John Kindervag fala sobre o que ainda falta aos líderes de segurança sobre Zero Trust

John Kindervag não se propôs a criar um movimento. Ele só achou que o firewall era idiota.

Naquela época, os firewalls específicos com os quais ele trabalhava atribuíam níveis de confiança a cada interface. Se você estivesse indo do lado “confiável” da rede para o lado “não confiável”, nem precisaria de uma regra.  

John, então testador de penetração, sabia exatamente o quão perigoso isso era. E quando ele falou, ele foi criticado pelo cliente, sua empresa e o fornecedor do firewall.

Mas ele não conseguia se livrar da ideia: por que estávamos construindo redes com base em algo tão vago (e francamente, sem sentido) quanto “confiança”?

Essa pergunta lançou o que hoje chamamos de Zero Trust. E décadas depois, John, agora evangelista-chefe da Illumio, ainda está derrubando suposições ultrapassadas e pressionando o setor de segurança cibernética a pensar de forma diferente.

In this blog post, we’ll break down the wisdom from John's recent conversation with Dr. Chase Cunningham on the No Trust podcast, From Theory to Practice: The Zero Trust Journey with John Kindervag and Dr. Chase Cunningham, where he shared the key Zero Trust principles he sees security leaders still missing.  

Chega de centros mastigáveis: o nascimento do Zero Trust

Quando John ingressou na Forrester, ele finalmente teve espaço para explorar essa grande ideia, e o treinamento de analistas da empresa a incentivou.

“Eles escreveram a descrição do nosso trabalho no quadro branco”, disse ele. “'Pense em grandes pensamentos'. Então eu disse: quero estudar a confiança em sistemas digitais.”

That led to two years of primary research, including conversations with the Jericho Forum (who originally opposed Zero Trust), prototype architectures, and endless poking from industry experts trying to break the concept.

Mas ninguém poderia.

Eventually, John published his groundbreaking paper, No More Chewy Centers, introducing Zero Trust. A follow-up paper, Build Security Into Your Network’s DNA: The Zero Trust Network Architecture, laid out a vision that emphasized segmentation, a concept John has long seen as core to Zero Trust.

“Para proteger uma superfície, você precisa de segmentação”, disse ele. “É por isso que estou na Illumio agora.”

O iceberg da visibilidade

If Zero Trust feels like it suddenly burst onto the scene a few years ago, John says you’re just seeing the tip of the iceberg.

“As pessoas acham que foi reacendido em 2021, mas sempre esteve lá”, explicou. “Você simplesmente não tinha visibilidade.”

He points to the 2013 Target breach and the 2015 OPM breach as critical moments that put Zero Trust on the radar of U.S. government agencies.  

Nos bastidores, a adoção começou a crescer como uma bola de neve, especialmente nos círculos federais. Mas as empresas estavam nervosas em admitir isso.

“Quando pedi para fazer estudos de caso, as equipes jurídica e de relações públicas disseram que não”, disse ele. “'Não queremos que as pessoas saibam que estamos fazendo o Zero Trust. Isso pode nos tornar um alvo. '”

That all changed with President Biden’s 2021 executive order mandating Zero Trust for federal agencies. Suddenly, what had been a quiet movement gained public momentum.

“Eu não sigo mais as ameaças”

Uma das crenças mais contra-intuitivas de John é que ele não rastreia ameaças.

“I don’t study the latest malware or attack campaigns,” he said. “Because in a well-designed Zero Trust environment, they don’t matter.”

Por quê? Porque a Zero Trust presume que as violações são inevitáveis e cria controles para proteger o que importa, em vez de perseguir todos os alertas.

“Não há nenhuma política em um ambiente Zero Trust que permita que um recurso desconhecido da Internet coloque uma carga desconhecida em seu Protect Surface”, explicou ele.

Eu não estudo as campanhas mais recentes de malware ou ataque porque, em um ambiente Zero Trust bem projetado, elas não importam.

Os protocolos usados pelos atacantes não mudaram. E os mesmos vetores básicos de ataque, como links de phishing ou senhas incorretas, ainda dominam.

“Os atacantes ainda estão usando as mesmas ferramentas de 20 anos atrás”, disse ele. “Esse não é o mundo cinético. No mundo cibernético, eles ainda estão presos nos mesmos trilhos TCP/IP.”

Em vez de buscar informações sobre ameaças, John se concentra em políticas aplicáveis e em superfícies protegidas.

Zero Trust não significa necessariamente reagir mais rápido. Trata-se, em primeiro lugar, de remover as opções do atacante.

Esqueça os pilares: siga o modelo de 5 etapas do Zero Trust

Uma razão pela qual tantos esforços do Zero Trust estagnam é porque as organizações tentam seguir estruturas rígidas cheias de palavras-chave e pilares. John diz que é hora de simplificar.

“Eu uso o modelo de cinco etapas. Sempre. Comece com a superfície protegida, não com uma lista de produtos”, ele incentivou.

The five steps, outlined in government publications like the NSTAC Report to the President on Zero Trust and Trusted Identity Management, include:

1. Defina a superfície de proteção
2. Mapeie fluxos de transação
3. Crie uma arquitetura Zero Trust
4. Crie uma política
5. Monitore e mantenha

John adverte contra tentar enfrentar o Zero Trust de uma só vez ou pensar que é uma jornada de maturidade linear.

“As pessoas pensam: 'Primeiro faremos toda a identidade, depois os dispositivos e depois a rede'”, disse ele. “Você nunca conseguirá nada dessa maneira.”

Em vez disso, ele recomenda que as equipes dividam o projeto em superfícies protegidas, que são partes pequenas e de alto valor da sua rede que podem ser protegidas de ponta a ponta.

E sempre comece com a pergunta mais importante: O que estamos protegendo?

Zero Trust é um imperativo de liderança

Quando perguntado sobre como manter o ritmo do Zero Trust, John ofereceu uma verdade simples: “Consiga a adesão da liderança. Tudo muda quando eles estão a bordo.”

É isso que transforma incentivos desalinhados em alinhamento.

“Muitas pessoas me disseram: 'Nunca faremos o Zero Trust aqui'. E então o CEO diz que estamos fazendo isso e, de repente, está acontecendo.”

A única maneira de mudar a mentalidade das compras de segurança de curto prazo para a estratégia de longo prazo? Faça disso uma prioridade de liderança.

“A cibersegurança não é um item orçamentário trimestral”, disse John. “É a coisa que administra sua empresa.” Ou, como ele disse sem rodeios, “Se o computador cair, os aviões não voam”.

A cibersegurança não é um item do orçamento trimestral. É a coisa que administra seu negócio.

Zero Trust: não está na moda nem é opcional

O Zero Trust se tornou popular. Você vê isso em mandatos governamentais, campanhas de fornecedores e whitepapers chamativos. Mas a maior parte não compreende.

O que John Kindervag está compartilhando há quase 20 anos não é uma proposta de produto ou uma estrutura de marketing. É uma mudança de mentalidade. Uma que força as organizações a pararem de reagir e começarem a arquitetar. Um que esteja enraizado na estratégia real, não nos gastos baseados no medo.

Em um mundo de ataques constantes, ferramentas sobrepostas e pressão para agir rapidamente, a voz de John é fundamental. Isso nos lembra que a cibersegurança não se trata de seguir tendências — trata-se de proteger o que é mais importante.

É exatamente por isso que o Zero Trust não é mais opcional. É antifragilidade operacional, por design.

Quer ouvir mais podcasts de líderes do Zero Trust, como John? Assine nosso podcast premiado O segmento: um podcast de liderança Zero Trust.