Uma abordagem quantitativa da inovação

00:02 Raghu Nandakumara: Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado pelo CTO e cofundador da Illumio, PJ Kirner. Com 20 anos de experiência em engenharia e com foco em lidar com as complexidades da rede e da segurança do data center, PJ é responsável por liderar a tecnologia, a visão e a arquitetura da plataforma da Illumio. Antes da Illumio, PJ foi CTO na Cymtec e também ocupou vários cargos na Juniper Networks. PJ, é maravilhoso ter você no The Segment. Obrigado por se juntar a nós hoje.

00:39 PM Kirner: Obrigado por me receber, Raghu.

00:41 Raghu Nandakumara: Leve-nos em sua jornada até o ponto de ter a ideia do Illumio.

00:47 PM Kirner: Então, eu sempre trabalhei na área de software de segurança e fiz muitas coisas. Eu fiz muitas coisas criptográficas. Eu fiz, distribuí... Alguns sistemas distribuídos, e eu estava no escritório do CTO da Juniper Networks. Havia roteadores e switches, e depois havia toda a segurança de camada 7, firewalls e aceleração de WAN. E estávamos conversando sobre o que significa nuvem? E algumas das observações eram meio óbvias, pois a computação estava ficando mais dinâmica. E seja como a chegada da VMware e agora eu possa obter VMs automaticamente, não preciso realmente esperar para instalar um servidor. Mas a AWS estava acelerando isso com: eu tenho um cartão de crédito e agora posso obter uma espécie de VM. Então, a VM está tornando a computação mais dinâmica. A outra coisa que vimos foi que os aplicativos estavam sendo rearquitetados. E naquela época você talvez a chamasse de arquitetura orientada a serviços. Hoje, chamamos isso de economia de APIs, microsserviços e todas essas coisas. Mais e mais coisas estão apenas conversando umas com as outras.

13:55 PM Kirner: E como era necessário todo esse tipo de largura de banda leste-oeste, eu estava em uma empresa de rede e havia mais largura de banda necessária, o que impulsionou essa mudança no comportamento do aplicativo. As pessoas queriam começar a colocar firewalls lá. Por quê? Porque eles viam o risco de movimento lateral nesses ambientes e queriam controlá-lo. Então, essas tendências, essas três tendências de computação se tornando cada vez mais dinâmica, aplicativos se tornando mais distribuídos e conectados, e esse risco de segurança de movimento lateral ser um problema nesses ambientes maiores e planos de data center e querer ser capaz de controlar isso para controlar o risco, foram as três tendências que vimos. E o Illumio surgiu do que uma solução de segurança precisa ser e parecer neste mundo dinâmico e distribuído, onde o risco de movimento lateral é algo que você deseja evitar. E foi assim que a Illumio começou.

02:56 Raghu Nandakumara: Falaremos sobre a história da Illumio daqui a pouco, mas estou curioso, você esteve envolvido em vários tipos diferentes de tecnologias e áreas de interesse. Por que esse tipo de cenário e segmento do problema que você descreveu foi o que você disse: “esse é o que eu estou mais interessado em resolver”?

15:14 PM Kirner: Como tecnólogo, uma coisa em que penso é, como sempre, qual é a nova tecnologia que está por aí? Quais são as tendências que estão acontecendo? E então quais são os desafios que essa tecnologia traz... Identificamos uma necessidade, uma necessidade comercial, devido à mudança nesse espaço tecnológico nessas tendências. Então, eu meio que gosto de quando a tecnologia encontra os negócios, e por que, para responder à sua pergunta, foi porque vi isso acontecendo e havia uma oportunidade e queria aproveitá-la.

03:49 Raghu Nandakumara: Qual foi a validação externa que você realizou para obter a reafirmação, a confirmação, de que essa ideia tinha pernas?

15:58 PM Kirner: Portanto, a validação externa é algo que você obtém continuamente. Como se você precisasse receber feedback. Não havia uma frase: “conversamos com esses três clientes e, de repente, sabíamos de tudo”. Você conversa com cada cliente e monta mais uma peça do quebra-cabeça. E em algum momento, especialmente quando você está fazendo uma startup, você tem apenas um subconjunto das peças e precisa dar esse salto. Mas vou dizer que uma das primeiras histórias é que conversamos com um grande cliente, que ainda era nosso, mas era um grande prestador de serviços financeiros. E fiquei muito impressionado com o nível de automação que eles tinham. Eles estavam em um data center muito tradicional, servidores e tudo mais, mas aplicaram todas as propriedades da nuvem a esse ambiente. E eu pensei, bem, eu não esperava que o problema fosse tão grave, mas a automação e toda essa natureza dinâmica das coisas era como se a complexidade de colocar um controle de movimento lateral explodisse. E até que você converse com os clientes sobre um problema, até que você tenha uma solução em potencial, é difícil obter essa validação. Mas quando você faz isso, os olhos das pessoas começam a brilhar e as pessoas dizem que pensaram sobre essas coisas, mas... e você dá a elas suas ideias e as lâmpadas começam a acender para os clientes ou eles, naquele momento, eles eram clientes em potencial. Mas se trata apenas de conversar com pessoas, falar com mais e mais pessoas e obter mais e mais insights ao longo do caminho.

05:34 Raghu Nandakumara: E sobre o problema, porque você sempre ouve, olha para algumas novas tecnologias e ouve: “Ah, essa é uma tecnologia que está procurando um problema para resolver”. Contra um problema muito claro que então tem uma solução técnica. Você descobriu nessas conversas com alguns desses clientes ou organizações em potencial que você está trocando essas ideias, que eles identificaram que esse era um problema real, mas simplesmente não tinham uma boa maneira de resolvê-lo? Era esse o estado em que eles estavam?

18:00 PM Kirner: Quero dizer, os firewalls fazem segmentação. Firewalls, como caixas que você pode colocar lá e, na maioria das vezes, as pessoas, você sabe, obviamente você poderia fazer isso no perímetro. O maior segmento é o mundo externo e o mundo interno. E então as pessoas começaram a desativar os firewalls — sim, quero dizer, você poderia ter um firewall DMZ, há outro exemplo clássico que muitas pessoas têm — mas depois você coloca alguns outros firewalls internos Leste-Oeste em certos lugares e... Então, as pessoas sabiam que havia um problema. As pessoas tentaram usar as ferramentas disponíveis para resolvê-lo.

18:38 PM Kirner: Mas também resolvemos isso em um nível diferente de granularidade. Porque você poderia ter qualquer nível de granularidade que quisesse com o que estávamos propondo naquele momento, que se conectasse a um problema existente e reduzisse a complexidade, desse a flexibilidade e permitisse que trabalhassem nesses ambientes dinâmicos. Permitiu que eles fossem mais rápidos porque os firewalls estavam se movendo lentamente, há muito tempo para fazer alterações nas regras do firewall. São caixas. Eu tenho que conectar as coisas. Então, eles queriam se mover mais rápido e, oh, aqui estava uma solução que fazia algumas dessas mesmas coisas, mas podia se mover tão rápido quanto quisessem.

07:11 Raghu Nandakumara: Só de ouvir isso, enquanto construímos isso, parece certo: problema. Você identificou alguns fatores que está observando no mercado que exigiam uma solução. Você validou que o problema era real. E você está meio que abordando as decisões de design que você tomou. Você pode falar sobre algumas das principais decisões de design e arquitetura que você tomou ao criar a primeira iteração do produto?

19:36 PM Kirner: Então, primeiro, precisávamos ter um conjunto distribuído de pontos de controle. Isso... E tivemos que mover o ponto de controle, o ponto de controle de segmentação, o mais próximo possível da carga de trabalho. Então esse foi o número um em termos de elementos arquitetônicos e o que isso fez foi nos permitir criar qualquer nível de, digamos, um segmento definido por software.

20h04 Kirner: Você poderia defini-la com uma política e, em segundo lugar, aproximá-la da carga de trabalho significava ter mais contexto. Quando você está longe da carga de trabalho, é como se, bem, eu não sei o que é — que sistema operacional é esse. Então, ser capaz de ter esse conjunto distribuído de pontos de controle era o número um. O número dois realmente existia, novamente, ter uma política dinâmica. Logo no início, recebemos um feedback dos clientes que estava bem, eu quero fazer, quero fazer isso — o que hoje chamamos de política baseada em rótulos — e quero poder escrever uma política para essa carga de trabalho ou para esse grupo de cargas de trabalho, esse aplicativo ou microsserviço, como você quiser chamá-lo.

20h45 Kirner: Oh, talvez eu queira escrevê-lo para o meu ambiente em que estou. Talvez seja um ambiente PCI, talvez não seja estimulante ou não produtivo. Talvez eu queira escrever com base na localização, quaisquer que sejam essas dimensões da política, você queria poder escrever isso. E digo dinâmico porque, à medida que as cargas de trabalho são ativadas ou off-line, seja simplesmente um grupo de autoescala da AWS ou um cluster Kubernetes, ou você está apenas colocando uma nova VM nesse ambiente para envelhecer, e tudo mais, você não quer mexer com a política. Você quer que toda essa automação seja tratada dinamicamente.

09:18 Raghu Nandakumara: Tanto em termos de número de clientes de 0 a 1 a 10 a 100 e assim por diante. Mas também em termos da escala de seus clientes, quais foram os principais aprendizados que continuaram surgindo e que você teve que absorver e adaptar. E adotar também?

21:36 PM Kirner: Então, a escala sempre foi incorporada. E pensamos nisso do ponto de vista arquitetônico desde o primeiro dia. Quero dizer, fundamentalmente, como fazemos nosso processamento de dados, como fazemos nosso pipeline de dados, como fazemos nosso, como construímos nosso sistema distribuído. Na verdade, todas essas decisões ao longo do caminho tiveram que manter a escala de nossos clientes — boa escala e natureza dinâmica. Acho que a estática em grande escala é, na verdade, um problema muito diferente até mesmo do tipo de dinâmica de média escala. Porque, como as coisas podem ir e vir, como você constrói um sistema que acomoda isso? Então, essas duas coisas, eu acho que são muito, muito importantes e nossas... Nossos clientes estavam nos dizendo que queriam ser mais dinâmicos. Eles queriam se mover mais rápido. Essa é a direção que eles queriam ser capazes de seguir. Então, você pode acompanhar?

10:34 Raghu Nandakumara: E suponho que o que eles querem dizer com dinâmica não sejam minutos ou horas, mas literalmente em segundos. Que, à medida que essa instância de computação surge, ou quando esse ambiente de contêiner surge e os aplicativos são implantados lá, eles querem que a segurança a acompanhe e estejam prontos para proteger esses aplicativos no momento em que esses aplicativos entrarem em operação. Essa é a expectativa.

22h57 Kirner: Certo. E é aí que não pode haver nenhum humano na mistura. E é aí que não está apenas o software, é aí que está o modelo de política que criamos, que é uma construção importante, como esse modelo de política permite que as pessoas descrevam uma política e sejam tão dinâmicas em tempo real para lidar com essas mudanças nos ambientes, como você disse, em segundos.

11:19 Raghu Nandakumara: Incrível. Então, obrigado. Acho que é um ótimo tipo de visão geral sobre como essa origem e o desenvolvimento de Principais produtos da Illumio. Então agora eu meio que quero mudar de marcha um pouco. Estamos aqui para falar sobre o Zero Trust, então vou perguntar a muitos outros convidados: você pode compartilhar conosco sua analogia favorita do Zero Trust?

23h39 Kirner: Então, eu adoro a analogia do submarino. Então, a forma como os submarinos são construídos é, primeiro, eles são construídos com a redundância em mente. Eles têm, tudo tem, existem dois sistemas ou talvez até mais sistemas onde um pode falhar e o submarino como um todo pode sobreviver. Portanto, também é construído com compartimentos. E quando há uma violação. Quando um torpedo ou algo rompe o casco, eles podem fechar um desses compartimentos e, sim, você pode ter sofrido danos lá, pode ter perdido esse compartimento, mas o submarino não afunda. Você ainda tem resiliência. Então, é assim que eu penso, a resiliência cibernética é a mesma, as mesmas metáforas. A segmentação talvez seja, os compartimentos, e pensar em, tudo isso junto, eu acho que é uma das, você sabe, é uma boa metáfora para, e quão pequeno você o fez fazer os compartimentos. De quanta redundância você precisa, todas estão a serviço da resiliência cibernética.

12:44 Raghu Nandakumara: Quando você pensa no Zero Trust como um conceito e depois como uma estratégia que as organizações estão colocando em prática, qual é a sua visão sobre a relevância disso?

12h55 Kirner: Parte disso é que fizemos. O menor privilégio, por exemplo, que é um elemento do Zero Trust, é um conceito bem conhecido. Acho que ter uma estratégia de Zero Trust ajuda você a pensar de forma mais holística sobre o problema e a aplicar alguns desses princípios. Quero dizer, ter tudo dinâmico e orientado pelo contexto. Essa é uma visão um pouco mais recente. Você poderia até dizer, há muito tempo, como firewalls de camada sete. O que eram os firewalls de camada sete eram sobre contexto. Bem, estou correndo, estou realmente executando FTP pela porta 21 ou qualquer outra coisa. E então eles tinham o contexto das coisas. Então, tudo sendo dinâmico e orientado pelo contexto, quero dizer, eu estive no espaço do NAC por um tempo, então uma das coisas que existiam, que talvez fossem algumas coisas antigas que eram semelhantes ao Zero Trust, era que você tinha controle de acesso condicional e dinâmico.

13:49 PM Kirner: Portanto, você não só precisava executar um antivírus antes de ter permissão para entrar na rede, mas às vezes precisava se autenticar novamente. E você tinha que provar que sua máquina ainda estava saudável, não apenas no acesso inicial. Então, novamente, isso não era contínuo da maneira como estamos falando sobre isso agora e da maneira como podemos fazer isso agora, mas naquela época ainda estava na direção certa de ser orientado pelo contexto e ser dinâmico. Então eu acho que muitos bons princípios surgiram e, você sabe, Zero Trust é uma boa maneira de falar sobre eles e reforçar essas coisas. Acho que saímos da onda quando, com toda essa confiança implícita no meio ambiente, as pessoas poderiam dizer, sim, estou fazendo uma boa segurança. Mas, como todas essas coisas que acabaram de se comunicar implicitamente, ninguém nunca pensou em, vamos transformar isso em confiança explícita? Esse é um lugar onde eu acho que definitivamente precisávamos do Zero Trust para nos ajudar nessa jornada.

14:53 Raghu Nandakumara: [Você] traz à tona a confiança implícita. Como achamos que deixamos isso entrar? Onde você acha que toda essa confiança implícita e, essencialmente, apenas a extensão da confiança implícita, por exemplo, qual foi o gatilho para isso?

15:06 PM Kirner: Muitos problemas de segurança surgem quando a empresa e a tecnologia estão à frente da segurança. E, embora falemos disso, a segurança vire para a esquerda e estamos tentando aprofundar a segurança na organização, o que parece estar funcionando, certo, mas sempre existe a ideia de que os negócios vêm em primeiro lugar e a segurança em segundo lugar. Então, há uma lacuna aí. E, novamente, não importa o quanto eu gostaria que fosse diferente, mas há uma lacuna aí. E então você faz uma boa pergunta: como deixamos a lacuna ficar tão grande? Eu não sei Quero dizer, acho que talvez parcialmente tenhamos — às vezes, um dos desafios é quando você tem uma segurança, bem, você tem que fazer concessões na segurança o tempo todo. E quando você dá meio passo, acho que às vezes o que acontece, pelo menos psicologicamente, é você riscar isso da sua lista. Tipo, sim, eu fiz algo, reduzi parcialmente, e você risca sua lista e vai trabalhar em outra coisa. E eu acho que às vezes meio passo para trás e te morde.

16:14 Raghu Nandakumara: Sim.

16h14 Kirner: E eu acho que esse foi um caso disso.

16:16 Raghu Nandakumara: Para inverter essa pergunta, qual foi o ponto decisivo para dizer, ok, muita confiança implícita está fora de controle. Precisamos essencialmente retomar o controle. E o Zero Trust realmente fornece a estratégia pela qual podemos conseguir isso. Qual foi o ponto de inflexão para agora voltar dessa maneira?

16h32 Kirner: Não sei se foi um ponto de inflexão. Novamente, acho que algumas coisas estavam influenciando isso. Uma foi, e vou dizer isso mais de nossos... alguns de nossos clientes de SaaS. Alguns de seus clientes estavam meio que aumentando sua segurança. As perguntas que eles forneceram aos clientes de SaaS e as expectativas dos clientes de SaaS. Até houve alguma padronização em torno dessas coisas. E isso meio que forçou uma conclusão, mas bem, para fazer negócios, eu preciso fazer essas coisas de segurança. E essas se tornam as melhores práticas do setor. Mas foi influenciado por um resultado comercial no final do dia. Então, esse foi um lugar onde eu acho que as pessoas precisavam fazer mais. Acho que o outro lugar é o ransomware.

17:21 PM Kirner: E quando vejo o “triângulo da CIA”, confidencialidade, disponibilidade e integridade, houve lugares em que as pessoas perderam bancos de dados de clientes, e esses foram impactantes. Mas acho que o que o ransomware fez foi mudá-lo de confidencialidade ou puramente confidencialidade para disponibilidade. E quando o CEO chega na segunda-feira e você não consegue administrar sua empresa. Como se tivéssemos conversado sobre o ataque de Maersk, que foi há um bom tempo. Mas tipo, eu não posso enviar coisas. Como minha empresa de navegação, onde está meio que fazendo logística de transporte e eu não consigo fazer esse trabalho. Bem, isso é um impacto sério. Então, o problema de disponibilidade que o ransomware meio que causou mudou parte da dinâmica. E é sempre daí que surgem as coisas boas quando há alinhamento entre negócios e segurança. E esse foi um desses.

18:25 Raghu Nandakumara: Eu realmente amo como você definiu isso, a confiança implícita, tipo, como ficou assim? E você disse, novamente, que é um motor de negócios. A empresa queria avançar rapidamente e, basicamente, fizemos concessões. Mas quando perguntado sobre, ok, qual foi o ponto de inflexão para adotar o Zero Trust, foi essencialmente... Mais uma vez, foi um fator de negócios, porque era o ditado comercial: “Preciso ter mais garantias de que minhas contrapartes têm a segurança adequada ou, agora, estou farto de perder, ficar offline devido a mais um ataque de ransomware e, portanto, quero aumentar a resiliência e, portanto, preciso remover essa confiança implícita”. Então, eu meio que adoro como tudo quase se completa. Eu tive que te perguntar, talvez seja uma pergunta um pouco complicada. Você acha que a Zero Trust, uma estratégia Zero Trust, é a abordagem de segurança que melhor se alinha para oferecer ou apoiar a transformação dos negócios?

19h16 Kirner: Acho que sim. Quero dizer, quando — uma coisa, quando você estava falando sobre fechar o círculo, eu estava pensando de forma um pouco diferente. Mas, da mesma forma, os problemas ocorrem quando os negócios e a segurança estão meio desalinhados ou se distanciam demais e, quando se alinham novamente, podem surgir ações. Certo? E eu acho que aceitando a ideia de confiança. Certo? Porque as empresas precisam ter a confiança de seus clientes. Os clientes confiam seus dados a uma empresa, confiam nela para fornecer um serviço. Confiança é uma ótima palavra para usar que está altamente alinhada com os resultados comerciais. Então, se conectar a isso é importante. E quando você está fazendo uma transformação de negócios ou quando vai fazer uma transformação digital, você está tentando se tornar mais ágil.

20:07 PM Kirner: E acho que, incorporados a todos os princípios do Zero Trust, a capacidade de ser dinâmico e adaptável, monitorar e fornecer feedback continuamente a outros sistemas, acho que essas duas coisas estão altamente alinhadas. Então, uma estratégia que se alinha a ser mais ágil e dinâmica e a uma transformação de negócios, que exige que uma organização seja mais ágil e dinâmica, quando essas duas se alinham, é uma coisa boa de se ver.

20:36 Raghu Nandakumara: Então, agora eu quero voltar a vincular o Zero Trust à Illumio. Você fala sobre a Illumio, a empresa de segmentação Zero Trust. Então, a pergunta óbvia que eu tenho é: o que veio primeiro, Illumio ou Zero Trust?

20:49 PM Kirner: Quero dizer, esses princípios básicos que tínhamos, com os quais iniciamos a empresa, estão totalmente entrelaçados com o princípio Zero Trust. Portanto, é um bom problema de galinha e ovo. Não tenho a resposta, mas definitivamente começamos com os mesmos princípios que a Zero Trust está adotando. E eu direi que talvez pessoas como John Kindervag, que começaram isso, estejam vendo coisas semelhantes às que nós estávamos vendo no mercado. E ele pressionando, criando a ideia de Zero Trust, promovendo os princípios e impulsionando isso.

21h28 Kirner: E então, Chase avançou em, mais adiante na Forrester. Como aquelas coisas que estavam acontecendo e estávamos adotando uma abordagem diferente. Ser uma startup e ter alguma tecnologia. Essas duas coisas estavam altamente alinhadas.

21:44 Raghu Nandakumara: Eu adoro isso. Muitos caminhos que levam ao mesmo destino. Gostaria de perguntar a você, como tecnólogo e profissional de segurança, algum produto de segurança pode ser configurado de forma a impor uma postura de segurança Zero Trust? Ou você precisa de produtos que tenham sido projetados especificamente com o Zero Trust em mente para conseguir isso?

22:11 PM Kirner: Bem, deixe-me contar uma pequena história por um segundo sobre Illumio. Uma das coisas que aconteceu no início é que Matt Glenn foi uma espécie de um dos primeiros gerentes de produto, o primeiro gerente de produto. E uma coisa que ele identificou é que não tínhamos o que hoje chamamos de Iluminação. Não tínhamos a visibilidade necessária para atingir algumas dessas metas. E eu direi que essa foi uma de suas primeiras ideias e contribuições importantes para a empresa e o produto. E construímos um modelo de política e uma plataforma de visibilidade juntos.

22:51 PM Kirner: E eu vi outros fornecedores gostarem de colocar coisas de visibilidade, depois do fato, e elas não funcionarem tão bem. Tipo, eles são desajeitados. Você percebe que eles não são iguais, talvez a mesma pessoa, talvez a mesma empresa não os tenha construído. Talvez eles o tenham adquirido. Certo? E nem todos trabalham juntos.

23:12 Raghu Nandakumara: Sim.

23h12 Kirner: E há muito atrito e há uma incompatibilidade de impedância. Então, para responder sua pergunta sobre o Zero Trust, não posso dizer... Eu não posso fazer uma declaração geral sobre, não, você não pode colocá-la depois do fato. Mas acredito que, se for incorporado desde o início, desde o início, você terá uma experiência muito mais tranquila para o cliente, poderá obter melhores resultados e, na verdade, obter talvez mais resultados com as necessidades dos clientes e poderá atuar melhor no ecossistema. Então, acho que ter isso em mente desde os primeiros princípios é claramente o caminho para o sucesso.

23:49 Raghu Nandakumara: E, quando você diz “isso”, o que você quer dizer é essencialmente visibilidade contínua, ser capaz de escrever políticas adaptativas baseadas em contexto e riscos, ser capaz de automatizar e orquestrar essas propriedades essenciais que são meio que necessárias por meio do, quanto pelo tipo de definição moderna de Zero Trust. Certo?

24h07 Kirner: Absolutamente Você precisa tê-los em mente no início para que sua arquitetura. E sua arquitetura, o software que resulta disso, os produtos, a interface do usuário, como você... Seus pipelines de dados, todas essas coisas precisam estar alinhadas com esses princípios.

24:26 Raghu Nandakumara: Eu sei que você gosta de validar qualquer tipo de ideia com dados e costuma dizer à sua equipe: traga-me as evidências, me convença com as evidências. Como você abordou isso na Illumio? Seja validando decisões semelhantes de design ou validando a eficácia do seu produto.

24h42 Kirner: Acho que adoto a abordagem de que há muitas pessoas com boas ideias. E prová-los com dados realmente ajuda você a entender onde talvez a ideia falhe depois de um tempo. Talvez ele se decompõe em escala ou talvez se decompõe em variabilidade ou talvez, às vezes, você seja excessivamente otimista com sua ideia e os dados meio que a quebrem. Acho que uma coisa que fizemos com algumas abordagens iniciais de aprendizado de máquina foi estabelecer metas para o que queríamos realizar. E as pessoas tinham muitas ideias e tentamos coisas diferentes e algumas delas não foram aprovadas. E eu acredito que, quando você experimenta coisas, se você está tendo sucesso todas as vezes em seus experimentos, você não está experimentando.

25:33 PM Kirner: Você tem que gostar de falhar quatro das cinco vezes e saber como falhar nas coisas. Então, definir metas e, em seguida, permitir que os dados sejam inseridos em uma análise e, e provar isso, provar que isso é importante. Então, uma coisa que nosso cliente, um de nossos clientes, estava nos perguntando, mesmo anos atrás, era como entendemos a eficácia dessa segmentação, implantando seu produto em nosso ambiente. E discutimos algumas coisas e tivemos algumas ideias diferentes. Mas uma coisa que decidimos e você também foi um grande impulsionador disso, é que decidimos fazer algumas pesquisas externas de segurança. Então, fizemos uma parceria com o bispo Fox, que é um dos líderes em segurança ofensiva, e criamos algumas ideias que íamos implementar e testar.

26:21 PM Kirner: Então, uma das coisas que começamos foi nós, e essa foi a nossa, sugeriu um de nossos clientes, a hora de atingir a meta. Era a hora de... se você soltasse um atacante em um ambiente, quanto tempo levaria para chegar às joias da coroa? Então, criamos um ambiente e colocamos servidores nesse ambiente. Encontramos, colocamos algumas joias da coroa, talvez tenhamos espalhado algumas vulnerabilidades. E tínhamos um ambiente e medimos o tempo até a meta. E então nos inscrevemos... Então, fizemos isso uma vez e depois randomizamos o ambiente para que ficasse novo, implementamos a segmentação e fizemos uma segmentação muito grossa para começar. Em seguida, aplicamos cercas de aplicação e, em seguida, aplicamos outra camada de cercas de anel com base em camadas. E, como vimos em cada nível, à medida que você aumenta sua segmentação, você obtém redução de riscos. Mas é importante que qualquer nível de segmentação diminua a velocidade dos atacantes nesse ambiente.

27:20 Raghu Nandakumara: Então, por que é importante, na sua opinião, e como uma espécie de CTO de um fornecedor de segurança, que você seja capaz de provar a eficácia de sua tecnologia? Por que isso é tão importante?

27:34 PM Kirner: Acho que é ainda mais importante agora, como nos tempos atuais. CEOs de todos os lugares estão sob pressão para serem mais produtivos, mais eficientes e mais cautelosos com os dólares. E isso meio que chega aos líderes de segurança. Então, todo líder de segurança está perguntando a mesma coisa. Ouvi dizer que, nos conselhos de administração, os conselhos de administração podem não ter perguntado isso antes, mas agora estão perguntando: qual é o ROI do que estou investindo em segurança? E isso força os líderes de segurança a dizer, bem, deixe-me ver todas as minhas ferramentas. Por exemplo, o que realmente está fornecendo o conjunto mais eficaz de dissuasão, proteções alinhadas com minha estratégia e compreensão da eficácia e de ter uma forma quantitativa — não só esse cara gosta dessa ferramenta, ou essa mulher gosta dessa outra ferramenta — têm alguma forma quantitativa de medir isso. E é também por isso que eu gosto desse tipo de forma ofensiva de testar as coisas. Como se fosse um atacante real em um ambiente real, não um tipo de métrica simulada que alguém inventasse. É por isso que essa pesquisa, do jeito que a fizemos, achei tão engenhosa. Mas, voltando ao seu ponto de vista, todos os CISOs vão meio que analisar isso, então é muito importante agora.

29:06 Raghu Nandakumara: Você falou sobre ROI. Especialmente agora, precisamos, mais do que nunca, ser capazes de demonstrar isso. E não se trata apenas do benefício de segurança, mas também de: “Ok, eu economizo dinheiro? Eu simplifico as coisas? Devo torná-lo operacionalmente mais eficiente?” Então, esse tipo de coisa está relacionado a alguns dos ventos contrários que estamos potencialmente vendo no mercado agora. Então, quando você vê isso como CTO e cofundador, quais são os principais tipos de ventos favoráveis e contrários que você vê que estão circulando no mercado? E como você vê isso impactando o futuro do setor de segurança cibernética?

29h42 Kirner: Se voltarmos ao Zero Trust, definitivamente há um vento favorável em torno disso. Quero dizer, tivemos o mandato de Biden há algum tempo. Mais pessoas estão adotando uma estratégia Zero Trust. Há mais sessões de estratégia Zero Trust, as pessoas estão tentando descobrir quais são suas iniciativas de Zero Trust. Acho que tudo isso é bom. Como se estivéssemos ouvindo mais e mais sobre isso. Então, isso é definitivamente um vento favorável. Outro vento favorável interessante é, eu acho... Portanto, durante a época do COVID, havia muita necessidade de acesso remoto. Então, muitas pessoas trabalhavam em casa e precisavam de muita largura de banda de acesso remoto. E para resolver alguns desses desafios de acesso remoto, as pessoas compraram vários produtos da ZTNA. Então, Zero Trust Network Access. E isso meio que colocou o foco, porque você precisava deles para acesso remoto. As pessoas estão dizendo, bem, tudo bem, isso faz parte da minha jornada com o Zero Trust, então vou passar um tempo lá fora. Mas acho que as pessoas passaram muito tempo, concluíram esses projetos, concluíram essa parte da jornada. E agora há um foco voltando às cargas de trabalho das pessoas. Então, o que fazemos em nossos ambientes de nuvem pública, nossos ambientes Kubernetes, nossos centros de cores e como podemos fazer o Zero Trust lá? Então, há esse retorno depois de passar um tempo na parte de acesso remoto. Há esse retorno ao foco na carga de trabalho na rede e onde esses dados estão, e eu acho isso meio empolgante e interessante.

31:25 Raghu Nandakumara: O que você vê como igualmente... Você falou sobre condições macroeconômicas semelhantes, mas você vê algum outro obstáculo significativo que iniba novas capacidades?

13:38 PM Kirner: Um desafio que, provavelmente, outras pessoas também já mencionaram, mas vale a pena repetir, é que você não compra o Zero Trust. Não existe um único fornecedor que simplesmente compre e marque a caixa de seleção. Há uma jornada que você está fazendo. Isso é o que é. É estratégia. É preciso descobrir o que está lá fora. Você precisa se esforçar para entender os usuários, entender as cargas de trabalho e os dispositivos e como se houvesse várias etapas nessa jornada. Então, um dos pontos fracos é pensar que vou fazer isso rapidamente em uma única etapa e pronto. Então, isso continua sendo um vento contrário. Então, se sua gerência acha que vai ser assim, pode se tornar um problema com a adoção. Mas acho que o oposto disso é, A, sei que é uma jornada.

15h39 Kirner: O número dois é encontrar progressos incrementais ao longo do caminho para poder mostrar à gerência que estou reduzindo riscos e que posso continuar a reduzir riscos com essa mesma estratégia. Eu só tenho que continuar trabalhando nisso. Mas mostrar reduções de risco concretas e demonstráveis de forma incremental ao longo do caminho é realmente útil para reforçar. E é isso que eu, quando vejo uma boa estratégia de Zero Trust, eles meio que comunicam desde o início que alcançaram algumas dessas metas à medida que percorrem... uma jornada mais longa.

33:12 Raghu Nandakumara: Fico feliz que você tenha mencionado isso, porque isso é algo que acontece quando falamos com os especialistas da Zero Trust. Você falou sobre John Kindervag e Chase, mas muitos, muitos outros. Tivemos uma espécie de George Finney no podcast há algumas semanas com seu tipo de livro do Project Zero Trust, e, essencialmente, todos eles ecoam exatamente o que você disse sobre como você entregou um projeto Zero Trust bem-sucedido. Na verdade, trata-se de resultados muito táticos, de medir e iterar em cada etapa. Dado que essa é a sabedoria coletiva, por que as organizações ainda tentam fazer isso de uma só vez e fracassam? Porque parece que há conhecimento suficiente para dizer: “Essa é claramente a maneira correta de fazer isso. Só precisamos seguir o mesmo manual.” O que está impedindo isso?

15:03 PM Kirner: Bem, acho que às vezes é difícil medir isso. E acho que é aí que, independentemente de haver estruturas, recursos e produtos que possam ajudar, quero dizer, no produto da Illumio, estamos tentando criar mais painéis e mais visibilidade de algumas métricas para ajudar as pessoas nessa jornada, por exemplo. Mas às vezes é difícil medir e, novamente, o motivo pelo qual eu realmente gosto da pesquisa da Bishop Fox é que ela é contra um verdadeiro adversário. Por exemplo, porque às vezes você pode decidir uma métrica e as pessoas não concordam que a métrica seja valiosa ou um sinal de sucesso. Mas, um atacante, um verdadeiro atacante que não encontra uma joia da coroa, bem, tudo bem, não há, isso não é discutível. Mas, e é mais difícil fazer esse tipo de compromisso para montar uma equipe azul vermelha. Você não faz isso continuamente. É um pouco mais caro. Talvez esse seja o padrão-ouro, mas você precisa encontrar outras métricas com as quais a organização concorde. E existem proxies para algumas dessas coisas boas. E eu acho que esse é um dos desafios, eu acho.

35:09 Raghu Nandakumara: Então você acha que é realmente um caso de melhor conscientização e melhor educação sobre como realmente criar e executar programas Zero Trust, mas também é um maior nível de clareza sobre o que você está medindo para mostrar progresso. Essas são duas coisas importantes que são necessárias para reduzir esse vento contrário.

15:28 PM Kirner: Sim, e acho que provavelmente temos o primeiro. Acho que aprendemos um pouco sobre por que a jornada está lá. Acho que o que é necessário é a última, a forma de medir, como a métrica, as métricas acordadas. E, novamente, eles podem ser diferentes para organizações diferentes. É por isso que não é apenas um número que podemos dizer que eu sou, você sabe, e você sabe, talvez haja um modelo de maturidade, ou algo assim. Mas acho que é isso que nós, é isso que pode ajudar a acelerar alguns desses projetos e evitar a armadilha de todo mundo pensar que é só um e pronto. Eu comprava o produto e, de repente, terminava com isso e podia pensar em outra coisa.

36:13 Raghu Nandakumara: Sim, sim, com certeza. Então, agora, emparelhar isso com o RSAC está ao virar da esquina e esperar que ele volte à força total. Depois de alguns anos impactado pela pandemia, o que você adoraria ver no show floor ou nas várias salas de apresentação?

15h31 Kirner: Essa é uma pergunta muito difícil.

36:34 Raghu Nandakumara: Não é o que você espera ver. O que você adoraria ver? Quero deixar bem claro o que estou perguntando.

15h42 Kirner: Vou voltar a explorar a questão da IA por um segundo. Eu acho que haverá algumas novas maneiras pelas quais a segurança será afetada por isso. Então, eu vou te dar um exemplo. Quero dizer, você tem que imaginar com todo esse código, geração de código de IA, ok? Haverá uma maneira de explorar isso de alguma forma. E então, por exemplo, se você é um desenvolvedor, como quem é realmente responsável? Tipo, sim, a IA escreveu metade do meu código, a IA introduziu um bug, a IA introduziu uma falha de segurança. É minha culpa ter feito isso, ou culpa de outra pessoa. Porque, obviamente, quando você gera código como desenvolvedor, como se você fosse responsável pelo código que escreve, ele veio, você sabe, de onde a inteligência humana o criou e essa inteligência humana é responsável. Bem, como a inteligência generativa pode ser hackeada?

37:44 PM Kirner: Porque, e então, quem é responsável no final do dia? Então, essas duas coisas são maneiras muito interessantes de fazer isso. Quero dizer, vemos pacotes de código aberto, como coisas simples como essa. Vimos pessoas inserindo a cadeia de suprimentos de software simplesmente, como um pacote JavaScript que diz: “Inclua este projeto inocente. Qualquer coisa”, certo? E então você chama InnocentProject.run e, cara, ele rouba suas coisas ou se torna um minerador de Bitcoin ou qualquer outra coisa. É assim que as coisas são injetadas e, como no mundo real, antes da IA. Então, o que a IA pode fazer para aumentar, bem, a inteligência humana desses malfeitores no mundo? Eles serão movidos por isso. Ei, aí está uma chance, tem outra, tem outra apresentação: “Como a IA melhorou meu programa de ransomware ao...” Obviamente, alguém que nunca seria capaz de aparecer lá ou apresentar isso, mas seria uma conversa incrível.

38:52 Raghu Nandakumara: Eu ficaria chocado se pelo menos 40% das apresentações na RSA não tivessem alguma referência à IA em algum momento. E, na verdade, isso me leva a outra questão correlacionada. Que conselho você daria aos participantes do evento sobre as perguntas que eles deveriam fazer nos estandes dos fornecedores para poder separar o joio do trigo?

39:19 PM Kirner: Eu sei que isso é difícil de perguntar porque você tem que realmente se colocar... Se você compra algo e realmente entende o problema, acho que o mais interessante é: “Fornecedor, como você pode me ajudar com o problema do segundo dia”, certo? Como há muito do que as pessoas mostram, especialmente em uma apresentação de vendas, tudo se resume ao problema do primeiro dia. “Ajudaremos você com o problema do primeiro dia.” Mas acho que grande parte do custo da adoção de um produto é o problema do segundo dia. Depois de fazer a implementação inicial, como você mantém essa implementação? Quem faz isso? Como isso funciona na organização? E quando alguém quiser fazer uma mudança nisso, ou você pode até mesmo fazer uma pergunta sobre, bem, se meu... Bem, minha organização fez essa mudança no ano passado, como isso seria tratado se a implantássemos?

16:11 PM Kirner: Então, acho que essas são algumas perguntas mais difíceis de fazer às pessoas. E acho que as pessoas que pensaram sobre o quê... porque todo mundo já pensou no problema do primeiro dia. Aqueles que pensaram no problema do segundo dia e conseguiram responder à pergunta do segundo dia, acho que essas são as que você deveria ouvir mais, porque estão tentando otimizar não apenas para colocá-lo na plataforma, mas para mantê-lo feliz na plataforma durante toda a jornada. E eu acho que é uma ótima maneira de... A, uma ótima maneira de fazer negócios, mas uma ótima maneira de testar as pessoas que estão lá fora e como elas funcionam.

40:46 Raghu Nandakumara: Adoro isso, pois é uma espécie de ideia para os ouvintes que participarão de eventos da RSA ou de outros tipos de fornecedores ou eventos do tipo conferência, se realmente pensam se esse fornecedor pode ajudar a resolver seus problemas do segundo dia? Ou você simplesmente terá um problema em suas mãos que acabou de resolver o primeiro problema, mas ficará inutilizável depois disso? PJ, foi um prazer ter essa conversa com você, então muito obrigado. E pessoal, PJ não é apenas um convidado em nosso podcast. Ele próprio é o apresentador de seu próprio podcast, o podcast CTO Function, que eu encorajo todos a conferirem. Ele está disponível em todas as suas plataformas de podcasting favoritas e você tem um CTO experiente que conversa com uma coleção de outros CTOs experientes de todos os setores e eles compartilham coletivamente suas ideias sobre todos os desafios que enfrentaram e as lições que aprenderam ao longo de suas carreiras. Então vá em frente, confira isso e muito obrigado novamente, PJ, por se juntar a nós no The Segment.

16:44 PM Kirner: Obrigado, Raghu.

41:45 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com ou visite-nos na RSAC em San Francisco, entre os dias 24 e 27 de abril. Você pode nos encontrar no North Hall, no estande 5778. Enquanto isso, não deixe de conferir nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

‍