Revelando a confiança zero no ensino superior

0:00:03 Raghu Nandakumara: Bem-vindo ao podcast The Segment: A Zero Trust Leadership. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado por George Finney, diretor de segurança da Southern Methodist University. Na SMU, George supervisiona todos os aspectos da segurança física e cibernética, encontrando maneiras criativas de aprimorar as proteções novas e existentes. George também é o autor mais vendido de vários livros sobre cibersegurança, incluindo Project Zero Trust e Well Aware: Domine os nove hábitos de cibersegurança para proteger seu futuro. George está se juntando a nós para falar sobre suas experiências com a Zero Trust no ensino superior. Hoje, estamos desvendando os elementos culturais da segurança cibernética, o que o Zero Trust não é e por que os projetos Zero Trust fracassam. George, é um prazer absoluto ter você como convidado em nosso podcast. A primeira coisa que quero lhe perguntar é: como um graduado em direito deixa de se formar em direito para fazer um estágio em direito, para se tornar engenheiro de rede e, em seguida, se tornar diretor de segurança da SMU? Essas são algumas mudanças de direção.

0:01:16 George Finney: Então, na verdade, minha graduação foi em artes liberais, o que significa que estudei muita filosofia e matemática, coisas diferentes, idiomas. Eu aprendi a falar grego antigo. Experiência realmente incrível. E pensei que, quando saísse da faculdade, seria corretora de ações. Na verdade, entrevistei em Wall Street e percebi: “Sim, eu totalmente não gostaria de fazer isso”. Então, na verdade, consegui um emprego na GTE. Comecei trabalhando em suas linhas DSL, em seu departamento. Tornei-me engenheiro de rede a partir daí e, na verdade, fui para algumas startups diferentes, uma em Denver e outra em Dallas. E percebi que adoro startups, adoro código aberto, e essa foi, na verdade, a origem da minha faculdade de direito: “Ei, tem essa coisa, o GPO, eu realmente quero entrar nisso”. Há muitos licenciamentos de código aberto por aí. Enquanto eu estava na faculdade de direito, a versão 3 da GPL foi lançada. Na verdade, fiz uma pesquisa direcionada sobre isso. E, novamente, pensei que seria como um advogado, nunca esperei estar na SMU por 20 anos, mas recebi aquele toque no ombro do nosso CIO e ele disse: “Ei, realmente precisamos de um diretor de segurança”. A escrita está na parede, todo o pessoal de segurança da época se reportou ao nosso departamento de redes de infraestrutura. E eu tinha essa experiência como administrador do CIS, uma das minhas startups dando suporte a Linux ou qualquer outra coisa, além de ser engenheiro de rede.

0:02:35 George Finney: Então eu tinha esse passado louco de direito, segurança de rede e administrador do CIS, então fazia muito sentido juntar tudo isso e colocar a equipe sob meu comando. E caramba, foi divertido. Estar no ensino superior, é como o oeste selvagem, muito gratificante, e foi isso que realmente me permitiu escrever alguns desses livros, é estar nesse ambiente que é muito cuidadoso com a maneira como fazemos as coisas. E estou lá há tanto tempo que tive a chance de desenvolver todo o programa e fazer parte de todas as facetas, mas se eu estivesse em uma grande organização, seria muito mais especializado. Caramba, foi uma jornada incrível e incrível.

0:03:15 Raghu Nandakumara: Oh, isso é fantástico. E acho que a perda de Wall Street e a perda do Bar foram o ganho da comunidade InfoSec. Então, você fala sobre sua função como CSO na SMU e sobre como ela é interessante e variada. Acho que o papel de um diretor de segurança em um instituto educacional deve ser muito variado e exigente por vários motivos. Como eu estava lendo algumas das postagens de blog que você escreveu e você falou sobre como falar sobre como melhorar a segurança, acho que um dos pesquisadores de alto escalão da organização disse: “Ah, de jeito nenhum, a pesquisa deve ser aberta e gratuita”. E sua nova espécie de liberdade acadêmica. Como você equilibra todas essas coisas em sua função?

0:04:01 George Finney: Então é interessante. Eu não percebi isso quando comecei, é claro. O ensino superior é realmente altamente regulamentado. Se, por exemplo, você estivesse em um banco ou em uma loja de varejo, teria algumas boas regras sobre o que faz, enquanto no ensino superior, fazemos tudo isso. Temos empréstimos estudantis, o que nos faz cumprir as mesmas obrigações que um banco teria. Ao mesmo tempo, temos um centro de saúde e temos a HIPAA, processamos cartões de crédito, temos registros de estudantes, temos pessoal europeu. Portanto, lidar com leis de privacidade e tudo mais, a variedade é realmente desafiadora. E isso é realmente o que me atrai, e acho que, de um modo geral, no mundo da segurança, temos que ficar na vanguarda. Sempre precisamos garantir a próxima novidade. Ok, os contêineres estão chegando, como fazemos isso? Como podemos fazer a segurança em todo esse novo jogo de bola? E, francamente, eu fico entediado com muita facilidade. E acho que se eu estivesse fazendo o mesmo trabalho por 30, 40, 50 anos — sem problemas para as pessoas que ainda estão programando em COBOL — mas cara, eu teria me cansado de fazer a mesma coisa por tanto tempo. Preciso acompanhar as novidades, e a segurança é a carreira que me dá isso.

0:05:12 Raghu Nandakumara: Completamente. Sou fascinado por coisas novas e interessantes que a segurança e a cibersegurança, em todas as suas manifestações, oferecem. E, na verdade, você descreveu de tal forma que, muitas vezes, não pensamos em organizações educacionais, instituições acadêmicas como realmente sendo isso... É quase como um conglomerado de vários setores diferentes agrupados. Então, como você reúne todos esses vários departamentos, todos com prioridades e desafios diferentes, como estabelecer uma cultura de segurança unificada?

0:05:48 George Finney: É muito difícil. E algumas pessoas dizem que é de cima para baixo, outras dizem que é de baixo para cima, são as duas coisas. E a coisa realmente única sobre a SMU, e eu não tive nada a ver com isso, foi muito antes da minha época. Mas o que a maioria das pessoas sabe sobre a Southern Methodist University é que recebemos a pena de morte da NCAA, somos a única universidade. Então, em 88, lembra que houve o grande escândalo do futebol em que pagávamos jogadores antes que fosse legal pagar jogadores? Todo mundo estava fazendo a coisa certa, fomos nós que fomos pegos. É fascinante fazer parte da universidade 15 anos depois, e isso não é algo que George fez como CSO, eu herdei isso. Mas pensando, meu Deus, cada decisão que tomamos, cada novo fornecedor, a forma como lidamos com as decisões financeiras, tudo isso, acho que é influenciado por aquele único incidente. E muitas organizações tiveram violações ou pequenos incidentes, existe aquele famoso ditado: “nunca deixe uma boa crise ser desperdiçada”. Então, novamente, acho que essas coisas são as coisas que se destacam na memória das pessoas e que impulsionam coletivamente a cultura, então eu queria encontrar maneiras de ser proativa em vez de reativa.

0:06:56 George Finney: Então, essas são ótimas oportunidades, e você também pode criar essas oportunidades e construir relacionamentos com sua equipe de liderança. Novamente, isso é algo que leva tempo, mas lembro que quando lancei meu programa simulado de phishing — isso foi há oito anos — e na primeira campanha que enviei, pego meu presidente e não gritaram, não fui punido. Mas é fascinante porque conheço outros CISOs que lançaram campanhas de phishing simuladas que capturaram seu CEO ou qualquer outra coisa, e eles não fazem mais campanhas de phishing simuladas. Portanto, você precisa ter a confiança de que todos trabalharão juntos em prol de um objetivo comum. E, novamente, quando você pode alinhar isso à missão da organização, precisamos proteger nossa comunidade, estamos aqui para proteger nossos alunos que estão vulneráveis, que estão crescendo e aprendendo, isso é mágico. Aproveitar isso para ajudar a impulsionar a cultura é, novamente, algo incrível que possamos fazer parte disso no mundo da segurança.

0:07:50 Raghu Nandakumara: E acho que, nesse último ponto, algo que é regularmente expresso é que, para fazer seu trabalho como profissional de segurança, a primeira coisa é entender a organização que você está protegendo e, essencialmente, seu suporte de valor e, em seguida, seu próprio suporte de valor relacionado a isso. Então, você pode expressar como expressa sua proposta de valor para sua diretoria?

0:08:15. George Finney: Sim, então eu não sei se você já viu o filme de Charlton Heston, Soylent Green. Da década de 1970, meio que uma coisa de ficção científica.

0:08:23 Raghu Nandakumara: Não, eu adoraria ouvir sobre isso.

0:08:24 George Finney: Vou estragar o final, mas basicamente o mundo cresceu muito, eles ficaram sem comida, então há essa comida especial, chamada “Soylent Green”, que as pessoas adoram e salvou o mundo, porque podemos alimentar a todos agora, e acontece que... O famoso ditado diz que Charlton Heston sai correndo quando descobre o que está acontecendo, ele diz: “Soylent Green é gente!” Você está devolvendo as pessoas às pessoas, mas, meu Deus, em segurança, segurança são pessoas. Quando converso com nosso conselho ou com nossa equipe de liderança, conto histórias sobre humanos, qual é o impacto humano em nossa organização. Quando comecei a fazer isso, eu tinha um relatório mensal de segurança, todo focado em métricas e, tudo bem, “Quantos blocos de firewall vimos” ou qualquer outra coisa, não era humano. Eram só números. Mas tudo bem, legal, o que isso significa? Quando você pode dizer: “Ok, tivemos uma pessoa que enfrentou o roubo de identidade, aqui está o impacto sobre ela”, então eu a transformei em coisas mais baseadas em artigos, mais baseadas em histórias e, novamente, isso mudou o público.

0:09:34 George Finney: Vou enviar este boletim informativo para todos na organização, incluindo estudantes. Vou torná-lo acessível ao público nas interwebs ou compartilhá-lo no LinkedIn ou qualquer outra coisa, e essa resposta, meu Deus, é muito diferente da forma tradicional como as pessoas fazem segurança, onde é uma caixa preta: “Vou jogar minhas cartas perto do baú; não vou falar sobre coisas”. Ao escrever alguns outros livros que escrevi, quando falo com as pessoas, as pessoas querem ajudar e depois dizem: “Tem que ser não oficial porque não consigo contar essas histórias. Nosso departamento de relações públicas não quer que eu faça isso ou eu tenho um NDA ou qualquer outra coisa.” E cara, se não estamos compartilhando nossas histórias, a próxima geração de seguranças terá que aprender tudo isso do zero, e não podemos fazer isso. Temos que ficar sempre à frente dos bandidos, contando histórias. Como autores, eles sempre dizem: “mostre, não conte”. E acho que é muito importante quando damos conselhos de segurança em vez de mostrá-los. Essa é a diferença.

0:10:38 Raghu Nandakumara: Absolutamente, e acho que quase aplicar toda essa segurança na obscuridade não é segurança alguma. O mesmo acontece com as histórias: se você não entende os problemas que está aqui para combater, como você pode entender como protegê-los ou o valor da segurança que está sendo criada? Então, todos aqui estão aqui para aprender sobre o Zero Trust e aprender sobre o Zero Trust com você. Tudo bem, então vamos começar com um fácil. Dê-me sua analogia favorita do Zero Trust.

0:11:06 George Finney: Bem, vou te dar a pior analogia e partiremos daí. Então, o que o Zero Trust não é... Obviamente, as duas palavras implicam como Arquivo X, certo? É como o “Trust No 1” de Fox Mulder, e não é isso que Zero Trust é. Então, Zero Trust... A analogia... Não use a analogia Arquivo X. Na verdade, você precisa trabalhar com outros seres humanos para que o Zero Trust aconteça. Embora Zero Trust implique “não confie”, não adote a abordagem cínica de “Ok, caramba, não posso confiar em ninguém”, mas o que estamos fazendo é substituir o bom senso pelo cinismo. O Zero Trust exige análise, é preciso um exercício cuidadoso da prática de segurança para ajudar a proteger nossas comunidades. Provavelmente, minha analogia favorita é apenas um quebra-queixo. Então, em vez de um M&M, que é o exterior crocante com o interior macio e mastigável, um quebra-queixo é duro até o fim. Então, em termos de doces, se você quiser fazer o Zero Trust, transforme sua organização em um quebra-queixo e espero que os bandidos quebrem seus dentes quando tentarem mordê-lo.

0:12:17 Raghu Nandakumara: Leva você de volta aos últimos dias da escola primária, onde você entra nessas lojas de centavos e enche sua sacola de doces com um monte de quebra-mandíbulas e garrafinhas coloridas, etc., e depois deseja ter cuidado com esses quebra-mandíbulas, pois seus dentes doem ao mastigá-los. Ok, então eu absolutamente amo a maneira como você descreveu o que é Zero Trust e, mais importante, o que não é. E, definitivamente, a parte sobre Zero Trust não significa não confiar, e geralmente é algo que ouvimos em conferências, etc., quase pessoas dizendo que eu não quero mais ouvir falar sobre Zero Trust e não gosto do termo. Então, qual é a melhor maneira de expressar Zero Trust?

0:12:57 George Finney: Do jeito que eu penso sobre Zero Trust, há um livro fenomenal de Stephen Covey, que na verdade é filho de Stephen Covey que escreveu 7 Hábitos de Pessoas Altamente Eficazes, o filho Stephen Covey também escreveu um livro chamado Speed of Trust. E em seu livro, ele argumenta que é preciso ter confiança e análise ao mesmo tempo para ter um bom senso. Então pense em uma matriz: no eixo X está a confiança, não é uma coisa binária. Como um espectro, eu confio ou não, você realmente tem um eixo Y e o eixo Y é análise ou ceticismo ou o que você quiser chamá-lo, mas você precisa ter os dois ao mesmo tempo. Se você tem pouca confiança e baixo ceticismo, isso é um tipo de credulidade. Se você tem baixa confiança e alto ceticismo, você vai ter indecisão. Você não vai conseguir fazer nada. Covey fala sobre um imposto fiduciário em uma organização, em que, se você não confia em nenhum dos seres humanos ao seu redor, não conseguirá fazer nada ou levará muito tempo.

0:13:57 Raghu Nandakumara: Sim, com certeza.

0:13:58 George Finney: A mesma coisa com parceiros em suas diferentes organizações ou fora de sua organização. Então, ter ambos aspectos realmente críticos e eu acho que entender fundamentalmente a confiança é algo sobre o qual não necessariamente falamos muito nas organizações e, francamente, quando você entra no Zero Trust, o verdadeiro truque é: como faço para identificar a confiança? Quando vejo a configuração de um roteador de computador ou servidor de firewall, qual é a confiança? Como faço para passar e me livrar deles? É disso que trata o Zero Trust, não se trata de não confiar nas pessoas, trata-se de encontrar essas relações de confiança em nossos sistemas digitais e se livrar delas. Fazemos isso há anos, seja a desperimetrização como uma tática que se enquadra na Zero Trust. Talvez o fortalecimento do servidor, tão simples quanto remover todo o bloatware proveniente de qualquer fornecedor de sistema operacional que você tenha e você só precise do que precisa para executar. Na verdade, é disso que trata o Zero Trust, reunir todas essas táticas separadas. Porque era isso que estávamos fazendo. Estávamos implementando táticas em todos os setores para remover a confiança — Zero Trust é a estratégia abrangente que ajuda a colocar todos nós na mesma página e nos faz caminhar na mesma direção.

0:15:03 Raghu Nandakumara: Então, sem ficar muito filosófico, qual é o significado de confiança no contexto cibernético?

0:15:10 George Finney: Acho que sim, o que é uma confiança? Há muitas pessoas diferentes que falam sobre confiança e acho que, em termos de um sistema digital, se trata de facilidade de conexão. E é por isso que confiamos: “Vou estabelecer uma regra de firewall para permitir que eu converse com qualquer servidor no meu data center” (a propósito, não faça isso, esse é um mau conselho). Isso é o que não se deve fazer, mas isso é confiança. Ok, legal. Agora, quando meu computador ou meu dispositivo é comprometido, é isso que os bandidos exploram para controlar uma organização, é isso que os bandidos exploram em termos de autenticação multifatorial. Confiei nesse dispositivo por quanto tempo você puder criar uma relação de confiança. Isso é um desafio, e temos que encontrar o equilíbrio certo, e não acho que haja uma compensação entre usabilidade e segurança, acho que isso é um mito. Mas é assim que muitas pessoas pensam: “meu usuário final é que meus clientes se revoltarão se eu não o fizer”... e, na verdade, acho que você mencionou isso no começo, quando o acadêmico de mais alto escalão da minha universidade disse: “Não coloque um firewall entre mim e a internet”.

0:16:16 George Finney: Ok, o que eles estavam dizendo em segundo plano era: “Não quero desacelerar minha organização. Quero poder realizar minha pesquisa sem restrições, seja qual for a minha pesquisa.” E precisamos habilitar isso. E acho que o Zero Trust realmente nos ajuda. Então, em algum momento, nossos clientes ou nossos clientes, ou na SMU, são nossos alunos, eles começaram a perguntar: “Por que você não está fazendo X?” E eu acho que, caramba, se você está se inscrevendo em um banco hoje e eles não configuram a autenticação multifatorial, bem, espere, agora eu não vou fazer negócios com esse banco, então, em algum momento da nossa história, tornou-se a Tabela 6 ter segurança, e acho que para cada setor, para cada tecnologia, esse é o caminho. Eles estão apenas descobrindo como essas coisas funcionam. Estamos inovando e não pensamos necessariamente em segurança como: “Caramba, vamos fechar o negócio se não estivermos fazendo segurança”. E acho que o segredo de ser um CISO hoje é transferir esse modelo de maturidade para onde você está construindo a segurança desde o primeiro dia.

0:17:15 Raghu Nandakumara: Então você falou sobre coisas como, para citar você, é como se você não acreditasse que usabilidade, produtividade e segurança sejam contraditórias entre si. Você acredita muito que eles andam de mãos dadas, mas você também, citando algo do seu livro, disse: “O pessoal do DevOps é todo como Ricky Bobby. Eles só querem ir rápido.” Então, como CSO, como você fornece a estrutura de segurança para permitir que os Ricky Bobby's sejam rápidos, mas com segurança?

0:17:48 George Finney: Acho que, novamente, se trata de entender os humanos. Adoro a piada de Ricky Bobby, na verdade, usei isso com a permissão de John Kindervag, que criou o Zero Trust. Então, obrigado, John, por isso. Quando escrevi o livro, tive a grande vantagem de ter John Kindervag pilotando a espingarda, de poder trocar ideias, mas também disse: “Não sou especialista em todos os domínios de segurança, então não sou necessariamente especialista em identidade, não sou especialista em nuvem ou DevOps”, então tentei encontrar o máximo de especialistas que pude e, quando conversei com algumas pessoas que realmente são ótimos desenvolvedores em DevOps, não é que eles não queiram fazer segurança, é porque eles são incentivados a... Todos os seus chefes precisam divulgar o código. Novamente, isso é ótimo, é realmente necessário para muitas organizações e, na verdade, isso é um benefício... O Zoom é um ótimo exemplo. A Zoom é uma empresa de DevOps, então quando — não vou chamá-los de cibercriminosos, mas de hacker, ex-funcionário da NSA — divulgou dois Zero Days, o que eles fazem? Eles dizem: “Legal, estamos interrompendo todo o resto e vamos dedicar todos os nossos ciclos de DevOps para corrigir isso”.

0:18:59 George Finney: Isso é incrível. Essa é uma história de como o DevOps possibilita a segurança. Novamente, nós da comunidade de segurança temos algumas normas e acho que gostaríamos de divulgar primeiro para uma empresa e dedicar algum tempo a ela. Acho que esse processo não foi seguido nesse caso, então, na verdade, é extremamente inédito que uma organização consiga reverter uma solução em 24 horas sem aviso prévio. É uma história incrível, mas mostra o quanto a segurança e o DevOps podem ser alinhados, e acho que precisamos ser capazes de ir até nossos parceiros, trabalhar com eles e encontrá-los onde eles estão. Muito do que podemos fazer com o Zero Trust no mundo do DevOps, em particular, é apenas fazer parte de seu pipeline. Eles já estão fazendo testes como parte do pipeline, então vamos adicionar alguns testes. Podemos verificar os segredos antes que o código seja enviado? Então, pensando nisso, em vez de tentar proteger o código no final do pipeline, o Zero Trust é realmente sobre gerenciamento de problemas. Vamos eliminar categorias inteiras de problemas antes que eles se tornem um problema. Vamos pensar na prevenção, colocar todos na mesma página e, na verdade, isso permite que o pessoal do CTOs e do DevOps não precise fazer essas correções no final do ciclo; elas estão incorporadas ao processo.

0:20:14 Raghu Nandakumara: Então, vou citar seu livro novamente. Acho que no início do capítulo de introdução, você diz, o meio mais eficaz que temos disponível para nos proteger dentro da segurança é a prevenção, e a estratégia mais eficaz para prevenção é o Zero Trust. E eu vou te desafiar um pouco — então tenha paciência comigo — é que, se pensarmos no todo, a era da segurança perimetral, então pense, digamos, que os anos 90 a 2000 foram basicamente a era da prevenção. Os malfeitores estavam do lado de fora, todos de dentro são confiáveis, então, contanto que fechemos a porta da frente ou você a mantenha bem trancada, estamos bem. E então percebemos que, na verdade, isso estava falhando, eles ainda estavam entrando, e então havia um foco na detecção e na resposta. Ok, vamos colocar todos os nossos esforços ou a maior parte de nossos esforços em sermos capazes de detectar, responder, ser capazes de nos recuperar, e isso meio que se tornou a força motriz para, eu diria, a década de 2010. E vou dizer também que a era atual gira em torno da contenção — supondo que o malfeitor entre, talvez não consigamos detectá-lo.

0:21:22 Raghu Nandakumara: Então, o foco é minimizar o impacto disso, o que você acha disso? Na ideia de que, Zero Trust é realmente sobre contenção, mais do que prevenção. Quais são seus pensamentos?

0:21:34 George Finney: Tecnicamente, a definição que usamos para Zero Trust é a definição de John Kindervag, e a usamos no livro. Mas a definição de Zero Trust é uma estratégia para prevenir ou conter violações. Queremos remover a confiança nos sistemas digitais e, idealmente, evitá-los. A prevenção é possível, e acho que muitas pessoas talvez tenham desistido disso. E um dos inquilinos da Zero Trust deve presumir uma violação, e também tentaremos contenção. Então eu acho que é sobre os dois. “Um grama de prevenção vale um quilo de cura” é realmente verdadeiro em segurança. Eles fizeram estudos sobre isso para mostrar, novamente, que chegar ao início do seu pipeline de código é muito mais barato do que ter que consertar as coisas depois do fato. Então, eu argumento que o Zero Trust é, na verdade, a única coisa em segurança hoje que realmente atende à definição de uma estratégia. Então, tive uma discussão com outro CISO sobre se a defesa em profundidade atende à definição de uma estratégia. Eu argumento que não, mas quando você pensa sobre isso, uma estratégia tem que ter duas coisas. Você precisa ter uma meta que esteja tentando alcançar.

0:22:35.2 George Finney: E você tem que ter um plano de como chegar lá. E, idealmente, com uma boa estratégia, você pode medir o quão longe você está para conseguir isso, então, quando você pensa em algo... Novamente, penso na defesa em profundidade como uma tática, mas quando você pensa em defesa em profundidade, “Ok, legal. Qual é o objetivo?” Acho que se você analisar a definição técnica de defesa em profundidade, o objetivo é ter várias camadas para evitar uma falha em uma das camadas. Então, em última análise, se há uma meta de defesa profunda, trata-se de lidar com falhas, não de prevenir ou conter violações. Com a defesa em profundidade, você não está realmente abordando por que uma camada específica falhou, e muitas pessoas chamarão a defesa em profundidade de “despesa em profundidade”, porque o que fazemos? Acabamos de adicionar mais camadas. Isso é ótimo. Não é eficiente. Mas ótimo, então, quando você está lançando seu quadro em algo que soa como: “Vamos apenas adicionar várias camadas”. “Como você sabe quando está pronto, George? Bem, de quanto dinheiro você precisa?” Honestamente, se o JP Morgan pode gastar um bilhão de dólares por ano e ainda assim ser violado, na minha universidade, se eu seguisse a mesma abordagem, como você sabe que ela será eficaz? Não é uma estratégia eficaz.

0:23:38 George Finney: Acho que é mais uma tática. Zero Trust é essa estratégia para ajudar a engajar todas as equipes da maneira correta. Podemos aproveitar as táticas certas e no momento certo para não precisarmos de 50 ou 100 ferramentas para realizar o que podemos fazer com três ou quatro.

0:24:00 Raghu Nandakumara: Claro, eu concordo com isso, mas há algumas coisas realmente interessantes que você disse. Você falou sobre o custo associado ao fato de estar apenas adotando uma abordagem aprofundada de defesa sem realmente ter uma estratégia para contornar isso. Hoje, particularmente com as condições macro, existe todo esse tipo de foco real no ROI, se é que temos isso no momento. Então, como seguir uma estratégia de Zero Trust realmente oferece não apenas benefícios de segurança, mas também ROI, custo, eficiência operacional e simplicidade nas arquiteturas? Como uma estratégia Zero Trust oferece essas coisas?

0:24:40 George Finney: Sim, então no livro, usamos a metodologia de design de John Kindervag para Zero Trust. Portanto, há um processo de cinco etapas e, na verdade, a base desse processo de cinco etapas é esse conceito de superfície protegida. Portanto, proteger a superfície é como o oposto de uma superfície de ataque, e eu entendo que a Gartner tem uma palavra da moda como “gerenciamento da superfície de ataque” em seu Hype Cycle ou Magic Quadrant. O gerenciamento da superfície de ataque é uma mentira. É um termo de marketing que dá a ideia de que, se você pudesse reduzir sua superfície de ataque, estaria mais seguro e não conseguiria reduzir sua superfície de ataque. Sua superfície de ataque é qualquer dispositivo no mundo. Então, quando você analisa as violações do Peloton ou do Parler, o que elas fazem? Ambas as organizações tinham uma API para acessar telefones celulares, outra para esteiras, bicicletas ergométricas ou qualquer outra coisa.

0:25:27 George Finney: Bem, adivinha? Os bandidos acabaram de fazer engenharia reversa dessa API. Havia um ponto cego nessas organizações. Eles não viam nem tinham controles para detectar nada por meio da API. E os bandidos exportam todos os dados de forma útil por meio da API fornecida pela empresa. Isso é gerenciamento da superfície de ataque. Se você tem um aplicativo móvel, qualquer celular do mundo é sua superfície de ataque. Então, em vez disso, a Zero Trust usa esse conceito de “superfície protegida”. O que estou tentando proteger exige que eu entenda como a empresa funciona, que eu tenha que ter um inventário, saber quais são meus principais aplicativos ou onde estão meus dados críticos. Então, vou abraçar o que estou tentando proteger dentro de uma superfície protegida. E vou seguir um processo repetível para proteger isso.

0:26:09 George Finney: Então, quando penso em implantar ferramentas como CISO, antigamente eu penso: “Ok, eu tenho que implantar firewalls em todos os lugares. Preciso implantar o EDR em todos os lugares.” Na verdade, quando penso apenas em uma superfície protegida, vou fornecer controles personalizados exatamente para essa superfície protegida. Então, em vez de licenciar para toda a minha organização, todas essas ferramentas diferentes, vou usar apenas aquelas que são necessárias dentro dessa determinada superfície de proteção. Então, se eu tiver uma superfície de proteção que tenha uma API, por exemplo, vou procurar uma dessas empresas incríveis que têm segurança de API incorporada. Vou colocar isso aí. Se for voltado para a web, vou ter um firewall de aplicativos da web. Se for um dispositivo, obviamente eu preciso de EDR de endpoint. Vou usar um firewall, mas vou prepará-lo e personalizá-lo, se você quiser, para proteger essa superfície de proteção individual da maneira que ela precisa.

0:26:59 George Finney: Novamente, eu tenho várias superfícies de proteção, esse é o conceito de microssegmentação — outra tática que se enquadra na Zero Trust. Vou juntar ativos semelhantes. Então, vou conter esse incidente apenas nessa superfície protegida. E entenda como essas outras superfícies de proteção interagem. Espero ter contido isso em uma única superfície de proteção. Esse é realmente o poder dessa metodologia de design Zero Trust: ter controles personalizados. E, novamente, iterando, monitorando, registrando tudo. Novamente, outro dos inquilinos da metodologia de design. Mas com esse ciclo de feedback, trata-se de: “Agora que tenho minha superfície de proteção, como faço para identificar as relações de confiança? Como faço para removê-los?” Às vezes, isso ocorre por meio de uma arquitetura proativa. Eu posso pensar no futuro. Às vezes, isso é por meio de testes eletrônicos, exercícios do tipo mesa ou outras coisas que me ajudam a encontrar meus próprios pontos cegos. E espero estar sendo proativo e fazendo isso antes que os bandidos os encontrem para mim.

0:27:51 Raghu Nandakumara: Tive o prazer de ter algumas conversas com John sobre o conceito de superfície protegida. Obviamente, ele sempre enfatiza isso, e isso faz todo o sentido, porque acho que alguns dos desafios da adoção do Zero Trust são quando as organizações dizem: “Tudo bem, é muito difícil para nós seguir a estratégia Zero Trust, porque como vou aplicá-la a absolutamente tudo?” E você diz, na verdade não. Você quase precisa virá-lo de cabeça para baixo e dizer: “O que eu mais preciso para proteger e focar nisso? Por que ainda estamos enfrentando esse desafio?” Porque, novamente, para mim, é uma estratégia de Zero Trust que, para mim, é senso comum, pensar na superfície protegida que é senso comum. Sobre por onde começar. E então, à medida que você itera, você constantemente olha para isso: qual é a próxima coisa que você vai fazer, mas por que ainda é a barreira para a adoção?

0:28:42 George Finney: Sim, é fascinante. Conversei com muitos CISOs antes e depois do lançamento do livro e, honestamente, o denominador comum das pessoas que lançaram suas iniciativas de Zero Trust e falharam é por causa das pessoas. Não é a tecnologia, não é que eles não tivessem todas as ferramentas de que precisavam ou algo assim — era sobre política. Era sobre as pessoas não saberem o que fazer. Eles não sabiam por onde começar. E, novamente, estou criticando as pessoas aqui, mas meu Deus, se a segurança, se o Zero Trust for só para nós, nerds de segurança, vamos falhar. Porque não são os nerds da segurança que precisam sair e fazer todas as coisas. Você tem equipes de infraestrutura, equipes de DevOps, pessoal de suporte técnico ou de desktop. Portanto, todos na área de TI precisam ser capazes de entender o Zero Trust.

0:29:30 George Finney: E se eu, como CISO, não consigo entender o Zero Trust por causa de todo o hype de marketing ou qualquer outra coisa que exista e de tantas coisas parecidas, se eu não consigo entender, como espero que um novo engenheiro de rede da minha organização seja capaz de entregar o Zero Trust? Certo, meu Deus. Obviamente, a resposta certa aqui é agora comprar o livro de George, Project Zero Trust, disponível na Amazon e no Audible, e fazer com que eles quebrem as barreiras. Ou podemos simplesmente simplificar as coisas. Mas, novamente, todo mundo precisa entender o Zero Trust para que nossos projetos em torno do Zero Trust sejam bem-sucedidos.

0:30:03 Raghu Nandakumara: Sim, eu concordo. E acho que o que adoro no livro, e há muito o que amar nele, mas gostei da validação do progresso, do exercício de mesa que eles realizam. E aqueles de vocês que ainda não leram o livro ou o ouviram, receberão a referência quando o fizerem. A validação é tão importante que acho que, como profissionais de segurança, não fazemos validação real suficiente. Então, por que isso é particularmente importante para mostrar um tipo de ROI em seu tipo de programa Zero Trust, mas também obter a validação de que você está progredindo?

0:30:40 George Finney: Sim, e novamente, essa é outra das razões pelas quais os projetos da Zero Trust falham. Quando conversei com outros CISOs, o tempo médio necessário para uma transformação Zero Trust é de 3 a 5 anos, dependendo de onde você está começando, pode variar em alguns anos. Mas, meu Deus, pense na rotatividade de executivos, pense na rotatividade de CISO e pense no ciclo orçamentário. Então, se você não está mostrando progresso de ano para ano, bem, como você continua justificando isso? Como você continua recebendo apoio? Como CISO, você deveria estar desenvolvendo relacionamentos, construindo confiança, mas parte disso é dividir o Project Zero Trust em pequenos pedaços. Então, no livro, sugerimos que a jornada deles durasse seis meses e isso fosse impulsionado pelo lançamento de um novo projeto de produto.

0:31:26 George Finney: E então eles tinham que fazer isso até uma certa data. Acho que isso realmente se alinhou bem com o negócio. Todos os líderes de negócios perceberam que sim, lançamos esse novo projeto ou produto, tivemos alguns incidentes de segurança, queremos que as pessoas participem e se sintam confortáveis com o fato de que forneceremos boa segurança e bons produtos. Se não o fizermos, achamos que [risos] o novo produto não vai competir no mercado. E, novamente, isso está se alinhando com o negócio, é conectar os pontos. Isso não quer dizer: “Sabemos que temos esse novo projeto, produto que será lançado em seis meses. Terminaremos com o Zero Trust em cinco anos.” Não, novamente, existe um modelo de maturidade Zero Trust, pessoal. Há um em um livro que é abençoado pelo próprio Kindervag. Agora também existe um da CISA.

0:32:08 George Finney: Então eu faço parte do grupo de trabalho da Cloud Security Alliance sobre Zero Trust e Kindervag e Chase Cunningham e outros estão colaborando com a CISA para acertar esse documento. Mas nossa, acho que coletivamente estamos trabalhando juntos — meu Deus, a comunidade de segurança está trabalhando em conjunto! — ter uma definição consistente de Zero Trust. Algo com que começar, em vez de “Preciso dar uma olhada na Forrester e na Gartner e me proteger do paywall”, e ouço todas essas startups lançando produtos Zero Trust para mim. Ok, vamos para uma definição consistente que todos nós podemos apoiar. E fale sobre, ok, eu tenho uma ferramenta que pode ajudá-lo em sua jornada de Zero Trust. Não, eu tenho a ferramenta que é tudo o que você precisa do Zero Trust em um só lugar. É disso que realmente tratamos. E, novamente, temos que simplificar as coisas e trazer todo mundo para a mesa.

0:32:52 Raghu Nandakumara: Sim, com certeza — como todo esse tipo de coisa sobre ser capaz de ver isso em quase seis meses, blocos de cada vez. E alinhar-se a um modelo de maturidade e poder dizer que em seis meses queremos estar aqui, em 12 meses queremos estar aqui, é uma forma mais fácil de adotar e também de corrigir o curso, porque, caso contrário, é mais ou menos: “Financie este programa de cinco anos, mas não venha e nos pergunte, entre agora e cinco anos, o que estamos fazendo”.

0:33:22 George Finney: Novamente, em dois anos, a empresa pode estar usando uma tecnologia totalmente diferente! Como você acompanha isso em termos de Zero Trust? Puxa, sim. Você precisa fazer disso uma abordagem passo a passo. Portanto, o lema da empresa fictícia no livro, então o nome da empresa é March Fit, e o lema da empresa é “cada passo importa”. E cada etapa é importante porque você precisa dar uma etapa para ativar a etapa seguinte. Eles não precisam ser grandes passos. Você não precisa correr, você pode andar — pequenos passos contam, e acho que essa é a abordagem do Zero Trust. Estamos sempre melhorando passo a passo. Todos podem vir caminhar conosco e torná-lo inclusivo. Isso é realmente o que vai acontecer.

0:33:53 Raghu Nandakumara: Sim. 100%. Então, meio que olhando para o futuro, vamos dar uma olhada em 2023. Como CSO, com o que você está mais preocupado?

0:34:02 George Finney: Puxa, pessoal. Acho que, honestamente, aconteceu muito esgotamento com a pandemia. Acho que o recrutamento obviamente é o grande desafio. Acho que a grande demissão é uma grande preocupação: essa batalha está sendo travada em nossas equipes de liderança em diferentes organizações. Como continuamos habilitando a segurança? Como continuamos a impulsionar as organizações e cada uma de nossas transformações digitais exclusivas? Acho que temos que continuar investindo nas pessoas para continuar progredindo. E se pararmos de fazer isso, novamente, a segurança estará sempre na vanguarda. Então, se não nos dedicarmos ao aprendizado contínuo, ao aprendizado ao longo da vida, eventualmente começaremos a ficar para trás. E acho que quando você está sobrecarregado e se esgotando, a primeira coisa a dizer é: “Vou parar de ler, vou parar de ouvir livros em fita” ou qualquer outra coisa.

0:34:47 George Finney: Isso vai nos atrasar anos. Temos que receber novas pessoas na segurança. Eu continuo ouvindo que as pessoas são rejeitadas pela segurança porque são do tipo assustador de Fox Mulder. Quero fazer algo que ajude as pessoas e a segurança as ajude, mas se estamos afastando as pessoas da segurança porque não estamos investindo em pessoas, estamos publicando descrições de cargos que deveriam ser de nível básico, mas que exigem 20 anos de experiência com o Zero Trust. É certo que pense em algumas das descrições de cargos que dizem 20 anos de experiência com a Zero Trust. Adivinha o que? A Kindervag inventou o Zero Trust há 12 anos.

0:35:26 Raghu Nandakumara: Sim. Excelente. Exatamente.

0:35:28 George Finney: De qualquer forma, vou pegar minha caixa de sabão.

0:35:29 Raghu Nandakumara: Você está pregando para os convertidos aqui. Então, eu concordo totalmente. Acho que quase sinto que não está longe de vermos instituições acadêmicas oferecendo cursos de graduação no Zero Trust. Então, George, foi um prazer absoluto falar com você hoje. Gostei muito da conversa e poderia ter durado para sempre. Por favor, todos dêem uma olhada no livro mais recente de George, Project Zero Trust: A Story About a Strategy for Aligning Security and the Business na Amazon, ou, como eu, se preferir pelo ouvido do que pelos olhos, dê uma olhada no Audible. George ficará muito satisfeito em saber que tenho quase certeza de que detenho o recorde mundial de rapidez com que esse livro foi concluído. Então, sim, eu meio que encontrei o tempo entre ontem e hoje para simplesmente passar por isso. Não perdi uma palavra, exceto o apêndice. Tenho que admitir que não escutei o apêndice. É fantástico. Sinto que hoje em nossa conversa eu fui o Dylan, ou o Luke Skywalker da história e você foi basicamente o Obi-Wan. Então, eu agradeço o tempo George, muito obrigado por passar esse tempo conosco.

0:36:32 George Finney: Muito obrigado por me receber.

0:36:37 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter na Illumio. E se você quiser a conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.