Praticando Zero Trust e adotando o Assume Breach

0:00:04.1 Raghu Nandakumara: Bem-vindo ao Segmento, um podcast de liderança de confiança zero. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje estou acompanhado pelo Dr. Chase Cunningham, também conhecido como Dr. Zero Trust, diretor de estratégia da Ericom Software e ex-analista da Forrester. Como diretor de estratégia da Ericom, Chase é responsável por desenvolver, liderar, comunicar, executar e manter a estratégia corporativa. Em sua função, ele atua como líder servidor, pensador estratégico e executor, garantindo que as estratégias de execução apoiem a visão geral da empresa. Antes de trabalhar na Ericom, Chase foi vice-presidente e analista principal da Forrester Research, onde se concentrou no planejamento do centro de operações de segurança, operações de combate a ameaças, criptografia, segurança de rede e conceitos e implementação de confiança zero. Ao longo dos anos, Chase também ocupou várias funções de pesquisa de ameaças e inteligência em organizações como Armour, Accenture e a Agência de Segurança Nacional. Hoje, Chase está se juntando a nós para falar sobre a evolução da estrutura Zero Trust, como acertar a confiança zero e o que as organizações erram ao mapear suas estratégias de confiança zero. Todo mundo adora uma boa história de origem, certo, então vamos ouvir a história da origem da confiança do Dr. Zero.

0:01:09.1 Chase Cunningham: Eu digo às pessoas que, e não estou brincando, tenho muita sorte de ter tido algum sucesso na vida ou no mundo cibernético, só porque é uma constante, ter sorte e ter boas pessoas ao meu redor. Entrei para a Marinha como mecânico a diesel. Eu não tinha absolutamente nada a ver com computadores, seja o que for. A forma como entrei no ciberespaço foi totalmente acidental.

0:01:31.1 Raghu Nandakumara: Bom, bom. Então, certo, como se este fosse o podcast Zero Trust, então vamos acabar falando sobre Zero Trust, certo. Qual foi a sua exposição ao Zero Trust - isso estava diretamente relacionado ao que você fazia na Forrester ou também estava exposto a isso antes disso?

0:01:48.5 Chase Cunningham: Depois de fazer todas as minhas coisas cibernéticas e criptográficas nas forças armadas e depois fazer coisas para o governo, eu realmente ensinei e escrevi um currículo para exploração de redes de computadores, que era a forma do governo de cobrar coisas muito caras quando você estava fazendo equipes vermelhas. Então, fiz equipes vermelhas na área governamental por um bom tempo e quando eu estava conversando com John Kindervag, que eu conhecia, quando ele ainda estava na Forrester, ele estava falando sobre a coisa da ZT e na época eu estava tipo, ok, claro, o que quer que pareça, travessuras de marketing 101, legal, blá, blá. E então eu vim para a Forrester e eu estava, na verdade, chateada porque eles disseram: Ei, você vai pegar a cueca suja do John e fazer essa coisa da ZT. Mas quando comecei a olhar para isso do ponto de vista de se eu fosse um bandido ou um jogador vermelho, esses conceitos fariam com que eu, você sabe, desistisse e procurasse outro alvo? E eles, de repente, a lâmpada se acendeu e eu pensei, ok, John estava no caminho certo. Então, acabei de começar. Mas eu gostei, discuti seriamente com meu chefe, Joseph Blankenship, e outras pessoas da Forrester, como eu... Por favor, não me obrigue a fazer algo que outra pessoa já fez, porque eu não quero ficar em segundo plano em nada. Mas acabou sendo um bom, você sabe, bom uso do meu tempo.

0:03:01.9 Raghu Nandakumara: Sim, com certeza. E eu diria que, como uma espécie de praticante, eu diria que esse tipo de John Kindervag meio que lançou as bases para uma espécie de definição moderna de Zero Trust. Eu diria que você, mais do que provavelmente qualquer outra pessoa, fez o máximo para realmente se tornar popular. Então, como você se sente agora que esse tipo de bebê que você alimentou está finalmente começando a andar sobre seus dois pés?

0:03:30.3 Chase Cunningham: Para tropeçar.

0:03:31.9 Raghu Nandakumara: Eu ainda não diria bola de neve, mas pelo menos ande sobre seus dois pés.

0:03:35.5 Chase Cunningham: É bom que haja pessoas que vejam que há valor em uma estratégia que faz sentido. Estou farto de ouvir as pessoas reclamarem e reclamarem do chavão e de qualquer outra coisa e de todo o ataque de ódio que vem junto com isso. Porque para mim, eu estou literalmente trabalhando em um blog agora sobre, olha, se você não compra o que estamos vendendo e acha que isso não faz sentido, por favor, continue sendo estúpido ao fazer o que está fazendo e você será o único que é a gazela lenta. Tipo, vá em frente. Agora vou direto ao ponto de saber se há esse grande mercado se movendo e toda essa adoção e eu sou... Ontem recebi ligações com pessoas na Argentina, vou falar na Colômbia no próximo mês na ZT. Se o mundo inteiro acha que isso é real e vocês, os odiadores, não odeiam, tudo bem, me avise quando receberem sua bunda e depois venham falar comigo sobre ZT.

0:04:26.7 Raghu Nandakumara: Então, sim, estou de acordo, certo? Caso contrário, não estaríamos fazendo isso, certo? Então, qual é o... E você olha em volta, certo, e você meio que diz, ok, qual foi o ponto de inflexão, certo? Porque havia o suficiente em termos da premissa real por trás do porquê, por exemplo, por que Zero Trust, certo? É senso comum, certo? Mas demorou uma eternidade para que as pessoas quase alcançassem esse nível de bom senso. Qual foi o ponto de inflexão na sua opinião?

0:04:56.5 Chase Cunningham: Acho que o COVID era o gás na fogueira que era necessário porque houve uma grande mudança para descobrir rapidamente como manter os negócios funcionando. E então, como não abrir a porta em grande escala e ir embora, espero que não fiquemos confusos, você sabe, no enésimo grau em que havia pessoas suficientes que meio que tiveram uma oportunidade, uma crise, uma oportunidade, certo? Crisistunidade de dar um passo atrás e ir embora, ok, podemos fazer algo diferente e aqui está como podemos fazer algo que faz um pouco mais de sentido, porque obviamente tínhamos provas, em Pong, de que o outro modelo não funcionava e agora com o controle remoto e todas as outras coisas que estamos vendo, e acho que li um artigo esta manhã sobre como o híbrido é meio que aceito agora é a forma como o trabalho vai parecer, você sabe, talvez nem todo mundo precise estar no escritório, a menos que você trabalhe para Musk ou qualquer outra coisa que esteja acontecendo lá. E o resto de nós pode, você sabe, viver como humanos, o... Essa realidade exige que tenhamos esse tipo de abordagem e, por acaso, a ZT estava no lugar certo, na hora certa, com a tecnologia que evoluiu para permitir isso.

0:06:03.2 Raghu Nandakumara: Sim, com certeza. E porque... E... E acho que você também acha que não é apenas uma espécie de COVID e a mudança para o trabalho híbrido, etc., certo? Mas você acha que também foi uma maior percepção de como era esse cenário de ameaças agora, certo? E mais ou menos, e eu sei que você fala sobre como ZT quase equivale a Assume Breach ou, na verdade, vice-versa. Suponha que Breach seja o fundamento sobre o qual ZT é então a resposta.

0:6:34.4 Chase Cunningham: Sim, quero dizer, é engraçado porque costumava ser um obstáculo para as pessoas aceitarem que você já tem um compromisso. Oh não, não, nós somos, isso não é uma coisa e não estamos comprometidos e não, temos milhões de dólares nisso. E é como, oh, quero dizer, ok, deixe-me escrever isso porque você vai, você sabe, me mandar um ping em seis meses e agora que, parece que, você sabe, não é uma batida em uma pessoa ou algo assim, é apenas a realidade do espaço. Portanto, aceite-o e, em seguida, alinhe seus recursos para superar esse problema. Não precisa ser... Eu diria que não precisa ser realmente negativo, se você pensar sobre isso de forma diferente. E, você sabe, o outro ódio que está tão, você sabe, em todo lugar agora é, bem, isso não é novo. Correto. Não é novo. Isso é uma evolução e um amadurecimento de algo que faz muito sentido e faz sentido há muito tempo. Como você disse, as pessoas simplesmente ignoraram isso porque as pessoas são, eu não sei, pessoas, nós somos péssimos em geral.

0:7:33.9 Raghu Nandakumara: Acho que você realmente... Se estivesse ligado... Recentemente, foi no seu LinkedIn ou Twitter que acho que você colocou algo do tipo “não há remédio para a estupidez humana” ou algo parecido. Mas desculpe citar você erroneamente, mas eu gostaria de saber que nossos ouvintes serão profissionais de segurança experientes e já ouviram Assume Breach, eles adorarão ouvir falar de Zero Trust, certo? Apenas explique, certo? Por que... Por que o Zero Trust é a resposta natural para uma violação do Assume? Mais ou menos, se a pergunta é Assume Breach, por que Zero Trust tem que ser a resposta?

0:8:10.8 Chase Cunningham: Se você olhar para o, o que é necessário. Então, vamos inverter o roteiro por um segundo e dizer que não estamos preocupados com a defesa. Digamos que aceitamos que há um compromisso. Ok, pronto. Agora, o que realmente não queremos que aconteça? Eu quero que eles não possam permanecer na minha rede ou no meu ambiente. Eu quero que eles não consigam se movimentar. Por exemplo, se alguém invade minha casa, isso é um problema, mas eu não quero que você se mude e more comigo. Então, você sabe, vamos ser sinceros sobre isso. Se aceitarmos que é isso que estamos tentando fazer, o que o bandido precisa para ter sucesso dessa maneira? Eles precisam de relações de confiança dentro dos sistemas. E John diz isso o tempo todo: confie na emoção humana, nós a incorporamos aos computadores. Se você remover os relacionamentos confiáveis, não é que haja confiança zero, é que eles terão riscos gerenciáveis com base em relacionamentos de confiança e que... Isso torna o dia do bandido muito difícil. Como se isso fosse... Isso é o que queremos. É aí que está. Eu não sou... Você não é... Você nunca vai ter uma violação, você não vai ter um acordo. Você não vai ter... E, eu concordo com as pessoas, elas dirão que não existe confiança zero. Correto. Assim como não existe gordura corporal zero porque você morreria, mas você tenta ficar muito baixo.

0:9:24.2 Raghu Nandakumara: Sim, sim, 100%. E eu acho que o tipo de coisa que você disse ali mesmo, é sobre tornar a vida difícil para o agressor, certo? Acho que estamos melhorando nessa abordagem, mas ainda assim, acho que muitas vezes não abordamos a criação de controles de segurança a partir dessa perspectiva, certo? Tipo, novamente, como seus pensamentos, tipo por que, porque é tão natural, certo? Torne isso difícil para eles, eles irão para outro lugar.

0:9:52.5 Chase Cunningham: São pessoas tentando defender sua posição na empresa da maneira errada. Quero dizer, agora você tem CISOs que se sentam à mesa e são ótimos, e isso é incrível e tudo mais. Mas quero dizer que a realidade é que eles normalmente estão tentando justificar sua posição em uma empresa e dizendo às pessoas que estarão perfeitamente defendidos ou qualquer outra coisa. Em vez dessa conversa real sobre, olha, o que estou fazendo vai reduzir exponencialmente nosso risco e isso vai tornar isso mais gerenciável e podemos manter o tempo de atividade e qualquer outra coisa. Ainda não encontrei um único workshop com um cliente que tenha falado sobre a peça de tecnologia da ZT. Ele foi 100% sobre os problemas de liderança que você enfrentou lá.

0:10:32.9 Raghu Nandakumara: Sim, exatamente certo. E eu meio que... Alguns blogs onde eu estava lendo na semana passada, sobre como o Zero Trust é... Ou adotar uma estratégia de confiança zero tem muito a ver com essa adesão multifuncional, certo? Mais... Muito mais do que ser apenas um programa de segurança para a organização de segurança, certo? Então, para organizações que estão adotando Zero Trust, você diria que há algo em que uma organização esteja fazendo zero trust de forma errada? Ou você diria que qualquer pessoa que pratique confiança zero deve ser creditada?

0:11:07.3 Chase Cunningham: Não, eu acho... Eu acho que há uma maneira de fazer isso errado. Se você não está entendendo por onde está começando e não está tendo uma conversa muito real sobre as coisas mais importantes e saindo daí, como falamos há muito tempo, então você está perdendo a floresta por causa das árvores. Pessoalmente, minha metodologia e qualquer pessoa com quem eu interaja é que a primeira coisa que faremos talvez não seja uma equipe vermelha do mundo real, mas vou lançar um cenário para você e depois vou sentar lá e ver o que acontece. Porque até você passar pelo estresse dessa situação e realmente colocar os pés no fogo, tudo é pontificação. Você sabe o que eu quero dizer? Se o... Se a realidade da segurança é nos fazer sobreviver após uma violação, que é um daqueles momentos, meu Deus, precisamos reagir com base no que realmente ocorrerá. E eu... Muitas empresas disseram que estamos prontos e eu entro e coloco a pasta da situação na frente delas e então você vê as cabeças rolarem, as discussões acontecerem, as pessoas saírem correndo pela porta e é assim, é aqui que começamos. Eu posso, esse problema é solucionável. Essa é uma questão de liderança gerencial. Tecnologia, isso é molho, baby. Isso vem depois.

0:12:15.4 Raghu Nandakumara: Sim, sim, sim. 100%. Então, como uma organização faz isso corretamente? Certo. Bem, qual é o... Qual é o manual que eles precisam adotar para ter confiança zero, adotar uma estratégia de confiança zero, ter sucesso com ela e ser capazes de mensurá-la? Vamos desempacotar isso.

0:12:31.3 Chase Cunningham: Bem, acho que a primeira coisa é... É como eu disse, é colocar os pés no fogo e entender, não apenas da perspectiva da equipe de segurança, mas de toda a cadeia alimentar em que você pode se envolver. Por exemplo, o que realmente enlouqueceria quando algo acontecesse, de forma que, dessa forma, você pelo menos experimentasse a miséria que virá. Então, essa é uma peça organizacional. A segunda coisa que eu acho fundamental é ter uma compreensão muito boa da totalidade dos ativos que estão afetando aquela empresa, essa rede, seja o que for, porque não consigo defender o que não conheço. Em seguida, mapeie seus controles com base nas lacunas que você vê. Se você... Se você pensar sobre isso do ponto de vista do... O general no topo do campo de batalha, certo? E eu posso observar tudo. Se eu puder fazer isso, posso vetorizar recursos para preencher as lacunas. Eu não quero ficar no subsolo e depois olhar para cima e ir embora, caramba, eu realmente espero estar colocando as coisas certas no lugar certo neste campo de batalha.

0:13:25.3 Raghu Nandakumara: E para organizações que meio que iniciam essa jornada, certo? Onde está... Onde eles geralmente se soltam?

0:13:33.4 Chase Cunningham: Normalmente eles ficam muito grandes, muito rápidos. Eles dirão que, na verdade, é um bom exemplo. Eu estava trabalhando com um banco, um grande, e eles disseram, bem, vamos fazer ZT para usuários. Eu estava tipo, legal, super ótimo. Eu acho que isso é positivo. E eles disseram, vamos lançá-lo e vamos começar com 5000. E eu fiquei tipo, uau, uau, isso não é pequeno. E eles disseram, oh, bem, somos um banco global, seja o que for. Eu pensei que isso não fosse pequeno. E eles disseram, ok, bem, com qual número devemos começar? E eu disse, cinco. E eles eram tipo, cinco? Isso é... Isso nem vale nosso tempo. E eu disse, bem, se eu violasse cinco pessoas em sua empresa, isso destruiria sua loja? Ok, justo. Então, se você acertar para cinco, você faz isso para 10, e se você acertar para 10, você faz isso para 50. E então você... Sabe, você rola, tipo, afia a lâmina moendo-a contra o metal, em vez de entrar balançando e achar que acertou.

0:14:23.2 Raghu Nandakumara: Mas como você escolhe os cinco? Certo? Você disse, Certo, escolha esses cinco específicos que atendem a esses perfis ou, tudo bem, vamos começar aos poucos.

0:14:33.5 Chase Cunningham: Certo. Para mim, é sobre quem seria... Se você vai escolher essas cinco pessoas, que têm mais acesso administrativo em um sistema, essas cinco, essas são as pessoas nas quais eu quero focar primeiro. E se eles voltarem e partirem, bem, um deles é o CEO, ok, bem, temos um problema real aí. Por que diabos o CEO tem acesso administrativo às coisas.

0:14:50.0 Raghu Nandakumara: Então, haverá pessoas ouvindo aqui e pensando, certo, ok, o que eu posso... O que são essas pequenas pérolas de sabedoria que o Dr. Zero Trust vai nos encher? Certo? Certo, é porque estou lutando com essa estratégia de Zero Trust. Então, o que seria isso neste momento, com base no que você está vendo acontecer? Como se fosse, aqui estão minhas pérolas de sabedoria.

0:15:13.5 Chase Cunningham: Acho que o mais importante é tratar a segurança cibernética da mesma forma que você trata as outras partes do seu negócio. Quantas vezes estivemos em uma reunião com o CEO e eles disseram algo como: “Todo mundo está em vendas nesta empresa”. E alguém se levanta e diz: “Que se dane, de jeito nenhum”. Você está engajado porque faz parte dessa organização e as vendas são essenciais para o sucesso do negócio. Adivinha? A segurança cibernética é da mesma forma. Portanto, converse com as pessoas como se elas fizessem parte disso e precisassem se engajar. Além disso, acho que você também deveria parar de investir em soluções que não sejam controles técnicos, porque isso é uma solução tecnológica e tratar as pessoas como se fossem peças de equipamento é estúpido e você não receberá o retorno disso. É ótimo para investidores e é bom para os VCs, mas coloque-os lá em cima. Encontre uma organização que tenha se treinado sem concessões, e eu trarei algumas pessoas que destruirão a loja bem rápido.

0:16:18.3 Raghu Nandakumara: Você começou a falar sobre fornecedores, e os fornecedores certamente aderiram ao Zero Trust e muito antes dos praticantes. O que os fornecedores fizeram para, eu diria, corromper o mercado Zero Trust?

0:16:43.1 Chase Cunningham: Bem, acho que são algumas coisas. Número um, obviamente, eles disseram muito: “Fizemos X, então onde está ZT agora? Espere um pouco, a ZT é mais do que isso, não há botão e não há um produto para ela”, então essa foi uma delas. E então eles o comercializam. Quase parece que aqueles que foram mais flagrantes do que fazer isso o comercializaram ainda mais. Eles disseram: “Se vamos ser assim, vamos dobrar e triplicar até que alguém nos chame”, e eles... Essa é a sua estratégia, seja o que for. E a outra parte é a mudança em direção à plataforma, que foi paga por todas essas coisas. Sim, eu o chamo de Walmart da segurança cibernética, com toda essa porcaria que está em nossa prateleira em algum lugar, e eu juro por Deus, se você comprar o suficiente, eventualmente tudo funcionará junto magicamente, e você terá a casa Lego da sua coisa ZT, e nós venderemos tudo para você de uma só vez. E isso não funciona, não é... Existem portfólios e há muito, muito poucas plataformas nesse espaço, e isso foi o que o deixou mais desequilibrado, na minha opinião.

0:17:39.4 Raghu Nandakumara: Então, qual é a sua mensagem para os fornecedores? A Zero Trust é uma importante iniciativa portuária para os fornecedores participarem, qual é a sua mensagem... Qual é a sua mensagem para eles? O que eles precisam fazer mais para realmente incentivar a adoção do Zero Trust em sua base de clientes?

0:18:09.4 Chase Cunningham: Bem, acho que basta entender que a razão pela qual alguém está engajando você em uma conversa sobre ZT é porque está fazendo uma pergunta estratégica. Portanto, seja capaz de responder à pergunta estratégica com uma proposta de valor estratégica. Isso é muito valioso. E a outra coisa que eu chamo de atenção das pessoas quando faço consultoria com fornecedores e outros enfeites é que eu pergunto aos fornecedores: “Diga-me onde você está em sua jornada de Zero Trust? O que vocês estão fazendo para o seu próprio ZT?” Normalmente, ouço grilos ou dou muitas voltas. Se você não está fazendo ZT sozinho, por que, com toda a sabedoria de Deus, eu compraria suas coisas para fazer ZT para mim? Se você não sabe dirigir, não me diga como mover meu carro de corrida.

0:18:54.3 Raghu Nandakumara: 100%. 100%. Então, eu sei que você está envolvido com o fórum de demonstração Zero Trust. O que isso está fazendo ao fornecer uma plataforma para fornecedores, mas também para os usuários finais, para os consumidores? O que isso possibilita esse tipo de organização, digamos que outras organizações similares não o sejam?

0:19:17.2 Chase Cunningham: Sim, então parte do problema é que, se você quer obter o que eu chamaria de bom conteúdo de júri sobre tecnologias de fornecedores, é que você tem que praticar muita caça de pássaros sozinho, e isso pode ser demorado. Então, o que meio que fizemos com o fórum de demonstração foi dizer: “Vamos abordar os fornecedores que têm uma reivindicação válida aqui, fazer com que eles falem sobre o assunto, façam uma liderança inovadora e, literalmente, demonstrem seu sistema”. E sim, é uma demonstração do fornecedor, mas é uma demonstração para que um usuário final possa dar uma olhada e dizer: “Ok, eu realmente quero ver esse problema X sendo resolvido. Parece que esses caras têm uma tecnologia muito boa. Deixe-me ouvir eles falarem sobre isso. E então, a propósito, eu posso ver o que essa solução realmente faz.” E, para mim, do ponto de vista disso, o lado da pesquisa é que o usuário final tem muito menos etapas a percorrer para obter uma inteligência realmente boa sobre o que está acontecendo com o espaço do fornecedor.

0:20:12.8 Raghu Nandakumara: E o foco está aí? E só quero entender isso um pouco mais, porque você fala sobre casos de uso. E nós realmente não falamos sobre isso, e o que você está dizendo aqui é que são casos de uso muito específicos que o Zero Trust permite e ser capaz de mostrar isso, em vez de um genérico. Ah, nós permitimos que você acelere sua jornada de Zero Trust, então o foco está em casos de uso muito específicos?

0:20:42.2 Chase Cunningham: Então, trata-se de casos de uso e também de ocupar o espaço do fornecedor e dividir os recursos nos pilares da estrutura. E dessa forma, se eu for... Como eu disse anteriormente, não há muitas plataformas, há alguns portfólios sólidos. Se eu estiver procurando o fornecedor que o faça, gerencie o acesso à nuvem, seja o que for. Basta escolher seu termo ZT super cibernético aleatório, eles gerenciam o acesso à nuvem ou algo assim. Eu posso dar uma olhada nisso e dizer: “Ok, esses são os fornecedores que têm essas capacidades”. Há cinco ou seis deles que realmente fazem essa coisa, eu deveria olhar para cinco ou seis em vez de 247. Acho que pesquisei hoje e somei e havia 2731 fornecedores de segurança cibernética. Isso é loucura. Estamos conversando, acho que os números que Richard Sternan e eu divulgamos foram de 60 e poucos bilhões de dólares no mercado, ufa.

0:21:39.2 Raghu Nandakumara: Então, na verdade, à direita, a expansão de fornecedores que existe hoje, você vê... E você meio que falou sobre portfólio versus plataforma também, você vê isso... Ou, em 2023, você vê que está chegando a formação da verdadeira plataforma Zero Trust? Então, os fornecedores buscam um verdadeiro escopo de plataforma Zero Trust e constroem esse conjunto interconectado de aquisições ou produtos desenvolvidos internamente. Você vê isso como real ou ainda veremos a expansão de fornecedores pelo menos nos próximos 24 meses?

0:22:19.5 Chase Cunningham: Acho que, por vários motivos, veremos uma consolidação de muito desse espaço. A recessão fará parte disso. Estamos enfrentando obstáculos econômicos e qualquer outra coisa que vai impulsionar muito isso. Acho que também saturamos o mercado de coisas interessantes, novas, legais e sensuais. Também vimos uma desaceleração nesse espaço. E as APIs agora são tão boas que é válido pegar um portfólio de recursos e incorporá-los à plataforma operacional que você está procurando. E essa é realmente a coisa mais valiosa que eu acho que é se eu puder dizer, eu quero usar esses caras que são muito bons nisso, e esses caras que são muito bons nisso. Não quero comprar tudo deles, mas quero fazer com que cooperem e colaborem juntos para me dar o máximo de produção. É aí que o lado da plataforma realmente se torna uma coisa. E é um lado meio caseiro, mas é por causa das APIs que fazem parte dessa integração.

0:23:18.0 Raghu Nandakumara: Sim, eu concordo, e acho que já tivemos essa conversa antes sobre realmente reunir, e você tem sido um grande promotor disso de forma consistente, é sobre reunir as melhores tecnologias, mas ser capaz de quase unificá-las em um único plano de controle. E, como você disse, muito disso é cultivado em casa. Você tem que levar a sério querer isso e depois construir isso.

0:23:44.7 Chase Cunningham: Sim, acho que você pode chegar a uma aparência parecida com isso. E a outra parte da conversa sobre casos de uso é que, para empresas e setores diferentes, sempre haverá um caso de uso que exige que eles tenham o melhor da categoria, seja o que for, o que é bom. Essa é a sua coisa mais importante, esse é o seu rádio ativo por todos os meios, pegue o Lamborghini dessas coisas. Mas para o lado da força de trabalho, é aí que essa outra abordagem, na minha opinião, faz mais sentido. Curiosamente, quando você está falando sobre a Lamborghini, todo mundo esquece que a Lamborghini começou como fabricante de tratores.

0:24:25.1 Raghu Nandakumara: Sim, exatamente. Bem, o único Lamborghini que tenho é aquele que meu filho fez de Legos e, acredite, demoramos seis meses para terminar. Você meio que aludiu às condições macroeconômicas, falou sobre ROIs, então vamos falar um pouco sobre isso. Em alto nível, como a adoção de uma estratégia Zero Trust gera ROI? Ou como você mostra o ROI para adotar o Zero Trust?

0:24:56.4 Chase Cunningham: Então, acho que uma das melhores maneiras que já vi de trabalhar com organizações é realmente aquilo de que elas se livram à medida que avançam para um lado estratégico das coisas. Trabalhei com organizações que tiveram pelo menos duas, se não três, soluções semelhantes, resolvendo problemas semelhantes que foram implementados por novas equipes ao longo do tempo. Acho que a mais interessante foi alguém que tinha três soluções de IAM, todas fazendo a mesma coisa, e disse: “Bem, qual é a melhor?” “Então, vamos lá, vamos trazer isso para cá.” Os anos anteriores foram muitas respostas automáticas às novas necessidades, novos problemas, novos riscos, novas ameaças. Ok, nós meio que saturamos muito disso, agora a próxima coisa é sair e dizer: “O que realmente atende às necessidades? O que viabiliza minha estratégia? Deixe-me eliminar algumas das porcarias que eu não preciso”, e então esse orçamento é liberado para outras coisas. E sempre que você conversa na empresa com: “Libertei o orçamento”, de repente as pessoas começam a sorrir. Você não quer pedir mais, mas é bom dizer: “Estou disposto a sacrificar um pouco”.

0:26:00.2 Raghu Nandakumara: Mas em sua experiência de liderar muitas iniciativas de Zero Trust, quando esse ROI geralmente é percebido? Porque eu suponho que seja... Você pode ter uma ideia de que isso foi percebido de antemão, mas, na verdade, ver isso em carne e osso é uma forma de entrar no ciclo, então, quando isso geralmente é percebido?

0:26:24.2 Chase Cunningham: O processo vai demorar um pouco. O bom é que você pode analisá-lo e ter, eu diria, quase um orçamento preditivo que você pode voltar e dizer: “À medida que migramos, do ano zero para o terceiro, aqui está o que vai desaparecer e é aqui que esse orçamento vai ser liberado”. Porque sabemos quanto custam as coisas, e então você pode começar a dizer: “Este ano, eu vou libertar...” É o inverso do seu orçamento, é como o que você fez para conseguir essas coisas, agora você está apenas descarregando e pode dizer preditivamente o que vai liberar.

0:26:54.7 Raghu Nandakumara: E acho que todo o escopo do programa Zero Trust é uma parte muito importante disso, para que você não exagere no início e, portanto, tenha poucos recursos para executar.

0:27:08.4 Chase Cunningham: Scope antes de você estar vivo. E é por isso que eu acho que é tão importante realmente ter uma conversa sobre liderança no planejamento antes de começar a fazer isso, porque você não... Não confunda execução tática com valor estratégico, e muitas pessoas fazem isso. “Fizemos isso. Ok, legal. O que vem a seguir?” Isso é execução tática. O valor estratégico é: “Estou caminhando em direção a essa coisa, que táticas eu uso que me permitirão manter essa marcha em andamento?”

0:27:36.4 Raghu Nandakumara: Sim, e acho que essa é a... Adoro a maneira como você expressa isso, porque acho que essa é a parte que as pessoas perdem quando estão tentando executar uma estratégia de Zero Trust. Que eles têm esse objetivo estratégico, mas o que lhes falta são, na verdade, as etapas táticas que precisam tomar para alcançá-lo e, portanto, nunca veem o retorno do investimento ou nunca dão o primeiro passo porque estão apenas considerando o panorama geral. Então, continuando um pouco, vamos pensar no Zero Trust in e em como os reguladores, órgãos governamentais, etc., estão realmente começando a pressionar pela adoção da estratégia Zero Trust. É claro que o tipo de EO da administração Biden é obviamente mundialmente famoso agora, eu diria.

0:28:32.2 Chase Cunningham: Foi um momento decisivo.

0:28:34.5 Raghu Nandakumara: 100%, mas já se passaram cerca de 18 meses desde que foi emitido. Onde estamos em termos de progresso real contra isso?

0:28:44.3 Chase Cunningham: Em outubro de 2022, o governo federal finalmente estabeleceu anteriormente um Escritório do Programa Zero Trust do DoD, que foi... Sempre que o Departamento de Defesa cria um escritório de programas, isso é alguma coisa. Além disso, eles alocaram cerca de um bilhão e 1,1 bilhão de dólares para esse escritório e disseram: “Vá e ative o ZT”. Então, no que diz respeito ao governo, isso é muito rápido, 18 meses para chegar a um PO com muito dinheiro alocado, é rápido e eles estão começando a colocar as coisas em ordem. Sem me meter em problemas, participei de algumas conversas com algumas dessas organizações e há um movimento em andamento, mas elas estão seguindo a estratégia delineada no documento Zero Trust do DoD, publicado em 23 de novembro. Então eles estão fazendo o que eu acho que é a coisa certa, manter suas armas e seguir em frente, vai ser um trabalho árduo. O que todo mundo meio que leu naquele documento de estratégia foi: “Ah, o Departamento de Defesa diz que eles serão ZT em 2027”. Não foi isso que eles disseram, disseram que estarão em um estado de Zero Trust até 2027. Se você ler tudo, na verdade, indica que eles não estarão em um estado operacional de conformidade total até 2032, e isso é cedo. Então, esse é um cronograma muito realista, na minha opinião.

0:30:10.5 Raghu Nandakumara: E você acha que é um programa que tem impulso suficiente, que vai perder o curso, ou ainda é muito cedo para dizer?

0:30:22.2 Chase Cunningham: Acho que é muito cedo para olhar para uma bola de cristal, mas acho que a forma como eles mudaram a estrutura de incentivos, passaram de muito pau para muito mais cenoura, vai impulsionar isso. Porque se você vai tirar muito valor disso e a conversa que já está acontecendo é que eles têm bandidos do anel viário que estão apenas clamando e circulando como tubarões com sangue na água para ajudar a fazer isso acontecer. E é assim que as coisas são feitas no governo quando você tem bandidos do anel viário chegando e fazendo com que isso realmente aconteça. Se você confiasse no Departamento de Defesa para fazer isso sozinho, o sol se apagaria antes que qualquer coisa fosse feita.

0:31:02.0 Raghu Nandakumara: Beltway Bandits, é a primeira vez que ouço isso, mas entendi imediatamente.

0:31:06.9 Chase Cunningham: Eu moro perto do anel viário, então eu os vejo o dia todo.

0:31:11.8 Raghu Nandakumara: E acho que toda a reação de outros reguladores e outras organizações governamentais, como a TSA, por exemplo, ao emitir diretrizes de segurança para esses operadores de GNL é uma manifestação direta, uma consequência direta do EO, mas também ameaças à infraestrutura crítica. Novamente, é provável que as ameaças não sejam uma coisa boa, mas a atuação delas é um bom fator de força para a adoção do Zero Trust.

0:33:44.5 Chase Cunningham: Sim, eu digo às pessoas que eu nem me importo realmente com as ameaças. Se você passa o tempo todo se preocupando com a próxima façanha russa sexy e legal ou com qualquer outra coisa que alguém roube da NSA e divulgue na Internet aberta, é um exercício de utilidade. Na verdade, o que você deveria fazer é analisar o que falamos na ZT, quais são os fundamentos para que essas coisas tenham sucesso porque são físicas. Há coisas que podem ser sexy e legais aqui em cima, vou lidar com o problema aqui embaixo no nível mais baixo e fazer com que essas coisas não funcionem. E então uma vitória é uma vitória, é uma vitória e trabalhe com isso.

0:32:21.6 Raghu Nandakumara: Sim, porque, em última análise, são as mesmas coisas que continuam sendo exploradas, das quais os atacantes se beneficiam. Isso muito raramente mudou.

0:32:31.6 Chase Cunningham: Em toda a guerra, porque a cibersegurança é um domínio de guerra, em toda a guerra na história, ninguém nunca precisou deixar tão claro o que o inimigo faria para vencer, e eles ainda ficam sentados dizendo: “Bem, eu me pergunto como defendemos isso.” Vá lá, cara, é a cor com giz de cera. Está escrito aqui.

0:32:47.5 Raghu Nandakumara: Sim, exatamente, exatamente. Então é aquela época do ano em que tenho certeza de que você está inundado com pedidos de: “Ei, Chase, dê-nos suas previsões para 2023”. Vou colocar você no lugar certo aqui, 2023, o que isso significa para o Zero Trust?

0:33:07.9 Chase Cunningham: Acho que o mais importante é que você verá mais adoção do ZT fora do mercado dos EUA. Essa é a única previsão em que acho que posso me basear e dizer que provavelmente será realista, e isso é literalmente porque estou tendo essas conversas com organizações na América Latina, Austrália, Japão, Índia, Reino Unido e região nórdica. Então eu acho que isso é o que vai continuar a crescer. Fora isso, eu diria que a maior parte será a mesma coisa, um dia diferente, com travessuras ligeiramente diferentes.

0:33:47.1 Raghu Nandakumara: E você vê essa aceleração da adoção do Zero Trust? Você vê isso especificamente no setor público ou impulsionado pelo setor público? Então, mais um tipo de lei, decretos vindos de governos de outros países ou dirigidos pelo setor privado?

0:34:08.2 Chase Cunningham: Acho que internacionalmente será impulsionado principalmente pelo setor privado. Eu acho que /wink wink tem uma ideia de que algumas coisas provavelmente estão chegando até as diretivas públicas nos EUA. Mas, por exemplo, o ciberespaço é uma espécie de espaço limitado em que os EUA e o Departamento de Defesa estão à frente de todos os outros ou fazem coisas do tipo “primeiro a morrer”, e funciona em qualquer lugar. Então eu acho que a Austrália que eu conheço está fazendo uma espécie de solução para mapear seus oito essenciais para Zero Trust, então eu acho que haverá algumas coisas assim, mas talvez isso aconteça este ano, talvez não.

0:33:47.3 Raghu Nandakumara: Tudo bem, então antes de terminar, você e John vão se encontrar para tomar uma bebida e estão trocando as analogias do Zero Trust. Quem tem uma analogia melhor com o Zero Trust?

0:35:01.5 Chase Cunningham: Honestamente, pode ser de qualquer maneira, dependendo de quantas bebidas tomamos, para ser perfeitamente franco. Sim, John é obviamente O Poderoso Chefão, mas eu jogava fora alguns bons de vez em quando.

0:35:16.3 Raghu Nandakumara: Vá lá, vamos ouvir uma. Vamos ouvir a última que você montou.

0:35:21.4 Chase Cunningham: Quanto ao que é Zero Trust? Sim, eu diria que Zero Trust para mim é como namorar minha filha. Vou saber quem você é, vou ver o que está acontecendo, vou te dar acesso a ela, vou monitorar o que está acontecendo. E então, se você fizer coisas que estão fora do equilíbrio do que eu chamaria de aceitável, você vai embora, pronto.

0:35:42.8 Raghu Nandakumara: Chase, com isso, agradeço muito pelo seu tempo. Todos que estão ouvindo isso, Chase, Dr. Cunningham, Dr. Zero Trust, têm seu próprio podcast homônimo, Dr. Zero Trust, disponível em todas as plataformas usuais. Vá e dê uma olhada. É uma dose regular do conteúdo mais real e prático sobre todas as coisas cibernéticas, não apenas o Zero Trust, mas você também encontra muitas vantagens do Zero Trust. Obrigada

0:36:12.2 Chase Cunningham: Incrível, muito obrigado.

0:36:15.7 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter da Ilumio e, se gostou da conversa de hoje, pode encontrar nossos outros episódios onde quer que você obtenha seu podcast. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.