tochter. Ich werde wissen, wer du bist, ich werde sehen, was vor sich geht, ich gebe dir Zugang zu ihr, ich werde überwachen, was vor sich geht. Und wenn du dann Dinge tust, die außerhalb des Gleichgewichts dessen liegen, was ich als akzeptabel bezeichnen würde, bist du weg, das war's.

0:35:42.8 Raghu Nandakumara: Chase, damit danke ich dir vielmals für deine Zeit. Jeder, der das hört, Chase, Dr. Cunningham, Dr. Zero Trust, hat seinen eigenen gleichnamigen Podcast, Dr. Zero Trust, der auf allen üblichen Plattformen verfügbar ist. Geh und sieh es dir an. Es ist eine regelmäßige Dosis der realsten und umsetzbarsten Inhalte zu allen Cyber-Themen, nicht nur Zero Trust, sondern Sie erhalten dort auch eine ganze Menge Zero-Trust-Inhalte. Danke.

0:36:12.2 Chase Cunningham: Fantastisch, vielen Dank.

0:36:15.7 Raghu Nandakumara: Danke, dass du dir die dieswöchige Folge von The Segment angeschaut hast. Noch mehr Informationen und Zero-Trust-Ressourcen findest du auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter bei Ilumio mit uns in Verbindung setzen. Wenn Ihnen die heutige Unterhaltung gefallen hat, finden Sie unsere anderen Folgen überall dort, wo Sie Ihren Podcast abrufen. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.