Caminhando em direção ao Zero-ish Trust

0:00:04.4 Raghu Nandakumara: Bem-vindo ao The Segment, um podcast de liderança de confiança zero. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje estou acompanhado por Ryan Fried, engenheiro sênior de segurança da informação da Brooks Running. Na Brooks, Ryan é responsável por supervisionar os projetos de segurança em toda a organização, desde o design até a conclusão. Antes da Brooks, ele trabalhou como analista de segurança, engenheiro de rede, gerente de avaliação de risco e arquiteto de segurança em organizações como a Coverys e a BlueSnap. Hoje, Ryan está se juntando a nós para discutir o papel da segurança cibernética nos setores de manufatura e varejo, criando um programa Zero Trust bem-sucedido e a diferença entre estar em conformidade e estar seguro.

0:00:50.3 Raghu Nandakumara: Ei, Ryan, ótimo ter você aqui hoje conosco, obrigado por se juntar. Como você está?

0:00:55.5 Ryan Fried: Bom, eu realmente agradeço a oportunidade. É sempre bom conversar com você.

0:01:00.1 Raghu Nandakumara: É um prazer nosso. Em primeiro lugar, devo dizer que os tênis de corrida Brooks que uso há cerca de um mês são sem dúvida os tênis de corrida mais confortáveis, leves e melhores que já tive. Não acredito que não os experimentei até esse momento. Portanto, é duplamente empolgante ter você a bordo. Gosto de começar essas conversas com nossos hóspedes e perguntar como eles acabaram na internet. Então, qual foi a sua jornada?

0:01:27.5 Ryan Fried: Claro. Eu diria que sou uma das rotas mais tradicionais para o ciberespaço. Eu estudei sistemas de informações gerenciais, então um cruzamento entre negócios e tecnologia. Acabamos conseguindo um emprego em uma grande seguradora de saúde em um programa rotativo de TI, então, a cada seis a oito meses, mudávamos para uma parte diferente da TI. Comecei pensando que queria ser gerente de projetos e, depois de seis meses, descobri rapidamente que não era o caso. Gosto mais do trabalho prático. Então, depois do meu segundo ano, a seguradora de saúde conseguiu seus, pelo menos, um dos primeiros CISOs. Ele acabou de trazer essa cultura incrível para a empresa até o ponto em que, todos os dias, às 4 horas, o trabalho de todos praticamente parava em segurança e infraestrutura, e ele falava sobre as ameaças e vulnerabilidades mais recentes que as pessoas estavam lendo ou relatando e depois conversava. E em nenhuma outra empresa que eu já ouvi, a pessoa de segurança fala com a pessoa de infraestrutura na ligação e ela desenvolve um plano para remediá-la, talvez dentro de alguns dias. Depois, vários engenheiros falaram sobre suas atividades na dark web e sobre como manter os ouvidos atentos. Então, fiquei encantado e realmente não olhei para trás desde então.

0:02:42.5 Raghu Nandakumara: É muito empolgante ouvir, primeiro, aquele comentário sobre você fazer gerenciamento de projetos por um ano e depois mudar. Definitivamente, isso me lembra de uma conversa que tive antes do meu primeiro emprego fora da universidade no programa de analista e que basicamente tive sobre... Na mão esquerda estava: “Ei, você poderia conseguir um emprego em gerenciamento de projetos de TI, na mão direita estava, você poderia conseguir um emprego na área cibernética”. Eu digo: “Só há uma opção, não é a mão esquerda”. Mas é muito bom ouvir essa cultura de aprendizado porque você está absolutamente certo. Essa oportunidade de literalmente usar ferramentas e depois passar meia hora do dia todos os dias aprendendo, discutindo e compartilhando ideias é uma oportunidade incrível de se ter. O que, logo nos primeiros dias de experiência com isso, quais foram as coisas que você descobriu?

0:03:37.3 Ryan Fried: Só com essa mentalidade de crescimento. Há 10 anos, começamos a falar um pouco sobre nuvem pública, mas mais sobre máquinas virtuais. Mesmo nos últimos dois anos, tive que aprender basicamente sobre contêineres e DevSecOps do zero e saber o suficiente para fornecer requisitos para pessoas que fazem isso há cinco anos, de forma confiante, mas também de acordo mútuo. Não vamos dar a eles requisitos e dizer que você deve fazer isso, mas, perguntando, eles sabem um pouco sobre segurança. Então, quando você acha que as coisas tecnológicas avançam, você precisa aprender a próxima, mas estar aberto a aprender sobre ela é muito importante.

0:04:19.8 Raghu Nandakumara: Sim, com certeza. Então, nessa descoberta inicial de cibersegurança e ameaças, você pode compartilhar talvez um recurso de segurança específico ou talvez seja uma ameaça que chamou sua atenção e disse: “Deus, isso é realmente empolgante, é isso que eu quero perseguir”.

0:04:37.9 Ryan Fried: Sim, acho que, há cerca de 10 anos, a tecnologia mais empolgante era o CrowdStrike no espaço EDR. Eu cresci conhecendo o básico do Sophos ou do Vera e fazendo com que eles fizessem escaneamentos básicos. Mas então, quando vi a visibilidade que algo como um CrowdStrike pode fazer, ou qualquer outro fornecedor de EDR, analisar aquela árvore de processos e usar essa abordagem baseada em comportamento, achei muito legal.

0:05:05.8 Raghu Nandakumara: Portanto, essa mudança da detecção baseada em heurística para a detecção comportamental foi obviamente uma mudança sísmica na forma como fizemos a proteção baseada em terminais. E isso se desenvolveu significativamente nos últimos 10 anos com a evolução da tecnologia baseada em ML e IA. Então, e eu sei que você esteve na RSA recentemente, o que foi particularmente interessante sobre o que você viu dos fornecedores de lá?

0:05:34.4 Ryan Fried: Sim. Da RSA, achei que uma das melhores tecnologias é a proteção de segurança na nuvem, procurando uma configuração de nuvem que seja realmente útil. Mas, para mim, quero saber o que os agentes de ameaças estão fazendo e mapear isso nos controles, geralmente configurações incorretas para plataformas em nuvem. Existem muitas plataformas de configuração em nuvem que fornecem 300 alertas altos, o que não é útil para mim. Então, estou começando a ver os fornecedores adotarem uma abordagem mais baseada em riscos, na qual talvez possam detectar que têm um endereço IP público associado a ele e acesso aberto à Internet ou que essa é uma configuração incorreta que está sendo explorada na natureza. Estou começando a ver uma abordagem um pouco mais baseada em ameaças para configurações incorretas de nuvem pública, o que é muito útil como engenheiro.

0:06:31.7 Raghu Nandakumara: E você usa as palavras ou os termos “baseado em risco” e “baseado em ameaças”, e nós as ouvimos muito, principalmente em palestras de marketing de fornecedores. Como praticante e como profissional muito experiente, quando você diz baseado em riscos e quando diz baseado em ameaças, o que você quer dizer com muita precisão?

0:06:54.2 Ryan Fried: Então, quando uso esses dois termos, normalmente penso em gerenciamento de vulnerabilidades. Então você não pode corrigir tudo. Você precisa ter livremente um alto nível de fidelidade sobre o quão crítico deve ser quando você se dirige à sua equipe de infraestrutura. Então, algumas coisas que eu vejo, que algumas ferramentas de gerenciamento de vulnerabilidades fazem melhor do que outras, são o ativo voltado para o público? A vulnerabilidade deles está disponível? Ela tem provas de conceito, como código de exploração? Está sendo explorado ativamente? Qual CISA faz um trabalho muito bom com a conhecida lista de vulnerabilidades exploradas atualmente. Qual é o nível de complexidade exigido por um hacker? Eles podem simplesmente digitar uma linha de comando de uma linha usando o Metasploit ou isso exige um alto nível de complexidade? E então, qual é o nível de interação do usuário? Eles estão enviando um e-mail onde nem precisam abri-lo? Ou exige que o usuário clique algumas vezes? Então, essas são geralmente as coisas que, além da pontuação do CVSS, nos ajudam a realmente priorizar o que devemos tentar remediar primeiro.

0:08:01.8 Raghu Nandakumara: E acho que você usou o termo exposição. Qual é a exposição real, o risco de exposição das vulnerabilidades? Como profissional, como você constrói uma imagem da exposição de seus ativos para sua organização?

0:08:20.0 Ryan Fried: Sim, isso é muito difícil. O gerenciamento de ativos na maioria das empresas em que estive definitivamente tem sido um desafio. Você tem ativos em todo lugar. Você tem pessoas entrando e saindo até estações de trabalho. Você tem novos servidores que estão sendo ativados. Você tem o DevSecOps, onde você tem servidores efêmeros sendo ativados em cima da sua nuvem pública. No passado, já fui vítima do pentest, onde tínhamos uma caixa do Windows 2008 que estava levantada, não tinha um agente de EDR, o pen tester a encontrou, a explorou e depois se moveu lateralmente e obteve acesso ao domínio e ao administrador. Portanto, os melhores métodos que descobri recentemente são o acesso à API em sua pilha VMware, a presença na nuvem pública, o que quer que você use, sua solução de MDM. Dessa forma, você não depende da instalação de um agente ou da execução de uma etapa.

0:09:14.0 Ryan Fried: Portanto, existem alguns fornecedores que estão fazendo um trabalho muito bom ao usar a conexão da API com diferentes plataformas. Mas também um desafio como profissional é garantir que todos os seus agentes estejam em todos os lugares, o que... Nunca tive 100% de conformidade em todos os agentes, servidores e estações de trabalho. Portanto, em vez de examinar manualmente seu fornecedor de EDR e seu fornecedor de gerenciamento de cofres, existem ferramentas que executarão chamadas de API. Eles receberão aquele único nome de host e dirá que vemos EDR, vemos gerenciamento de cofres, mas não vemos a ferramenta que extrai seus registros e os envia para o SIM. Então, fica muito mais fácil, caso contrário, você está fazendo isso sozinho, o que nem sempre obterá 100%.

0:10:01.2 Raghu Nandakumara: O problema é que você nunca vai conseguir 100% e está sempre se recuperando. E não quero dizer isso no contexto de, costumamos dizer, “ah, os atacantes estão sempre um passo à frente”. Não estou falando sobre isso dessa perspectiva, mas, como você disse, apenas no básico, estamos sempre tentando recuperar o atraso, seja com patches ou com descoberta de ativos, etc. Como determinar o que é bom o suficiente? O que é um nível aceitável e, além disso, é um bônus, mas o custo de fazer melhor também é potencialmente proibitivo. Como você define isso? Porque, e não para interrompê-lo, voltando ao exemplo daquele servidor Windows 2008 que você simplesmente não conhecia. Essa é a vulnerabilidade que acaba sendo explorada. Como você alcança esse equilíbrio?

0:10:46.1 Ryan Fried: Sim. Estou muito feliz que você tenha mencionado a frase “bom o suficiente”, porque é algo pelo qual eu vivo no campo da segurança. Trabalhei em empresas altamente regulamentadas, como seguros de saúde, Fintech e dados de titulares de cartões, onde é bastante prescritivo o que você precisa fazer, mas nenhuma empresa para a qual trabalhei está no ramo para garantir a segurança. Brooks está no mercado para vender sapatos e estamos tentando minimizar nossa superfície de ataque. E se e quando formos atingidos por um ransomware, isso não nos exclui como empresa. Para trabalhar no setor de varejo para o bem ou para o mal, não há uma estrutura de conformidade que realmente precisemos seguir de uma perspectiva holística. Então, usaremos coisas como a estrutura de cibersegurança do NIST ou CIS Top, o que era 20, acho que agora é 18.

0:11:34.5 Ryan Fried: E então, geralmente, uma vez por ano, analisamos e avaliamos os diferentes controles, porque, digamos, gerenciamento de ativos. É importante para nós. E se nos colocarmos em uma escala de um a cinco, talvez estejamos em dois ou três, mas talvez não cheguemos a cinco. Qual é o nível de esforço para passar de dois para três versus três para quatro e quatro para cinco? Em que ponto chamamos isso de bom o suficiente com base em nosso tamanho, nossa equipe, e depois passamos para a próxima etapa? Então, na verdade, vamos dar uma olhada no que é mais importante para nós, o gerenciamento de ativos é obviamente muito importante. E então determinamos qual é uma pontuação aceitável para ela e a melhoramos.

0:12:16.5 Raghu Nandakumara: Isso é muito interessante. E você disse algumas coisas realmente interessantes sobre o contraste de setores fortemente regulamentados, como finanças, como saúde, versus um setor muito menos regulamentado, especialmente quando se trata de requisitos de segurança cibernética, como manufatura e varejo. E quando penso nesses setores altamente regulamentados, normalmente eles têm as três alavancas. Uma é a regulamentação, uma é uma ideia muito clara de que isso é algo que eu absolutamente tenho que proteger, caso contrário, perda de reputação, perda de receita comercial, etc. E, muitas vezes, ocorre um evento sísmico que afeta essa indústria, esse setor, o que significa que ninguém mais quer ser o protagonista. Mas agora, nos setores não regulamentados, mas menos regulamentados, como você basicamente constrói essas alavancas para levar seu programa adiante?

0:13:12.7 Ryan Fried: Sim, acho que a coisa mais importante que fizemos na Brooks, e vi em outras empresas, foi ter esse comitê diretor. Então, meu chefe se reúne com o COO, o CFO, o chefe de privacidade e o chefe jurídico, e para que eles entendam a importância da segurança, isso nos dá muita vantagem. Então eu acho que essa é realmente a coisa mais importante: você precisa da adesão da diretoria executiva e ser capaz de articular onde estamos, onde precisamos estar e o que é preciso, seja dinheiro ou pessoas, é realmente como eu encontrei a maneira mais bem-sucedida de fazer isso.

0:13:48.0 Raghu Nandakumara: E como você compara a função que você desempenha hoje na Brooks com algumas das funções de seus empregadores anteriores nesses setores regulamentados? Quais são os desafios em um versus os desafios no outro? Então, porque é muito interessante que você tenha se mudado para esses diferentes setores desempenhando esse papel.

0:14:09.1 Ryan Fried: Sim, acho que nossa Estrela Polar é um pouco diferente. Então, trabalhando em um setor altamente regulamentado pela HIPAA para seguros, éramos muito mais orientados por dados. Usamos ferramentas para encontrar dados confidenciais restritos. Fizemos mais em relação à prevenção da perda de dados. Não quer dizer que não fazemos isso na Brooks, mas não temos dados altamente regulamentados. Enquanto estamos na Brooks, estamos muito mais focados na disponibilidade. Portanto, analisar o ransomware impulsiona muito do que fazemos. Então, sim, eu diria que, embora pensemos em talvez algum tipo proprietário de dados em propriedade intelectual, estamos muito mais focados na disponibilidade de diferentes ameaças.

00:14:52.2 Raghu Nandakumara: E eu acho isso meio fascinante porque pensamos nesse tradicional triângulo de segurança da CIA. O C normalmente recebe muito foco. E o I recebe uma quantidade razoável de foco e o A geralmente não é ignorado, mas é a parte que todos estão dispostos a sacrificar para proteger o C e o I. Mas, novamente, acho que, particularmente com o termo resiliência cibernética realmente entrando em voga nos últimos dois anos, o foco no A está aumentando e as organizações estão dando muito mais importância ao pilar de disponibilidade do triângulo da CIA, além do C e do I. como você vê isso?

00:15:37.3 Ryan Fried: Eu realmente tenho. Sim. Pensamos na disponibilidade do nosso sistema ERP. Uma coisa que notei é que cada vez mais empresas estão, pela minha experiência, testando essa recuperação de ransomware. Uma coisa é colocá-lo em prática, mas ser capaz de descobrir quanto tempo realmente leva e depois recuperá-lo e fazer com que o usuário corporativo consiga obter os dados de que precisa é muito importante, porque você não quer fazer isso pela primeira vez com um ransomware. E então é super interessante descobrir... Estive envolvido em esforços de continuidade de negócios e digamos que alguém precise do aplicativo XYZ, você pergunta com que rapidez e eles respondem em uma hora. Porque por que não? Por que não dizer uma hora? Quando, na realidade, nossa equipe de infraestrutura pode levar oito horas para descobrir essa discrepância e dizer: “Podemos fazer isso em uma hora, mas você terá que pagar por outro data center que esteja ativo e gravando. Isso custará, digamos, um milhão de dólares e eles dirão: 'Oito horas parecem muito bem'”. Portanto, gerenciar essas expectativas de quanto tempo realmente leva para esses aplicativos essenciais é importante para definir níveis, pois leva mais tempo do que você pensa.

00:16:52.5 Raghu Nandakumara: Sim, com certeza. E você disse isso... Só algumas coisas. Desculpe, fico muito empolgada quando nossos convidados, só esse fluxo de pensamento e tudo mais, meio que querem clicar duas vezes em todas essas coisas. Então, vamos começar do início desse fluxo de pensamento e você falou sobre eficácia e quão eficazes são meus controles. Então, uma pergunta um pouco complicada, na sua perspectiva, que remonta à sua época em setores mais regulamentados, é: qual você vê como a diferença entre estar em conformidade e estar seguro?

0:17:27.9 Ryan Fried: Sim, essa é uma grande diferença. Portanto, a conformidade pode ser usada de forma positiva. Ao trabalhar com dados de cartão de crédito, o PCI é realmente prescritivo e tem muitas coisas boas, mas também recomenda senhas de oito caracteres, com as quais tenho dificuldade. Portanto, é uma boa linha de base e você pode usá-la para fazer as coisas. Acho que, com essa abordagem baseada em ameaças, em que setor você está, como os atacantes estão lidando com isso. Por exemplo, com a nuvem, a Gartner afirma que 90-95% das violações na nuvem são configurações incorretas. Não sei se as auditorias estão falando sobre isso, mas isso é importante porque temos uma presença na nuvem. Portanto, a conformidade é boa, pode ser sua amiga, mas isso não pode ser tudo o que você faz.

0:18:18.4 Raghu Nandakumara: A forma como vejo isso em funções anteriores é que, muitas vezes, a conformidade e as auditorias comparam uma lista de verificação ou um conjunto de padrões que você definiu, em vez de, como você diz, em comparação com qual é a ameaça real e como ela poderia explorar essa configuração atual. Então, isso me leva à pergunta seguinte desse tipo de fluxo de pensamentos que você compartilhou: como você testa se seus controles são eficazes?

0:18:52.0 Ryan Fried: Então agora você está começando meu projeto de paixão em meus últimos dois empregos.

00:18:57.6 Raghu Nandakumara: Tudo bem, vamos.

0:18:57.8 Ryan Fried: Sim, quando eu comecei, fale sobre a evolução de 10 anos. Você pagaria a um testador de caneta qualquer quantia e ele basicamente executaria um escaneamento do Nessus e diria que essas são todas as suas vulnerabilidades e pronto. A próxima parte que eu vi é que agora você paga um testador de caneta, talvez você dê acesso a ele em seu ambiente, talvez não. Provavelmente não. Eles tentam entrar, talvez entrem, tenham acesso, e então você conserta essas coisas. Nos últimos dois anos, você começou a ver a evolução de equipes e ferramentas roxas como o Atomic Red Team, onde agora alguém que não é treinado como testador formal de caneta pode realmente executar simulações do que os hackers estão usando.

0:19:38.7 Ryan Fried: Então, vou analisar diferentes relatórios da Mandiant ou da Red Canary e eles dirão que essas são as 10 principais técnicas de hackers que vimos no último ano. E então eu realmente usarei uma ferramenta para executar essas técnicas no meu laptop em nossa rede. Veremos o que nosso EDR ou firewalls detectam. Se eles pegarem a maior parte, ótimo. E se eles não detectarem algo, escreverei uma detecção do nosso SEM ou EDR, para que possamos detectá-la na próxima vez. Então, um exemplo rápido é que a maioria dos hackers, quando entram, executam algo como: Quem sou eu? Para descobrir exatamente onde eles estão, qual conta eles têm. E vimos que nossa ferramenta de EDR não detectava nela, então escrevemos uma detecção rápida sempre que víamos isso e pegamos testadores de caneta como esses com algo tão simples e tão precoce. Sim, acho que usar coisas como emulação de adversário ou até mesmo executar coisas em prompts de comando, como quem sou eu, sysinfo ou administrador de grupo de rede, é realmente impactante e gratuito.

0:20:46.3 Raghu Nandakumara: Então, eu quero perguntar isso. E com certeza, e acho que essa é realmente a evolução dos testes de segurança. Agora acredito que estamos em um estágio em que somos muito mais realistas ao testar nossas defesas de segurança. E, claro, os exercícios em equipe permitem um rápido ciclo de feedback para melhorar isso. Mas quando digamos que você esteja lá, você está procurando o próximo recurso de segurança que deseja incorporar para proteger. Neste caso, Brooks, como você valida que tudo o que esse fornecedor está tentando vender realmente fornecerá o aumento de segurança que você espera? Como você faz isso?

0:21:30.1 Ryan Fried: Sim, acho que é muito importante definir critérios de sucesso realmente prescritivos. Então, qual caso de uso você está tentando encontrar? Porque você não vai se divertir se simplesmente procurar um fornecedor e dizer: “Eu quero a capacidade de fazer isso”. Por quê? Do que você está tentando se defender? E você pode imitar isso? Se você está procurando uma solução de gerenciamento de postura de segurança na nuvem, talvez faça um POC rápido e, em seguida, abra um bucket do S3 para o mundo sem dados e veja com que rapidez ele o detecta. Ou para microssegmentação, talvez você tenha um laptop e faça uma varredura do Nmap em todo o ambiente e veja o que ele pode comunicar de volta. Em seguida, você coloca a ferramenta no modo de fiscalização e vê o que ainda pode alcançar. Portanto, acho que você precisa entender o caso de uso e o problema que está tentando resolver antes mesmo de pensar em procurar fornecedores.

0:22:30.2 Raghu Nandakumara: Sim, com certeza. Eu concordo, porque é o, e acho que ambos, do lado do cliente, têm uma ideia clara do caso de uso que você está tentando resolver, em vez de um general: “Ei, eu preciso desse recurso”. Tem que estar empatado em benefício. E então acho que, do ponto de vista do fornecedor, é ser capaz de se conectar claramente com esse caso de uso, em vez de dizer novamente: “Ei, estamos vendendo esse recurso para você”, e funciona assim. E ser capaz de dizer isso, eu acho que é muito importante. E eu quero ir para o próximo tópico, porque este é um podcast de Zero Trust Leadership. Então, vamos falar um pouco sobre Zero Trust. E eu sei que você é um grande praticante do Zero Trust. Você criou pelo menos dois programas Zero Trust em empregadores diferentes. Em primeiro lugar, como você pensa sobre o Zero Trust e por que isso ressoa em você?

0:23:23.4 Ryan Fried: Sim. Por isso, sempre penso na violação da Target, ocorrida há cerca de uma década, quando um prestador de serviços de HVAC teve acesso à rede e conseguiu acessar os dados do titular do cartão. Essa é uma das razões pelas quais estamos tentando fazer isso. Ou eu basicamente penso em se e quando um usuário está infectado, como podemos minimizar esse raio de explosão, dando a ele o menor acesso privilegiado para que ele não possa causar muitos danos?

0:23:52.4 Raghu Nandakumara: Então, quando você aplica isso, e é claro... Então, isso está absolutamente relacionado à abordagem de segurança Zero Trust, então, como criar um programa para ajudar sua organização a adotar essa abordagem? Porque ouvimos constantemente que o Zero Trust é uma ótima ideia, mas difícil de alcançar na prática, mas você já fez isso duas vezes com sucesso. Então, qual é o ingrediente secreto que você tem e que os outros precisam saber?

0:24:23.0 Ryan Fried: Claro. Zero Trust é mais um princípio. Consegui aplicá-lo de duas maneiras diferentes. Em quase tudo o que fazemos, pensamos em como podemos ir em direção ao Zero e também ao Zero-ish Trust. O Zero Trust real é muito difícil de fazer, e eu acho que é muito intimidante. Quando pensei pela primeira vez no Zero Trust, pensei em poder permitir menos comunicação entre servidores, o que realmente me assusta e afeta muito a produção. Mas, por exemplo, estamos falando de microssegmentação a partir de uma perspectiva de Zero Trust. Qual é o melhor retorno do nosso investimento que obteremos sendo os menos disruptivos? Porque, como você e tenho certeza que seus ouvintes sabem, perdi credibilidade por causa de uma ferramenta ou tecnologia, algum tipo de ferramenta de segurança que bloqueou algo, talvez tenha sido um bloqueio legítimo, talvez não, mas é muito difícil recuperar essa confiança.

0:25:22.3 Ryan Fried: Já tive ferramentas em que, sempre que algo quebrava, elas diziam: “É essa ferramenta?” Eu digo: “Não”. Então, partindo disso, analisamos a comunicação de estação de trabalho para estação de trabalho, que não deveria ser nenhuma. E depois a interação entre usuário e servidor, porque mais de 90% da nossa base de funcionários não está na área de TI. Portanto, eles realmente não acessam servidores, a menos que seja por meio de HTTPS que eles não os acessem remotamente. E quando você pensa do ponto de vista da ameaça, a maioria das intrusões começa com um e-mail de phishing em uma estação de trabalho. As pessoas normalmente não acessam o e-mail em um servidor e não deveriam. Como faço para fazer isso? Ouvi dizer que alguém foi atingido por um ransomware que não estava tendo um dia ruim, não pode afetar nenhuma outra estação de trabalho e não pode afetar a maioria dos outros servidores. Isso para mim é o Zero-ish Trust do ponto de vista da microssegmentação.

0:26:19.2 Raghu Nandakumara: Gosto da maneira como você disse que é zero, porque acho que voltar a algo sobre o qual estávamos falando anteriormente é bom o suficiente. E está traçando essa linha entre isso... Eu sei que é aqui que o... E acho que, parafraseando o que você acabou de dizer, sei que esses são os maiores riscos com acesso excessivamente permissivo à minha rede. Então esse é o acesso que vou focar em reduzir essa confiança implícita. Então, avançando em direção a uma confiança implícita zero, mas eu traço o limite aqui porque, além disso, o retorno que recebo pelo esforço que estou fazendo é insignificante ou, potencialmente, acho que voltar atrás... E esse foi um ponto muito importante sobre... Muitas vezes, é potencialmente uma definição de carreira. Os controles de segurança definem sua carreira porque, se funcionarem bem e você conseguir mostrar que reduziu o risco e a exposição, todo mundo elogiará você. Mas há uma chance muito maior de que algum aplicativo crítico falhe e eles digam: “Ei Ryan, ei Raghu, vamos conversar sobre essa coisa que você acabou de aplicar”. E, como você disse, você precisa passar horas, dias, explicando por que não foi seu produto que causou o problema. Novamente, acho que talvez apenas para reiterar, qual é a medida que diz que, até agora, o esforço vale a pena? Isso é bom o suficiente. Além disso, o custo é alto para obter mais benefícios. Como você desenha essa linha na areia?

0:27:56.8 Ryan Fried: Claro, isso definitivamente pode ser subjetivo, mas, para mim, penso na sobrecarga administrativa e, em seguida, no impacto da produção nos aplicativos. Pessoas em suas funções, exceto nós, não dizem que estão seguras. Eles precisam que seus aplicativos sejam executados. Então, posso dar um bom exemplo de algo que não fizemos porque não achei que valesse a pena o retorno do investimento. Portanto, outro risco potencial é, digamos que um servidor seja infectado, visite um domínio controlado e de comando, baixe um malware e seja infectado. Direto do servidor, não exigia que o usuário se conectasse a ele. Agora, uma coisa que podemos fazer é usar o Zero Trust, onde só permitimos que aplicativos ou servidores acessem domínios específicos, determinados sites. Realisticamente, os servidores não acessam muitos sites, mas o trabalho por trás disso é incrível. E eu só sei disso porque tentamos. Há tantos domínios em um site que as pessoas alcançam. Portanto, seria um pesadelo administrativo e afetaria a produção se, digamos que eles baixassem um novo aplicativo, mas ele não funcionasse. E digamos que seja alguém na Ásia ou na Europa e eu seja a pessoa que está fazendo isso. Então, na verdade, o que eu penso é: qual é o risco? O risco é que nosso DNS não capture esse domínio, nosso EDR não capture esse domínio, nosso firewall não capture esse domínio e seja um servidor C2. Um ator estatal pode fazer isso? Claro. Mas, para mim, isso não vale a pena por causa do impacto que a produção pode ter. Então, fizemos isso de outras maneiras.

0:29:45.1 Raghu Nandakumara: Sim. E eu tenho uma experiência semelhante, então eu entendo isso perfeitamente. Então, qual é o futuro do seu programa Zero Trust e como você pensa sobre essa evolução contínua? O que isso parece?

0:30:01.1 Ryan Fried: Sim, acho que a partir da microssegmentação, garantindo que ela seja aplicada em todos os lugares. Analisando diferentes casos de uso, talvez mais do ponto de vista da visibilidade, para descobrir o que está falando com o que vemos na nuvem pública e garantir que estamos usando o mínimo de privilégios possível quando se trata de funções, acesso e coisas do tipo. E, no mínimo, acesso privilegiado em geral em nossas contas do Active Directory, tanto no Azure quanto no local. Essas são algumas das grandes coisas em que estamos trabalhando.

0:30:29.6 Raghu Nandakumara: E você falou sobre nuvem algumas vezes. E, muitas vezes, organizações e profissionais diferenciam entre a segurança na nuvem e a segurança tradicional do campus e do data center. E, na verdade, eu estava em um evento no início desta semana e no palco estava essencialmente uma pessoa que dirigia DevOps ou DevSecOps em uma grande organização financeira. E o que ele disse foi que o problema que criamos foi dizer: “Ok, eu separo a segurança de forma diferente ou como eu penso sobre segurança de forma diferente para nuvem versus legada, tradicional, como você quiser chamá-la”. Quais são seus pensamentos? Porque a perspectiva dele era que você precisa pensar sobre eles da mesma forma para ter uma segurança consistente.

0:31:18.0 Ryan Fried: Eu concordo absolutamente. O ditado que eu sempre uso é que a nuvem é apenas uma extensão do seu data center. Seja uma VM, uma VM Windows na nuvem, no seu data center ou embaixo da sua mesa. Ele ainda precisa ser corrigido, ainda precisa de certos agentes e é uma visão muito perigosa visualizá-los separadamente. E acho que está demorando algum tempo para se acostumar, tanto do ponto de vista da segurança quanto da infraestrutura. Mas, como você disse, os controles precisam ser semelhantes. Agora, quando você chega a certas coisas, como serviços e contêineres de armazenamento, elas podem ser diferentes. Uma VM é uma VM, seja efêmera ou não. Portanto, você ainda precisa dessa visibilidade e dos patches, exatamente como faria em seu data center.

0:32:04.6 Raghu Nandakumara: Então, que tipo de, agora, quando você olha, o que você está vendo para o futuro. Quais são as tendências e tecnologias que realmente empolgam você? Sei que você falou um pouco sobre seu projeto de paixão, mas o que você realmente espera que aconteça no mundo da cibersegurança?

0:32:24.8 Ryan Fried: Sim, acho que apenas melhorias no gerenciamento de ativos, como falamos, são mais uma abordagem baseada em API para descobrir qual é a sua contagem total de ativos. Isso é difícil de descobrir, mas também acho que nos próximos anos veremos mais tecnologia em torno da segurança de APIs. Acho que é algo que as empresas provavelmente têm mais exposição do que imaginam, especialmente se tiverem aplicativos, aplicativos de chamada em sua rede ou, mais provavelmente, em outros aplicativos ou redes baseados em funcionários. E você pode não ter ideia do tipo de segurança que você tem para isso. Então, estou muito empolgado em ver essa tecnologia para descobrir onde estão suas APIs e que tipo de segurança você tem em torno delas. Além disso, ter essa abordagem baseada em desenvolvedores em que essa não é minha especialidade, mas eu adoraria uma ferramenta que a colocasse na linguagem do desenvolvedor e com a criticidade adequada para que eles possam corrigi-la.

0:33:19.3 Raghu Nandakumara: Na verdade, você deu uma dica sobre desenvolvedor e ouvimos muitos termos como DevSecOps e shift-left e seguro por design ou seguro por padrão. Não sou especialista em nenhum desses termos, mas sou... Sou perigoso o suficiente para tê-los lido e poder deixá-los escapar. O que elas significam para você e o que elas significam para o que você faz como praticante?

0:33:46.1 Ryan Fried: Sim, acho que shift-left é muito importante. Já estive em ambos os lados em que os desenvolvedores dizem: “Ei, temos esse aplicativo que entrará em produção em duas semanas. Você pode simplesmente dar uma aprovação?” Eu digo: “O quê?” E então usamos ferramentas diferentes para tentar analisar as vulnerabilidades dos aplicativos e coisas do tipo. E nós descobrimos isso. O mais provável é que vá ao ar de qualquer maneira. Então, o ideal é que nos envolvamos desde o início e eu não tenho uma grande experiência em desenvolvimento de aplicativos, mas às vezes acho que apenas ter segurança na sala faz com que eles falem ou se comportem de maneira diferente na discussão inicial. Mas também acho que é muito importante porque existem ferramentas de análise estática de código, ferramentas dinâmicas de análise de código. Deixe o desenvolvedor escolher o que quiser. Como provavelmente não vou trabalhar nisso no dia a dia, quero algo que seja amigável para desenvolvedores. Então, tivemos um bom sucesso com isso. Obviamente, queremos analisá-lo para ver se ele tem o mínimo básico de verificações de segurança, mas queremos que seja em um idioma em que eles entendam e que tenhamos uma função mais consultiva.

0:34:56.1 Raghu Nandakumara: Estou meio que brincando com a ideia de que a adoção de uma abordagem de segurança Zero Trust realmente se alinha com uma mudança para a esquerda. E considerando isso, em vez de tentar bloquear coisas ruins, ser explícito ao dizer que essas são as coisas boas que eu quero permitir se alinha muito com, digamos, o desenvolvimento de um aplicativo em que quase você está dizendo: ok, eu sei que essas são as coisas que eu preciso que o aplicativo faça e quero escrever as regras de segurança que me permitam fazer isso. Então você acha que, como vemos a segurança mudar para a esquerda, isso vai... Para tornar isso prático, haverá uma maior adoção do Zero Trust ou, dito de outra forma, essencialmente mais foco na definição de uma segurança baseada em lista de permissões?

0:35:48.4 Ryan Fried: Sim, acho que o shift-left definitivamente concorda com isso. Acho que agora, ao incorporarmos novos servidores ou aplicativos, estaremos envolvidos mais cedo porque eles serão colocados em nosso ambiente de microssegmentação e queremos entender de qual comunicação essa ferramenta realmente precisa. E eu posso dar um exemplo rápido. Tivemos um aplicativo em que o fornecedor disse que precisávamos abrir portas de um a 65.000, o que é louco e extremamente preguiçoso da parte desse fornecedor.

0:36:16.7 Raghu Nandakumara: E as outras centenas no final. Eles não queriam esses?

0:36:20.6 Ryan Fried: Sim. Eles estavam tentando, o menor privilégio ou Zero-ish Trust. Se estivermos envolvidos desde o início, podemos deixá-lo funcionar por um mês e ver que talvez seja um intervalo de apenas 100 ou 1.000 portas. Mas se não estivermos envolvidos no início e eles instalarem o aplicativo sem que saibamos e ele já estiver em produção, provavelmente teremos que manter esse número em 65.000, a menos que tenhamos um trabalho extensivo e um ciclo de feedback rápido. Estar envolvido no início dessa fase de requisitos e analisar os dados que ajudam você a ter sucesso em uma estratégia Zero-ish Trust.

0:36:58.1 Raghu Nandakumara: Absolutamente E acho que depois volta à maturidade de que você estava falando. À medida que o programa amadurece, naturalmente, o engajamento da segurança muda cada vez mais para a esquerda. E, novamente, a distância à esquerda realmente depende de até onde você deseja levar esse programa. Quero dizer, como dissemos, há muito mais que podemos discutir, mas estou consciente do seu tempo. Com o que você está empolgado em termos de futuro? Quais são as coisas que você gostaria que os ouvintes ouvissem, aprendessem e talvez colocassem em prática?

0:37:37.3 Ryan Fried: Sim, venho falando sobre a validação do controle. Estou muito empolgado em ver a mudança na segurança, na verdade, da colaboração e da inteligência acionável contra ameaças. Acho que o MITRE ATT&CK tem sido uma coisa muito positiva para o setor, pois basicamente codifica o que os atacantes estão fazendo em alto nível. Portanto, poder fazer parte de um grupo de compartilhamento de informações, ir a uma conferência ou simplesmente ler artigos e ver o que os hackers estão usando e, em seguida, fornecer o valor ou o comando a ser executado. Dessa forma, você pode executá-lo em seu ambiente para ver se está afetado. Porque antes você fazia um teste de caneta uma vez por ano e, depois disso, era preciso esperar até o próximo ano e ele se tornaria obsoleto muito rapidamente devido à adaptação dos ambientes. Então, estou muito empolgado em continuar vendo isso acontecer e talvez até mesmo mudar a nuvem para ver quais são os registros que eu deveria analisar. O que os atacantes estão fazendo? Como posso imitá-lo? Como posso ver se funcionaria ou não?

0:38:40.2 Raghu Nandakumara: Incrível. A outra coisa, Ryan, é verdade que na Brooks Running, você faz todas as reuniões importantes de segurança enquanto corre com os treinadores da Brooks? Isso é verdade? Apenas nos avise.

0:38:49.0 Ryan Fried: Sim, eu acho que eu estava te dizendo antes, quando entrevistei, você tem que enviar seu tempo de 5 mil e ter menos de 20 minutos.

0:38:55.1 Raghu Nandakumara: Depois de correr com você, estou bastante confiante de que você poderia fazer um sub-20 se tentasse. Eu sei que você estava pegando leve comigo naquele dia. Ryan, foi um prazer ter você. É sempre um prazer conversar com um profissional de segurança tão maravilhoso quanto você. Então, muito obrigado pelo seu tempo.

0:39:14.0 Ryan Fried: Sim, obrigado pela oportunidade. Tem sido ótimo.

0:39:16.6 Raghu Nandakumara: E, sim, se você quiser saber mais sobre como a Illumio está ajudando organizações como a Brooks Running a reduzir riscos e combater ataques cibernéticos, visite nosso site illumio.com e confira esse estudo de caso de cliente e muitos outros. Muito obrigado.

0:39:37.5 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter em @illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

‍