O criador do conceito de Zero Trust, John Kindervag, participou remotamente do evento EXPAND, da Redbelt Security, fazendo a palestra “Win The Cyberwar with Zero Trust” (Vença a Guerra Cibernética com Zero Trust), na qual contou sua trajetória, e como criou este modelo, seus fundamentos e suas melhores práticas. Depois do evento, ele deu esta entrevista exclusiva ao CISO Advisor:
John, se adotar a confiança zero fosse uma viagem de 100 milhas, onde você acha que a indústria de TI está hoje e como você acha que ela evoluirá de agora em diante?
Bem, zero trust, você sabe, é uma jornada contínua. Eu nem diria que é uma viagem, é apenas algo que você faz para sempre. Você sabe que a vida é certa, então nunca dizemos que há um ponto final para isso, mas diferentes organizações estão em diferentes níveis de maturidade de adoção. Existem algumas que são altamente maduras; tenho alguns clientes que têm quase todos os seus dados ou ativos confidenciais protegidos em ambientes de zero trust; mas tenho alguns que estão apenas começando nessa jornada. Não importa onde você está, porque é uma jornada perpétua. O zero trust foi projetado para se atualizar constantemente, para que você não termine de construir um ambiente – você o coloca operacional e o aprimora continuamente. Então, essa é a primeira coisa.
Está havendo um interesse generalizado no zero trust globalmente agora, e há duas coisas que realmente solidificaram esse interesse. A primeira foi a pandemia global, que forçou a todos o trabalho em casa.Era preciso pensar um pouco diferente sobre como os usuários acessam os recursos de maneira segura, mas o mais importante é que você viu que o presidente dos Estados Unidos emitiu uma ordem executiva no ano passado exigindo que todas as agências do governo federal adotassem zero trust. Isso mudou a estrutura de incentivos – isso dizia que não há problema em falar sobre zero trust e fazer zero trust. Você sabe, costumávamos ter uma piada de que zero trust era como a primeira regra do clube da luta – não falar sobre isso.
Então seria muito difícil para mim fazer com que as pessoas subaissem ao palco e contarem um estudo de caso, porque as equipes jurídicas, as equipes de relações públicas, não queriam que você soubesse e que os hackers soubessem que eles tinham um ambiente de zero trust. A ordem mudou a estrutura de incentivos, e agora não há problema em falar sobre isso. Então zero trust tem sido por vários anos esse enorme iceberg onde as coisas que você viu publicamente eram a ponta desse iceberg, mas abaixo da linha d’água houve adoção em massa. E é por isso que o presidente disse o que fez, porque zero trust há muito tempo está se movendo para a frente dentro do governo federal dos EUA e tem havido muitos adotantes iniciais lá e então esses líderes têm dito aos conselheiros presidenciais que este é o caminho a seguir em segurança cibernética.
Portanto, você tem agora pessoas mais dispostas a adotar algo novo, e algumas pessoas que estão esperando para ver se isso é bem-sucedido ou não, para onde vai, mas acho que o conceito se provou nos últimos doze anos, então não é uma questão de ser factível ou utilizável, é apenas uma questão de se temos a vontade para fazê-lo em nossa organização. E a grande mudança é que agora estamos vendo os líderes entrarem e dizerem que vamos fazê-lo e que “vou ordenar” e isso libera os engenheiros e o pessoal de segurança para realmente ir e construir esses ambientes. Porque até agora eles podem ter sido reticentes em fazer isso com medo de que, se houver um erro, eles sejam culpados ou, você sabe, se algo ruim acontecer, eles seriam culpados – podem perder seus empregos. Então eles sempre estiveram em uma postura defensiva, mas isso mudou nos últimos anos e agora todos estão se movendo nessa direção muito rapidamente.
Veja isso
Zero trust, cloud e home office desafiam equipes de cyber
Unificação de processos de identidade desafia zero trust
Você acha que a zero trust deveria ser obrigatória para sistemas, redes, usuários, tudo? Ou há algo que possa (digamos) sobreviver sem zero trust?
Certamente zero trust é uma boa coisa a fazer mas sou resistente em dizer que qualquer coisa deveria ser obrigatória, porque isso envolve a conformidade, e eles tendem a interpretar mal as coisas. Então, podem fazer algo que você sabe que não será certo para uma organização específica. Todas as organizações usam as ferramentas zero trust, e o modelo será diferente dependendo de quais dados são ativos quais eles estão tentando proteger. Não é o caminho certo a seguir sobre segurança cibernética. É por isso que eu criei como um modelo de estrutura de estratégia, e dou um roteiro de cinco etapas sobre como você faz isso para que você possa aplicar isso a qualquer situação. Estamos vendo seguradoras dizerem que tratarão você de maneira diferente se você puder demonstrar que tem alguma aparência de um ambiente zero trust, mas eu não gostaria que a implantação fosse obrigatória, acho que é uma falha pensar que podemos fazer qualquer coisa assim.
John, como você acha que as organizações devem começar sua jornada de zero trust, já que têm tantos itens para proteger, como redes, nuvens, servidores, aplicativos, usuários, devops e afins?
Há uma coisa chamada de curva de aprendizado em zero trust, que defini e falei na apresentação de ontem, onde analisamos a sensibilidade ou criticidade de uma superfície de proteção específica, sendo o conceito fundamental taticamente de zero trust. O que estamos tentando proteger, então são os dados, aplicativos, ativos ou serviços. Então se pegarmos cartões de crédito, por exemplo, quão importante é isso? Bem, é danado de importante certo? Mas eu faço isso primeiro? Eu costumo dizer que as pessoas comecem com alguma coisa de criticidade baixa, ou baixa sensibilidade, sendo as suas primeiras superfícies de proteção, porque você precisa de um lugar seguro para aprender como fazer isso. Então, essas são chamadas de superfícies de proteção de aprendizado. Já vi pessoas errarem, não porque havia um problema fundamental com zero trust, mas porque não entendiam o sistema que tinham; então é por isso que você sabe que o primeiro passo é encontrar e proteger a superfície, o segundo passo é mapear os fluxos de transação, entender como o sistema funciona e então o passo três é criar a arquitetura. Vejo que as pessoas falham ao tentar criar uma espécie de arquitetura onipresente, que é para toda a empresa, e encaixar nela vários elementos e isso nunca funciona. Você tem de fazer as etapas um e dois antes de fazer a etapa três. Mas o problema é que sempre aprendemos a projetar redes começando com a etapa três; você sabe projetar a rede e depois descobrir o que acontece nela, e é por isso que temos tantos problemas agora – porque não projetamos de dentro para fora começamos de fora para dentro.
