Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
A história da Zero Trust Origin
Season Two
· Episódio
1

A história da Zero Trust Origin

Bem-vindo de volta ao The Segment! Em nossa estreia da segunda temporada, o apresentador Raghu Nandakumara se reúne com John Kindervag, evangelista-chefe da Illumio e “Padrinho do Zero Trust”, para desvendar a história de origem do Zero Trust de John, em que as pessoas erram em suas jornadas pelo Zero Trust, o impulso federal do Zero Trust e muito mais.

Transcrição

0:00:00.0 Raghu Nandakumara: Eu disse que todas as interfaces deveriam ter a mesma confiança e ela deveria ser zero. E é realmente daí que vem o Zero Trust. É apenas uma resistência à forma como estávamos construindo firewalls que afetavam a política e não havia nenhuma razão para isso.

00:00:18.5 Raghu Nandakumara: Estamos de volta com uma nova temporada do The Segment, um podcast de liderança Zero Trust. Sou seu anfitrião Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Para começar a segunda temporada, estou acompanhado por John Kindervag, um homem que dispensa apresentações no mundo do Zero Trust. John é amplamente considerado um dos maiores especialistas em segurança cibernética do mundo. Com mais de 25 anos de experiência como profissional e analista do setor, ele é mais conhecido por criar o modelo revolucionário de segurança cibernética Zero Trust. Agora, como evangelista-chefe da Illumio, John é responsável por acelerar a conscientização e impulsionar a adoção da segmentação Zero Trust. Hoje, John se junta a nós para discutir a história de origem do Zero Trust, em que as pessoas erram em suas jornadas com o Zero Trust, o que a IA e o ML significam para o futuro da segurança e muito mais.

0:01:18.1 Raghu Nandakumara: Este é o segmento. Este é um podcast de liderança do Zero Trust. E para começar a segunda temporada, acho que é justo termos como nosso convidado de abertura, o padrinho do Zero Trust. Eu diria que a razão pela qual estamos realmente tendo essa conversa neste podcast é o Sr. John Kindervag, evangelista-chefe da Illumio. John, bem-vindo.

0:01:45.2 John Kindervag: Oi, Raghu. É sempre um prazer conversar com você e estou animado por estar neste podcast em particular. Este é o podcast mais importante da Internet.

0:01:54.5 Raghu Nandakumara: Absolutamente. E acho que a importância disso acabou de subir um pouco, John, com sua presença nela. Então, é claro, falaremos sobre Zero Trust logo após sua época na Forrester. Mas antes disso, todo mundo adora uma boa história de origem e você tem um ótimo tipo de apelido ou título, eu diria, de padrinho do Zero Trust. Então, como o padrinho do Zero Trust se tornou o padrinho do Zero Trust?

0:02:25.1 John Kindervag: Acidentalmente, foi apenas um acidente. Quer dizer, eu tive muitos empregos. Eu cresci em uma fazenda e, por isso, trabalho desde pequeno. E meu primeiro emprego remunerado, porque quando você trabalha quando mora em uma fazenda, você tem muitos empregos, mas você não é pago, você é alimentado. Mas meu primeiro emprego real foi como limpador de máquinas de escrever e aprendiz de reparador. Essa é uma carreira na qual estou feliz por não ter continuado porque ela não existe mais. Certo? Uma pessoa no mundo precisa de um reparador de máquinas de escrever, e esse é Tom Hanks. Na verdade, ele tem seu próprio reparador de máquinas de escrever porque coleciona máquinas de escrever vintage de todas as coisas. Então, acho que a vida é uma daquelas coisas em que, se você faz uma jornada, acaba indo para lugares diferentes. Então, por muito tempo, fui engenheiro de transmissão porque gostava de tecnologia e essa era a coisa mais tecnológica do planeta.

0:03:20.4 John Kindervag: Fazendo uplinks via satélite, fiz as transmissões via satélite do atentado de Oklahoma City para a Reuters e para todos os feeds de notícias internacionais. Em Londres, fiz feeds do Sky e todo esse tipo de coisa. E você começa a se envolver cada vez mais com a tecnologia e então o mundo da computação aconteceu. E comecei a fazer animação por computador. E o que foi divertido nisso foi realmente construir os computadores mais do que animar as coisas. Então, comecei a construir computadores realmente sofisticados por conta própria. E então essa coisa chamada Doom surgiu. Você se lembra do videogame Doom?

0:04:03.9 Raghu Nandakumara: Passei muitas tardes no ensino médio jogando Doom e depois adoeci essencialmente devido ao enjôo dos gráficos 3D da época.

0:04:13.2 John Kindervag: Sim, então foi o primeiro jogo que suportou recursos multijogador em uma rede. Então, convenci meus chefes de que precisávamos de uma rede para transferir arquivos para animação em vídeo. Mas, na realidade, os arquivos ainda eram muito grandes e tivemos que transferi-los em discos rígidos. Ele nunca soube disso. Mas eu aprendi a construir redes Ethernet para que pudéssemos jogar Doom. Então, eu devo todo o meu sucesso, eu acho, ao pessoal de Grand Prairie, na id Software, que criou Doom e descobriu como fazer jogos multijogador. Não estava online, é claro, a capacidade on-line veio mais tarde. Mas você teria festas em que as pessoas se reuniam e traziam computadores e jogavam Doom, depois Quake e outras coisas. Então, você vê como a tecnologia impulsiona as coisas de uma forma ou de outra. Na verdade, eu estava conversando com um cara da Cisco da velha escola e ele disse: “Você não pode acreditar na quantidade de código que tivemos que colocar no iOS apenas para apoiar as festas de Doom depois do trabalho que aconteciam em empresas de todo o mundo”. Portanto, podemos agradecer a Doom por muitos avanços em computadores e redes e, finalmente, pela segurança cibernética.

0:05:32.7 Raghu Nandakumara: Então, como você passou para a rede e, em seguida, qual foi a progressão da mudança para a rede e depois para a segurança da rede?

0:05:41.7 John Kindervag: Quando comecei a migrar da engenharia de transmissão para a rede, ninguém queria fazer segurança. Não foi pensado apenas como uma reflexão tardia, mas por que você gostaria de fazer isso? O futuro está no roteamento e na comutação. É aí que todas as coisas interessantes estão acontecendo. E eu não achei isso particularmente empolgante. E alguém disse: “Não podemos contratar ninguém que assuma nosso trabalho de segurança, instalando firewalls e outras coisas”. As pessoas achavam que isso era estúpido. Por que você precisaria disso? Bem, vou tentar isso. Então, é só estar lá, encontrar uma oportunidade e dizer sim quando alguém precisa fazer alguma coisa. Eu sempre tento dizer sim, a menos que seja meio impossível dizer sim por causa do tempo ou algo assim. Mas você quer experimentar as coisas e ver onde elas vão funcionar e ser curioso. Então, eu estava muito interessado nessa coisa chamada segurança, que na verdade tinha alguns produtos que tinham antivírus e firewalls.

0:06:48.2 John Kindervag: E foi isso. E iniciar o processo de instalação de firewalls realmente levou ao Zero Trust. Porque na tecnologia de firewall, havia um conceito de modelo de confiança em que a Internet estava na interface não confiável e a interface que ia para a rede interna era confiável. E por causa dessa relação de confiança, você não precisava de uma declaração de política para mover o tráfego da rede interna ou confiável para a rede externa ou não confiável. E eu disse: “Isso é insano. As pessoas vão expelir dados daqui.” E eles disseram: “Não, eles não vão. Você não pode.” Então, eu publicava isso por regra e depois teria problemas. Tire isso. Não é assim que o fornecedor diz que deveria ser feito. E estou tentando explicar o que estamos tentando impedir. E eu disse que todas as interfaces deveriam ter a mesma confiança e ela deveria ser zero.

0:07:40.8 John Kindervag: E é realmente daí que vem o Zero Trust; é apenas uma resistência à forma como estávamos construindo firewalls, o que afetou a política. E não havia razão para isso. Eu conheço o cara que criou esse modelo de confiança e foi arbitrário. Ele acabou de escolher o termo confiança em sua garagem quando construiu uma NAT Box, certo? Então, as pessoas não pensam mais em NAT porque é muito automatizado. Mas, na época, transformar um endereço RFC 1918 em um endereço roteável era algo incrivelmente complexo. E um cara que eu conheço na Costa Oeste criou um software e ele realmente o deu a um amigo dele que criou uma tecnologia para NAT. E então aquele cara o vendeu para uma grande empresa e ele se tornou um dos primeiros firewalls. E é esse modelo de confiança que ainda enfrentamos 25, 30 anos depois como um dos maiores problemas que temos.

0:08:42.5 Raghu Nandakumara: Adoro como você descreve isso, certo? E esse tipo de momento de quase uma lâmpada, ou um momento de senso comum dizendo: por que estamos simplesmente confiando implicitamente no que está em um lado do firewall em vez de dizer que a outra coisa não é arbitrariamente confiável? Eu quero te fazer uma pergunta. Todo esse tipo de abordagem de segurança de confiar, mas verificar, ou do jeito que você quiser resumir, certo? Essa realmente foi a base de como muitas estratégias de segurança evoluíram, pelo menos até o Zero Trust ser conceituado e adotado. Mas qual foi a base dessa abordagem de “confiar, mas verificar” e a quantidade de investimento investida nela para mantê-la?

0:09:28.4 John Kindervag: Bem, a realidade, por mais estranha que seja, é que nos anos 80, o grande especialista em segurança cibernética Ronald Reagan usou esse termo em seu discurso com Mikhail Gorbachev. Ele disse que eles estavam assinando, eu acho, um tratado de proliferação nuclear ou algo parecido. E ele disse, vamos seguir aquele velho provérbio russo. E então ele diz o provérbio russo em russo. E eu sou... Meu russo, nunca consigo pronunciá-lo corretamente, mas é algo como provador e eu conheço provador e eu. E ele disse, e isso, é claro, significa confiar, mas verifique qual é a tradução literal disso. Mas a essência disso em russo é que não vamos confiar em você até onde pudermos. E isso é o que ele estava dizendo a Gorbachev. Ele disse: “Tudo bem, sim. Estamos assinando este tratado, mas não vou confiar em você até onde posso acreditar.” Mas as pessoas não olharam para a história de fundo. Eles sabiam: “Bem, Ronald Reagan diz isso, então devemos fazer isso.”

0:10:19.5 John Kindervag: E eu fico tipo, por quê? As pessoas me diziam isso o tempo todo. Estou fazendo isso porque Ronald Reagan disse para fazer isso. O que? O que ele sabe sobre tecnologia? Nada Certo? E então, e as coisas simplesmente acontecem. E porque ninguém mais é, é curioso, intelectualmente curioso e pergunta por que estamos fazendo isso? Quem disse isso? Oh, bem, deixe-me ver o que realmente aconteceu. Há um clipe do YouTube nele. Você assiste isso e diz, ele não está querendo dizer o que você pensa que está querendo dizer. E foi daí que veio. Mas há muitas coisas que se tornam meio sacrossantas sem nenhum motivo, só porque ninguém sabe de onde elas vieram. E alguém disse isso uma vez e depois ninguém questiona. Temos uma verdadeira falta de curiosidade intelectual neste mundo. E isso vale para qualquer coisa que eu já disse, metade da qual provavelmente não consigo me lembrar.

0:11:15.6 John Kindervag: Mas sim, você precisa validar as coisas que todo mundo está dizendo e ver se elas são verdadeiras. Certo. Eu fui a única pessoa perguntando: qual é a definição de confiança? E isso é muito difícil de definir, porque até os anos 50, era usado apenas em conversas filosóficas ou religiosas. Era um termo de arte desses dois domínios. E eu disse há alguns anos que a confiança é uma vulnerabilidade que se tornou um ditado meu. E então descobri mais tarde, porque mais coisas foram publicadas na internet, que havia um cara chamado Morton Deutsch, que era um teórico do trabalho. E em 1958 ele disse a mesma coisa. Eu não sabia quando disse que confiança é uma vulnerabilidade, mas ele definiu confiança especificamente como a disposição de um indivíduo de ser vulnerável a outro indivíduo. Isso é o que é confiança. Isso é o que ele definiu no local de trabalho.

0:12:19.6 John Kindervag: E eu acho que essa é uma definição muito boa. E isso se encaixa exatamente com o que venho tentando dizer. Então, estou pensando em uma vulnerabilidade técnica, essa confiança é uma vulnerabilidade tanto quanto não ter sua máquina corrigida. É como se o fato de você confiar em algo fosse insano porque é um sistema digital e não precisa de uma emoção humana, confiança, certo? Essa é uma emoção humana que injetamos nos sistemas digitais porque estamos tentando entendê-los de uma perspectiva humana. Nós antropomorfizamos muito as coisas. Dizemos coisas como: John está na rede, Raghu e John estão falando na rede e ambos estão na rede. E nenhum de nós está na rede. Não nos reduzimos a partículas subatômicas e não fomos enviados pela Internet pública para que pudéssemos ter essa conversa.

0:13:07.5 John Kindervag: Essa conversa é muito milagrosa, certo? Lembro-me de quando o filme 2001 is Space Odyssey foi lançado, novamente, muito antes de você nascer. Estamos assistindo isso quando crianças e eles estão fazendo uma videochamada do espaço para a Terra e, tipo, uau, isso é mesmo possível? Uma videochamada? Como isso seria possível? E assim, durante anos, foi impossível. E agora o impossível é nossa vida diária. E isso é insano nesse período de tempo em que vimos tantos avanços na tecnologia.

0:13:44.7 Raghu Nandakumara: Então, antes de entrarmos no Zero Trust, certo? Eu quero gastar mais alguns minutos confiando. Então, com o tempo, as organizações gastaram muito tempo e esforço essencialmente criando e mantendo uma infraestrutura confiável, certo? Desde o tipo de cabeamento que eles instalam em seus data centers até os dispositivos de rede, até a computação conectada a eles, até o sistema operacional e os aplicativos executados nele, certo? Então, essencialmente, e depois os usuários que finalmente acessam isso. Você acha que a obsessão em tentar manter a confiança realmente prejudicou a produtividade e a segurança cibernética?

0:14:28.9 John Kindervag: Sim, porque eles se tornam complacentes. Certo? Então, eles, eu estava na Alemanha logo antes da pandemia. Alemanha, Suíça. Em algum lugar que falava alemão, e eles estavam tendo uma longa discussão em alemão sobre confiança e estavam tentando defini-la. E eles inventaram uma palavra. E ele diz: Oh, isso significa apenas preguiçoso. As pessoas são preguiçosas e não querem fazer nada diferente. Então, eles vão confiar nisso, certo? Se eu acho que esse é um ambiente confiável, não preciso fazer nada com ele. Eu posso ser preguiçoso com isso. E eu me lembro de dizer isso a um CISO quando ele disse que confiava na verificação. Eu disse, ok, eu entendo o que é confiança, isso significa que você não vai fazer nada. Mas o que você está fazendo para verificar quando ele disse confiar com verificar? E ele disse: “Ah, nada, porque eles são usuários confiáveis. Portanto, seria rude verificar.”

0:15:19.5 John Kindervag: Ok, então você realmente não está fazendo absolutamente nada em segurança cibernética. É maravilhoso ouvir isso. E eu já vi isso repetidamente, onde quase literalmente não há nada acontecendo. No entanto, as pessoas estão pontificando sobre todas as coisas importantes que estão fazendo quando, na verdade, não estão fazendo quase nada.

00:15:39.9 Raghu Nandakumara: Adoro como você acabou de expressar que confiança gera complacência. E adotar essa abordagem, em última análise, não é um progresso na segurança cibernética. Na verdade, pode ser uma regressão. Então, vamos falar sobre Zero Trust agora. E, referindo-se a dois tipos de artigos fundamentais que você publicou quando era analista na Forrester, basta de centros complicados e incorpore a segurança ao DNA da sua rede, a arquitetura de rede Zero Trust. Obviamente, a motivação por trás disso estava além da imagem de um firewall com uma interface confiável e não confiável, dizendo que isso é realmente estúpido. Fale conosco um pouco mais sobre a motivação por trás desses artigos e o que você estava procurando capturar quando os publicou.

0:16:24.5 John Kindervag: Bem, quando eu estava na Forrester, na época, fazer pesquisas inovadoras era muito importante. Nós tivemos... Lembro-me do meu primeiro dia de aula de treinamento de analistas, Ellen, a dama responsável, uma pessoa magnificamente brilhante, uma física. Ela escreveu no quadro nossa descrição de trabalho. E foram três palavras: “Pense grandes pensamentos”. Então, trabalhei em um lugar que incentivava grandes pensamentos e pensamentos perturbadores. E isso lhe deu a oportunidade de ir a lugares que provavelmente você teria medo de ir em outras organizações. Então, recebi uma pergunta: por que a cibersegurança não está funcionando? Certo. E essa pergunta foi feita em 2008. E depois de dois anos de pesquisa primária, publiquei 'No More Chewy Centers'. Ao dar uma volta por aí, percebi: Ah, todos esses incidentes de cibersegurança, violações de dados, foram todos causados pela exploração desse modelo de confiança que eu considero, sempre o chamo de modelo de confiança quebrada.

0:17:31.5 John Kindervag: Porque não é o modelo de confiança, é uma confiança quebrada. E isso culminou em dois anos dando palestras e webinars, testando o marketing e consultando especialistas que eu conheço que revelam falhas nisso. Muitas pessoas disseram: “Não gosto da ideia, mas não vejo nada de errado nela”. Algumas pessoas disseram: “Nossa, isso é incrível”. Então, houve incentivo suficiente para ir, ok, vou continuar com isso. E foi assim que toda a pesquisa da Forrester aconteceu naquela época. Então, tudo gira em torno de incentivos na vida, certo? Charlie Munger, que era parceiro de Warren Buffett, é o menos conhecido dos dois, mas ele morreu há algumas semanas. E ele disse que o tempo todo, tudo gira em torno de incentivo. Diga-me como as pessoas são incentivadas e eu lhe direi como elas se comportam.

0:18:22.0 John Kindervag: E temos muitos incentivos perversos em segurança cibernética. Temos tanto medo de quebrar coisas, certo? Temos esse triângulo da CIA. Você está familiarizado com o triângulo da CIA. O que é isso?

0:18:34.0 Raghu Nandakumara: Absolutamente.

0:18:34.0 John Kindervag: Quais são as três coisas que eu vou fazer, você vai ser questionado de volta.

0:18:39.0 Raghu Nandakumara: Pelo menos isso é algo que eu sei, e isso é graças a todo o treinamento de CIS que fiz ao longo dos anos. C para confidencialidade, I para integridade, A para disponibilidade.

0:18:50.3 John Kindervag: Certo. E deveria ser esse triângulo equilátero, certo? Só que não é. O que é mais importante aí? Eles são todos iguais?

0:18:58.5 Raghu Nandakumara: Essa é uma pergunta interessante. Então, quando falo sobre isso e falo sobre isso para clientes atuais e potenciais, o que eu digo é: “Eles são iguais?” Obviamente, eles se preocupam em proteger seus dados e sua integridade, mas têm muito medo de que: “Ah, e se meu aplicativo falhar?” Então, eles são obcecados com a disponibilidade. Então, você não pode colocar a segurança a menos que possa me garantir com certeza que a disponibilidade não será comprometida. Portanto, dependendo se você perguntar ao proprietário do aplicativo, a resposta será: “Eu me importo com o funcionamento do meu aplicativo e, em seguida, me preocupo com as outras coisas”.

0:19:27.6 John Kindervag: Sim. Então, eu diria que a disponibilidade é tão importante que agora, não sei, o que é isso? Um triângulo isósceles? Onde você tem uma hipotenusa muito longa, isso é disponibilidade, certo? E depois integridade. Eu nem tenho mais certeza do que isso significa por causa do hashing. E é muito fácil controlar a integridade dos seus dados. Mas eu brinco que o C agora significa compromisso. Temos muitas redes comprometidas altamente disponíveis. Por causa do tempo de permanência, tivemos essa conversa há algumas semanas: quanto tempo de permanência? Quais são os dados sobre o tempo de permanência? Quanto tempo os bandidos da sua organização demoram até serem pegos? Certo? E é o que você estava dizendo que os dados mais recentes eram da IBM.

00:20:11.6 Raghu Nandakumara: De acordo com o relatório de violação de dados deste ano da IBM, as organizações levam em média 277 dias para identificar e conter os ataques cibernéticos.

0:20:23.0 John Kindervag: Aí está. 277 dias. Então, se C significa confidencialidade, não é muito, é um C minúsculo, certo? Na verdade, eles estão comprometidos lá por 200 e alguns dias. Isso é quase um ano por quase um ano. As pessoas ruins estão em sua casa. Eu brinco que é como se o modelo de confiança fosse esse. Se eu estou sentado assistindo TV com minha esposa e vejo um cara pegando cerveja na geladeira, eu digo: “Querida, você conhece aquela pessoa tirando cerveja da geladeira?” E ela diz: “Não, eu não.” Eu disse: “Bem, ele consegue tirar cerveja da geladeira, então eu posso deduzir que ele deveria estar aqui. Então, devemos arrumar o quarto de hóspedes.” Você vai pegar lençóis limpos e eu vou trocar a cama. É o que acontece nessas organizações. É a inferência errada porque você consegue entrar na rede. Você deveria estar aqui, não deveria estar aqui. E se você estiver aqui, nós o colocaremos na rede. Esse é o problema. Portanto, todos os eventos significativos de segurança e 100% de violações de dados são funcionalmente uma exploração desse modelo de confiança quebrada.

0:21:35.6 Raghu Nandakumara: Absolutamente. E eu adoro a analogia que você forneceu lá. Então você está na Forrester, você escreve esses dois trechos de pesquisa seminal. E sei com certeza que, quando eu estava projetando controles de segurança para nuvem privada em um empregador anterior, um de nossos profissionais de segurança literalmente veio até mim em um workshop, colocou um artigo na minha frente e disse: “Raghu, isso é o que precisamos em nosso ambiente de nuvem privada”. Então, você escreveu isso. Qual era sua expectativa sobre o que os praticantes fariam depois disso?

0:22:10.9 John Kindervag: Minha expectativa era bem baixa. Acho que você percebe nesse papel que está apenas tentando divulgar uma ideia que talvez se infiltre. Não achei que essa coisa do Zero Trust fosse decolar do jeito que aconteceu. Certamente não estava pegando fogo logo no início. Mas então havia algumas pessoas-chave sobre as quais eu realmente não posso falar, alguns designs importantes em que trabalhei, e percebi, uau, há mais pessoas lendo isso e ouvindo isso e agora querendo falar sobre isso do que eu imaginava. E, finalmente, eu estava em uma grande conferência para um dos maiores fornecedores de redes e segurança cibernética do mundo, apenas uma grande conferência. E o cara número dois de toda a empresa estava fazendo uma apresentação sobre Zero Trust. E um amigo meu estava ao meu lado.

0:23:00.1 John Kindervag: Ele disse: “Você percebe que toda a sua carreira de agora em diante é Zero Trust”. E eu disse: “Não, não é.” Eu estava cobrindo o SIM e fazendo muitas pesquisas interessantes sobre o futuro da criptografia e outras coisas. E ele disse: “Não, é.” E acontece que ele estava certo. Então, acho que tenho que dar muito crédito a ele também. Ele viu isso antes de eu ver, mas é algo que realmente ressoa até os níveis mais altos de qualquer organização. Então, eu estava em uma ligação no início desta semana com um governo estrangeiro e alguém... fazia parte de um ministério relacionado à segurança cibernética. E eles disseram: “Oh, quando você vem aqui, temos que colocá-lo na frente do primeiro ministro.” Esse foi o comentário dele, certo? O fato de que isso é algo sobre o qual o presidente dos Estados Unidos emitiu uma ordem executiva. Governos como Austrália e Cingapura emitiram diretrizes para avançar nessa direção. É muito insano para mim, um garoto de uma fazenda em Nebraska, certo? O objetivo de toda a minha vida enquanto crescia era não me levantar às cinco da manhã e alimentar o gado. Então, o nível estava muito baixo e eu não tive que me levantar e alimentar o gado às cinco da manhã por muitos anos. Então, eu sou muito grato por isso.

0:24:16.1 Raghu Nandakumara: Bem, essa história, eu acho que é por isso que você é o padrinho. Ei, sua carreira a partir de agora será sobre Zero Trust. Então, a pergunta que eu tenho é que quando você meio que observou a reação ao Zero Trust e alguns comentários sobre o assunto, você ficou frustrado porque o aumento foi lento? Mas também, até certo ponto, muitos pessimistas disseram que, na verdade, isso é impraticável.

0:24:49.8 John Kindervag: Não, eu não estava. Em primeiro lugar, gostei do fato de o aumento ter sido lento, porque por um tempo eu fui a única pessoa fazendo isso. Então, eu tenho que cometer todos os erros sozinho e depois escrever sobre esses erros e dizer quais seriam, para que você não precise cometê-los. E achei que isso era algo valioso para alguém na minha posição fazer. Então, na segunda etapa do modelo de cinco etapas, se você ler sobre isso no relatório da pilha N ou qualquer outra coisa, verá que surgiu de um grande desastre que tivemos porque não sabíamos como o sistema funcionava. E alguém pegou um servidor porque disseram que era antigo. Esse foi o critério. Era antigo e derrubou uma rede inteira. Então, você tem alguns desses desastres e é melhor que eu os tenha.

0:25:31.2 John Kindervag: Então eles acontecem simultaneamente em todo o mundo e todo mundo diz, cara, você estragou tudo. Então, ser a pessoa que diz, não faça isso porque é perigoso, ou faça isso porque funciona, é muito gratificante. E então, basta cronometrar. Esta é uma empresa tão jovem que achamos que, pessoal, alguém já me disse uma vez que tenho 30 anos de experiência em segurança cibernética e fiquei pensando, caramba, aposto que toda essa SNA (arquitetura de rede de sistemas) vem a calhar. E digo às pessoas que tenho seis meses de experiência em cibersegurança, certo? Eu tenho os últimos seis meses, tenho os próximos seis meses, e então todo o resto são histórias de guerra porque isso muda muito. Então, se eu estou fazendo as coisas da maneira que fiz há um ano, isso provavelmente está errado porque tudo mudou.

0:26:25.0 John Kindervag: Há um ano, não vimos essa revolução da IA generativa que surgiu. E não víamos para onde isso estava indo, e certamente não estávamos pensando nas implicações de segurança disso, nem nas oportunidades de usar essas coisas em segurança. Agora temos uma nova tecnologia que fez todo mundo pensar nela. Todo mundo. Eu sei que isso está gravado, mas ontem à noite eu moderei um painel sobre IA e cibersegurança. E uma das coisas que eu indiquei foi Henry Kissinger, que morreu recentemente aos 100 anos de idade, seu último artigo que ele já escreveu sobre todas as coisas que ele já escreveu foi sobre IA e sua capacidade de acabar com a maneira racional como pensamos e fazemos era essencialmente a essência dela. Está no Atlântico. Todo mundo deveria ler isso. É uma visão fascinante de alguém que viu o mundo e é ao mesmo tempo beleza e feiúra de perto por 80 anos. E achei que foi uma leitura fascinante.

0:27:40.0 Raghu Nandakumara: Sim, e eu adoro a expressão de essencialmente minhas experiências nos últimos seis meses e nos próximos seis meses. E o resto são histórias de guerra, certo? Isso nos permite permanecer atualizados e relevantes. Eu gostaria de, antes de prosseguirmos, apenas conversar, você falou sobre aprendizado. Isso me permitiu aprender com o erro para que todos os outros não precisassem. Quais foram os outros erros significativos na estratégia Zero Trust que você observou e que agora corrigiu ou pelo menos meio que racionalizou em sua própria cabeça que acha que melhorou e a tornou mais palatável, mais adotável?

0:28:22.6 John Kindervag: O maior erro que eu vejo, e sempre foi tentador, foi crescer muito rápido. Agora, todo mundo está tentando fazer tudo de uma vez para toda a organização e realmente codificando o conceito de uma superfície protegida. No modelo de cinco etapas. A primeira é “defina sua superfície de proteção”. E, no início, era chamado de “defina seus dados”. E houve alguns problemas, e foi aí que as pessoas disseram: “Bem, eu quero usar o Zero Trust para outras coisas além da proteção de dados”. Seu objetivo inicial real era proteger os dados e tornar a rede um poderoso ponto de fiscalização da segurança de dados. Então, quando pensei sobre isso e percebi, oh, há muitas coisas acontecendo nesse setor que são meio, sei lá, ilusórias de certa forma, como a mitigação da superfície de ataque. Eu olho para a superfície de ataque e penso, oh cara, isso é como o universo.

0:29:16.4 John Kindervag: Está em constante expansão. Quero dizer, houve um grande estrondo na tecnologia e foi a criação do chip do computador, certo? E tudo o que aconteceu em 1957, eu estava com Jack Kilby, que ganhou o Prêmio Nobel por inventar o circuito integrado, que é o precursor disso. Eu estava com ele no dia em que ele ganhou o Prêmio Nobel. Então eu o conheci e conversei com ele sobre como isso aconteceu e tudo mais. E a partir de 1957, porque Bob Noyce também inventou uma versão diferente do circuito integrado no mesmo ano. E eles concordaram em se considerar cada um coinventor do chip de computador. Mas desde aquele dia de 1957, que não faz muito tempo, vimos esse big bang em que tudo está se expandindo e explodindo. Então, uma vez que você tem a internet, ela só cresce e cresce. Tenho idade suficiente para conhecer um dos caras que criaram o domínio original, não sei como você o chamaria quando... É mais ou menos como os registradores de domínio originais, eu acho que você diria.

0:30:22.4 John Kindervag: Mas eram apenas dois caras andando por aí com um caderno físico e escrevendo: “Oh, você quer ser www, certo?” A internet era tão pequena que eles podiam guardá-la em um caderno e anotá-la no papel. Era um cara chamado John Postel. E, ele está morto agora, mas Rodney Joffe, que é um velho amigo meu, os dois estavam apenas escrevendo. Quero dizer, isso é insano. E isso não foi há muito tempo. A primeira senha foi feita em 1961 no MIT, tudo isso é muito, muito novo em comparação com a história do mundo. Provavelmente demorou mais para que a roda fosse adotada do que para o primeiro site ser criado. Então, estamos um pouco atrasados. E a inovação é tão empolgante que protegê-la está muito atrasada. Demorou... Edifícios foram sendo construídos por milhares de anos até que Hammurabi, em seu código, escreveu sobre como se um prédio cair e matar alguém, executaremos o construtor e criaremos o que chamamos de engenharia estrutural e códigos de construção, certo? Isso é algo que ainda não fizemos pela internet e pelas redes e responsabilizamos as pessoas por não fazerem as coisas da maneira certa. Hammurabi fez isso. Precisamos encontrar nosso Hamurabi de alguma forma.

0:31:41.0 Raghu Nandakumara: Certo. E então, quando você olha para... Hoje em dia, quando acho que deixamos de ser Zero Trust uma ideia nova e o feedback é, na verdade, isso não vai funcionar. Não é realmente adaptável até agora, a narrativa é que eles concordam que a estratégia Zero Trust é absolutamente a coisa certa, mas é muito difícil de adotar. Quando você ouve isso hoje, qual é a sua reação e qual é a sua resposta a isso?

0:32:10.6 John Kindervag: Acho que muitas pessoas fazem com que pareça mais difícil do que é e o tornam mais complexo. É muito simples, certo? Existem quatro princípios de design e um modelo de cinco etapas para fazer isso. Então, há nove coisas que você precisa saber. Ele foi projetado para ser muito, muito simples de fazer. Recebi uma ligação no início do ano de um amigo meu, o general Greg Tohill, que foi o primeiro, ele é general aposentado da Força Aérea. Ele foi o primeiro CISO do governo federal dos EUA. E ele está no CERT agora. Ele dirige o CERT e todos nós sabemos o que é o CERT, certo? Na Carnegie Mellon. Mas ele me ligou e disse: John, “Por que as pessoas estão fazendo o Zero Trust parecer tão complicado?” E eu disse, e nós o chamamos de General Zero Trust. Então eu disse: “Puxa, general, eu não sei.

0:32:55.0 John Kindervag: Não tenho ideia de por que as pessoas estão fazendo isso parecer complicado.” Porque eu li coisas que outras pessoas escreveram sobre isso. E eu digo, uau, eu teria medo de fazer isso também se eu ainda não tivesse feito isso. Certo? E eu tive discussões com pessoas. Eu tive uma discussão com um cara em um evento de networking sobre Zero Trust, e ele sabia quem eu era, mas ele queria discutir porque está obtendo seu PhD em Zero Trust. Eu fico tipo, o quê? Por que você precisaria de um PhD nisso? Basta sair e fazer isso. Certo? Mas ele estava discutindo comigo sobre isso por causa de coisas que ele tinha ouvido ou lido em seu curso. Eu disse, não, não, não, não, não, não, não, isso não está certo. E não, mas, e eu disse, você já fez isso? Bem, não. Ok, então você deve fazer isso.

0:33:37.4 John Kindervag: Isso é experimental. Todo o nosso negócio é experimental. Não estamos em um negócio acadêmico. Se os pacotes não se moverem do ponto A para B de forma segura e eficiente, então falhamos. E não importa o que escrevemos sobre o que os pacotes devem ou não fazer, o que importa é o fato de terem feito ou não o terem feito. Então eu acho que o importante é abrir seu laptop. A ideia de um laptop também ainda é uma loucura para mim porque meu primeiro computador foi um K Pro 484, que era transportável, era feito de metal e pesava cerca de 25 libras e você pode movê-lo de um lugar para outro. E tinha um modem de 14,4 corpos e um disco rígido de 40 megabytes de 40 megabytes. 40 megas. Uau. Isso foi o que há de mais moderno. Então, tudo isso aconteceu muito, muito rápido, e você tem que sair e fazer isso. Você não gostaria de um mecânico trabalhando em seu carro que nunca tenha trabalhado em seu carro antes, mas eles têm um PhD em mecânica de automóveis que seria desastroso. Oh, caramba, pensei que as velas de ignição deveriam estar aqui. Diz que eles estão aqui no, neste livro. Certo? E você fica tipo, então sim, suje suas mãos.

0:35:02.3 Raghu Nandakumara: Gosto muito disso porque é... Você está falando com a experiência de alguém que não apenas elaborou essencialmente a teoria do Zero Trust, mas também a refinou ao longo de anos de prática. E como você disse, meio que cometer erros e depois aprender com isso a adotar, a desenvolver um modelo mais refinado que facilite a adoção. Certo? E, sem dúvida, à medida que mais e mais profissionais implementam uma estratégia Zero Trust, certo? Isso continuará evoluindo com o tempo. E o que consideramos uma estratégia hoje, pode não ser amanhã. Então, partindo disso.

0:35:41.5 John Kindervag: Bem, na verdade, há um comentário aí. Porque lembre-se de que o Zero Trust tem duas grandes áreas, estratégia e tática. Então, a estratégia da grande ideia por trás dela. Eu não acho que isso vai mudar.

0:35:53.0 Raghu Nandakumara: Sim.

0:35:54.8 John Kindervag: Acho que o que você quer dizer é a tática, a maneira como fazemos isso, certo? E um dos meus mentores, coronel da Força Aérea e estrategista-chefe, estrategista-chefe da primeira Guerra do Golfo, que me ensinou sobre estratégia e como pensar sobre ela, disse que todo mundo confundia estratégia e tática. Eles acham que estão sendo estratégicos, mas estão sendo táticos. E é importante entender o que é estratégia e o que é tática? Táticas são coisas, coisas que você faz, certo? Então, quando você está tocando na tecnologia, isso é tático, certo? Essa é a essência disso. É tática. Nós podemos sentir isso. Estratégia são essas ideias que têm princípios orientadores para alcançar uma meta de missão ou uma grande estratégia. Então, entender isso é muito importante. E o sucesso do Zero Trust não está relacionado às táticas. Eu estava usando apenas a tecnologia disponível comercialmente, mas a estava usando de uma forma que essa liderança, seja ela liderança governamental, liderança militar, liderança empresarial, pudesse entender como você poderia desenvolver sistemas de segurança cibernética que alcançariam uma meta de missão ou uma grande meta estratégica.

0:37:16.1 John Kindervag: E alguém do exército escreveu uma vez que a maior coisa que John trouxe para a segurança cibernética e o Zero Trust foi o conceito de grande estratégia, sobre o qual ninguém nunca havia falado antes. E é disso que as pessoas sentem falta o tempo todo. “Eu venho fazendo isso desde sempre. Estou usando a autenticação multifator.” Claro, você tem, mas você não sabia por que estava usando, certo? E então está respondendo a essa pergunta: 'por quê? ' E não apenas porque quero autenticar pessoas, mas porque quero que esses resultados comerciais aconteçam de uma forma que expanda meus negócios de maneiras específicas.

0:37:52.4 Raghu Nandakumara: Sim, eu concordo. E as palavras são importantes. Você está absolutamente certo. Eu quis dizer que as táticas podem evoluir com o tempo, mas a estratégia é que a grande estratégia é, como você a definiu, que deve ser bastante constante por toda parte. Então, eu quero passar para algo que você mencionou anteriormente, que é o foco de vários governos em todo o mundo, sendo os EUA os mais proeminentes, mas conversamos, você mencionou Cingapura, Austrália e Reino Unido como outros exemplos. Então, primeiro, o que desencadeou esse movimento de adotar uma estratégia de Zero Trust e realmente codificá-la? Estamos tendo esses enormes incidentes cibernéticos, essas violações cibernéticas, há um grande número de anos. Então, o que realmente forçou o governo dos EUA, por exemplo, a levar o Zero Trust tão a sério nos últimos dois a três anos?

0:38:51.8 John Kindervag: Bem, foi a violação de dados do OPM, as coisas de Snowden, Manning, Texeira, coisas que foram muito prejudiciais. E isso fez com que o governo acordasse e dissesse: “Ah, a cibersegurança também é contra a espionagem de várias maneiras”. Então, vimos esses cenários da trama do filme e agora eles estão se desenrolando. Na vida real, e temos que ficar na frente deles, é mais ou menos como eles veem. Há muito trabalho em criptografia resistente a quânticos e esse tipo de coisa em que eles estão tentando se deparar com algo que realmente não existe, que é a computação quântica. Mas eles entendem que, uma vez que isso aconteça, será incrivelmente prejudicial a curto prazo se não estivermos preparados para isso. Então, acho que uma das lições da tecnologia é tentar se preparar para os piores cenários mais cedo, em vez de muito mais tarde, depois que isso acontecer.

0:39:49.7 Raghu Nandakumara: Então, eu sei que você esteve envolvido, ou muito envolvido, nos relatórios do CISA NSTAC, nas recomendações ao presidente sobre Zero Trust e identidade. E eu quero escolher duas das conclusões das quatro conclusões. Eu só quero discutir ou ter seus comentários sobre duas dessas conclusões. E uma delas diz que esse tipo de governo dos EUA corre o risco de o Zero Trust se tornar um experimento incompleto, uma coleção de projetos de segurança técnica desarticulados medidos em anos, em vez da base de uma estratégia duradoura, coerente e transformadora medida em décadas. Então, qual é o desafio com esses pequenos bolsões de experimentos? A intenção aqui agora é ter esse tipo de abordagem uniforme para o Zero Trust?

0:40:31.6 John Kindervag: Acho que a intenção é fazer com que as pessoas se movam nessa direção. Eu falo sobre isso como se estivéssemos todos indo na mesma direção, ou todos geralmente indo para o norte, para a direita, em direção à Estrela Polar, se você estiver no hemisfério norte. Você vai em direção ao Cruzeiro do Sul se estiver no hemisfério sul. Mas se todos estiverem indo na mesma direção, mesmo que haja muita paralelização aqui, vocês acabarão no mesmo lugar e acabarão convergindo. E isso é o que eu acho empolgante, é que estamos todos caminhando na mesma direção. Esse relatório do NSTAC é uma espécie de Estrela Polar de onde devemos ir. E, na verdade, não estamos vendo tanta fragmentação quanto eu pensei que veríamos. Entregamos esse relatório em 20 de fevereiro, 23 de fevereiro de 22. Certo?

0:41:18.6 John Kindervag: E nós o entregamos originalmente em 22 de fevereiro. Então, poderíamos dizer que foi 22/02/22. E então teve que haver uma revisão. Então, tornou-se 23/02/22. Mas de qualquer forma, isso é uma coisa estranha que ninguém mais acha interessante. Mas eu, mas o que descobrimos é que, desde aquela época, cada agência do governo federal tem um escritório de gerenciamento do programa Zero Trust e um diretor do programa Zero Trust. Então esse é um grande movimento, você tem alguém dedicado, que esse é o trabalho deles a ser feito. E então você mudou a estrutura de incentivos em mais ou menos um ano. E, novamente, os incentivos são muito importantes. Voltando a Charlie Munger, as pessoas se comportarão de acordo com a forma como são incentivadas. E os incentivos estão em vigor. E isso significa que, em última análise, o resultado vai acontecer da maneira certa. Vai demorar 10 anos?

0:42:13.7 John Kindervag: Vai demorar três anos? Eu não sei Eu jogo isso há muito tempo, porque percebi que, pelo menos na minha opinião, a internet vai existir por um tempo. Certo? Então, não vai a lugar nenhum. Não precisamos nos apressar e consertá-lo antes que morra ou algo assim. Não é como na minha idade, quando eu tinha que me apressar e consertar as coisas. Porque, se eu não fizer isso, talvez eu não chegue cedo. Então, a internet vai sobreviver a mim. E o Zero Trust sobreviverá a mim. Mas espero que isso dê às pessoas uma Estrela Polar pela qual avançar e que possam descobrir maneiras de proteger seus dados, seus ativos, seus aplicativos e seus serviços. Não se trata de como você faz isso geralmente, tanto conceitualmente quanto uma arquitetura de referência.

0:43:00.4 John Kindervag: É sobre como você faz isso especificamente para esse tipo de dados específico que você tem em sua organização. E então você passa para o próximo tipo de dados ou para o próximo aplicativo. E você faz isso de forma incremental, iterativa. E fazendo isso nesses pequenos pedaços, pegando a cibersegurança, que é um grande problema, dividindo-a em pequenos pedaços consumíveis. Agora, você também fez com que não fosse disruptivo. Se você errar, vai estragar algo tão pequeno que a maioria das pessoas nem notará. E para mim, essa é a vantagem: você não precisa ter medo disso. Ao longo da minha carreira, eu sabia que seria um sucesso quando eu fizesse alguns dos primeiros workshops e discussões iniciais. E sempre haverá alguém que odiava muito isso, quase a ponto de querer provocar uma batalha.

0:43:51.0 John Kindervag: E eu tive que aprender a manter a calma e responder calmamente às perguntas deles e analisar tudo. Mas sempre havia um momento em que eu podia ver a lâmpada simplesmente clicar. E, de repente, essa pessoa em particular se tornaria a maior defensora do que ela estava lutando há alguns minutos. Eu vi isso em uma conferência em que eu estava apenas de pé em um flip-chart e estava desenhando algo para outra pessoa. E alguém se aproxima e diz, isso é completo e absoluto, digamos, o comentário desagradável que eles fizeram. E eu digo: “Oh, ok, bem, o que você acha?” E o cara para quem eu estava desenhando e que tinha acabado de dizer isso, ele disse, ele virou a página e disse: “Não, você não entende.” E ele diz, porque eu acabei de ter a mesma conversa. Então partiu de mim, defendendo a Zero Trust e mostrando a essa pessoa por que funcionou, para ela, mostrando a outra pessoa por que funciona. Certo?

0:44:42.5 Raghu Nandakumara: Sim.

0:44:44.8 John Kindervag: E foi assim que vi aquelas pequenas lâmpadas acenderem repetidamente. E percebendo que, em parte, era medo de ter que aprender a fazer outra coisa. Meu trabalho vai mudar. Eu não gosto de mudanças. Parcialmente, foi... E eu ouvia isso o tempo todo: “Não é assim que sempre fizemos”. E minha resposta foi: “Bem, caramba, do jeito que sempre fizemos isso não está funcionando muito bem, não é?” E, em terceiro lugar, é “Não quero fazer nada novo ou mais, não quero trabalhar mais”. E se eu pudesse mostrar a eles que tornaria mais fácil para você fazer isso. Havia um cara, ele me disse, que discutimos por mais tempo sobre o Zero Trust do que o necessário para construir a primeira rede Zero Trust. E ele disse: “Aconteceu tão rápido.

0:45:33.3 John Kindervag: E estava tão estável que eu saí de férias logo depois disso.” É que as pessoas não acreditavam que eu estava saindo de férias. Eu disse: “Sim, eu posso ir de férias, isso está funcionando.” E se houver algum problema, você pode me ligar, mas você pode descobrir intuitivamente como corrigi-lo. E esse foi um momento chave — acabamos de chegar a esses pontos em uma linha em que você diz: Ah, a imagem está começando a se desenrolar por meio de experiências individuais com organizações diferentes, cada uma com problemas diferentes, mas elas foram capazes de aplicar os princípios aos problemas de negócios e alcançar o sucesso.

0:46:08.8 Raghu Nandakumara: John, eu só vou... Só quero dizer que, certo, acho que esses últimos quase cinco minutos, acho que você resumiu muito bem por que a estratégia é importante, como você deve abordá-la do ponto de vista tático para progredir de forma realista em direção a ela. E também um pouco mais ou menos uma vez, aquele momento de aha, aquela lâmpada, uma vez que seus oponentes têm aquele momento de lâmpada, eles quase se tornam seus maiores defensores, certo? E eu acho que se você não ouvir mais nada neste episódio, esses são os cinco minutos que você precisa digerir. Então, eu quero passar para outra coisa. E você, novamente, abordou isso nesta última parte sobre o tipo de cultura.

0:46:48.2 Raghu Nandakumara: E eu conheço seu amigo, George Finney, que escreveu um livro no ano passado sobre Zero Trust, que eu acredito que você escreveu um pouco para frente, ele fala muito sobre isso sobre cultura. Então, novamente, essa é uma das outras conclusões do relatório do NSTAC, que diz que, para tornar o Zero Trust uma verdadeira estratégia que transforma significativamente os resultados da segurança cibernética na próxima década e além, o governo dos EUA deve tomar uma série de ações políticas agora para institucionalizar uma cultura de Zero Trust. Então, o que significa uma cultura de Zero Trust? O que isso representa?

0:47:20.8 John Kindervag: Bem, acho que a primeira coisa que isso significa é que une as pessoas para alcançar esse grande objetivo estratégico usando o Zero Trust. Então, lembro que estava fazendo um workshop inicial sobre Zero Trust para uma grande empresa. Eu tinha 70 pessoas de 17 departamentos diferentes. Todos os 17 departamentos se odiavam. Eles eram rivais dentro da empresa. E todos eles me odiavam. E eles odiavam ter que estar lá. Ao final, havíamos quebrado muitas dessas barreiras. E descobrimos como criar algo colaborativo. E eu sempre sugiro que as pessoas criem algo parecido com um centro de excelência da Zero Trust, onde elas trazem não apenas tecnologias, mas também líderes.

0:48:07.3 John Kindervag: Porque esses líderes podem dizer: “Ok, eu sei que eu deveria fazer isso, mas estou com medo, e se eu fizer isso errado?” Vou ser demitido? Mas se você tem um líder que chega e diz que você tem que fazer isso, isso tira o fardo e lhe dá, novamente, o incentivo correto. Certa vez, pedi para o Diretor Jurídico participar de um workshop e todo mundo disse: “Por que essa pessoa está aqui?” Bem, o trabalho dessa pessoa era proteger a propriedade intelectual da empresa, as patentes que geravam centenas de milhões de dólares em receita. E ele não tinha ideia de como fazer isso. Então, quando ele assistiu a este workshop de três dias, agora está reduzido para um dia. Mas na época eu estava um pouco mais prolixo, eu suspeito, e estava tentando descobrir, francamente.

0:48:44.4 John Kindervag: E ele assistiu a coisa toda. E então ele disse: “Ok, eu vou ser o campeão, vou encontrar os fundos, vocês saiam e façam isso. E você não pode ter problemas se estiver fazendo algo para que o diretor jurídico proteja as patentes da sua empresa. Certo?” E então é encontrar aquela cobertura de ar ou qualquer outra coisa para fazer isso. E foi isso que a ordem executiva do presidente lhes deu. Como o governo federal dos EUA, tem a bolsa interagências Zero Trust, que é um grupo de CISOs nos Estados Unidos. O governo federal dos EUA, que se uniu para compartilhar as melhores práticas, criou a própria cultura, porque precisava corrigir o fato de terem uma Estrela Polar comum, um objetivo missionário comum, significava que precisavam descobrir a cultura.

0:49:30.2 John Kindervag: E estamos vendo isso repetidamente. O recém-lançado documento australiano de estratégia de cibersegurança que saiu menciona o Zero Trust, mas diz que temos que avançar no sentido de criar uma cultura de Zero Trust. Certo. Então, muito disso vem do treinamento, da experiência, de fazer alguns trabalhos de laboratório, de conversar com outras pessoas e, principalmente, descobrir o que você precisa proteger. Então, isso cria alguns resultados transformacionais, porque agora você faz um exercício de entender o que é importante em seu ambiente, o que você deve proteger, para saber por que está fazendo isso e depois descobrir como vou proteger isso depois de saber o que proteger.

0:50:16.5 John Kindervag: Em geral, tradicionalmente tentamos resolver o problema com o máximo de tecnologia possível e esperamos descobrir alguma coisa, certo? Se divulgássemos tudo, como se eu tivesse um cliente, eu tivesse um cliente, ou, eu acho, no meu trabalho anterior, eles tivessem 11 saltos na internet, 11 saltos na internet, todas elas tecnologias de segurança, tentando garantir que nada de ruim acontecesse. E o ruim era que era um ambiente inutilizável. Você percebe quanto tempo leva para fazer qualquer coisa quando você tem 11 lúpulos? Você está passando por três firewalls, dois IPSs diferentes e duas filtragens de conteúdo da web diferentes. E um WAF aqui e ali. É só que foi inacreditável. E eles sabiam que era inacreditável, mas não sabiam como resolver o problema. Porque eles não sabiam o que estavam tentando proteger. E eles não sabiam exatamente por que estavam fazendo isso. Eles apenas pensaram que se pudessem obter mais, seria melhor. Mais é sempre melhor. Certo.

0:51:17.7 Raghu Nandakumara: Sim, absolutamente 100%.

0:51:19.7 John Kindervag: Isso é verdade no churrasco. Portanto, isso deve ser verdade na segurança cibernética.

0:51:21.7 Raghu Nandakumara: Provavelmente é mais fácil responder à pergunta: o que não poderia dar errado? Isso provavelmente é possível por um lado. Então, vamos em frente, John, antes de terminarmos, certo? Como você vê a relevância do Zero Trust para acelerar a adoção da nuvem, certo? É um assunto quente. A segurança na nuvem é um dos principais tópicos da cibersegurança. E, claro, certo? A outra coisa que você já mencionou anteriormente é a relevância do Zero Trust para a IA generativa, grandes modelos de linguagem usados por ambas as organizações e potencialmente também por atacantes. Que papel o Zero Trust tem a desempenhar em tudo isso?

0:52:10.2 John Kindervag: Bem, acho que o mais importante é que, na nuvem, quando você entende que a nuvem contém dados, um ativo ou algo assim, uma carga de trabalho, como você quiser chamá-la, é importante para você, é regulamentada. E geralmente não é protegido. Você ouve o tempo todo que temos um modelo de responsabilidade compartilhada. Mas na Forrester, acho que inventamos um termo melhor, meu amigo James Staten o inventou. E ele chamou isso de aperto de mão irregular. Sim, eles estão fornecendo alguma ajuda básica para nós. Eles estão se certificando de que o hipervisor esteja corrigido. E há algumas ferramentas que eu poderia usar manualmente para proteger as coisas. Mas, em geral, não estou transferindo o risco de segurança para o provedor de nuvem. Estou apenas armazenando os dados lá. Estou apenas usando o hipervisor deles para fins econômicos, principalmente.

0:53:05.2 John Kindervag: Então, eu ainda sou responsável por proteger essa carga de trabalho, o que quer que esteja contido nessa carga de trabalho. E muitas pessoas estão começando a entender isso agora. E vimos algumas violações significativas de dados na nuvem que geralmente são chamadas de configurações incorretas. E isso seria outra discussão para um dia diferente. Mas apenas os controles nativos que você tem não são suficientes contra ataques modernos, pois conversei com pessoas que são testadoras de caneta, algumas delas muito famosas, mas que não têm problemas em passar pelos controles de segurança nativos da nuvem, e é difícil gerenciar esses controles de forma onipresente em ambientes multinuvem, porque cada um tem uma estrutura de gerenciamento diferente. Então, gerenciar, certo, o cuidado e a alimentação operacionais, de tudo o que você está fazendo em segurança, é o maior custo que você terá.

0:54:06.5 John Kindervag: Não está adquirindo tecnologia, está carregando e alimentando, certo? Você tem filhos, você sabe disso. Adquirir as crianças não era tão caro. Carregar e alimentar para eles os cuidados de longo prazo, e isso continua indefinidamente. E isso nunca é feito. Sim, esse é o maior custo de aquisição. A aquisição foi fácil. Operações, isso é difícil. E então temos que perceber isso. E essa é a primeira coisa relacionada à nuvem. E então a IA, sim, pode ser capaz de criar alguns ataques realmente sofisticados. Mas existem grandes barreiras na internet chamadas TCP/IP e o modelo OSI, certo? Portanto, eles não podem realmente ir além do que podem, é muito mais prejudicial, potencialmente culturalmente, do que para as redes, porque, na verdade, poderemos usar tipos de tecnologias de IA.

0:55:05.0 John Kindervag: E minha definição favorita de IA que eu já ouvi vem de um matemático amigo meu que diz: “IA é estatística mais afirmações if”. E eu realmente gosto desse, porque é muito preciso. Então, a IA só funciona porque temos computadores muito, muito rápidos e podemos obter mais deles juntos, para que possamos fazer isso. E parece que é inteligente, quando, na verdade, é apenas computacional. Mas podemos usar essas mesmas tecnologias para descobrir quais coisas podemos... Deve ser permitido e responder rapidamente às coisas que estão nos atacando. Portanto, isso nos dá uma vantagem contra os atacantes, tanto quanto dá aos atacantes uma vantagem contra nós. Especialmente quando criamos a política Zero Trust, que começa com a negação padrão e depois permitimos explicitamente que determinado tráfego aconteça.

0:56:00.9 John Kindervag: Então, John só pode acessar os recursos que eu tenho permissão para acessar. E há outras coisas que eu não consigo entender. E se eu acho que devo falar com eles, tenho que ir até o suporte técnico e pedir acesso a eles. Então, eu estou bem preso. E tudo bem. É assim que deveria ser. Mas damos muito acesso a muitos, muitos dados, sem nenhum motivo. É por isso que Snowden, Manning e Teixeira conseguiram fazer essas violações de big data, não porque a segurança fosse inerentemente ruim. Mas, como eles tinham acesso aos recursos, nunca deveriam ter sido capazes de tocar ou ver. E, certamente, eles nunca deveriam ter conseguido baixar um exfil.

0:56:42.9 Raghu Nandakumara: Então, John, antes de encerrarmos, a pergunta realmente mais importante desse podcast dessa conversa. No filme homônimo, Kindervag, o verdadeiro padrinho, quem interpreta você? E quem é o diretor?

0:56:51.4 John Kindervag: O que? Não queremos esse filme. Isso seria muito, muito chato. Pergunte à minha esposa. Acho que, na verdade, não quero que ninguém nunca me interprete em um filme. Isso seria estranho. Quero que as pessoas se concentrem nas ideias e não na pessoa. Certo? Às vezes eu quero sair do caminho. Eu queria que George Finney escrevesse o livro Project Zero Trust. Tudo começou no meu sofá. E tive a oportunidade de escrever livros. Mas a realidade é que, se tudo vem de mim, então não é uma mensagem tão importante. Mas se mais pessoas adotarem a mensagem que não são você, ela se torna uma mensagem mais poderosa.

0:57:35.8 John Kindervag: E a mensagem é importante. Então, eu gostaria que houvesse um documentário sobre o sucesso do Zero Trust, impedindo o ransomware ou algo assim. Isso seria legal. Para mostrar todas as coisas que eu vi quando as pessoas me enviaram capturas de tela, veja, esse caminhão de ransomware tentou se mover na minha rede, mas só apareceu em uma máquina. E então não poderia ir a nenhum outro lugar. E fomos encontrados, então analisamos toda a telemetria, todos os pings tentando passar para o comando e o controle. Conseguimos isolá-lo imediatamente e limpá-lo. Esse é o documentário. Esse é o filme que eu quero ver.

0:58:13.6 Raghu Nandakumara: Bem, John, talvez eu conheça alguém na Netflix que encomendaria isso.

0:58:17.4 John Kindervag: OK.

0:58:18.1 Raghu Nandakumara: Muito obrigado, John. Foi um prazer falar com você como sempre esclarecedor, informativo e muito divertido. Obrigada

0:58:23.1 John Kindervag: Obrigado, meu amigo.

0:58:27.7 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana do segmento. Voltaremos com nosso próximo episódio em duas semanas. Enquanto isso, para obter mais recursos do Zero Trust, não deixe de visitar nosso site, www.illumio.com, e nos encontre no LinkedIn e no X usando os links em nossas notas do programa. Isso é tudo por hoje. Sou seu anfitrião, Raghu Nandakumara, e voltaremos com mais em breve.

Voltar ao topo
Leia mais