Entrevista com Paul Martini – iboss

Aviva Zacks

Publicado em: 11 de julho de 2022

Aviva Zacks de Detetives de Segurança entrevistei recentemente Paul Martini, CEO e cofundador da iboss. Ela perguntou a ele como sua empresa está fornecendo segurança de rede.

Detetives de segurança: O que motivou você e seu irmão Peter a fundar o iboss?

Paulo Martini: Eu trabalhava em uma empresa chamada Copper Mountain Networks. Isso foi no início da banda larga e de coisas como conectividade de alta velocidade. Na época, no início dos anos 90, todo mundo trabalhava em um computador desktop que ficava embaixo da mesa. Portanto, todas as estratégias de segurança foram baseadas numa estratégia de castelo e fosso, onde basicamente se protege a fortaleza.

Como todos os funcionários trabalhavam no escritório, toda a segurança foi aplicada ali. Existem muitas tecnologias diferentes de segurança cibernética, mas a segurança de rede é aplicada especificamente quando os dados são transferidos do seu laptop ou desktop para algum destino, onde funciona como um ponto de verificação de segurança do aeroporto.

A segurança da rede abre a bagagem e procura malware, ransomware ou perda de dados. Você tem firewalls, proxies e todo esse equipamento que foi instalado no escritório para garantir que, conforme os dados entrassem e saíssem do escritório, eles fossem inspecionados e protegidos contra malware.

Quando você olha para aquela época, começamos a ver a largura de banda e a conectividade aumentando com o advento dos smartphones Blackberry e das pessoas que os usavam como computador para enviar e-mail. A verdadeira questão era: o que aconteceria quando o telefone em sua mão se tornasse seu computador?

SD: O que nos leva até hoje, certo?

PM: Certo. iPhones e laptops são tão poderosos agora que ninguém mais tem um desktop. Mas uma vez que isso ocorresse, você não poderia forçar alguém a permanecer no castelo. A segurança precisa acompanhar o usuário onde quer que ele trabalhe. E então, como você aplicaria as funções de segurança de rede, para garantir que ransomware ou malware não cheguem a esses dispositivos ou proteger contra perda de dados. Você não deveria perder dados ao trabalhar remotamente. Então essa era mesmo a tese da empresa que estava migrando a segurança para a nuvem.

Vivemos na era da nuvem, mas migrar a segurança de um modelo de segurança baseado em perímetro com limites físicos fixos para um serviço como o Netflix é um desafio. À medida que os usuários vão de um lugar para outro, o usuário se torna o escritório e o trabalho é realizado em seu laptop ou telefone.

Todos os dados que são transferidos de e para esses dispositivos à medida que os usuários interagem com aplicativos e dados em nuvem. Em vez de ficar protegido apenas pela segurança enquanto você está no escritório ou quando envia os dados de volta para o escritório, você pode simplesmente conectar-se ao que precisar, e a segurança é executada onde os aplicativos são executados na nuvem.

SD: Que tipo de impacto o COVID teve em tudo isso?

PM: COVID basicamente acelerou essa transformação. Vimos que isso era inevitável. Os problemas que descrevi até agora aconteceriam de qualquer maneira, porque sabíamos que a largura de banda continuaria aumentando. Sabíamos que a mobilidade continuaria aumentando. E sabíamos que os próprios dispositivos seriam móveis.

Hoje, é mais difícil encontrar um computador desktop. A maioria das pessoas faz a maior parte do trabalho na palma da mão ou em um laptop. Assim, com a chegada da COVID agora, vemos que o futuro do trabalho é, na melhor das hipóteses, híbrido, mas muitas organizações fecharam os seus escritórios para sempre. Muitos usuários trabalham em qualquer lugar e em tempo integral.

SD: Como o seu software protege os usuários?

PM: O que imaginamos realmente deu uma volta completa, que é um serviço de segurança em nuvem baseado em SaaS que permite aos usuários trabalhar de onde quer que trabalhem, mas também se conectar diretamente a qualquer aplicativo de que necessitem.

Esses recursos podem estar no escritório ou na nuvem, isso realmente não importa. Eles chamam isso de serviço Zero Trust. E o serviço Zero Trust é responsável por conectar o usuário aos aplicativos e também por garantir que os dados sejam protegidos à medida que se movem entre esse usuário no aplicativo, para que estejam livres de malware e evitem a perda de dados. Além disso, Zero Trust garante que todos os aplicativos e dados sejam completamente privados e acessíveis apenas aos funcionários que deveriam ter acesso a eles, rejeitando automaticamente todos os outros.

Acho que o NIST 800-207, que é o padrão que o governo está adotando para o Zero Trust, é para onde tudo isso está caminhando. O governo está caminhando em direção a essa ideia de que todas as aplicações são privadas. Como resultado, não há nenhum aplicativo, seja na nuvem ou no escritório, que você possa acessar, a menos que seja um usuário confiável.

Basicamente, colocamos nosso serviço na frente dos aplicativos do governo ou da empresa, tornando-os privados, como se fosse um posto de controle de segurança de aeroporto na frente dos aplicativos que foi projetado para proteger.

Permitimos apenas os poucos funcionários que deveriam ter acesso a esses aplicativos e interagir com eles. Se o aplicativo se tornar vulnerável, não será uma simulação de incêndio. E você não terá hackers da Rússia ou de outros lugares chegando à porta de entrada desses aplicativos, para começar.

SD: Qual é o principal produto da sua empresa?

PM: Chama-se iboss Zero Trust Edge. A Netflix não inventou o filme; eles mudaram a maneira como você assiste, transmitindo da nuvem.

O que estamos fazendo é a mesma coisa, exceto que não é com filmes – é segurança cibernética para toda a conectividade. Em vez do leitor de DVD, que equivale a todos os equipamentos de segurança cibernética legados, incluindo firewalls e equipamentos que protegem apenas fisicamente o escritório, substituímo-lo por um serviço de segurança global que transfere a segurança para a nuvem. Mudamos isso para um serviço baseado em SaaS que transmite a segurança para o usuário onde quer que ele esteja. Tudo o que eles conectam é sempre seguro. As conexões passam por nosso serviço, onde inspecionamos malware, ransomware, prevenção contra perda de dados e conformidade.

SD: Como sua empresa se mantém competitiva em um mundo repleto de empresas de segurança cibernética?

PM: Acho que a defesa em profundidade, ter múltiplas camadas de segurança é muito importante. Mas existem alguns componentes básicos de segurança que toda empresa precisa e que todo usuário precisa.

Por exemplo, o antivírus de desktop verifica seu disco rígido para garantir que não haja vírus no computador. Eu sinto que isso é um grampo. Mas, eventualmente, os dados sairão do seu computador ou chegarão ao seu computador pela Internet ou por um escritório. E essa é a segurança da rede, que é onde sentamos e sentimos que é outro elemento básico da segurança. No entanto, em vez de fazer isso com equipamentos de segurança de rede, estamos fazendo isso como um serviço SaaS, de forma automática e em escala.

E há coisas como redes privadas virtuais (VPNs). Você ativa uma VPN para se conectar ao escritório. Então você desliga quando terminar. Isso é fundamental porque, como funcionário que trabalha para uma empresa, você não pode fazer seu trabalho se houver alguns aplicativos no escritório e não conseguir se conectar a eles. Com nosso serviço, conectamos automaticamente os funcionários a qualquer aplicativo, inclusive aqueles no escritório, sem a necessidade de uma VPN separada. O serviço cuida da segurança e da conectividade de tudo.

Assim, resolvemos as coisas sobre as quais acabei de falar – eliminando a necessidade de dispositivos de segurança de rede, eliminando a necessidade de VPNs e garantindo que os usuários obtenham uma experiência consistente e excelente à medida que interagem com os dados e aplicativos de que precisam, fornecendo segurança em a nuvem. Em vez de ativar uma VPN para conectar-se ao escritório para aplicativos, nosso serviço Zero Trust está sempre ativado.

Se estou no meu laptop e abro diferentes aplicativos, alguns deles podem estar na Internet e outros no escritório. Mas nunca vou ativar uma VPN para fazer isso. Conseguimos reduzir os custos relacionados à compra dessas VPNs e, então, melhorar a experiência do usuário final.

O outro problema com VPNs é que os usuários normalmente enfrentam conexões muito lentas ao usá-las. Ter um serviço que está sempre em execução e que fornece conexões ultrarrápidas, ao mesmo tempo que elimina a necessidade de ativar ou desativar uma VPN, melhora a experiência do usuário.

Além disso, como conectamos os usuários a esses aplicativos, estejam eles no escritório ou na nuvem, podemos executar todas as funções de segurança, abrir as cargas e procurar coisas como ransomware e malware também. como tornar esses aplicativos privados.

No final das contas, o orçamento necessário para a transformação digital que as organizações procuram pode vir da eliminação deste equipamento e tecnologia legados. Nossa tecnologia Zero Trust realmente economiza dinheiro para as empresas porque elimina os orçamentos das empresas para VPNs, proxies e equipamentos de firewall. E utilizando o nosso serviço, as empresas ainda obtêm mais resultados, mesmo no caso de pessoal limitado devido à escassez que tem sido um problema em mercados de trabalho qualificados, como redes e segurança de redes.

Muitas empresas não podem se dar ao luxo de ter essas pessoas e não conseguem encontrá-las. É mais fácil eliminar a complexidade da estratégia legada de segurança de castelo e fosso fazendo a transição para um serviço de segurança SaaS. Assim como o Netflix, você não precisa mais de um especialista em áudio e vídeo para configurar todo o seu sistema de som e DVD players. Então, é mais econômico.

Ao implementar um serviço como o iboss, começamos primeiro pelos recursos, pelas aplicações mais críticas e vulneráveis. Mesmo que os usuários possam se conectar a esses aplicativos, começamos nos colocando diante dos aplicativos da empresa para garantir que sejam totalmente privados.

Se você olhar um relatório da CISA, a Agência de Segurança Cibernética e de Infraestrutura, que realizou um estudo dos incidentes de ransomware em 2021. Eles fizeram parceria com todas as agências americanas, como o FBI e a NSA, bem como o Reino Unido e a Austrália. Foi um grande esforço conjunto. O que eles descobriram foi que os três principais vetores de infecção iniciais de ransomware em 2021 foram phishing, credenciais roubadas e vulnerabilidades de software. Assim, por exemplo, em alguns casos em que o software se torna vulnerável e deveria solicitar autenticação, como solicitar seu nome de usuário e senha, isso não acontece. Ele não solicita credenciais porque é vulnerável e apenas permite que você entre. E isso é um problema, obviamente.

Portanto, os três principais vetores de infecção iniciais são phishing, credenciais roubadas e vulnerabilidades de software. Mas a causa raiz, se você pensar nesses três principais, é, para começar, o acesso não autorizado ao software.

Porque se o software se tornar vulnerável, porque é que a Rússia e a China podem tirar vantagem disso? Eles não deveriam conseguir se conectar a esse aplicativo para aproveitar a vulnerabilidade. Se eles roubarem um conjunto de credenciais, como poderão se conectar ao serviço ou aplicativo e usar essas credenciais?

Se você pensar na maneira como trabalhávamos, o motivo pelo qual houve menos violações e ransomware foi que todos os aplicativos estavam dentro de um escritório físico. Mesmo que existam vulnerabilidades ou que alguém tenha roubado sua senha, como eles vão usá-la, a menos que invadam o escritório para inseri-la no servidor, certo?

Hoje, esse perímetro desapareceu. Portanto, todos esses aplicativos estão sendo executados na nuvem. Os invasores sabem disso, então apenas esperam que essas vulnerabilidades apareçam. Eles podem ficar na Rússia, na China e em outros lugares e usar isso para se conectar ao aplicativo. Eles não precisam entrar em um escritório físico e aproveitar as credenciais roubadas ou a vulnerabilidade, ou mesmo tirar vantagem do phishing. Você clica no link, eles pegam ransomware no seu laptop e isso se espalha imediatamente.

É por isso que o NIST, que é o Instituto Nacional de Padrões e Tecnologia, lançou uma estrutura chamada arquitetura Zero Trust. Está sob um documento denominado 800-207, que é referenciado na recente Ordem Executiva. O objetivo da Arquitetura Zero Trust apresentada na estrutura do NIST é focar no cerne da questão, que é impedir o acesso não autorizado a dados e serviços.

Esse é o cerne do Zero Trust, de acordo com o NIST. E esse é realmente o cerne do Zero Trust de acordo com o que oferecemos. Nosso objetivo, na verdade, quando você procura uma abordagem para reduzir substancialmente as violações e os riscos, é impedir o acesso não autorizado a aplicativos e dados, estejam eles na nuvem ou executados no escritório. Essa é a primeira coisa, eu diria, para reduzir o risco de obter ransomware cryptolocker ou de ter seus dados colocados no WikiLeaks. Para começar, você está resolvendo a causa raiz de como eles entram.

Então, começamos colocando o serviço iboss Zero Trust na frente desses aplicativos, e eles se tornaram privados. Então, permitimos a entrada dos usuários apenas quando sabemos que eles são funcionários e fazem parte da organização. Não é diferente de um posto de controle de segurança de aeroporto que permite que os passageiros embarquem no avião apenas depois de verificarem sua identidade, sua passagem e suas malas e, em seguida, deixá-los cruzar o posto de controle. É o mesmo conceito que usam em um aeroporto para proteger aviões, só que fazemos isso com aplicativos e dados.

Então, para responder à pergunta e voltar atrás, este é um componente fundamental. Toda organização precisa abandonar qualquer coisa relacionada a tipos de abordagens de segurança baseadas em perímetro. Eles gastarão menos em equipamentos de firewall e proxy e menos em VPNs. O objetivo é conectar os usuários a tudo o que eles precisam, seja no escritório ou na nuvem.

Olhando para o futuro, todas as empresas serão híbridas. Não são apenas alguns funcionários, provavelmente todos os funcionários terão alguma forma de trabalho remoto e presencial. Sem tecnologia como a nossa, não há como esses funcionários e esse modelo existirem. Não há como o funcionário se conectar aos aplicativos e dados necessários para realizar seu trabalho; eles precisam dos recursos e da segurança disponíveis.

Então, estamos captando orçamentos de diversas áreas. Estamos tornando a segurança de classe mundial mais barata, mais rápida e mais eficiente, para uma melhor experiência do usuário final. E estamos garantindo mais de 150 bilhões de transações por dia. Trabalhamos com as maiores organizações do mundo e protegemos milhões de usuários em todo o mundo.

Vamos proteger todas as empresas porque podemos fornecer esse serviço para empresas de todos os tamanhos. Você não precisa mais ser uma empresa da Fortune 500 ou do governo federal para aproveitar as vantagens desse tipo de tecnologia.