Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação
Brian Piper
Diretor de Defesa do Cliente
Illumio Editorial
3 de junho de 2025
23 minutos. ler

Zero Trust na prática com o criador John Kindervag e o CISO Jared Nussbaum

O que acontece quando a mente por trás do Zero Trust fica cara a cara com alguém que o testa todos os dias?

Foi exatamente isso que a Illumio trouxe para a etapa do RSAC 2025 — uma conversa rara e improvisada entre John Kindervag, criador do Zero Trust e evangelista-chefe da Illumio, e Jared Nussbaum, CISO da Ares Management e um profissional experiente que viveu a jornada do Zero Trust internamente.

John apresentou o modelo há 15 anos. Jared passou décadas ajudando empresas globais a adotá-la, adaptá-la e se recuperar de violações do mundo real. Juntos, eles revelaram onde o Zero Trust começou, como ele evoluiu e o que é preciso para fazê-lo funcionar no cenário atual de ameaças.

Aqui estão seis insights importantes de sua conversa que todo líder de segurança deve levar a sério.

1. Zero Trust é uma estratégia, não um produto

Embora muitos fornecedores tentem apresentar o Zero Trust como uma ferramenta, isso não é preciso. Trata-se de uma mudança estratégica na forma como pensamos sobre a segurança de ambientes digitais.  

Durante a conversa, John foi claro: “Zero Trust é, antes de tudo, uma estratégia. É algo que você faz, não algo que você compra.”  

Jared, falando da perspectiva do CISO, concordou. “Qualquer coisa que me ajude a obter visibilidade e reduzir o risco é uma vitória”, disse ele.  

Mas ele acrescentou que o Zero Trust precisa começar com uma mentalidade e uma estratégia alinhadas aos resultados do negócio. Antes de usar ferramentas ou estruturas, as equipes de segurança precisam entender o que estão protegendo e por quê. Isso garante que os gastos com segurança sejam priorizados adequadamente e possam obter uma forte adesão do conselho.

“O Zero Trust é, antes de tudo, uma estratégia. É algo que você faz, não algo que você compra.”

— John Kindervag, criador do Zero Trust

2. A microssegmentação é fundamental

Para John, a segmentação é fundamental para o conceito de Zero Trust. Na verdade, o segundo relatório já escrito sobre Zero Trust foi um que John escreveu há 15 anos, intitulado "Incorpore a segurança ao DNA da sua rede: a arquitetura de rede Zero Trust".  

No relatório, ele destacou a importância da segmentação e do gerenciamento centralizado como componentes essenciais do Zero Trust. Ele pediu a criação de novas formas de segmentar redes, porque todas elas precisarão ser segmentadas.

Trecho do relatório da Forrester "Incorpore a segurança ao DNA da sua rede: a arquitetura de rede de confiança zero".

Na conversa, John enfatizou que as redes atuais devem ser segmentadas por padrão para evitar que os invasores se movam lateralmente quando obtiverem acesso. “Os atacantes são os donos e você paga as contas”, disse ele. “A segmentação é a base do Zero Trust.”  

Jared ilustrou o impacto de redes não segmentadas com o exemplo da violação de dados da Target em 2013. Os invasores obtiveram acesso por meio de um fornecedor terceirizado de sistemas de climatização e invadiram os sistemas de ponto de venda porque as restrições adequadas não estavam implementadas.  

“A segmentação feita com fortes limites de segurança oferece visibilidade e controle”, disse ele. “Você não pode impedir que todos os atacantes entrem, mas você pode impedir que eles cheguem muito longe.”

3. Comece aos poucos com Zero Trust

Um dos maiores erros que John vê são as equipes tentando implantar o Zero Trust em toda a organização de uma só vez.  

“As pessoas falham na Zero Trust porque tentam fazer tudo de uma vez”, explicou. “Você precisa começar aos poucos — uma superfície protegida por vez.”  

Sua conhecida metodologia de Confiança Zero, baseada em cinco etapas, enfatiza a construção de ambientes personalizados, gerenciáveis e sustentáveis:

  • Defina a superfície de proteção. Identifique o que precisa de proteção, entendendo que a superfície de ataque está em constante evolução.
  • Mapeie os fluxos de transações. Obtenha visibilidade dos fluxos de comunicação e tráfego para determinar onde os controles de segurança são necessários.
  • Arquitete o ambiente Zero Trust. Quando a visibilidade completa for alcançada, implemente controles personalizados para cada superfície de proteção.
  • Crie políticas de segurança Zero Trust. Desenvolva regras granulares que permitam o acesso do tráfego aos recursos dentro da superfície protegida.
  • Monitore e mantenha a rede. Estabeleça um ciclo de feedback por meio da telemetria, melhorando continuamente a segurança e construindo um sistema resiliente e antifrágil.

Nussbaum viu a mesma coisa acontecer nos treinos. “As empresas têm dificuldades com o Zero Trust quando assumem muitas coisas ao mesmo tempo”, disse ele. “Se você começar aos poucos, se alinhar com as partes interessadas da sua empresa e construir de forma incremental, o Zero Trust se tornará alcançável.”  

Ele enfatizou a importância de entender o meio ambiente, definir metas claras e agregar valor com antecedência para criar impulso. Caso contrário, ele avisa que os projetos da Zero Trust podem desmoronar rapidamente e prejudicar a postura de segurança de uma organização.

4. Identidade não é suficiente

Embora a identidade geralmente ocupe o centro das conversas do Zero Trust, John vem desafiando essa noção desde o início. “A identidade é apenas um sinal”, disse ele. “É sempre fungível. Você precisa de mais contexto para tomar boas decisões.”  

Em outras palavras, confiar apenas na identidade introduz riscos. Isso ocorre porque ainda é possível que uma sessão seja invadida ou que uma identidade seja mal utilizada.

Jared reforçou a necessidade de olhar além das credenciais do usuário. “É preciso verificar continuamente o usuário, seu dispositivo, onde ele está trabalhando, o que ele está acessando e se faz sentido”, disse ele.  

Ele ressaltou que também não se trata apenas de pessoas. As comunicações entre cargas de trabalho também devem ser verificadas e controladas. “Sem um contexto completo, você não pode aplicar uma política eficaz.”

Ferramentas de observabilidade de IA, como o Illumio Insights, fornecem o tipo de contexto detalhado que a segurança moderna exige. Elas ajudam você a obter contexto sobre seus ambientes para entender o comportamento, identificar anomalias e avaliar o risco com base em como as coisas deveriam funcionar versus o que realmente está acontecendo.

5. Enquadre o risco cibernético em termos comerciais

John descreveu o Zero Trust como “a grande estratégia da cibersegurança”. Ele apontou sua crescente adoção entre governos e empresas.  

Em particular, ele compartilhou como a estratégia teve repercussão até mesmo entre os líderes do Congresso após a violação de dados do OPM. Foi nesse momento que o modelo Zero Trust foi identificado como capaz de limitar a movimentação de atacantes e proteger a segurança nacional.

Mas, como Jared apontou, falar sobre Zero Trust — ou cibersegurança de forma mais ampla — só importa se você a enquadrar em termos de risco comercial.  

“O risco cibernético contribui para o risco comercial, mas não é o mesmo”, disse ele. “Seu conselho não se importa com o tempo de permanência ou com as cargas de ransomware. Eles se preocupam com o tempo de inatividade, a perda de receita, o impacto no cliente e as consequências regulatórias.”  

Para Jared, traduzir as preocupações com segurança em resultados de negócios é o que gera adesão e torna a segurança bem-sucedida em toda a organização.

“Seu conselho não se importa com o tempo de permanência ou com as cargas de ransomware. Eles se preocupam com o tempo de inatividade, a perda de receita, o impacto no cliente e as consequências regulatórias.”

— Jared Nussbaum, CISO da Ares Management

6. Alinhe o Zero Trust com seu ambiente

Um dos pontos mais importantes de John durante a palestra foi que todo ambiente Zero Trust deve ser construído para se adequar à organização.  

“Cada ambiente é personalizado”, disse ele. “Você não pode simplesmente tirar uma arquitetura de referência da prateleira e esperar que ela funcione. Você precisa projetá-lo com base na sua superfície de proteção e no que a empresa precisa.”

Jared concordou e destacou a importância da colaboração interfuncional.  

“Você não pode fazer Zero Trust em um silo”, explicou ele. “Você precisa trazer equipes de infraestrutura, desenvolvedores de aplicativos, unidades de negócios e até mesmo a diretoria executiva. Se você não se alinhar com suas prioridades e cronogramas, seu programa não terá sucesso.”  

Ele enfatizou o valor da comunicação contínua, pedindo aos líderes de segurança que “socializem seus planos com antecedência e frequência e os adaptem com base no feedback da empresa”.

Incorporando Zero Trust em sua estratégia

John Kindervag e Jared Nussbaum trouxeram perspectivas diferentes para o estágio do RSAC — uma como criadora do Zero Trust e outra como praticante que o aplica diariamente. Mas ambos concordaram com isso: Zero Trust é uma jornada, não um projeto único.

“Você terminará com o Zero Trust quando terminar de respirar”, brincou John. “Essa é uma estratégia para o longo prazo.”

Para líderes de segurança que buscam construir uma base mais resiliente, o Zero Trust oferece um caminho comprovado. Começa com a estratégia, se expande com o alinhamento dos negócios e tem sucesso por meio de visibilidade, contexto e controle.

Saiba mais sobre como mais Clientes da Illumio estão colocando o Zero Trust em ação em suas organizações, ou entre em contato conosco hoje para conversar com um de nossos especialistas em Zero Trust.

Tópicos relacionados

Segmentação Zero Trust

Artigos relacionados

Definindo métricas para gerenciar com sucesso seu plano de implementação do Zero Trust
segmentação

Definindo métricas para gerenciar com sucesso seu plano de implementação do Zero Trust

A mentalidade Zero Trust pressupõe que as defesas perimetrais de uma pessoa foram violadas e as prioridades se concentram em conter o movimento lateral de atores maliciosos. A Illumio publicou o Plano Zero Trust de 3 estágios, que as pessoas usam para planejar e operacionalizar sua jornada Zero Trust.

Leia mais
Refoque na segmentação Zero Trust: coloque a ZTS em primeiro lugar na sua lista de projetos de planejamento fiscal
segmentação

Refoque na segmentação Zero Trust: coloque a ZTS em primeiro lugar na sua lista de projetos de planejamento fiscal

Uma pesquisa do Enterprise Strategy Group (ESG) revela que o Zero Trust cresce como um componente cada vez mais crítico de uma estratégia geral de segmentação do Zero Trust.

Leia mais
Richard Bird, CISO de segurança de API, fala sobre o poder da criatividade cibernética
segmentação

Richard Bird, CISO de segurança de API, fala sobre o poder da criatividade cibernética

Aprenda com Richard Bird, CISO da Traceable AI, sobre o poder transformador da narrativa criativa e a integração do Zero Trust e da segurança da API.

Leia mais
Três etapas que os CISOs devem seguir para provar o valor da cibersegurança
Resiliência cibernética

Três etapas que os CISOs devem seguir para provar o valor da cibersegurança

Aprenda a abordagem de segurança baseada em valores que terá sucesso na sala de reuniões e protegerá sua organização da evolução das ameaças cibernéticas.

Leia mais
John Kindervag compartilha a história de origem da Zero Trust
segmentação

John Kindervag compartilha a história de origem da Zero Trust

Saiba como John Kindervag começou com o Zero Trust, sua pesquisa inicial sobre as melhores práticas do Zero Trust e seus conselhos para organizações em sua jornada com o Zero Trust.

Leia mais
Muito além da visibilidade: como o Illumio Insights conecta seus pontos críticos de segurança
Resiliência cibernética

Muito além da visibilidade: como o Illumio Insights conecta seus pontos críticos de segurança

Saiba por que a observabilidade é fundamental para entender e reduzir o risco cibernético.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais