Os desafios de segurança da modernização

00:00 Raghu Nanadakumara

Olá a todos, neste episódio de The Segment, estou muito empolgado em me juntar a Steve White, um engenheiro e arquiteto de rede e segurança muito famoso. Ele passou muitos anos, especialmente em serviços financeiros, construindo infraestrutura de rede e segurança para alguns dos maiores bancos do mundo. E agora, como fundador e CEO da Viking Technology Advisors, ele traz todos esses anos de experiência para ajudar seus clientes em seus esforços de transformação digital. Então, Steve, bem-vindo ao The Segment. É ótimo ter você.

00:36 Steve White

É ótimo estar aqui. Raghu, muito obrigado pela oportunidade de ter essa conversa emocionante com você hoje.

00:43 Raghu Nanadakumara

É um prazer. É sempre um prazer falar com alguém com tanta experiência profissional. Então, acho que só de olhar para sua formação, certo, e para a longa carreira que você teve em engenharia de rede e segurança, quando você analisa onde estamos hoje com o estado da segurança de rede, e olha para trás, deve ficar muito entusiasmado com o fato de estarmos resolvendo problemas que você provavelmente queria resolver há muitos anos.

01:08 Steve White

Sim, sabe, é engraçado você dizer isso. Meu plano de negócios de entrada no mercado para a Viking Technology Advisors vem evoluindo nos últimos sete meses desde que iniciei a empresa. E uma das coisas interessantes que fiz foi analisar esse período histórico que aconteceu no passado, acredite ou não, nos últimos 30 anos. E houve uma grande injeção de novas tecnologias, que impactou os negócios ao longo desses 30 anos. Então, na minha opinião, a transformação digital realmente não é nova. É algo que temos vivido por muitos e muitos anos. E cada uma dessas novas tecnologias tem, na verdade, uma coisa em comum: aumento da pressão e da demanda nas redes e na cibersegurança. E o que isso também aconteceu é que, na verdade, causou uma enorme expansão de soluções pontuais e aumentou a complexidade. Isso tornou muito difícil para as informações, as redes e a cibersegurança se manterem à frente da demanda comercial. E isso só está aumentando agora. Quando você olha para a nuvem, embora a nuvem não seja realmente nova, ela existe há, inacreditavelmente, há quase 20 anos, mas parece que as empresas estão realmente buscando isso nos últimos cinco a oito anos. E agora, com a IA e a IA generativa, agora a taxa e o ritmo são uniformes e aumentam ainda mais. E existem algumas tecnologias realmente novas e empolgantes que estão nos controles de rede e segurança baseados em nuvem que mudarão drasticamente a forma como as empresas precisam pensar sobre seus perímetros. Seus perímetros serão muito diferentes do que observamos tradicionalmente. E, tradicionalmente, o que consideramos os principais pontos de controle. Então, desse ponto de vista, são pessoas, processos e tecnologia, que precisam se unir para fazer essa transição. E gostei muito da palavra modernização, que estamos usando agora em nossos materiais de marketing, porque não se trata necessariamente de transformação; ela realmente precisa ser modernizada para hoje e para o futuro. E esse é o desafio. Como você entrega o que os clientes precisam hoje ou o que sua empresa precisa hoje e também é capaz de oferecer suporte ao futuro? Eu construí essa empresa com base no modelo de que, se eu fosse trabalhar para uma grande empresa, é assim que eu abordaria meu gerenciamento dessa empresa. E essa é realmente a proposta de valor que trazemos para qualquer um de nossos clientes: esse ponto de vista é: andamos uma milha no seu lugar, sabemos exatamente onde você está. E estamos trazendo as melhores parcerias e automação para ajudar a concretizar essa meta de modernização?

03:53 Raghu Nanadakumara

Bem, eu acho, eu penso nisso, parafraseando sua própria expressão de que você andou uma milha no lugar de muitos de nossos ouvintes, certo? Então, eles ouvirão atentamente os insights que você fornecerá. Não vou voltar a algo que você mencionou sobre como você, quer chame isso de transformação digital ou modernização, certo, sua escolha de palavras, mas o que você disse foi que cada uma dessas etapas na verdade resulta em novos desafios para a rede e a segurança cibernética. Então, a primeira pergunta é: você acha que estamos embarcando nessa etapa de cada etapa dessa modernização? Você acha que estamos cientes o suficiente desses desafios de segurança cibernética? Ou é só uma retrospectiva que é uma coisa maravilhosa?

04:37 Steve White

Realmente parece que tudo está sendo feito em retrospectiva. Para mim, parece que os roteiros e estratégias são todos baseados na adoção da nuvem. Uma das coisas interessantes, e o que é realmente empolgante sobre a nuvem, são, na verdade, os recursos de automação, os recursos nativos da nuvem e os padrões. Pense na quantidade de padronização que existe na nuvem. As cargas de trabalho não podem ser executadas na nuvem, a menos que possam atender aos padrões estruturados existentes nos ambientes locais e legados ou que os ambientes de infraestrutura tradicionais tenham sido criados de forma personalizada para atender às necessidades específicas dos aplicativos. Isso também inclui os componentes de segurança cibernética. Então, esses componentes de segurança cibernética são todos soluções baseadas em pontos. E então, quando você tem esses novos aplicativos ou novos requisitos de negócios, a primeira coisa que você sabe que os executivos corporativos ou os líderes de operações de infraestrutura precisam fazer e os parceiros de segurança cibernética é avaliar o portfólio atual de ferramentas e tecnologias. Muitas vezes, você acaba tentando enfiar um pino quadrado em um buraco redondo para tentar fazer algo funcionar. E isso não necessariamente; pode ser bom o suficiente. Mas, às vezes, ser bom o suficiente não é tudo o que é necessário. E há os aspectos regulatórios e de risco dessas decisões que acabam desempenhando papéis significativos aqui. Portanto, se você não fizer isso imediatamente, acabará com uma ressaca regulatória e de riscos associados ao fato de termos aceitado riscos ou riscos que não são gerenciados. E então elas se tornam um obstáculo contínuo à capacidade de sucesso da organização.

06:19 Raghu Nanadakumara

Então você acha que a transformação da modernização permite e permite que a segurança não apenas seja melhorada, mas também de forma mais simples, porque quando eu vejo ou leio, na mídia popular, na mídia especializada sobre os desafios da segurança, muito do que vejo é: “A segurança é realmente complexa quando você muda para a nuvem”... “A segurança é muito complexa como parte de sua jornada de transformação digital.” Qual é a sua perspectiva sobre isso?

06:53 Steve White

Bem, é interessante no cenário da indústria. Um dado importante que eu gostaria de compartilhar com o público é que sou consultor de CXO da Netskope. E gostava muito da tecnologia da, na abordagem que a Netskope estava tentando, foi trazida ao mercado para ajudar a resolver esse problema. Obviamente, existem outros concorrentes nesse espaço. Mas a verdadeira adoção da nuvem, o trabalhador remoto, todos os impactos do COVID e a adoção do ZTNA e do Zero Trust Network Access, além de abandonar os controles de segurança baseados em perímetro, mas fazer isso com base na identidade e em sete parâmetros diferentes para tomar uma decisão inteligente sobre se o acesso deve ou não ser permitido, bloqueado, treinado ou reprovisionado, são coisas realmente interessantes porque agora a oportunidade de realmente oferecer os recursos de hoje, mas também escalar para o suporte futuro, está à nossa porta. Certo? E, você sabe, pense na introdução da IA no passado, e eu não vou embelezar o cronograma sobre isso, mas tecnologias como essa estão sendo fornecidas por empresas como a Netskope para resolver esse problema antes mesmo de ele existir, certo? Porque eles têm os recursos do acesso Zero Trust para serem capazes de fornecer recursos que viabilizem negócios com base na inteligência de identidade e em outros controles. Isso é muito poderoso, porque no espaço da rede e da cibersegurança, sempre havia uma permissão ou um bloqueio, nunca tivemos a opção de dizer: “Bem, que outra inteligência podemos trazer para essa tomada de decisão?” Essas são capacidades revolucionárias que as empresas realmente precisam analisar seriamente. E o que isso faz é tirar a pressão de sua arquitetura de segurança de perímetro. Então, agora que você está migrando esses controles para a nuvem, está trazendo uma maior proximidade com os aplicativos em que eles estão hospedados, melhorando a experiência do cliente na experiência do colega. E a experiência de um colega com isso é muito importante porque você quer que eles se sintam exatamente da mesma maneira, estejam no escritório, no controle remoto, no aeroporto, onde quer que estejam para realizar seus negócios, certo, porque trabalhamos em qualquer lugar agora. Não estamos trabalhando apenas em um local; trabalhamos em qualquer lugar e podemos ter uma política única e consistente. Costumo relembrar as abordagens antigas baseadas em firewall e estava sempre tentando encontrar maneiras de aproveitar a Illumio e combinar a Illumio com todas as políticas da SEC para poder trazer transparência às estratégias de segmentação e saber se o nível de maturidade e segmentação em uma empresa específica e em algumas das empresas em que trabalhei era um grande controle regulatório que precisávamos implementar. Mas a gestão de políticas é tão draconiana de 20 anos atrás. Acesso ao destino da porta, destino da porta e porta IP de origem e porta IP de destino. Simplesmente não funciona. Não é granular o suficiente para acompanhar o ritmo, pois as empresas estão tentando adotar sua migração ou transformação para a nuvem e a modernização para a nuvem.

10:06 Raghu Nanadakumara

Sim, com certeza. E eu acho que essa é uma ótima perspectiva, porque o que você realmente quer dizer aqui é que, para realmente acelerar a modernização, você não precisa apenas de tecnologias que são realmente parte integrante da modernização para serem dinâmicas, escaláveis e automatizadas, tanto quanto você precisar, mas também precisam que os recursos de segurança, as tecnologias de segurança que estão apoiando isso também sejam mesmo. Porque quando você tem um conjunto de recursos de segurança, pode ser que você de repente chegue a esse ponto em que esse tipo de clichê de segurança se tornar um facilitador, isso realmente acontece versus segurança se tornando algo que está realmente retardando seu progresso. E eu acho que você está absolutamente certo de que tentar transferir recursos de segurança que basicamente funcionavam da melhor maneira possível há 25 anos, e esperar que eles ainda sejam capazes de fazer o que precisamos que eles façam hoje é, quero dizer, eu diria que é loucura esperar isso. Mas é interessante porque você estava falando sobre ZTNA. Então, vamos mais ou menos no nível superior. E vamos falar sobre Zero Trust e enquadrá-lo na conversa sobre modernização. Em primeiro lugar, como praticante de longa data, quando você se deparou com o Zero Trust pela primeira vez? E qual foi sua reação a isso?

11:39 Steve White

Nos deparamos com a estratégia Zero Trust há alguns anos, quando estávamos considerando a transformação de um SWG local tradicional para o acesso baseado em nuvem. E foi isso que realmente se tornou a visibilidade que isso nos trouxe. Não se trata apenas de substituir um componente em seu ambiente. Essa é uma mudança holística e estratégica. Desde soluções pontuais que oferecem determinados controles de acesso, como VPN e SWG para acesso à web, até a migração real para uma estratégia de nuvem em que o ZTNA é um componente de segurança sobreposto, que permite provisionar acesso a soluções locais sem esses controles tradicionais, certo? Porque, e é um bom estado de transição. Porque o que ele faz é permitir que você realmente mova as cargas de trabalho sem necessariamente que o cliente perceba que algo mudou, certo? Eles nem sabem que os aplicativos se movem. Como a ZTE tradicional e um processo, são os mesmos controladores locais, os mesmos que estão na nuvem. Quero dizer, esse é um dos desafios que vejo nas arquiteturas existentes hoje: tudo foi replicado na nuvem como um teste separado, um conjunto separado de processos, um conjunto separado de controles e uma unidade separada, e está no local. E isso é meio que correr como está funcionando hoje. Mas, sem a integração total do local na nuvem, o que ele faz é que seu ambiente local se torne uma barreira para o sucesso. E ao integrar o ZTNA, você pode realmente começar a reunir essas duas coisas, porque agora você pode fornecer controles de microsegmentação com o Illumio no local, oferecendo os mesmos recursos e controles na nuvem. E você pode fazer isso com a mesma política. É como isso seria legal, certo? E eu sei que existe uma parceria; não tenho certeza se ela já foi totalmente anunciada, mas é uma parceria com a Netskope e a Illumio, certo? Quero dizer, há algumas coisas interessantes acontecendo lá, em que essas duas tecnologias funcionariam muito bem e se complementariam. E, no final das contas, trata-se de tornar a segurança uma vantagem sobre as regras. Como você acabou de dizer, é o facilitador, mas também o torna invisível. Portanto, a comunidade de usuários, para que seja segura, controlada e gerenciada, mas eles possam realizar seu trabalho com a mesma eficiência, não importa onde estejam. E é só que esse é um momento realmente crucial. Lembro que provavelmente envelheci um pouco com essa história, mas trabalhei para uma empresa chamada International Network Services no final dos anos 90. E quando me formei na faculdade, as redes IP estavam em sua infância. E lembro que o INS, seu modelo de serviços profissionais, foi criado para ajudar os clientes a modernizar seus ambientes de rede IP porque todo mundo estava se atrapalhando com isso. Eles estavam tentando descobrir como fazer isso funcionar. Eles tiveram dificuldades com os vários protocolos, e deve ter havido uma infinidade de protocolos diferentes. E é por isso que a Cisco realmente se tornou a principal provedora de rede, porque tinha suporte de regressão para todas essas coisas. Estamos em um momento muito semelhante no momento com essas novas adoções de tecnologia e, especificamente, segurança de rede baseada em nuvem, ZTNA e microsegmentação. É uma mudança do pensamento tradicional, como, você sabe, ser profissional no espaço de rede, ter crescido com minhas mãos no teclado e depois evoluído para funções de gerência sênior, sempre preferimos firewalls físicos, arquitetura da rede em torno da criação de isolamento e segmentação. Mas isso simplesmente não é uma realidade. Você sabe, a maioria das empresas não tem tempo e esforço para fazer isso. E ser capaz de utilizar controles baseados em software, poder oferecer isso virtualmente e melhorar a postura de segurança da empresa, não é uma grande oportunidade. Estou muito empolgado com a localização. E essa é realmente uma das principais razões pelas quais tive a inspiração de iniciar a Viking Technology Advisors: começar com a fase de avaliação, fazer a quarta automação completa e fazer esse toque leve em 30, 60, 90 dias e ajudar os clientes a criar esse roteiro e estratégia para adotar essas tecnologias. Porque esse material é um esforço multifásico e plurianual. Mas também precisa ser gerenciado de acordo com a disponibilidade orçamentária e com o interesse ou a vontade do cliente de mudar o risco, certo? O gerenciamento do risco de mudança é importante. Portanto, você precisa gerenciar esses dois aspectos. Trazemos essas duas coisas porque fiz o que fiz em minha carreira; toda a minha carreira foi sobre os aspectos comerciais da adoção de tecnologia, mas, na verdade, como isso impulsiona o resultado comercial? E esses recursos têm tudo a ver com impulsionar os resultados comerciais. E isso é realmente o que eu acho que é a transição para a verdadeira engenharia de plataforma de infraestrutura, esse é o produto certo? O que você sabe, essa é uma das coisas com as quais eu também luto, Raghu, e penso nisso como se todo mundo falasse sobre engenharia de plataforma. Ok, faz sentido. Tudo gira em torno de produtos, certo? Eu entendo isso. Mas qual é o produto em rede e segurança? por exemplo, você pode transformar isso em um produto e como fazer a transição para a engenharia de plataforma de infraestrutura? Esse foi um grande tópico de conversa na conferência da Gartner em dezembro, a estratégia de nuvem de infraestrutura e operações.

17:05 Raghu Nanadakumara

Há tanta coisa que você compartilhou lá, e eu adoraria desvendar partes dela. Vamos começar, na verdade, com o que você realmente disse sobre ser muito focado em resultados. Porque acho que, se eu analisar meu próprio tipo de experiência como engenheiro de segurança de rede, o resultado comercial geralmente não era o que você realmente estava conectado. Você meio que, muito, está muito focado em, ok, qual é o resultado de segurança que você está tentando alcançar? Certo? Ou mesmo, como você mencionou a coisa sobre bem, isso é mais ou menos o que é a tupla de cinco que eu preciso construir para permitir que você faça isso. Mas você pode falar conosco um pouco sobre como aprimorar a conversa com seus clientes, para que as pessoas comecem com o resultado comercial e, finalmente, abordem o como, do ponto de vista da segurança,

18:01 Steve White

Acho que o principal é entender: atendemos o cliente, entendemos, começamos entendendo onde ele está em sua jornada, tendo essa visibilidade e tendo essa conversa detalhada com as partes interessadas. Mas o que fazemos é combinar a descoberta automatizada de seu ambiente para trazer pontos de dados reais até a infraestrutura de rede, incluindo inventário, configuração, vulnerabilidade e patches, topologia e investimentos no estado atual. E também fazemos isso com base em seu desempenho no gerenciamento de despesas de telecomunicações. Não posso perder de vista o fato de que uma empresa de telecomunicações que orça e anexa uma empresa de serviços financeiros, grande parte do orçamento de uma rede é despesa de telecomunicações. E então, a última peça do quebra-cabeça, e eu também tenho uma nova parceria recente, que está surgindo, na qual estou trabalhando com uma empresa chamada X Analytics, que está trazendo transparência aos dados finais para medir seu risco de segurança cibernética, maturidade e uma pontuação associada. Agora, você pode conversar com os executivos da diretoria executiva sobre qual é realmente o status da empresa? Onde está o risco associado à segurança e quais alavancas podem realmente ser usadas para realmente melhorar essa pontuação de maturidade? Ao fazer isso agora, você realmente conectou os pontos a dados reais relacionados aos negócios. E a outra coisa que você fez, ou seja, agora você pode realmente ter uma discussão e criar um plano que produzirá esse resultado e será capaz de medir o sucesso desse resultado. A medição do sucesso é um elemento extremamente importante. Você pediu milhões de dólares para o orçamento, quando isso será feito? Certo, por exemplo, ao acessar o programa de adoção de segurança de rede em nuvem baseado em ZTNA, quando isso é feito? Por exemplo, se você vai apresentar um caso de negócios, você quer apresentar esse caso de negócios com um ponto de vista da totalidade do projeto para que você possa planejar o orçamento para isso. A outra coisa que você também pode fazer é analisar as oportunidades de consolidação. Como falamos anteriormente em nossa conversa, provavelmente, em algum lugar na maioria das empresas, podem haver soluções de 30 ou 40 pontos diferentes que estão sendo gerenciadas e implantadas. Então, você tem licenças, hardware, conhecimento e pessoal. O poder disso é consolidar tudo isso, melhorar a eficiência de como as coisas são entregues, entregar em tempo real, e o resultado disso também é oferecer autoatendimento, onde eles não precisam abrir um ticket ou ligar para alguém da equipe da rede. Não tenho acesso a isso. Tudo se resume a viabilizar esse autoatendimento. Se você considerar as métricas da pontuação de maturidade do ponto de vista da segurança e combiná-las com a forma como os recursos de automação de rede e segurança são fornecidos para permitir que desenvolvedores e desenvolvedores de aplicativos realizem seus trabalhos com mais facilidade. É assim que pensamos sobre isso. E é assim que temos essas conversas, porque elas são mensuráveis e determinísticas.

21:14 Raghu Nanadakumara

Então, como parte disso, certo, e do todo, a mensurabilidade é muito importante. Ser, ter um caminho muito determinístico para o sucesso é super importante. Como você vê a introdução do Zero Trust e a adoção de uma estratégia Zero Trust? Quando isso entra na conversa? Ou é uma conversa que você, seus clientes, seus clientes já estão tendo, e os projetos normalmente estão alinhados a essa estratégia.

21:45 Steve White

A estratégia é toda construída em torno da adoção do Zero Trust, porque esse é o grande pivô, certo? E tecnologias como a Illumio permitem que você faça isso de forma muito simples, tanto no local quanto na nuvem. E você pode fazer isso usando um processo iterativo, certo? A implantação, que venho usando o Illumio, em duas empresas diferentes no passado, pelo menos nos últimos dez anos, teve um tremendo sucesso com o produto nessa capacidade por si só, sem precisar alterar fisicamente a topologia da rede ou a infraestrutura para fornecer esses resultados. A visibilidade que o Illumio fornece, dentro da política do mecanismo de computação de todos os fluxos de aplicativos, você tem a base e, em seguida, pode adicionar cada um desses componentes como uma jornada estratégica. Então, o estado final, na minha opinião, é Zero Trust. Há uma jornada para chegar lá. O caminho dessa jornada de um roteiro para essa jornada é exatamente o que passamos nosso tempo com nossos clientes para ajudá-los a entender cada uma das etapas desse caminho. É exatamente assim que abordamos isso.

22:54 Raghu Nanadakumara

Certo, e talvez eu volte, na verdade, a maneira como você descreve a base de toda a estratégia Zero Trust é a visibilidade. E então você meio que usa essa visibilidade para identificar quais controles você precisa sobrepor para, digamos, remover a quantidade de confiança implícita em seu ambiente para melhor protegê-lo. Mas o tipo real de decisão de adotar uma estratégia de Zero Trust está no final das conversas, e você falou sobre um tipo de serviço de avaliação, certo, que você meio que traz para um cliente? Ou a adoção de uma estratégia Zero Trust é algo que eles já aceitaram? E agora é como, “Ei, Steve, como faço para executar isso?”

23:38 Steve White

Ótima pergunta, Raghu. Então, eu diria que são os dois, certo? Alguns clientes têm um nível de maturidade em que podem ter implantado o Illumio, podem ter implantado esse escopo, mas podem não ter aproveitado ao máximo a transição do ZTNA. Eles podem ter implantado um componente SWIG, pensando em, você sabe, substituir a VPN. Mas quando você pensa na localização da VPN, você não está realmente substituindo a VPN; você está mudando holisticamente sua metodologia de acesso, e o resultado disso é substituir a VPN, mas não é uma substituição fácil. Da mesma forma, dentro do espaço Illumio, se um cliente já tem o Illumio lá, onde ele está em sua jornada? Eles implementaram controles no local? Eles estão fazendo monitoramento na nuvem? Mas qual é a próxima etapa para chegar a uma política consistente entre o local e a nuvem? Então, agora você está provisionando o acesso, você está provisionando o acesso, com a visão da totalidade do requisito de acesso, não apenas do componente individual exclusivo. “Ah, eu preciso de uma mudança de firewall na minha rampa de acesso na nuvem. E vou precisar que um controle de acesso seja alterado na minha instância da AWS. E, a propósito, vou ter que fazer uma mudança no local também”, certo? Que, você sabe, há cinco ou seis pontos diferentes naquele exemplo. Essa é realmente a proposta de valor. A saída aqui é esta ZTNA. Você pode provisioná-la de forma onipresente e torná-la perfeita, logo de cara. Mas você precisa fazer o planejamento com antecedência. E você precisa colocar todos os elementos dependentes em camadas para conseguir isso. Às vezes, isso leva tempo. Às vezes você tem que desacelerar para ir mais rápido, você tem que fazer isso. Mas uma das coisas em que tentamos nos concentrar é ajudar os clientes a continuarem mantendo seu ritmo e ritmo enquanto trabalham nessa jornada. Porque a oportunidade de realmente parar de fazer o que eles estão fazendo não é uma opção. Então, sim, essa é realmente a peça de automação. Como as redes, as pessoas falaram sobre automação, e redes e redes, na realidade, estão bastante estagnadas. Eles realmente não mudam com tanta frequência. Se eles estão mudando um pouco, provavelmente há um desafio de design ou arquitetura que precisa ser resolvido e está causando essa necessidade, certo? Porque você realmente não deveria ter que fazer isso.

25:50 Raghu Nanadakumara

Absolutamente E eles simplesmente estão lá. Se você já assistiu a outros episódios de podcast, começo a sorrir cada vez mais ao ouvir os convidados dizerem coisas que eu meio que sinto que venho pregando há muito tempo. E mais ou menos, e isso me deixa muito feliz. Então, eu quero voltar para algumas coisas que você acabou de dizer, certo? Acho que a primeira coisa que acho realmente importante que os ouvintes entendam é que você pode ter tecnologias que o ajudem a alcançar, essencialmente, uma postura de Zero Trust. Mas só porque você os tem, isso não significa que você está realmente no caminho do Zero Trust. E acho que sua opinião sobre “Ah, bem, ei, substituí minha VPN por uma tecnologia ZTNA, certo? Então, eu devo estar fazendo, devo estar nesse caminho de Zero Trust. Como uma das minhas tecnologias tem Zero Trust no nome ou no mesmo nome, eu tenho uma tecnologia de microssegmentação, mas não estou realmente fazendo nenhuma segmentação com ela. Então, eu não estou realmente fazendo o Zero Trust.” Acho que o que você gosta é que parte disso não se trata apenas de ter tecnologias capazes de fazer isso, mas também de realmente analisá-las de forma holística e focar na criação de políticas de segurança nas quais você realmente reduz a confiança no meio ambiente. Certo. E a outra coisa que eu acho é que o que era realmente importante era, em última análise, olhar para isso de forma holística, certo? Porque não pode ser uma estratégia se você tiver estratégias diferentes para cada pequena parte do seu ambiente, certo? Esta é realmente a sua oportunidade. Penso em como posso adotar uma postura de segurança muito mais unificada em meu ambiente, que exigirá pequenos passos, certo, que exigirá mudanças incrementais para ser alcançada, mas preciso pensar nesse tipo de imagem maior que eu realmente almejo. Esse é um bom resumo?

27:43 Steve White

Sim. 100%? Sim, com certeza. O que foi dito e a arquitetura geral da rede é um componente crítico dessa mudança dos hubs tradicionais, ambos projetam, você sabe, a adoção da LAN SD. Mas, na verdade, a LAN SD é habilitada por serviços de Internet de classe empresarial. Essa é a chave, certo? Você precisa, você precisa juntar essas duas coisas. E isso é, quero destacar um ponto importante sobre pessoas e processos sobre o qual falamos anteriormente, Raghu; no que diz respeito a reunir essas equipes, cada um desses projetos e iniciativas em torno da ZTNA realmente exige várias partes interessadas, você tem o Escritório Chefe de Segurança da Informação, certo? Você tem a equipe de infraestrutura de rede, você tem as equipes de engenharia de terminais e desktops, você também tem as equipes de nuvem. Há várias partes interessadas, cada uma dessas partes interessadas terá suas próprias opiniões sobre como resolver o problema. Sim, mas a realidade é que todos precisam se unir e concordar sobre qual é essa visão e estratégia. Certo. Então, quero dizer, comecei recentemente a participar do grupo de usuários de rede aberta, ONUG. Na sessão do ONUG em outubro, esse foi um grande ponto de conversa: as equipes de segurança cibernética e de rede deveriam se unir e se fundir? Minha resposta a essa pergunta seria sim; essa é a mudança fundamental. Você começa a adotar um ZTNA e um modelo de entrega baseado, reunindo essas equipes, elas não podem mais operar em silos. E esse é quase o aspecto mais difícil. Mas a tecnologia vai forçar isso, vai fazer a conversa acontecer. E acho que está começando a ver cada vez mais empresas pensarem em sua transformação organizacional e na modernização da forma como suas organizações estão estruturadas para adotar essas tecnologias, porque os modelos tradicionais não funcionarão. Essa foi uma grande parte do que a Gartner falou em sua conferência em dezembro.

29:48 Raghu Nanadakumara

Sim, acho que esse é um ótimo ponto porque, e é um argumento que muitos dos outros convidados fizeram o livro de George Finney, Project Zero Trust. Então John Kindervag, que é o evangelista-chefe da Illumio e um dos fundadores da Zero Trust, meio que realmente fala sobre isso, diz que, quando isso é feito corretamente, não é apenas uma transformação na forma como você está fazendo a segurança, é realmente uma transformação na forma como você está se organizando. Certo. E para conseguir isso, como você disse de forma tão eloquente, todos precisam estar envolvidos nesse processo. Certo? Não é só a equipe de segurança, é a equipe da rede. É a equipe de infraestrutura. É a equipe de aplicação, certo? É sua equipe de risco, como cada parte de sua organização de uma forma ou de outra, que está envolvida nesse, digamos, o RACI que meio que governa como você faz isso. E essa é a única maneira de você conseguir impulsionar uma transformação sustentada. Mas é assim que você vê?

30:47 Steve White

Sim, 100%? Sim, exatamente. Exatamente. Bom trabalho resumindo.

30:52 Raghu Nanadakumara

Então, eu acho que vou seguir em frente. E você falou sobre as possibilidades que a IA e a IA generativa oferecem. Como profissional de segurança de rede, certo, e deixando de lado o Zero Trust por um segundo, quais são as coisas interessantes que você vê que a IA trará para nossa disciplina?

31:15 Steve White

É um momento super empolgante, acho que, no início, talvez algumas pessoas tenham medo disso, como se isso fosse substituir seus empregos, ou elas fossem substituídas, tipo, como um veículo autônomo, certo? Mas pense no nível de administração envolvido no gerenciamento de DevSecOps na organização ou no nível de esforço necessário para realmente criar modelos, configurações e padrões e disponibilizá-los para a equipe da NetSecOps, certo? Eles, com a automação da IA e da IA generativa, você automatizará todas as funções que geralmente nunca são realizadas, certo? Todo mundo fala uma boa história sobre ter SOPs, automatizar a capacidade de resposta a incidentes e eventos e melhorar a disponibilidade máxima porque, convenhamos, se a TI falhar, ela sempre falhará agora. A expectativa de todos é de disponibilidade de cinco nove. Mas a chave aqui é que, quando algo dá errado, é a rapidez com que você pode responder, a eficácia com que responde e como você minimiza o impacto nos negócios por meio do design correto da infraestrutura. A IA na IA generativa impulsionará melhorias significativas nessas áreas. E isso permitirá que as equipes que estão atoladas e gerenciam essa administração se concentrem em tarefas de maior valor. E isso é uma coisa super empolgante. E, você sabe, eu conheço algumas startups diferentes que surgiram e algumas parcerias que têm alguns amigos meus que estão fazendo essas startups, e eles estão construindo modelos exatos em torno do que estou falando, que ajudam grandes empresas a melhorar a eficiência nessas áreas sem necessariamente ter que construí-las sozinhas. Certo, porque o outro componente que eu também gostaria de compartilhar é a abordagem baseada no “faça você mesmo” para algumas coisas simplesmente não faz sentido, certo. Então, como eu, também incluo outra empresa da qual sou consultora estratégica, a Blue Air. A Blue Air é a única plataforma de automação de rede inteligente, com baixo código e sem código do mercado e elimina a abordagem baseada em “faça você mesmo”. Melhora significativamente a eficiência de uma organização. E as redes estão bem estagnadas, certo? E também são altamente complexos. Não é como automatizar um servidor ou automatizar um aplicativo. E você tem 6000 deles. Você tem de 3 a 4000 componentes individuais que têm atributos exclusivos. Automatizar isso exige personalização e criação de scripts; se você vai fazer isso, fazer você mesmo é a cola que elimina toda essa complexidade. Ou seja, esse é um dos seus primeiros passos nessa jornada rumo à capacitação e aprovação de eficiências de IA, porque agora que você contratou todos esses engenheiros focados na administração diária e eliminou isso. Ao introduzir a automação, agora você pode fazer com que eles comecem a realmente se concentrar em tarefas de maior valor. IA, IA generativa, melhoria contínua, novas tecnologias, adoção do Zero Trust. São grandes projetos e iniciativas. E suas equipes atuais que estão no local adorariam fazer parte desses projetos e iniciativas. Não gostarão mais de aprender essas coisas, porque então se torna difícil para a empresa da qual fazem parte porque estão aprendendo coisas novas. Isso os está ajudando a desenvolver seus currículos e eles continuam desafiados, certo? Ninguém quer continuar fazendo a mesma coisa repetidamente. Mas acho que muitos líderes de operações de infraestrutura estão realmente enfrentando dificuldades nesse espaço porque têm um pé, você sabe, na doca e outro no barco e estão prestes a cair na água porque isso não pode manter os dois. Não consigo me manter à tona em ambos ao mesmo tempo.

35:10 Raghu Nanadakumara

Enquanto você está dizendo isso, eu estava realmente visualizando aquela cena exata, então isso é muito engraçado. Mas eu concordo. E, na verdade, acho que essa é a principal coisa para as possibilidades que a IA de desenvolvimento realmente oferece, certo? Eu realmente penso: “Como é que muitas dessas tarefas mundanas que eu faço, essencialmente, para manter as luzes acesas, em termos de valor real, não estão agregando valor?” Eles estão meio que me levando a zero, certo? Como posso pegar essas tarefas que me levam a zero e descarregá-las, seja reduzindo interrupções em minha infraestrutura, sendo muito mais diligente em termos de implantações de configuração, certo? Ou tornando esses domínios de falha muito mais, muito mais robustos e de certa forma, e espero que isso não seja um grande salto, certo? Na verdade, acho que zero, como a adoção do Zero Trust, de várias maneiras, dá às organizações o mesmo nível de resiliência em sua infraestrutura, pois você está efetivamente tentando criar o menor tipo possível de domínios de falha, mas de uma forma altamente dinâmica, certo? Então, você essencialmente tem, mesmo que tenha uma falha por falha, quero dizer, pode ser uma configuração incorreta. Mas pode ser um atacante, certo? Quero dizer, falha, às vezes é muito difícil diferenciar esses dois eventos porque o inesperado acontece, mas com uma abordagem de segurança que realmente limita alguns tipos de limites, o abuso de privilégios, certo, limita o abuso de acesso, você é capaz de conter isso, o que significa que sua equipe de segurança, em vez de ficar sobrecarregada por um incidente que realmente sai do controle, consegue se concentrar em apagar um incêndio muito menor, enquanto continuam fazendo o resto de suas tarefas de valor agregado. E eu acho que espero que as analogias não apareçam, certo? Mas acho que esse tipo de IA, de várias maneiras, fornece o mesmo que o Zero Trust oferece do ponto de vista da segurança.

37:14 Steve White

Com certeza funciona. E você tem o que é muito legal nisso, certo, IA, inteligência artificial, pensamento humano, até o uso de dados. Pense em todos os diferentes pontos de dados que existem, certo? Você tem o Illumio, você tem registros, você tem o Splunk e todos os registros de todos esses diferentes sistemas. Para tornar esses dados úteis em um modo tradicional de metodologia, você precisa ter alguma forma de transferi-los para um banco de dados e, em seguida, criar um script para poder extrair os dados, e você precisará de um especialista no assunto para fazer isso. E é: “Oh meu Deus, vai levar semanas para fazer isso.” Você sabe, um dos desafios enfrentados pelas empresas líderes de infraestrutura e operações é, na verdade, obter os dados necessários para tomar uma decisão sobre o que fazer. A IA realmente elimina a complexidade de fazer essa análise e ajuda, você sabe, um engenheiro que talvez não seja capaz de criar um script a obter as informações de que precisa para poder tomar uma decisão sobre aonde deseja ir. Certo. Então, isso gira em torno da engenharia e da entrega de soluções. Também na área operacional, estamos falando apenas de operações de desenvolvimento da SEC, com SOPs bem definidos para diferentes incidentes, mas você não pode ter uma fatura de SOP para cada incidente. Um ransomware de cibersegurança Oh, meu Deus. Em um evento como esse, muitas vezes fazíamos exercícios de mesa, nos testávamos e nos preparávamos. Mas sempre há nuances aqui. A IA ajuda a dar total transparência aos pontos de dados necessários para descobrir exatamente o que aconteceu e reagir a eles, reduzindo o tempo necessário para reagir, porque, como mencionei anteriormente, se trata de redução de riscos, redução de impacto e manutenção dos negócios. Certo. Então, esses elementos têm tudo a ver com a forma como você responde, e a IA será um componente muito, muito importante disso. Além disso, a IA generativa, mais especificamente para o ambiente de sua empresa em particular, também haverá mais transparência.

39:26 Raghu Nanadakumara

Sim, com certeza. Acho que uma coisa que você disse há pouco sobre redução de risco, redução de impacto, redução de custo, certo. Acho que é uma coisa muito interessante, porque a mudança que eu vi de uma perspectiva de priorização para as organizações é, eu acho, que os ataques cibernéticos estão se tornando cada vez mais direcionados à estabilidade e disponibilidade de aplicativos, serviços e infraestrutura. Acho que definitivamente houve uma mudança em termos de como pensamos sobre a tríade de segurança da AIC ou da CIA e, na verdade, valorizamos muito o pilar de disponibilidade dessa tríade. Certo. E eu acho que esse é o tipo de aumento, quero dizer, eu diria que o termo resiliência cibernética agora é meio que onipresente. E acho que é por causa desse foco atual em como eu limito os danos, certo, e meio que priorizando isso, não que, é claro, integridade e confidencialidade não sejam importantes. Mas a disponibilidade, que sempre pareceu um pouco em segundo plano, agora está realmente se destacando como algo que os profissionais cibernéticos estão priorizando.

40:44 Steve White

E isso realmente reforça, pelo menos na minha opinião, a importância de unir essas duas equipes. Porque talvez sempre tenhamos fortes relações colaborativas. Ou seja, sempre tive fortes relações colaborativas em minha empresa e em empresas anteriores em segurança cibernética. E sempre estávamos atentos a cada grande incidente que acontecia, porque eles sempre traziam conhecimento e experiência sobre o evento e tinham a capacidade de ajudar a controlá-lo ou contê-lo. Mas a equipe de rede também foi muito importante nisso, porque foi ela que talvez soubesse que talvez seja a melhor maneira de implementar esse controle no ambiente. Mas o Zero Trust traz um nível totalmente diferente de controle aqui, que é a microssegmentação de esteróides. Certo? Agora, você não está aqui; você não está pensando, você sabe, em modelos tradicionais de microssegmentação; nosso objetivo é criar um fosso em torno da carga de trabalho. Agora, obviamente, você ainda terá esse conjunto básico de controles lá. Mas agora você está com Zero Trust. É baseado apenas em um número finito de usuários que têm acesso a essas cargas de trabalho. E é muito mais fácil gerenciar isso, e você não vai fazer isso de novo, contando com abordagens baseadas em isolamento de 20 anos que usam aspectos físicos da rede e da segurança. Estou realmente fazendo isso em software agora, o que é muito legal. Parece que a rede e a segurança alcançaram a origem de todo mundo. Sim, do ponto de vista das capacidades.

42:16 Raghu Nanadakumara

Absolutamente certo. E eu acho que, na verdade, quando você faz isso, você tem a capacidade com o Zero Trust, e qualquer pilar em que você esteja se concentrando dentro da estrutura do tipo Zero Trust, você tem a capacidade de instrumentar uma política significativamente mais granular e dinâmica de uma forma muito mais simples do que você jamais seria capaz de fazer com abordagens tradicionais, o que parece contraditório. Mas é verdade se você fizer isso corretamente.

42:52 Steve White

Na ameaça, os atores terão o mesmo acesso à direita, terão acesso à IA, à IA generativa, usarão a automação para melhorar sua eficiência. O modelo baseado em Zero Trust é como você se mantém à frente, certo? Tudo gira em torno do que fazemos hoje. E como fazemos entregas hoje? E então, como fazemos isso? Como planejamos o futuro? Estamos prontos para lidar com o desconhecido que acontecerá no futuro? É isso que esses tecnólogos realmente jogam. É por isso que é importante que as empresas analisem isso a partir da segurança, da infraestrutura física e dos aplicativos que o cercam e tenham uma abordagem holística de políticas, independentemente de onde estejam as cargas de trabalho. Como a maioria das empresas acabará em um modelo híbrido em que terão cargas de trabalho locais, você terá cargas de trabalho na nuvem e, e grande parte da seleção de produtos é um pouco de religião e política, seu pessoal tem, você sabe, o que gosta e outros têm as coisas de que gostam e outros têm as coisas de que gostam. No final das contas, acho que todos concordam que ter consistência na política e na administração melhora a eficácia das equipes de operações de infraestrutura e a segurança para gerenciar isso. E a disponibilidade é o que importa. Esse é o resultado, certo? Porque, no final das contas, se não for bem feito, esse é realmente o impacto da disponibilidade.

44:19 Raghu Nanadakumara

Sim, com certeza. Você disse isso tão bem, certo? Porque, em última análise, como proprietário de um aplicativo, eu não me importo onde meu aplicativo está sendo executado, certo? Só quero ter certeza de que, quando quiser executá-lo, consigo executá-lo e que ele tenha toda a segurança certa. E eu acho que é disso que realmente trata o Zero Trust, uma das coisas é ser capaz de garantir que você seja capaz de executar um aplicativo com o nível certo de segurança em qualquer ambiente confiante e que somente aqueles que deveriam poder acessá-lo ou coisas como outros atores que deveriam poder acessá-lo são capazes de acessá-lo. Em última análise, é disso que trata o Zero Trust. Não se trata da infraestrutura que você está administrando. Certo? Não se trata do ambiente ou da tecnologia; trata-se de ser capaz de garantir isso essencialmente para o proprietário do aplicativo.

45:11 Steve White

Eu gosto do que você acabou de dizer, eu só quero clicar duas vezes sobre isso por um segundo. O principal componente aqui é criar a separação entre a infraestrutura física e o controle. Sim. Porque se tudo dependesse da execução ou entrega de mudanças arquitetônicas dentro da topologia física, seriam enormes despesas, muito tempo e a empresa precisa disso agora. Certo? Então, nada disso vai funcionar, certo? Então, na verdade, ele cria essa camada de abstração entre sua ligação entre infraestruturas legadas tradicionais como uma sobreposição, se você quiser. Não tenho certeza se sei o que é uma sobreposição, mas não tenho certeza se esse é o termo certo para o que estamos falando. Vou usá-lo de qualquer maneira. Você sabe, é como uma sobreposição sobre esse ambiente em cima do ambiente físico. E é um caminho rápido para, você sabe, mesmo em partes do seu ambiente que podem estar na vida, você sabe, muitas empresas estão enfrentando dificuldades com o gerenciamento de patches no final da vida útil, com muitos desafios. E todas essas coisas levam tempo, certo? E você só pensa no número de janelas de manutenção que as grandes empresas têm. E então, se você está no setor de saúde, você nem tem janelas de manutenção, certo? Por exemplo, você não pode anotar nada porque não sabe, não pode contar a um médico, eles não podem fazer o que precisam fazer, porque estou fazendo manutenção nisso. Isso não vai funcionar.

46:34 Raghu Nanadakumara

Sim, eu gosto disso. Porque agora você está reformulando o, você o está reformulando da perspectiva de quando você pensa sobre o que, como posso aplicar essa abordagem e onde ela vai me trazer benefícios. Ela realmente traz benefícios, não apenas em termos de sua transformação e modernização, mas também tem relevância em sua infraestrutura legada existente. E eu amo essa palavra que você usou, sobreposição. E eu adoro isso porque você está se abstraindo essencialmente de todas as coisas que restringem o que você pode fazer, certo, que é a infraestrutura, as restrições de infraestrutura, o que você pode fazer. E agora, se você conseguir basicamente subir de nível e dizer: “Na verdade, não vou me preocupar com a infraestrutura. Ele pode fazer o necessário e executar qualquer tecnologia, mas vou aprimorar esse nível e, na verdade, mudar meu controle para o mais próximo possível do que estou tentando proteger. Assim, terei muito mais flexibilidade e capacidade de ser consistente, ter cobertura e melhorar a postura de segurança que sempre quis fazer.”

47:43 Steve White

Sim, 100%, e apenas um plugue para o Illumio. Eles estão fazendo isso há um tempo, certo? Quero dizer, uma das coisas mais empolgantes sobre essa tecnologia quando a conheci, sete, oito anos atrás, foi a simplicidade de poder implantá-la em todas as cargas de trabalho do ambiente, estabelecer um conjunto de tags e criar visibilidade sobre os fluxos associados a essa mudança para a execução da política, tanto no monitoramento quanto na contenção. E faça isso em grande escala. A simplicidade disso está realmente baseada nessa simplicidade. Você pode sobrepor o próximo nível de contenção e controle, que é o ZTNA, sobre o tecido que já está instalado. É super legal, certo? E é realmente a onda do futuro, na minha opinião, que o afasta fundamentalmente do acesso de controle tradicional com firewalls para um verdadeiro acesso baseado em políticas. E você não está gerenciando esse outro firewall, certo. E é exatamente o conceito de firewalls como zero que vale para as redes sem fronteiras. Eu ouço esse termo há muitos e muitos anos. E eu realmente acho que, pela primeira vez, estamos realmente lá, acho que essas são as tecnologias que realmente permitem isso. E eu aprendo visualmente e sou uma pessoa que pensa nas coisas de forma lógica, e consigo ver que aquela verdadeira rede sem fronteiras, que uma empresa realmente não tem, nem mesmo gerencia seu próprio perímetro. Esse perímetro está na nuvem, esse perímetro está no controle do aplicativo. E realmente não importa de onde os usuários vêm; você não está preocupado em criar uma zona de confiança entre uma instância na nuvem e uma instância local e em gerenciar a política de firewall entre as duas. É realmente muito emocionante. E a chave, a chave para todo esse sucesso é ter o plano certo, ter a transparência certa sobre o ponto de partida de onde você está nessa jornada e colocá-la em camadas ao longo do tempo para que possa ser adotado levando em consideração a disposição de consumir os riscos associados à mudança e ao fundo de capacitação. Porque esse é o elemento mais importante aqui, são os aspectos de custo. O e como esses aspectos de custo agregam valor comercial, o que significou ser capaz de trazer transparência aos executivos da diretoria executiva sobre exatamente o que eles estão recebendo com o que estão gastando. Isso é enorme, certo? Porque, no final das contas, é por isso que eles têm equipes de infraestrutura e operações. É por isso que eles têm tecnólogos, os tecnólogos se preocupam com isso, os executivos da suíte C se preocupam com a preocupação com os negócios. E todos que trabalham juntos alcançam esse resultado. É uma coisa muito legal. Quero dizer, este é um ótimo momento na indústria, e eu estou super empolgada e muito apaixonada por isso. E se divertir muito agora tendo conversas como essa, fazendo parte da consultoria executiva e passando tempo conversando com outros clientes e ajudando os clientes a resolver esses problemas é realmente ótimo.

50:54 Raghu Nanadakumara

Bem, quero dizer, Steve, você acabou de nos dar uma ótima frase para finalizar. O Zero Trust fornece transparência a toda a organização em sua postura de segurança, maturidade e gastos. Portanto, quando adotado e feito corretamente, é essencialmente um criador de valor para uma organização e um facilitador da modernização. Acho que essa é a essência da sua mensagem de hoje.

51:28 Steve White

100%. Sim. Bem dito, bem dito.

51:32 Raghu Nanadakumara

Steve, foi um prazer absoluto ter essa conversa com você para realmente aproveitar sua experiência e sua experiência técnica real e prática sobre como você está tornando isso real para seus clientes hoje. E foi uma conversa muito reveladora. É ótimo ter pessoas profundamente técnicas como você neste podcast. Então, muito obrigado por se juntar a nós.

51:58 Steve White

De nada, muito obrigado. Muito obrigado por me convidar. E eu adoraria voltar para outra conversa no futuro em algum momento. Falaremos mais sobre alguns dos resultados que estamos obtendo.

52:09 Raghu Nanadakumara

Tenho certeza de que com todas as mudanças que estão acontecendo no cenário da tecnologia, no cenário da segurança. Tenho certeza de que falaremos daqui a alguns meses. Teremos muito mais sobre o que conversar. Então, sim, eu adoraria isso.

52:22 Steve White

Fantástico Ótimo Muito obrigado pelo seu tempo. Eu realmente agradeço isso.

52:25 Raghu Nanadakumara

Obrigado, Steve.

‍