Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
A batalha diária no ciberespaço
Season One
· Episódio
8

A batalha diária no ciberespaço

Neste episódio, o apresentador Raghu Nandakumara se reúne com Gary Barlet, CTO federal de campo da Illumio, para discutir sua própria experiência pessoal com a Zero Trust, os principais desafios cibernéticos enfrentados pelas organizações federais e por que adotar uma abordagem de “supor violação” em questões de segurança cibernética.

Transcrição


00:09 Raghu Nandakumara: Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust.

Hoje, estou acompanhado por Gary Barlet, CTO federal de campo da Illumio.

Na Illumio, Gary é responsável por trabalhar com agências governamentais, prestadores de serviços e com o ecossistema federal mais amplo para ajudá-los a atingir seus objetivos de segurança Zero Trust. Anteriormente, Gary foi diretor federal de informações e também é oficial aposentado de operações cibernéticas da Força Aérea, com mais de 29 anos de experiência nas forças armadas e no governo.

Hoje, Gary se junta a nós para discutir sua própria experiência pessoal com a Zero Trust, os principais desafios cibernéticos enfrentados pelas organizações federais e por que adotar uma abordagem de “supor violação” em questões de segurança cibernética. Gary, é um prazer absoluto ter você aqui hoje. Muito obrigado por se juntar a nós.

01:13 Gary Barlet: Não, obrigado, Raghu. Estou muito animado por estar aqui.

01:15 Raghu Nandakumara: Não estou tão animada por ter a oportunidade de falar com você, Gary. Então, você está no setor há um bom tempo e tenho certeza de que já viu uma grande variedade de cenários e experiências diferentes. Você pode nos dizer o que o levou à cibersegurança?

01:30 Gary Barlet: Claro. Então, quando comecei minha carreira na Força Aérea, estava no início do mundo das redes da Força Aérea e, na verdade, passei a primeira metade da minha carreira sem fazer nada a ver com redes. Eu realmente investi muito na segunda metade da minha carreira. Mas você tem que entender que, estando na Força Aérea, éramos o principal alvo dos adversários, especialmente dos adversários do estado-nação, adversários muito sérios. Assim, você percebe rapidamente o quanto a verdadeira segurança de rede é a verdadeira segurança corporativa e percebe que não se trata apenas de: “Ah, você tem um antivírus atualizado em seu laptop? Você tem um firewall ativado no seu laptop? Você tem uma boa senha?” Você entende a complexidade envolvida na tentativa de fornecer uma segurança real e verdadeira em nível corporativo, e eu achei isso fascinante. E descobri que o desafio de tentar ser mais esperto que seus adversários e travar uma batalha era uma batalha diária. Nas forças armadas, nem todo mundo se encontra em combate. Diferentes conjuntos de habilidades se encontram na maioria das vezes em combate, muito raramente. No ciberespaço, você está em combate todos os dias, e essa é uma das coisas que eu mais gostei do meu tempo fazendo isso, é que você está lutando e fazendo isso todos os dias.

02:46 Raghu Nandakumara: No meu tempo livre, gosto muito de vídeos de infraestrutura no YouTube. E eu estava vendo a escala da infraestrutura que a Força Aérea e as Forças Armadas implantam. Como você protege uma rede que é tão rápida e diversificada? Como você vai mesmo projetar isso?

03:07 Gary Barlet: Então, tem seus desafios. Eu não vou mentir. Uma coisa é pensar em fazer isso em pequenos pedaços. Você precisa tentar identificar onde concentrará seus recursos. Essa é uma coisa sobre a cibersegurança: você nunca tem recursos suficientes para fazer tudo. Você sempre tem uma lista de tarefas mais longa do que você poderia esperar realizar e está constantemente repriorizando essa lista de tarefas. Então, a realidade é que você olha para as coisas... Você faz seu gerenciamento de riscos, quais são suas maiores ameaças, qual é o impacto de... Se houver um acordo, o que terá o maior impacto e você realmente tentará concentrar seus esforços em proteger essas coisas. E tentando bloquear as coisas que você acha que pode bloquear, e a última coisa é que você passa muitas noites sem dormir. Como resultado disso, você não dorme muito bem na maioria das noites.

03:52 Raghu Nandakumara: Eu concordo totalmente. Então, em sua experiência, e é claro, nem falamos sobre sua experiência no serviço postal... quando você se deparou pela primeira vez com o termo Zero Trust?

04:03 Gary Barlet: Então, a primeira vez que me deparei com o termo Zero Trust foi provavelmente, sei lá, há cinco anos. Cinco, seis anos atrás, talvez. Já existe há algum tempo. Mas é interessante. A primeira vez que ouvi isso, pensei: “Ah, vamos lá. É outro rebranding.” Você sabe como é o mundo da TI. Nós mudamos a marca das coisas, o que é velho de novo é novo novamente, e nós simplesmente mudamos a marca das coisas. Então, quando ouvi pela primeira vez o termo Zero Trust, pensei: “Vamos lá”. E, honestamente, parte da razão pela qual me senti assim é que algumas das primeiras coisas que foram destacadas no Zero Trust, elas falaram sobre identidade e sobre saber quem está acessando o quê. Nas forças armadas, falamos sobre isso há muito tempo. Então, no começo, pareceu uma mudança de marca. E então, quando você realmente começa a se aprofundar no que realmente está no cerne do Zero Trust, você realmente começa a entender que é realmente uma maneira diferente de ver as coisas com uma mentalidade diferente, especialmente quando você realmente chega ao cerne disso e fala sobre a mentalidade de “supor uma violação”. E suponha que você nunca vencerá completamente a batalha para impedir uma violação, mas o que você pode fazer é tentar minimizar o impacto dessa violação.

05:01 Raghu Nandakumara: Então, na verdade, o que você acabou de dizer é algo muito interessante. Eu quero me aprofundar um pouco mais. Então você disse que era uma daquelas pessoas que, quando se deparou com o Zero Trust, pensou: “Isso é apenas propaganda de marketing”. E, de fato, provavelmente ainda existem pessoas hoje que dizem que o Zero Trust é apenas um exagero de marketing. Mas então o interessante foi que você disse que investigou e percebeu que isso era... Na verdade, não era uma espécie de roupa nova sobre o mesmo problema; na verdade, era uma maneira completamente diferente de abordar o problema de como protegemos redes corporativas e organizações corporativas. O que fez você ver isso como uma abordagem diferente? Qual foi a diferença que você viu que ele comprou?

05:46 Gary Barlet: Foi engraçado. Então, eu sempre tive conversas genéricas, meu tempo na Força Aérea, meu tempo como CIO federal, sobre o fato de que você nem sempre pode ganhar, você vai perder, e sempre tive essa ideia de: “Ok, e se? O que nós vamos fazer? Como vamos reagir se perdermos?” E então, como eu disse, quando comecei a realmente entender um pouco o Zero Trust e a pensar sobre essa mudança de mentalidade, não foi apenas uma mudança de mentalidade para mim, mas uma mudança de mentalidade para as pessoas que trabalhavam para mim, a maneira como abordamos os problemas. Eu sempre tive essa filosofia de que 80 por cento é bom o suficiente. E isso se resume ao fato de que, sempre que você tenta implantar algo ou fazer alguma coisa, a busca pela perfeição é impossível. E acho que o Zero Trust realmente chega ao cerne de: Olha, você quer continuar tentando fazer o seu melhor, mas a perfeição não existe. E você precisa estar pronto para a alternativa. O que acontece quando a arte da perfeição falha e você tem que lidar com a violação? E eu acho que isso é... Essa mudança monumental na abordagem da filosofia é algo que eu acho que entidades, agências e empresas modernas, se não fizerem essa mudança, continuarão perdendo.

06:57 Raghu Nandakumara: Certo. E essa é uma ótima maneira de enquadrá-lo. Essencialmente, acho que o que você está dizendo é: não deixe que a perfeição seja inimiga do bem e adote essa abordagem voltada para o futuro, porque você também mencionou o termo “presumir violação”. Para os ouvintes, o que você quer dizer com supor violação?

07:16 Gary Barlet: Então, se você olhar para... Recentemente, foram lançados todos os tipos de relatórios que... O tópico popular hoje em dia é o ransomware. E foram divulgados estudos recentes que dizem que cerca de 76% das organizações foram afetadas por algum tipo de ataque de ransomware. Bem, se nossas defesas eram tão boas, por que o ransomware é mesmo uma conversa? Por que estamos falando sobre ransomware? Mas aqui está a realidade: você olha para o mercado de antivírus. Há décadas, o mercado de antivírus diz: “Se você simplesmente comprar nosso produto, nós vamos acabar com os vírus que estão por vir”. Nunca acontece. Constantemente sendo infectado, lidando constantemente com esse tipo de coisa e com todos os tipos diferentes de malware. Então, aqui está a realidade: é apenas uma batalha contínua que é impossível de parar e vencer 100 por cento das vezes. Então a questão é, nós fomos capazes de fazer... Muitas pessoas conseguiram fazer a mudança de: “Ok, olha, eu sei que tenho um antivírus atualizado, mas Eu preciso de backups. Preciso fazer backup das minhas informações porque, se esse material for infectado, como faço para me recuperar de uma infecção? Ah, vou restaurar a partir do backup.”

08:17 Gary Barlet: Mas o que fazemos com as violações? E é aí que eu acho que muitas agências ainda estão atrasadas, está entendendo, isso vai acontecer. Em algum momento, isso vai acontecer. Há um... Então, seguindo essa mentalidade, você só precisa presumir que, em algum momento, algo vai acontecer. Somos todos humanos. As redes são administradas por humanos. Acho que as pessoas perdem de vista o fato de que as redes são administradas por humanos. Humanos cometem erros — e esses erros serão capitalizados, e você precisa estar preparado para lidar com o que acontece quando esses erros são capitalizados.

08:46 Raghu Nandakumara: Então, acho que o que você está dizendo é que não há problema em adotar essa abordagem partindo do pressuposto de que algo inesperado vai acontecer. Essa é uma boa maneira de afirmar isso?

08:58 Gary Barlet: Absolutamente. E vou te dizer que é difícil, especialmente para pessoas que cresceram na TI tradicional, fazer essa mudança, porque basicamente o que você está dizendo é: “Estou dizendo logo de cara que, em algum momento, vou falhar. Eu vou falhar. Vou falhar no trabalho que você me deu, que é defender a empresa que você me confiou.” Em algum momento, eu vou falhar. E agora a pergunta é: O que eu vou fazer sobre isso quando eu falhar? Muitas pessoas não querem admitir que vão falhar. E é... Novamente, isso vai acontecer. Então, você pode muito bem aceitar o fato de que isso vai acontecer e então ter seus planos de contingência no lugar de “O que vou fazer sobre isso quando, não se, quando isso acontecer?”

09:35 Raghu Nandakumara: E eu acho que está certo. É basicamente como presumir o inesperado. E então, se você começar com isso, então, essencialmente, o que você faria para garantir que esse evento inesperado tivesse o menor impacto negativo possível.

09:47 Gary Barlet: E essa é a chave. Então, algumas pessoas pensam no fato de que, Ok, algo ruim aconteceu, esse é o fracasso. Na minha mente, sempre foi: Algo ruim aconteceu, qual foi o impacto? O que isso fez com minhas operações? Quão difundido foi o impacto? Quanto meus clientes se sentiram? Porque, honestamente, se os clientes não sentem algo e você está lidando apenas com algo no back-end, mas os clientes não sentem, isso é uma vitória. Se os clientes não perceberem o impacto, essa é uma das maiores vitórias que você pode ter, certo?

10:16 Raghu Nandakumara: Sim, com certeza, absolutamente. E então vamos partir daí. Então, entendemos como você se envolveu nesse conceito de Zero Trust. Então, agora você pode nos contar um pouco sobre como você realmente colocou isso em prática, talvez alguns dos projetos que você ajudou a pilotar e liderar, onde adotou essa abordagem no setor público?

10:35 Gary Barlet: Eu estava envolvido na implantação de cartões CAC nas forças armadas. E o cartão CAC é o cartão físico que você precisa inserir. Foi a implementação generalizada da autenticação de dois fatores nas forças armadas. E isso é ter essa identidade segura - então cada um de nós tinha um cartão, tinha um certificado, estava vinculado a nós como indivíduo, para bloquear e tentar se concentrar nessa parte de identidade. E então capitalizamos essas peças de identidade em todos os sistemas de todo o exército de: Ok, agora que sabemos que deveria ser Gary porque é o cartão físico que está em sua mão, ele inseriu o PIN que só ele conhece, agora temos uma autenticação baseada em certificado que podemos, com algum nível de garantia, dizer: “Este é Gary”. Agora podemos usar isso para acessar sistemas militares.

11:23 Gary Barlet: Então isso foi... No mundo de hoje, isso é visto como Zero Trust. Novamente, na verdade não se chamava Zero Trust quando estávamos fazendo essas coisas, mas acho que esse tipo de abordagem é fundamental quando você pensa sobre essas coisas. E depois projetos de migração para a nuvem e tentativa de adotar os mecanismos de segurança que a nuvem pode trazer para você. Especialmente quando começamos a fazer avaliações de onde as pessoas estão fazendo login e analisando o Comply-to-Connect em laptops. Eu estava envolvido em um projeto de implantação do Comply-to-Connect, em que analisamos com atenção qual era o estado do dispositivo que alguém estava tentando usar para acessar a empresa e, em seguida, o que fizemos com base nesse endpoint de evento de estado. Então, há apenas alguns exemplos de projetos que... Novamente, eles eram necessariamente chamados de Zero Trust na época? Às vezes, sim, às vezes não, dependendo do momento do projeto, mas do ponto de vista de tentar implementar alguns dos principais inquilinos do Zero Trust, tentamos...

12:24 Gary Barlet: Vou te dizer, nós tentamos... Eu estava com uma agência. Tentamos uma implementação muito grande de 802.1X e VLANs dinâmicas para tentar fazer a segmentação. E eu vou te dizer, não teve muito sucesso. Às vezes você tenta algo e simplesmente não funciona. Esse foi um daqueles projetos que não foi uma implementação bem-sucedida de tentar fazer uma implementação Zero Trust para mim.

12:48 Raghu Nandakumara: Sim, isso é uma coisa muito interessante porque acho que às vezes o desafio, especialmente com algo como segmentação, não é essa segmentação e o que você quiser prefixar com ela, segmentação de rede, macro, micro, etc. Isso é algo que nós, como profissionais de segurança de rede, queremos fazer desde, vou dizer, tempos imemoriais. Mas apenas a tecnologia que nos permite fazer isso na escala das redes corporativas atuais acabou de se tornar essencialmente disponível e realmente utilizável, e é por isso que ainda vemos muitas e muitas redes planas, é porque as organizações ainda estão se atualizando. Esse é, essencialmente, o desafio que você enfrenta?

13:32 Gary Barlet: Absolutamente. Quero dizer, quando você está tentando fazer algo como um projeto de segmentação em grande escala, você se depara com alguns obstáculos principais, o número um é o grande volume. Se você realmente vai fazer isso corretamente, você precisa realmente implementá-lo com todos os principais dispositivos da sua empresa. E se você tem uma grande empresa, são milhares e milhares e milhares de endereços IP que você está tentando acompanhar. E então, apenas a pura dinâmica de uma empresa, especialmente se você entrou no mundo das máquinas virtuais e está rapidamente implementando as coisas nos ambientes de nuvem e multinuvem, exatamente a complexidade envolvida. Então, agora você amplia seu problema de que não está apenas tentando acompanhar todas essas instâncias, todos esses IPs diferentes, mas eles estão em todos esses locais diferentes.

14:20 Gary Barlet: E como você deve acompanhar todas essas coisas? E então, em cima disso, você tem... A maioria dos lugares tem uma equipe de TI muito limitada para todo o trabalho que eles precisam fazer, apenas o trabalho diário de tentar manter as coisas funcionando, e então você tenta aplicar algo assim em cima deles e diz: “Ei, eu vou escolher você. É seu trabalho garantir que, sempre que algo novo se junte à empresa, você precise descobrir todas as centenas de lugares que precisa atualizar para que essa coisa se conecte da maneira que deveria se conectar, mas não ultrapasse fronteiras que não deveria cruzar.” Esse é um desafio impossível de oferecer a alguém.

14:53 Raghu Nandakumara: Sim, completamente. É por isso que você então... Acho que o que é a alternativa”, mas é como: “Bem, quais controles compensados eu tenho?” Ou, na maioria das vezes, “Estou bem em aceitar esse risco e seguir em frente?” E muitas vezes é isso que encontramos, é simplesmente adicioná-lo ao registro de risco e dizer: “Sim, eu sei disso”.

15:15 Gary Barlet: E isso é uma coisa engraçada. Isso é o que geralmente acaba acontecendo, você faz com que as pessoas digam: “Ok, o que vou precisar para tentar mitigar esse risco? Ah, bem, se eu triplicar o tamanho da minha equipe de TI e triplicar meu orçamento de TI, talvez eu consiga mitigar isso até certo ponto.” E os tomadores de decisão dizem: “Sim, onde eu assino? Porque eu não posso... "Esse é um investimento impossível para você fazer. “Onde eu assino? Qual será o impacto se eu não fizer isso?” E eles... As pessoas hesitam um pouco, e então o responsável diz: “Eu vou assinar isso porque de jeito nenhum, Sr. CIO, vou triplicar sua equipe e triplicar seu orçamento para fazer algo que eu, honestamente, estou lutando para entender de qualquer maneira”. Porque o que eu espero que você faça é manter minha empresa cercada por essa bela camada de defesa, e qualquer coisa lá dentro deve estar segura. Então, por que estou assinalando esse cheque para você?”

16:04 Raghu Nandakumara: Então você acha que estamos agora em um lugar, seja no setor federal ou na empresa em geral, em que exageramos na aceitação de riscos e a importância da mitigação de riscos foi meio que deixada de lado?

16:23 Gary Barlet: Sim, na verdade, essa é uma pergunta interessante porque acho que a resposta é sim. Acho que chegamos a um ponto em que... Costumava ser o problema oposto. Não queríamos assumir nenhum risco. Queríamos mitigar tudo. E então, quando as pessoas perceberam que essa é uma abordagem ridícula, uma meta impossível de alcançar, as pessoas começaram a afrouxar um pouco os aceleradores, afrouxar um pouco as algemas, e chegaram, eu acho, a um ponto em que agora quase não há controles em vigor. E as pessoas dizem: “Ei, já que se trata de fazer o trabalho, sim, não nos importamos se você permite que dispositivos pessoais entrem na empresa, porque tudo se resume a manter o...” Você ouve muito sobre: “Bem, como atraímos jovens talentos?” E os talentos mais jovens não estão acostumados a serem restringidos. Então, temos que fazer coisas para garantir que não estamos restringindo o talento que estamos tentando contratar. Então, de repente, você pensa: “Vou aceitar todo o risco e meio que cruzar os dedos, fechar os olhos e realmente esperar que nada de ruim aconteça”.

17:18 Raghu Nandakumara: Sim, sim, exatamente. E quando algo ruim acontece, o que eu espero é que eles não olhem o registro de riscos e digam: “Nós realmente aceitamos esse risco?” E por que, quem, etc. Vamos voltar aos desafios do governo federal e de segurança que eles enfrentam e por que estão adotando o Zero Trust. Então, sempre vimos isso... Este é um grande impulso no espaço federal dos EUA. Em primeiro lugar, quais são os desafios, quais são os desafios de segurança que o governo federal enfrenta hoje? E por que eles precisam adotar o Zero Trust?

17:53 Gary Barlet: Claro. Então, alguns dos desafios que eles enfrentam, número um, e isso... Muito disso é parecido com o que você vai ouvir... o que você ouviria se fizesse a mesma pergunta sobre setores privados. Mas no espaço federal, dinheiro, pessoas e depois flexibilidade para fazer as coisas. Então você começa com o fato de que eles estão constantemente lidando com o ciclo orçamentário federal, com quanto dinheiro eles estão recebendo. E, a propósito, as pessoas não percebem com que antecedência você está trabalhando seu orçamento do ponto de vista federal. Não é uma questão de: “Ei, é julho e o próximo ano orçamentário começa em 1º de outubro. Aqui está quanto dinheiro eu quero.” Huh, você tomou essas decisões anos atrás sobre quanto dinheiro você precisa para um determinado ano fiscal. Então você está tentando prever o futuro a partir de uma perspectiva orçamentária, e eles não... O sistema orçamentário federal não foi projetado para dizer: “Ah, bem, sinta-se à vontade para pedir alguns milhões de dólares sem explicar em que vai gastar. Sinta-se à vontade para pedir dinheiro excedente para o caso de algo surgir no futuro.” Então isso é um...

18:52 Gary Barlet: Todo esse ciclo é um desafio para o governo federal. Além disso, obter os recursos certos quando você analisa o cenário global, a escassez de equipe de TI e a escassez de experiência em TI, especialmente quando você começa a abordar a segurança, essa é uma parte menor do problema de TI... Como o governo federal compete por esses recursos? Se você é um jovem especialista em segurança de TI e olha sem parar, onde eu vou trabalhar?

19:19 Gary Barlet: Eu quero trabalhar no governo federal, vou ser um GS, seja o que for, e geralmente é uma classificação GS mais baixa, ganhando $40-50.000 por ano? Ou eu quero trabalhar em alguma empresa em algum lugar ganhando $140-150.000 por ano? E o governo federal precisa descobrir uma maneira de tentar atrair essa pessoa para trabalhar no governo e não trabalhar em uma das 10.000 vagas em seu estado natal. Isso nem se preocupa com o teletrabalho e em qualquer lugar do mundo. Mas isso é um grande desafio para o governo federal e, em seguida, para o tipo de mentalidade, certo. Tentando responsabilizar as pessoas. Certo, então, quando você precisa fazer mudanças e precisa fazer mudanças no governo federal, tentar responsabilizar as pessoas por fazer essas mudanças pode ser um desafio no governo.

20:09 Gary Barlet: É muito difícil demitir pessoas. Então, se alguém não está fazendo um bom trabalho, você passa muito tempo tentando trazê-lo junto antes que possamos nos livrar dele, e enquanto esse processo está acontecendo, ele está ocupando um lugar, deveria estar cumprindo uma responsabilidade. E se essa for uma das posições-chave para proteger sua empresa e a pessoa não estiver se esforçando, pode levar muito tempo para se livrar dessa pessoa, e agora você está de volta ao desafio de como preencher essa cadeira novamente?

20:35 Raghu Nandakumara: Sim, então isso me leva a uma pergunta. Então, obviamente, houve um grande impulso. Houve a Ordem Executiva do Presidente Biden no ano passado que realmente acelerou a adoção da abordagem de segurança Zero Trust entre as agências federais. Então você meio que falou sobre um grande problema de pessoas que as agências federais enfrentam. Diante disso, você acha que a adoção do Zero Trust e a continuação desse EO serão realistas?

21:06 Gary Barlet: Eu acho que... Espero que eventualmente seja realista. Isso não vai ser realizado em um curto período de tempo. Então, quando a Ordem Executiva saiu, vamos lá, certo. Aí vem outro mandato do alto, dizendo a todas essas agências federais que é algo que elas precisam fazer, e que não há dinheiro para fazer isso. O IPv6 é um exemplo perfeito. Perdi a noção de há quanto tempo o governo federal deveria migrar para o IPv6, a maioria das agências... nem sabe soletrar IPv6 — muito menos implementaram o IPv6. E isso foi um mandato federal há muito tempo.

21:40 Gary Barlet: Agora, acho que onde a Zero Trust tem mais chances de sucesso é... Acho que há uma necessidade muito mais reconhecida de implementar os princípios do Zero Trust do que... novamente, algo como IPv6. Então, acho que alguns dos princípios fundamentais e fundamentais do Zero Trust ressoam nas pessoas e elas entendem que, voltando a isso, percebi que provavelmente aceitamos riscos um pouco demais e precisamos descobrir uma maneira de minimizar a estrutura de risco que temos aqui, e acho que o Zero Trust traz um pouco disso para o primeiro plano das agências.

22:14 Raghu Nandakumara: Acho que, só para comentar sobre IPv6, acho que se alguém que trabalhou com redes ou segurança de rede nos últimos 20 anos, todo mundo tem sua própria história engraçada sobre IPv6. No meu caso, foi em um antigo empregador, acho que houve essa coisa chamada Dia Mundial do IPv6, provavelmente há cerca de uma década, e todos nós estávamos participando e... O que tivemos que fazer naquele dia? Só isso para aquele dia. Por um momento, mostre que nosso site externo pode ser acessado por IPv6. Só por um momento. E depois disso, estamos de volta ao IPv4 para todos. Ok, então você diz que Zero Trust, devido à sua importância, ao tipo de resiliência e cibersegurança das agências federais em geral e à importância disso, é algo que vai ganhar força, não será outro tipo de IPv6, certo?

23:11 Raghu Nandakumara: Quando analiso o mandato e, por um lado, como praticante do Zero Trust, fico entusiasmado com isso. Finalmente, temos uma agência governamental e isso também é o governo dos EUA determinando que... E isso só pode ser bom tanto para o setor público em outros países do mundo quanto para o setor privado. Mas, por outro lado, eu meio que olho para o cronograma que foi estabelecido e uma parte de mim acha que não é agressivo o suficiente. Estamos abordando os aspectos reais da redução de risco, muito adiante, e por que não podemos ir mais fundo, de forma ampla e mais cedo? Estou sendo meio ganancioso aqui e isso é uma coisa boa, e entraríamos no trem e deixaríamos essa linha do tempo se mapear sozinha?

23:54 Gary Barlet: Então, acho que adoraria agitar uma varinha mágica e fazer isso muito mais rápido. Tendo passado tanto tempo no governo, direi que os cronogramas estabelecidos são bastante agressivos para o governo. E está certo, e, novamente, volto a toda a conversa sobre orçamento, certo, e ao fato de que você está orçando com vários anos de antecedência, o processo de aquisição. E lembre-se, e acho que algumas pessoas perdem de vista uma coisa: as agências federais operam de acordo com as leis aprovadas pelo Congresso. Então, com as restrições que eles têm, as pessoas perguntam, por que o governo demora tanto para comprar algo? Bem, vou te dizer o porquê, porque existem muitas regras em vigor para garantir uma concorrência justa, para garantir que você tente evitar o fornecimento único e o bloqueio de um fornecedor, então existem todas essas coisas diferentes.

24:41 Gary Barlet: E todos eles são muito justificáveis de implementar freios e contrapesos, mas as ramificações de alguns desses freios e contrapesos tornam muito difícil para as agências fazerem compras e podem realmente prolongar os prazos. Portanto, não é uma questão de “Ei, vamos sacar seu cartão de crédito e comprar algo hoje e escolher quem você quiser”, isso não funciona no governo federal. As entidades privadas podem, na maioria das vezes, comprar o que quiserem de quem quiserem, quando quiserem. O governo federal e o Departamento de Defesa não têm esse tipo de luxo, então isso, por si só, adiciona automaticamente uma grande quantidade de tempo a um cronograma para tentar implementar algo, apenas por causa da grande quantidade de regras que precisam ser seguidas e dos freios e contrapesos, e de lidar com, você sabe, pessoas protestando, certo? Você faz um grande prêmio, recebe um protesto, pode ter acabado de aumentar seu cronograma de compras em 50 ou 100 por cento.

25:33 Raghu Nandakumara: Ok, certo. Então, como você acha que as agências federais organizadas serão responsabilizadas de forma que estejam seguindo esse plano e cumprindo... E eu entendo, certo, que essas são agências governamentais, as coisas levam seu próprio tempo, mas, por exemplo, como a responsabilidade será aplicada?

25:57 Gary Barlet: Portanto, a peça de responsabilidade é a peça que mais me preocupa, porque se a história serve de juiz e algo a ser medido, a responsabilidade é sempre uma das coisas que parecem não ter efeito quando esse tipo de coisa acontece. Você pode ver em um ambiente diferente, em uma empresa privada, se você disser a alguém: “Raghu, eu lhe dei um prazo, espero que você cumpra esse prazo”, e se você não cumprir esse prazo, há uma boa chance de que essa pessoa vá embora... “Obrigado pelo seu serviço. Você pode sair agora, e eu vou tentar trazer alguém até lá e, da próxima vez que eu der um prazo, cumprirei esse prazo.” No governo, a maioria das pessoas não é demitida porque não cumpriu um prazo, não cumpriu um mandato. Eles não... não é por isso que eles são demitidos. E é uma pena que às vezes alguns desses... E não estou dizendo que o Zero Trust seja uma delas, mas às vezes os mandatos chegam e, na verdade, trata-se apenas de marcar uma caixa, para que alguém possa dizer: “Ei, fizemos alguma coisa” e depois vem: “Ei, qual é a próxima coisa?”

26:52 Gary Barlet: “Qual é o próximo objeto brilhante que vamos perseguir e ninguém se dá ao trabalho de olhar para trás”, essa é uma de todas as coisas que afetam a Zero Trust, é essa responsabilidade. Porque, na verdade, caberá às agências se responsabilizarem, e provavelmente a coisa mais próxima da responsabilidade será que a maioria das agências federais tem um Gabinete do Inspetor Geral, isso é algo que me preocupa, já que é de lá que eu venho, elas entrarão e escreverão auditorias e dirão: “Ei, agência federal, você deveria fazer x a essa altura, vamos escrever o que você não fez isso.” Certo, e então isso será publicado, o que poderá ser observado e notificado pelo Congresso. O Congresso pode perguntar ao chefe da agência federal: “Ei, tenho que relatar minha frase que diz: 'Nós, o Congresso, o presidente disse que você fizesse algo dentro de um determinado cronograma, você não o fez. ' O que você vai fazer sobre isso?” E a resposta deles pode ser: “Desculpe, vamos fazer isso hoje, ou... Sim, veremos como será o artigo daqui a dois anos, quando formos analisados novamente.”

27:45 Raghu Nandakumara: Sim, bem, quem não adora uma auditoria ou estar no C-SPAN. Acho que há muitas coisas que outros governos em todo o mundo podem aprender com o tipo de abordagem dos EUA para adotar o Zero Trust, mas, afastando-se do setor público, quais são as lições para o setor privado? E não precisamos considerar isso como o setor privado em geral, mas talvez setores específicos do setor privado, o que eles podem aprender com o tipo de abordagem que o governo federal está adotando?

28:17 Gary Barlet: Acho que, novamente, conversamos sobre algumas das ineficiências de partes do governo federal, no entanto, com esse foco generalizado de alto nível. Então, nas verticais, quando você analisa se está na vertical bancária, se está na vertical médica, tentando pegar algo para torná-la o padrão de fato, e “Ei, se você não está fazendo isso, está seriamente atrasado”. E no setor privado, certo... você tem concorrência. Então eu posso ver se a competição começa a dizer: “Ei, bem, nós fazemos isso e eles não... Meus concorrentes não fazem isso, mas eu estou fazendo isso, adotei o Zero Trust, adotei essas práticas de segurança, estou protegendo suas informações, meus concorrentes não estão protegendo as informações.” Certo, acho que a adoção de um padrão acontece mais rápido no setor privado devido ao fato de você estar competindo por dólares. Qualquer coisa que você possa usar como diferencial é fundamental, então eu posso imaginar uma empresa do setor privado dizendo: “Ei, o presidente achou que algo era tão importante que ele emitiu seu mandato para o governo.”..

29:18 Gary Barlet: “Nós já estamos fazendo isso, certo? Olha como somos bons, certo.” Então, em diferentes verticais, eu poderia facilmente ver algumas dessas coisas se tornarem uma espécie de padrão de fato, não é diferente de quando elas começam a tentar competir umas com as outras dizendo: “Ei, quais benefícios oferecemos? Quais recursos oferecemos?” Acho que isso é fundamental e, se você conseguir que essa mentalidade de segurança diga: “Ei, essa é mais uma daquelas coisas com as quais deveríamos nos comparar”, isso pode se tornar aquela coisa que eu posso apontar e dizer: “Eu faço isso, você não... Então, eu encorajaria, diretamente no setor privado, a pensar sobre algumas dessas coisas e dizer: Como posso usar isso a meu favor? Mas é melhor fazer isso, porque a última coisa que você quer fazer é fingir que está fazendo isso e então você sabe que algo aconteceu e precisa explicar à sua base de clientes por que você não estava fazendo isso.

30:00 Raghu Nandakumara: Então, basicamente, quase usar o Zero Trust para segurança como um diferencial e como um tipo de diferencial competitivo entre você e sua concorrência... Certo.

30:08 Gary Barlet: Absolutamente. É interessante, certo... Porque você olha para uma empresa privada, e acho que vai começar devagar, você está vendo essa mudança. Quando uma empresa privada é violada, certo, o que acontece... É um grande sucesso nas notícias. Então eles dizem, ok, geralmente se a resposta for: “Ah, vamos pagar pelo monitoramento de crédito gratuito para você por um ano”. Na pior das hipóteses, talvez alguém abra uma ação coletiva e você receba a carta pelo correio e acabe recebendo 50 dólares como parte do acordo. Mas acho que você está começando a ver empresas que estão realmente começando a sofrer ataques agora, quando essas coisas acontecem, certo? Porque se, de repente, como cliente, você começar a sentir que não posso confiar à empresa X as informações do meu cartão de crédito...

30:46 Gary Barlet: O que você vai fazer? Você vai parar de comprar lá. E eu acho que à medida que a população se torna cada vez mais experiente sobre o assunto, e eu acho que há... Estamos chegando a um ponto crítico em que as pessoas estão cansadas de ouvir “Ah, aconteceu de novo. E isso simplesmente acontece”, certo? Eu realmente acho que a população está ficando cansada disso e eles vão começar a responsabilizar as pessoas, e talvez seja apenas com seus pés e seus talões de cheques. Eles vão levar seus dólares para outro lugar porque estão cansados de ouvir dizer: “Ah, vamos lá de novo, minhas coisas foram comprometidas novamente”.

31:13 Raghu Nandakumara: E esse é um ponto muito interessante, certo? Acabe aí, porque acho que o público em geral agora tem uma compreensão básica muito melhor das violações de segurança. Eles têm uma compreensão básica muito melhor de um ataque de ransomware. Portanto, não é que as organizações possam simplesmente tirar a poeira de debaixo do tapete e esquecê-la. Quando isso acontece, as pessoas dizem: “Meu Deus, ainda não. Reação do tipo “Eu não estou seguro lá” agora.

31:44 Gary Barlet: Com certeza, sei que as coisas mudaram quando recebo um telefonema da minha mãe de mais de 70 anos que diz: “Ei, isso aconteceu nesta empresa, estou muito chateada com isso”, e minha resposta é: “leve seu dinheiro para outro lugar”. E ela diz que “provavelmente é uma boa ideia”. Quando você chega ao ponto em que os clientes estão fazendo esse tipo de pergunta, eu realmente acho que ultrapassamos o limite de... E não sei se vamos voltar atrás, e acho que as pessoas estão realmente começando a se cansar disso, e as empresas estão tendo que começar a levar isso cada vez mais a sério, porque algumas dessas violações superaram suas violações embaraçosas. Mas elas estão começando a se tornar violações realmente impactantes financeiramente porque os clientes estão começando a perder a confiança nas empresas.

32:29 Raghu Nandakumara: Com certeza, mas também acho que o mais preocupante é que, quando você descompacta os detalhes do que causou essas violações, as causas principais geralmente são sempre as mesmas. É como quando muitas vezes não estamos aprendendo, e acho que essa é a frustração.

32:48 Gary Barlet: Sim, essa é definitivamente a frustração, e consigo pensar na última vez que houve algo que... Mais uma vez, vou voltar para minha mãe. Estávamos conversando sobre algo que havia acontecido com uma empresa com a qual ela estava fazendo negócios, e ela tinha compreensão suficiente do problema para me dizer: “Entendi que alguém tinha uma senha de administrador fraca. Quão idiota é isso?” E isso vinha da minha mãe. Se chegar ao nível de minha mãe, que é a pessoa mais experiente em TI que você quer conhecer, pode dizer algo assim e fazer uma pergunta como essa, algo mudou no ambiente.

33:24 Raghu Nandakumara: Parece que ela deveria conseguir um emprego em segurança cibernética, certo. Ela teria as habilidades, teria a consciência disso. Então, voltando rapidamente à adoção do Zero Trust, você vê uma diferença na abordagem entre como o setor privado adotará o Zero Trust e como o setor público adotará o Zero Trust?

33:43 Gary Barlet: Então, primeiro de tudo, acho que o setor privado já está muito mais adiantado no caminho do Zero Trust do que o setor público... Você pode ver que, com diferentes entidades e algumas das coisas que elas implantaram e implementaram, o governo só agora está começando a falar sobre, então acho que elas já estão mais abaixo... E eu acho que eles têm algumas coisas diferentes. Então, conversamos sobre essa coisa de competição, certo. Então, pegue qualquer vertical que você quiser, e há várias empresas nessa vertical. Se eu, como cliente, sentir que você não está fazendo algo com segurança, irei para outro lugar. Mas agora, vamos comparar isso com o setor público.

34:15 Gary Barlet: Há apenas uma Administração da Previdência Social, há apenas um IRS, há apenas um VA. Não posso pegar meu dinheiro e ir para outro lugar porque os serviços que estou recebendo são apenas um desses. Certo, então não há tanto incentivo motivador no setor público quanto no setor privado, porque a base de clientes está paralisada. Não há concorrência no governo, não há outro lugar para ir, então eles não têm necessariamente as mesmas coisas pairando sobre suas cabeças do lado do governo, como têm no setor privado, porque no setor governamental, você sabe que sua base de clientes não vai a lugar nenhum. Já no setor privado, você precisa ser flexível e adaptável porque não quer perder seus clientes e sua base de receita e não pode se dar ao luxo de perder clientes.

34:58 Gary Barlet: É por isso que acho que uma das outras razões pelas quais acho que as coisas demoram um pouco mais no público, no governo, é por causa disso, pelo fato de não haver concorrência, de não haver outro lugar para seus clientes irem.

35:09 Raghu Nandakumara: Sim. Incrível, não, essa é uma ótima observação, mais ou menos o fator determinante por que o setor privado provavelmente aceitará isso... Não se trata de levar isso mais a sério, mas na verdade será mais agressivo e fará algo a respeito. Então, para finalizar esse ponto, como é o futuro do Zero Trust do seu ponto de vista?

35:33 Gary Barlet: Então eu acho que o futuro do Zero Trust será, novamente, voltar a toda essa suposta violação. Acho que estou tentando reduzir as coisas ao mínimo possível. Você fala sobre proteger dados, no nível do elemento de dados. Você está falando sobre proteger aplicativos no nível do aplicativo e, na parte individual, entramos na microsegmentação das partes individuais de um aplicativo. Tentando desenhar esse anel de defesa o mais pequeno e o mais próximo possível da fonte, ao contrário do tradicional, vamos desenhar grandes círculos e tentar impedir que alguém passe pelo grande círculo, certo? E fazer isso de forma que fique em camadas, de modo que realmente dificulte a entrada de recomendações. E a última parte é: acho que a inteligência artificial e o aprendizado de máquina e esses tipos de coisas realmente começam a se enraizar no mundo da segurança, e fazer com que essas coisas sejam adaptáveis e não precisem ter tanto envolvimento quanto a interação humana. Acho que isso será fundamental para realmente tentar isolar as coisas em um ritmo muito mais rápido, então elas poderão ficar isoladas agora. E também acabou de ser implantado...

36:36 Gary Barlet: Certo? Basta configurar no começo, certo? Olhando como implantamos essas ferramentas em primeiro lugar, se você depender de pessoas para fazer todo esse trabalho, então, por definição, vai demorar um pouco para voltar ao limite de recursos. Mas, à medida que mais e mais coisas se tornam automatizadas, mais e mais coisas se tornam com o aprendizado de máquina e a inteligência artificial, não apenas com a implementação, mas com a implantação do recurso imediatamente. Eu realmente tenho muita confiança de que a segurança não tem para onde ir, mas para cima, certo? É sempre uma batalha difícil, então não há para onde ir além de subir. E acho que há muito espaço para crescimento e melhoria quando se trata da implantação do Zero Trust, e acho que, à medida que a tecnologia se adapta, ela só vai permitir que a segurança se adapte mais rapidamente.

37:18 Raghu Nandakumara: Então, acho que o que você está dizendo aqui é que você é otimista, você é uma daquelas pessoas que acreditam que, como seguir em frente, Zero Trust, e particularmente se eu pensar na formulação original, e nos anéis que envolvem um tipo de monitoramento contínuo e orquestração de automação, meio que olhando para o futuro, acabaremos com a arquitetura Zero Trust, ecossistemas Zero Trust, onde você tem esse tipo de segurança por design, um ecossistema contínuo ciclo de feedback em que os dados chegam de seus sensores, que seu mecanismo de políticas, etc., está processando até então adapte essa política de segurança para manter o estado menos privilegiado, e isso é algo que você vê como realista no futuro... Certo.

38:05 Gary Barlet: Absolutamente Sim, não, acho que está bem dentro de... E você já está vendo um pouco disso, certo? Você vê, você vê um pouco disso, já está em jogo hoje, eu só acho que isso vai se tornar mais a norma. A segurança se adaptará rapidamente. Vamos deixar de esperar por: “Ei, qual é a atualização de assinatura mais recente, qual é a atualização mais recente que está chegando”. Vamos ficar cada vez melhores em lidar com explorações de dia zero e cuidar de situações únicas com nossos usuários. Eu realmente acredito que a tecnologia nos levará até lá.

38:37 Raghu Nandakumara: Então, basta sair do Zero Trust por alguns minutos. Fora do Zero Trust, o que mais você adora na cibersegurança? Quais são as tendências que você segue?

38:47 Gary Barlet: Há algumas coisas diferentes, certo? O número um é que eu adoro o desafio contínuo, constante e sem fim. Eu adoro o fato de que algumas pessoas odiariam isso, o fato de que não há linha de chegada, não há fim no oposto. Adoro o fato de ser um desafio constante. Adoro o fato de que isso sempre lhe dará algo para fazer, certo. Toda manhã você acorda, tem algo em que se concentrar e sabe que há um novo desafio ao virar da esquina. Então, eu adoro jogar xadrez. O xadrez é sobre estratégias. O xadrez é tentar superar seu oponente, tentar enxergar vários movimentos à frente, e é aí que a segurança de TI deveria estar, se não for para alguém, é o fato de que precisa ser uma questão de antecipação, de pensar no futuro, e estou muito empolgada em ver... Ao mesmo tempo, estou preocupado e empolgado em ver quais avanços e coisas como quando você vê o aumento das capacidades da inteligência artificial e começa... Mais e mais pessoas estão falando sobre computação quântica. A computação quântica pode ser o maior benefício para a segurança de TI de todos os tempos, ou também pode ser a maior ameaça à segurança de TI de todos os tempos.

39:53 Gary Barlet: E eu acho que essa incerteza é meio divertida, para ser honesto com você... Eu sou um estranho quando se trata disso.

40:00 Raghu Nandakumara: Meio que para... É sempre bom considerar que os OSCs e os CIOs, que estão ouvindo isso com atenção, todos querem ouvir qual é a sua única sabedoria. Então, para eles, a principal preocupação é a resiliência cibernética nos dias de hoje. Se você pudesse dar um conselho para seus colegas CIOs e OSCs sobre como criar e otimizar a resiliência cibernética, o que seria?

40:08 Gary Barlet: Sim, então eu diria que voltar a algo sobre o qual você falou anteriormente é, se você não está assumindo uma violação, você deve estar presumindo uma violação. Se você ainda está no campo de “Vou parar a brecha”, seu acampamento está ficando menor e desatualizado. Você deve estar no campo da suposição de violação e, em seguida, analisar internamente suas empresas e se perguntar: como faço para mitigar o impacto dessa violação, como faço para fazer o melhor possível para manter os serviços funcionando para meus clientes e não ser a pessoa que diz: “Vou apertar o grande botão vermelho e colocar toda a rede offline”. Essa era uma coisa que eu costumava lutar contra alguns dos meus funcionários menos avançados que trabalhavam para mim quando eu era CIO no começo, quando diziam: “Ah, precisamos colocar tudo off-line”. Não, não estamos colocando tudo offline. Não podemos fazer isso, estamos no negócio de fornecer serviços, certo. Então, com essa abordagem, você precisa implementar as coisas internamente, sua rede. E, obviamente, acredito muito na segmentação e na microssegmentação, pois você precisa ajustar a rede para isolar o impacto até o menor espaço possível.

41:15 Gary Barlet: Para que o resto da sua empresa continue funcionando e você não precise desligar tudo apenas por causa de um malware ou ransomware, algo pode demorar um pouco, mas você deve interrompê-lo o mais próximo possível da fonte de origem e o mais rápido possível, para poder continuar as operações e depois se concentrar em um problema muito pequeno e não precisar se concentrar em um problema maior porque permitiu que ele se espalhasse descontroladamente.

41:39 Raghu Nandakumara: Sim, eu acho... Então, adoro como você expressa isso corretamente, porque acho que a mensagem principal para os profissionais de segurança é que, senhoras e senhores, existem três letras da tríade AIC: e o A significa Disponibilidade, é tão importante quanto integridade e confidencialidade. Bem, Gary, foi um prazer absoluto, muito obrigado por se juntar a nós no podcast hoje.

42:01 Gary Barlet: Agradeço, obrigado e gostei muito da conversa.

42:06 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em www.illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter, na Illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião — Raghu Nandakumara — voltaremos em breve.

Voltar ao topo
Leia mais