Zero Gravity: Chris Childerhose fala sobre tecnologia com o Ootbi VSA | Participe >>
Como comprarSolicite uma demonstração
  • Blog
  • Entrevistas Prontas: Jason Garbis Especialista em Zero Trust
Negó

Entrevistas Prontas: Jason Garbis Especialista em Zero Trust

| 11 min para ler

Geoffrey Burke: Olá pessoal, temos conosco hoje um especialista em Zero Trust e autor de inúmeras obras sobre ZTDR. 

Bem-vindo, Jason. Conte-nos um pouco sobre você.

Jason Garbis: Estou na indústria de tecnologia toda a minha carreira, que já dura quase 35 anos neste ponto. Isso me torna extremamente velho.

Comecei como engenheiro de software, escrevendo código em C e C++ para sistemas distribuídos. Nesse papel, não apenas entendi como os sistemas de software realmente funcionam, mas também como as arquiteturas empresariais funcionam. Depois disso, mudei para um papel de consultoria em serviços profissionais para um fornecedor de middleware. Nesse papel, tive a oportunidade de viajar, visitar e trabalhar com muitas empresas que estavam usando o middleware desse fornecedor específico para construir sistemas distribuídos em larga escala. Isso, por sua vez, me expôs à visão 360° dos desafios empresariais. 

Comecei a entrar no mundo da segurança há cerca de 15 anos, trabalhando na área de gerenciamento de identidade: identidade, governança e gerenciamento de ciclo de vida. A partir daí, mudei para o que hoje chamamos de acesso à rede Zero Trust, trabalhando para um fornecedor nesse espaço. Eu liderava a equipe de gerenciamento de produtos lá, mas também assumi um papel de liderança na Cloud Security Alliance como parte do Grupo de Trabalho de Perímetro Definido por Software na época.

Hoje, lidero esse grupo, e nós o transformamos e expandimos seu escopo para se concentrar em zero trust. Então, nesses papéis, trabalho muito com empresas e muito com pessoas em diferentes funções, como a equipe de segurança, a equipe de TI e agora, nos últimos anos, trabalhando com o pessoal aqui da Object First, a equipe de proteção de dados, backup e recuperação.

Vamos Falar Sobre Zero Trust

Geoffrey Burke: Onde você ouviu falar sobre Zero Trust pela primeira vez? Foi mais de uma perspectiva de rede?

Jason Garbis: Acho que foi por volta de 2015. Eu estava trabalhando para uma empresa de gerenciamento de identidade, que foi adquirida pela RSA em 2013. Isso foi logo após ou pouco depois que o primeiro artigo sobre zero trust foi publicado por John Kinderrock na Forester. Isso foi em 2010, então eu tinha alguma consciência sobre isso. Depois, deixei a RSA e me juntei a uma empresa que estava lançando o que hoje chamamos de solução de acesso à rede zero trust. 

Nesse espaço, fui exposto ao conceito de zero trust e percebi que isso é realmente interessante. Está pegando tudo o que fiz em torno de gerenciamento de identidade, governança de identidade e melhores práticas e aplicando em um nível de rede real. 

No mundo do gerenciamento de identidade, você precisa garantir que entende quem deve ter acesso a quê. A governança de identidade faz coisas de uma perspectiva de processo de negócios, garantindo que as pessoas estejam nos grupos certos e aplicando a segregação de funções. No entanto, nunca houve uma aplicação rigorosa.

Então, entramos no mundo do zero trust e reconhecemos que você precisa aplicá-lo na camada de rede também, porque há tantas vulnerabilidades e tanto na superfície de ataque que pode ser explorado que você precisa dessas políticas conscientes de identidade e contextualmente conscientes para serem aplicadas no nível de processo, no nível de identidade, no nível de aplicação e no nível de rede.

Geoffrey Burke: Ransomware deve ter aumentado significativamente a necessidade de Zero Trust na indústria. Um dos princípios fundamentais do zero trust é assumir uma violação. Você acha que os profissionais de TI aceitaram esse conceito?

Jason Garbis: Sim, eu acho. Todos nós podemos olhar para a prevalência, danos e frequência desses grandes ataques de ransomware e entender o quão desafiador é nosso cenário de ameaças. A premissa de assumir uma violação, segmentar sua rede e aplicar o princípio do menor privilégio é um ótimo antídoto para ransomware e garantir que você dificulte a vida dos atacantes.

Assumir Violação

Geoffrey Burke: Um dos desafios com Zero Trust e a ideia de assumir uma violação é que você está essencialmente dizendo que seu sistema foi invadido antes do fato. Alguns gerentes podem não gostar desse tipo de visão pessimista.

Jason Garbis: Você levanta um ponto interessante, e essa é uma das razões pelas quais precisamos de zero trust. Quando você conversa com equipes de rede empresarial e ouve o que elas tiveram que fazer, tem sido muito difícil porque elas não tinham as ferramentas de segurança ou o vocabulário para aplicar políticas de acesso reais. As equipes de rede tiveram que mudar seu foco. Seus objetivos no passado foram principalmente construir redes confiáveis, rápidas e resilientes, mas elas não tiveram a capacidade de aplicar a segurança à qual a rede está vinculada. Coisas como identidade e contexto. Antes, era como se não soubéssemos nada sobre a aplicação. Não sabemos nada sobre o usuário, e se nosso usuário for malicioso, adivinha? Seus pacotes maliciosos chegarão lá tão confiavelmente e rapidamente quanto os de todos os outros. 

Zero Trust agora lhe dá a chance de se afastar disso e dizer que sabemos qual identidade está neste dispositivo, e vamos permitir ou negar esses pacotes com base na política.

Geoffrey Burke: É verdade que hoje as equipes de proteção de dados e segurança precisam trabalhar juntas mais do que nunca devido à ampla variedade de ameaças?

Jason Garbis: Sim, absolutamente. Você levantou um ponto importante: a necessidade de as equipes de segurança e as equipes de backup e recuperação de dados trabalharem juntas e reconhecerem que, primeiro, tudo o que fazemos em nossa empresa agora está digitalizado. Tudo depende disso, e, portanto, tudo é um alvo e precisa ser protegido. Não é certo tratar o sistema de dados, backup e recuperação como apenas mais uma aplicação, porque não é. É um enorme alvo para os atacantes. Também é um paraquedas de emergência.

Se você for atacado e investiu todo esse dinheiro em sistemas de recuperação de backup, você quer garantir que eles ainda estejam disponíveis em uma emergência e que os backups tenham sido validados como recuperáveis regularmente por meio de testes de DR.

Utilizando Estratégias de Zero Trust

Geoffrey Burke: Quais estratégias você daria para pessoas tentando alcançar o acima? 

Jason Garbis: Essa é uma conversa que poderia durar uma hora. Eu vi algumas situações realmente ruins onde você enfrenta resistência das pessoas que não são de segurança na empresa. Existem muitas maneiras ruins de fazer as coisas, mas também há muitas boas maneiras de fazer as coisas. Há um equilíbrio claro entre a cenoura e o bastão em termos de motivar ou forçar as pessoas a seguir esses procedimentos.

Sabemos que sair como uma equipe de segurança e metaforicamente bater nas pessoas com um bastão e dizer: "Não, você tem que fazer isso", não é uma ótima maneira de aplicar as coisas, mas às vezes você precisa ter elementos disso.

Olhamos para o que nossas empresas estão fazendo hoje. Não acho que ninguém vai reivindicar vitória e dizer que estamos indo muito bem. Estamos em um ambiente adversarial. Nós, como sociedade, dominamos tantas coisas técnicas, como engenharia elétrica, transporte, comunicação e medicina.

Em todas essas áreas, fizemos avanços fenomenais, no entanto, realmente falhamos em segurança de forma objetiva.

Temos adversários que são tão inovadores, bem financiados e maliciosos e que acompanham nossos investimentos em contramedidas. Portanto, as equipes de segurança precisam reconhecer que têm a responsabilidade de melhorar a segurança de sua empresa, e as pessoas terão que aceitar mudanças nesse aspecto.

Precisamos crescer como indústria, e as equipes de segurança devem reconhecer que você simplesmente precisa fazer o básico corretamente. Você não pode ter pessoas implantando servidores ou serviços em sua rede dos quais você não está ciente e que não estão classificados da maneira correta.

Isso simplesmente não é aceitável.

Da mesma forma, os usuários não podem simplesmente conectar dispositivos aleatórios à rede e acessar coisas. A boa notícia é que, com o conjunto moderno de tecnologias relacionadas à segurança, podemos melhorar a experiência do usuário e a segurança. Podemos adotar autenticação biométrica, autenticação sem senha e outras medidas. Uma iniciativa de zero trust pode trazer valor para os negócios de várias maneiras, e a abordagem certa é usar um pouco de bastão e muitas cenouras.

Geoffrey Burke: Não possuímos necessariamente tudo em nossos ambientes. Pegue a cadeia de suprimentos, por exemplo. A indústria de TI está levando isso a sério e consegue aplicar os princípios de zero trust em lugares como esse?

Jason Garbis: Sim, e há uma iniciativa significativa, especialmente no governo, em torno de S bombs, materiais de fatura de software e compreensão de onde isso vem. Se você ler algumas das orientações da NSA sobre zero trust em relação a dispositivos, eles se aprofundam nisso, como você pode imaginar.

  • Perguntas como de onde vem esse hardware?
  • Como você sabe que esse hardware não foi adulterado?
  • Você tem algum componente malicioso embutido lá?

Pegue, por exemplo, o que aconteceu recentemente. Felizmente, uma biblioteca de código aberto com código malicioso embutido foi capturada antes de ser lançada. Se eu fosse um ator malicioso, eu seguiria uma avenida realmente interessante: me embutir em um projeto de código aberto, contribuir por alguns anos e, em seguida, colocar código malicioso no projeto. 

Então, quero finalizar o último ponto, você sabe, a violação assumida, que eu acho que é óbvio aqui. Você não vai conseguir validar cada pedaço de código aberto que está em seu ambiente. Há um nível de confiança que você precisa ter na comunidade, e claramente, você deve fazer isso para a varredura do código-fonte de seus aplicativos personalizados, você sabe, dinâmico e estático e coisas assim, mas. 

Você também quer chegar a um ponto onde não há diferença entre o que você espera que uma aplicação ou sistema faça na rede e o que realmente faz.

Geoffrey Burke: Esse é um bom ponto. Eu ia te perguntar também sobre o futuro porque estive na Conferência de Segurança de Winnipeg em abril, e o grande palestrante convidado deles foi Mike Rogers, Almirante Mike Rogers, ex-chefe do que mais te assusta? O que te mantém acordado à noite? Ele me surpreendeu ao dizer que nos próximos três anos, será uma combinação de IA e computação quântica. Você sabe, eu estava pensando em 10-15 anos.

Jason Garbis: Vou começar falando sobre o mais fácil: não estou muito preocupado com a computação quântica agora. Embora haja claramente um conjunto de fornecedores e pesquisadores que estão altamente interessados nisso, eles não estão investindo em quântica ou agilidade criptográfica neste momento. Eles querem estar cientes disso, mas não estão prontos. Quando chegar a hora, eles poderão contar com suas bibliotecas ou fornecedores para atualizar algoritmos à prova de quântica.

Não trabalho na comunidade de inteligência, mas no setor privado comercial e até mesmo para agências federais não relacionadas ao DoD. Reconhecemos que isso está chegando, mas eles não estão fazendo coisas proativamente, como mudar para diferentes algoritmos. Portanto, não estou muito preocupado com isso. Isso vai acontecer, e haverá muito trabalho. Será, você sabe, como o problema do Y2K multiplicado por dez.

Esse é um ótimo exemplo de quando a indústria investiu muito trabalho nisso, e se tornou um não problema quando a mudança do milênio chegou por causa de todos os investimentos e trabalho. Acho que veremos a mesma coisa com a computação quântica.

A IA, eu acredito, é um problema muito maior. Não é tanto de um ângulo de segurança direta porque a IA não é criativa. Ela não criará uma nova maneira de atacar, mas permitirá que você amplifique o conjunto atual de métodos de ataque em 100, 1000 ou 1.000.000. As organizações precisam estar preparadas para isso, mas eu diria que o problema mais difícil vem de deepfakes e da incapacidade de distinguir uma interação com alguém ou algo.

Todos nós vimos isso como real versus falso, onde você tem entidades geradas por IA em uma chamada Zoom como esta. Quero dizer, como você sabe que eu sou real e não gerado por IA?

O Futuro do Zero Trust

Geoffrey Burke: Você vê o zero trust evoluindo ainda mais? O que você vê no futuro a esse respeito?

Jason Garbis: Existem algumas perspectivas aqui. Claramente, um sistema de IA precisa ser protegido da maneira certa, assim como qualquer aplicação valiosa que você queira aplicar aos seus princípios de confiança.

A noção de contexto não chegou a nenhuma aplicação, muito menos a aplicações de IA, então não podemos dizer que estamos indo para o modelo de IA, e ele vai retornar informações potencialmente diferentes para você com base em atributos sobre você. Não estamos nesse ponto na indústria.

Acho que há uma necessidade disso em geral, que é a capacidade de qualquer aplicação, seja IA ou uma aplicação padrão, estar ciente e consumir o contexto de zero trust e tomar decisões com base nisso.

Um exemplo realmente simples é a localização geográfica. Temos uma aplicação que contém dados. Você pode acessá-la dependendo de onde está, com base em regulamentos de proteção de dados ou privacidade. É um tipo de coisa realmente básica, mas é mais difícil do que você pensa garantir que ainda possamos ser produtivos porque depende de dados ou metadados adequados.

Geoffrey Burke: Digamos que eu sou completamente novo em Zero Trust. Vejo que a Veeam e a Numberline desenvolveram essa nova prática de Resiliência de Dados Zero Trust.

Como isso surgiu? O que é ZTDR em poucas palavras? Como aplicamos isso?

Jason Garbis: Olhamos para o estado da indústria, em particular, o modelo de maturidade de zero trust. Mencionei os pilares que ele abrange, incluindo dispositivos de identidade, redes, cargas de trabalho de aplicação e dados. No entanto, existem lacunas em áreas onde esse modelo é silencioso. Em particular, ele não menciona nada sobre backup e recuperação de dados. Queríamos fornecer alguma orientação e liderança de pensamento sobre esse tópico. Como as pessoas devem aplicar os princípios de zero trust aos domínios de dados, backup e recuperação? Criamos esse conceito chamado Resiliência de Dados Zero Trust. 

Estamos estendendo o modelo de Zero Trust e fornecendo conceitos e um caminho de maturidade dentro desse domínio.

Resiliência de Dados Zero Trust é construída sobre três conceitos principais: 

  1. Primeiro, siga o princípio de segmentação e separação do Zero Trust: Você deve separar seu software de backup do seu armazenamento de backup. Eles precisam estar geograficamente isolados e ter diferentes pontos de controle. No modelo de violação assumida, se um desses componentes for violado, você quer garantir que o outro não seja.
  2. O segundo princípio é habilitar múltiplas zonas resilientes. Todos nós estamos familiarizados com o conceito 3-2-1, e isso o estende dizendo que você precisa garantir que esses backups estejam em locais geograficamente distribuídos.
  3. Então, o terceiro item é a imutabilidade. Os dados de backup precisam ser imutáveis e suportados pela plataforma certa para que você esteja protegido mesmo no caso de uma violação por alguém que possa deletar esses dados de backup. Então, esses são os três conceitos principais, e depois formalizamos isso um pouco definindo algumas capacidades adicionais. 

Por exemplo, modelar como seu sistema de backup e recuperação acessa as fontes de dados que fazem backup da empresa, garantindo que os sistemas de produção sejam monitorados, e o sistema de monitoramento também precisa ser protegido por políticas de zero trust. Da mesma forma, o acesso ao armazenamento de backup, tanto para leitura quanto para gravação, deve ser protegido por políticas de zero trust para que apenas as entidades certas (o software de backup) possam ler e gravar.

Backup acesso de administração, como qualquer sistema privilegiado, precisa ser cuidadosamente controlado e uma autenticação forte aplicada.

Você garante que mesmo quando sua pessoa principal estiver, você sabe, de férias ou ausente, alguém saiba como seguir o runbook com sucesso. Esses tipos de coisas compõem todo esse conceito de resiliência de dados zero trust. Portanto, nós apresentamos isso à indústria, e isso fornece um roteiro para fazer isso. Também permite que as equipes de backup e recuperação tenham conversas informadas com a equipe de segurança sobre a adição de Proteção de Dados às iniciativas gerais de Zero Trust.

O Que Vem a Seguir?

Geoffrey Burke: Como pergunta final, quais são seus planos para o futuro? Você se vê escrevendo outro livro. Você já escreveu dois livros, pelo menos sobre zero trust, certo?

Jason Garbis: Sim, estou. Passei muito do meu tempo trabalhando com empresas em sua estratégia e arquitetura de zero trust. Ou seja, realmente gosto de fazer isso. Aprendi algo com cada engajamento, e à medida que faço isso, continuo refinando o modelo, a abordagem e a metodologia em torno disso. Então, isso é algo que quero continuar fazendo, ajudando empresas e aperfeiçoando e melhorando esse modelo. Isso é algo que se torna mais maduro, e estarei compartilhando isso com a comunidade em geral. 

Estou nos estágios iniciais de pensar sobre como seria uma segunda edição do livro, com um escopo expandido e um real ênfase nisso. Criando e fornecendo orientações práticas sobre como você aplica esse modelo de maturidade. Como você cria um roteiro? Como você mapeia as capacidades em sua plataforma para o objetivo final? Qual é a definição e a aplicação dessas políticas de acesso?

Geoffrey Burke: Como você se mantém na linha de frente enquanto também trabalha como educador? Sempre há um dilema: se você se torna um professor, você se torna mais um teórico. Você não está no campo lutando, então começa a sentir uma espécie de separação. Você ainda está se envolvendo no nível de trabalho, como no nível de trincheira de zero trust, além de escrever os livros?

Jason Garbis: Sim, e não há substituto para o trabalho realmente árduo de estar no local com um cliente e uma empresa, conduzindo um workshop de dois dias e entrevistando dezenas de pessoas para entender.

  • Como eles estão fazendo gerenciamento de identidade?
  • Como estão gerenciando suas redes?
  • Como é a estratégia de proteção de dados ou segurança de dados deles?

É um trabalho árduo, mas também é revigorante aprender sobre isso porque, como eu disse, aprendi algo com cada um deles. Eu compartilho isso e reflito sobre isso com cada empresa com a qual trabalho no futuro.

Notícias do produto

Ao enviar este formulário, confirmo que li e concordo com o Política de Privacidade

Você também pode gostar