Zero Gravity: Ace the VMCE Exam with Object First Ace Jonah May | Join us >>
Richiedi una demo
Business

Interviste Pronte all'Uso: Jason Garbis Esperto di Zero Trust

| 11 minuti da leggere

Geoffrey Burke: Ciao a tutti, abbiamo con noi oggi. Esperto di Zero Trust e autore di innumerevoli opere su ZTDR.

Benvenuto Jason, parlaci un po' di te.

Jason Garbis: Sono nel settore tecnologico per tutta la mia carriera, che è quasi 35 anni a questo punto. Quindi questo mi rende estremamente vecchio.

Ho iniziato come ingegnere del software, scrivendo codice in C e C++ per sistemi distribuiti. In quel ruolo, non solo ho avuto modo di capire come funzionano realmente i sistemi software, ma anche come funzionano le architetture aziendali. Dopo aver fatto ciò, sono passato a un ruolo di consulenza nei servizi professionali per un fornitore di middleware. In quel ruolo, ho avuto l'opportunità di viaggiare, visitare e lavorare con molte aziende che utilizzavano il middleware di questo particolare fornitore per costruire sistemi distribuiti su larga scala. Questo, a sua volta, mi ha esposto all'immagine a 360° delle sfide aziendali.

Ho iniziato a entrare nel mondo della sicurezza circa 15 anni fa, lavorando nel campo della gestione dell'identità: identità, governance e gestione del ciclo di vita. Da lì, sono passato a quello che oggi chiamiamo accesso alla rete Zero Trust, lavorando per un fornitore in quel settore. Lì guidavo il team di gestione del prodotto, ma ho anche assunto un ruolo di leadership con la Cloud Security Alliance come parte del gruppo di lavoro sul Perimetro definito dal software all'epoca.

Oggi, guido quel gruppo, e lo abbiamo trasformato ed espanso il suo ambito per concentrarci sul zero trust. Quindi in quei ruoli, lavoro molto con le aziende e molto con persone che svolgono lavori diversi come il team di sicurezza, il team IT, e ora, negli ultimi due anni, lavorando con le persone qui di Object first, il team di protezione dei dati, backup e recupero.

Parliamo di Zero Trust

Geoffrey Burke: Dove hai sentito parlare per la prima volta di Zero Trust? Era più da una prospettiva di rete?

Jason Garbis: Penso che fosse intorno al 2015. Lavoravo per un'azienda di gestione dell'identità, che è stata acquisita da RSA nel 2013. Questo è avvenuto subito dopo o poco dopo, la prima pubblicazione di un documento sul zero-trust da parte di John Kinderrock presso Forester. Questo è avvenuto nel 2010, quindi avevo una certa consapevolezza di esso. Poi, ho lasciato RSA e sono entrato in un'azienda che stava lanciando quella che oggi chiamiamo una soluzione di accesso alla rete zero-trust. 

In questo ambito, sono stato esposto al concetto di zero trust e ho realizzato che è davvero interessante. Sta prendendo tutto ciò che ho fatto intorno alla gestione dell'identità, alla governance dell'identità e alle migliori pratiche e applicandolo a un livello di rete reale. 

Nel mondo della gestione dell'identità, è necessario assicurarsi di comprendere chi dovrebbe avere accesso a cosa. La governance dell'identità fa cose da una prospettiva di processo aziendale, assicurandosi che le persone siano nei gruppi giusti e imponendo la segregazione dei doveri. Tuttavia, non era mai stata effettuata alcuna applicazione rigorosa.

Poi, siamo entrati nel mondo zero-trust e abbiamo riconosciuto che è necessario applicarlo anche a livello di rete perché ci sono così tante vulnerabilità e così tanto nella superficie di attacco che può essere sfruttato, che è necessario che quelle politiche consapevoli dell'identità e contestualmente consapevoli siano applicate a livello di processo, a livello di identità, a livello di applicazione e a livello di rete.

Geoffrey Burke: Il ransomware deve aver significativamente aumentato la necessità di Zero Trust nel settore. Uno dei principi fondamentali del zero trust è assumere una violazione. Pensi che i professionisti IT abbiano accettato questo concetto?

Jason Garbis: Sì. Penso che possiamo tutti guardare alla prevalenza, ai danni e alla frequenza di questi attacchi ransomware importanti e comprendere quanto sia impegnativa la nostra superficie di minaccia. La premessa di assumere una violazione, segmentare la propria rete e applicare il principio del minimo privilegio è un ottimo antidoto contro il ransomware e assicura che sia più difficile per gli attaccanti fare qualsiasi cosa.

Assumi Violazione

Geoffrey Burke: Una delle sfide con il Zero Trust e l'idea di assumere una violazione è che stai essenzialmente dicendo che il tuo sistema è stato compromesso prima del fatto. Alcuni Manager potrebbero non gradire questo tipo di visione pessimistica.

Jason Garbis: Sollevi un punto interessante, ed è uno dei motivi per cui abbiamo bisogno del zero trust. Quando parli con i team di networking aziendale e ascolti cosa hanno dovuto fare, è stato molto difficile perché non hanno avuto gli strumenti di sicurezza o il vocabolario per applicare politiche di accesso reali. I team di networking hanno dovuto cambiare il loro focus. I loro obiettivi in passato sono stati principalmente costruire reti affidabili, veloci e resilienti, ma non hanno avuto la capacità di applicare la sicurezza a cui la rete è legata. Cose come Identità e contesto. Prima, era come se non sapessimo nulla dell'applicazione. Non sappiamo nulla dell'utente, e se il nostro utente è malevolo, indovina un po'? I loro pacchetti malevoli arriveranno altrettanto affidabilmente e velocemente quanto quelli di tutti gli altri.

Il Zero Trust ora ti offre la possibilità di allontanarti da tutto ciò e dire che sappiamo quale identità è su questo dispositivo, e che permetteremo o non permetteremo quei pacchetti in base alla politica.

Geoffrey Burke: È vero che oggi i team di protezione dei dati e di sicurezza devono lavorare insieme più che mai a causa della vasta gamma di minacce?

Jason Garbis: Sì, assolutamente. Hai sollevato un punto importante: la necessità che i team di sicurezza e i team di backup e recupero dei dati lavorino insieme e riconoscano che, prima di tutto, tutto ciò che facciamo nella nostra azienda è ora digitalizzato. Tutto funziona su di esso, e quindi, tutto è un obiettivo e deve essere protetto. Non è giusto trattare il sistema di dati, backup e recupero come un'altra applicazione perché non lo è. È un enorme obiettivo per gli attaccanti. È anche un paracadute di emergenza.

Se vieni attaccato e hai investito tutti questi soldi nei sistemi di recupero backup, vuoi assicurarti che siano ancora disponibili in caso di emergenza e che i backup siano stati convalidati come recuperabili su base regolare mediante test di DR.

Utilizzare strategie Zero Trust

Geoffrey Burke: Quali strategie consiglieresti a chi cerca di raggiungere quanto sopra?

Jason Garbis: È una conversazione che richiede un'ora intera. Ho visto situazioni davvero gravi in cui si riceve resistenza da parte delle persone non addette alla sicurezza nell'impresa. Ci sono molti modi sbagliati di fare le cose, ma ci sono anche molti modi giusti. C'è un chiaro equilibrio tra carota e bastone in termini di motivare o costringere le persone a seguire queste procedure.

Sappiamo che uscire come team di sicurezza e metaforicamente colpire le persone sulla testa con un bastone dicendo: "No, devi fare questo," non è un ottimo modo per far rispettare le cose, ma a volte, è necessario avere elementi di questo tipo.

Guardiamo a cosa stanno facendo oggi le nostre imprese. Non penso che qualcuno possa dichiarare vittoria e dire che stiamo andando alla grande. Siamo in un ambiente avversariale. Noi come società abbiamo padroneggiato così tante cose tecniche, come ingegneria elettrica, trasporti, comunicazione e medicina.

In tutte queste cose, abbiamo fatto progressi fenomenali, eppure siamo davvero scarsi in sicurezza in modo oggettivo.

Abbiamo avversari che sono altrettanto innovativi, ben finanziati e maliziosi e che tengono il passo con le nostre contromisure di investimento. Quindi, i team di sicurezza devono riconoscere di avere la responsabilità di migliorare la sicurezza della loro impresa, e le persone dovranno accettare cambiamenti in questo ambito.

Dobbiamo crescere come settore, e i team di sicurezza devono riconoscere che è semplicemente necessario fare le basi correttamente. Non puoi avere persone che distribuiscono server o servizi sulla tua rete di cui non sei a conoscenza e che non sono classificati nel modo giusto.

Questo semplicemente non è accettabile.

Allo stesso modo, gli utenti non possono semplicemente collegare dispositivi casuali alla rete e accedere a risorse. La buona notizia è che con il moderno insieme di tecnologie legate alla sicurezza, possiamo migliorare l'esperienza utente e la sicurezza. Possiamo adottare l'autenticazione biometrica, l'autenticazione senza password e altre misure. Un'iniziativa di zero-trust può portare valore all'azienda in molti modi, e l'approccio giusto è utilizzare un po' di bastone e molte carote.

Geoffrey Burke: Non possediamo necessariamente tutto nei nostri ambienti. Prendiamo la catena di approvvigionamento, ad esempio. L'industria IT sta prendendo sul serio questo aspetto e riesce ad applicare i principi di zero-trust in luoghi come questi?

Jason Garbis: Sì, e c'è un'iniziativa significativa, specialmente nel governo, riguardo alle S bombs, ai materiali di fatturazione del software e alla comprensione della loro origine. Se leggi alcune delle linee guida della NSA sul zero trust riguardo ai dispositivi, approfondiscono questo argomento, come puoi immaginare.

  • Domande come: da dove proviene questo hardware?
  • Come fai a sapere che questo hardware non è stato manomesso?
  • Hai componenti dannosi incorporati lì?

Prendi, ad esempio, ciò che è successo di recente. Fortunatamente, una libreria open-source con codice dannoso incorporato è stata scoperta prima di essere distribuita. Se fossi un attore malevolo, perseguirei un percorso davvero interessante: integrarmi in un progetto open-source, contribuire per un paio d'anni e poi inserire codice dannoso nel progetto.

Quindi voglio concludere l'ultimo punto, sai, la violazione presunta, che penso sia ovvia qui. Non sarai in grado di convalidare ogni singolo pezzo di codice open source presente nel tuo ambiente. C'è un livello di fiducia che devi avere nella comunità, e chiaramente, dovresti fare questo per la scansione del codice sorgente delle tue app personalizzate, sai, dinamica e statica e cose del genere, ma.

Vuoi anche raggiungere un punto in cui non ci sia alcuna differenza tra ciò che ti aspetti che un'applicazione o un sistema faccia sulla rete e ciò che effettivamente fa.

Geoffrey Burke: Questo è un buon punto. Volevo chiederti anche del futuro perché ero alla Conferenza sulla Sicurezza di Winnipeg in aprile, e il loro grande relatore ospite era Mike Rogers, Ammiraglio Mike Rogers, ex capo di cosa ti spaventa di più? Cosa ti tiene sveglio la notte? Mi ha sorpreso dicendo che nei prossimi tre anni sarà una combinazione di AI e calcolo quantistico. Sai, stavo pensando a 10-15 anni.

Jason Garbis: Inizierò parlando della cosa più semplice: non sono particolarmente preoccupato per il quantistico in questo momento. Anche se c'è chiaramente un insieme di fornitori e ricercatori molto interessati a questo, non stanno investendo in quantistico o agilità crittografica in questo momento. Vogliono esserne a conoscenza, ma non sono pronti. Quando arriverà il momento, potranno contare sulle loro librerie o fornitori per aggiornare gli algoritmi a prova di quantistico.

Non lavoro nella comunità dell'intelligence ma nel settore privato commerciale e anche per agenzie federali non DoD. Riconosciamo che questo sta arrivando, ma non stanno facendo proattivamente cose come passare a diversi algoritmi. Quindi non sono particolarmente preoccupato per questo. Arriverà, e ci sarà un sacco di lavoro. Sarà, sai, come il problema del Y2K moltiplicato per dieci.

Questo è un ottimo esempio di quando l'industria ha investito molto lavoro, e è diventato un non-problema quando è arrivato il cambiamento del Millennio grazie a tutti gli investimenti e al lavoro. Penso che vedremo la stessa cosa con il calcolo quantistico.

L'AI, credo, sia un problema molto più grande. Non è tanto da un punto di vista di sicurezza diretta perché l'AI non è creativa. Non creerà un modo completamente nuovo di attaccare, ma ti permetterà di amplificare l'attuale insieme di metodi di attacco di 100, 1000 o 1.000.000. Le organizzazioni devono essere pronte per questo, ma direi che il problema più difficile deriva dai deepfake e dall'incapacità di distinguere un'interazione con qualcuno o qualcosa.

Abbiamo tutti visto questo come reale contro falso, dove ottieni entità generate da AI in una chiamata Zoom come questa. Voglio dire, come fai a sapere che io sono reale e non generato da AI?

Il Futuro del Zero Trust

Geoffrey Burke: Vedi il zero trust evolversi ulteriormente? Cosa vedi nel futuro a riguardo?

Jason Garbis: Ci sono alcuni aspetti qui. Chiaramente, un sistema AI deve essere protetto nel modo giusto, proprio come qualsiasi applicazione di valore che si desidera applicare ai propri principi di fiducia.

La nozione di contesto non è entrata in nessuna applicazione, per non parlare delle applicazioni AI, quindi non possiamo dire che stiamo andando verso il modello AI, e che esso restituirà potenzialmente informazioni diverse a seconda degli attributi su di te. Non siamo a quel punto nell'industria.

Penso che ci sia un bisogno di questo in generale, ovvero la capacità di qualsiasi applicazione, sia essa AI o un'applicazione standard, di essere consapevole e consumare il contesto zero-trust e prendere decisioni basate su questo.

Un esempio davvero semplice è la posizione geografica. Abbiamo un'applicazione che contiene dati. Puoi accedervi a seconda di dove ti trovi in base alle normative sulla protezione dei dati o sulla privacy. È un tipo di cosa molto basilare, ma è più difficile di quanto pensi garantire che possiamo comunque essere produttivi perché si basa su dati o metadati appropriati.

Geoffrey Burke: Diciamo che sono completamente nuovo al Zero Trust. Vedo che Veeam e Numberline hanno sviluppato questa nuova pratica di Zero Trust Data Resilience.

Come è nata? Cos'è ZTDR in poche parole? Come lo applichiamo?

Jason Garbis: Abbiamo esaminato lo stato dell'industria, in particolare, il modello di maturità zero-trust. Ho menzionato i pilastri che copre, inclusi dispositivi di identità, reti, carichi di lavoro delle applicazioni e dati. Tuttavia, ci sono lacune in aree in cui quel modello è silenzioso. In particolare, non menziona nulla riguardo al backup e al recupero dei dati. Volevamo fornire alcune indicazioni e leadership di pensiero su questo argomento. Come dovrebbero le persone applicare i principi di zero trust ai regni dei dati, del backup e del recupero? Abbiamo creato questo concetto chiamato Zero Trust Data Resilience.

Stiamo estendendo il modello Zero Trust e fornendo concetti e un percorso di maturità all'interno di quel dominio.

Zero Trust Data Resilience si basa su tre concetti principali:

  1. Primo, seguire il principio di segmentazione e separazione del Zero Trust: Devi separare il tuo software di backup dal tuo storage di backup. Devono essere geograficamente isolati e avere punti di controllo diversi. Nel modello di violazione presunta, se uno di quei componenti viene violato, vuoi assicurarti che l'altro non lo sia.
  2. Il secondo principio è abilitare più zone resilienti. Siamo tutti familiari con il concetto 3-2-1, e questo lo estende dicendo che devi assicurarti che quei backup siano in luoghi geograficamente distribuiti.
  3. Poi il terzo punto è l'immutabilità. I dati di backup devono essere immutabili e supportati dalla piattaforma giusta in modo da essere protetti anche in caso di violazione da parte di qualcuno che può eliminare quei dati di backup. Quindi questi sono i tre concetti fondamentali, e poi formalizziamo questo un po' definendo alcune capacità aggiuntive.

Ad esempio, modellare come il tuo sistema di backup e recupero accede alle fonti di dati che supportano l'impresa, assicurandosi che i sistemi di produzione siano monitorati, e il sistema di monitoraggio deve anche essere protetto da politiche di zero-trust. Allo stesso modo, l'accesso allo storage di backup, sia in lettura che in scrittura, deve essere protetto da politiche di zero-trust in modo che solo le entità giuste (il software di backup) possano leggere e scrivere.

L'accesso all'amministrazione del backup, come qualsiasi sistema privilegiato, deve essere attentamente controllato e applicata una forte autenticazione.

Devi assicurarti che anche quando la tua persona principale è, sai, in vacanza o assente, qualcuno sappia come seguire con successo il runbook. Questi tipi di cose compongono tutto questo concetto di resilienza dei dati zero-trust. Quindi, abbiamo dato questo all'industria, e fornisce una mappa stradale per farlo. Consente anche ai team di backup e recupero di avere conversazioni informate con il team di sicurezza riguardo all'aggiunta della Protezione dei Dati alle iniziative complessive di Zero Trust.

Cosa viene dopo?

Geoffrey Burke: Come ultima domanda, quali sono i tuoi piani per il futuro? Ti vedi a scrivere un altro libro. Hai già scritto due libri, almeno sul zero trust, giusto?

Jason Garbis: Sì, lo sono. Ho trascorso molto tempo a lavorare con le imprese sulla loro strategia e architettura zero trust. Cioè, mi piace davvero farlo. Ho imparato qualcosa da ogni impegno, e mentre faccio ciò, continuo a perfezionare il modello, l'approccio e la metodologia attorno ad esso. Quindi è qualcosa che voglio continuare a fare, aiutare le imprese e perfezionare e migliorare questo modello. Questo è qualcosa che diventa più maturo, e lo condividerò con la comunità in generale. 

Sono nelle fasi iniziali di pensare a come sarebbe una seconda edizione del libro, con un ambito ampliato e un vero focus su di esso. Creare e fornire indicazioni pratiche su come applicare questo modello di maturità. Come si crea una road map? Come si mappano le capacità nella propria piattaforma rispetto all'obiettivo finale? Qual è la definizione e l'applicazione di queste politiche di accesso?

Geoffrey Burke: Come rimani in trincea mentre lavori anche come educatore? C'è sempre un dilemma: se diventi un insegnante, diventi più un teorico. Non sei sul campo a combattere, quindi inizi a sentire una sorta di separazione. Sei ancora coinvolto a livello lavorativo, come a livello di trincea del zero trust, oltre a scrivere i libri?

Jason Garbis: Sì, e non c'è sostituto per il lavoro davvero duro di essere sul posto con un cliente e un'impresa, conducendo un workshop di due giorni e intervistando dozzine di persone per capire.

  • Come stanno gestendo la gestione dell'identità?
  • Come stanno gestendo le loro reti?
  • Come appare la loro strategia di protezione dei dati o di sicurezza dei dati?

È un lavoro duro, ma è anche stimolante apprendere a riguardo perché, come ho detto, ho imparato qualcosa da ognuno di questi. Condivido ciò e rifletto su di esso con ogni impresa con cui lavoro in futuro.

Novità sul prodotto

Inviando questo modulo, confermo di aver letto e accettato la Informativa sulla privacy.

Potresti anche gradire