يشارك مؤسس Zero Trust ، John Kindervag ، أفكاره مع VentureBeat – الجزء الثاني
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
تابع من الجزء الأول
في الجزء الثاني من مقابلة VentureBeat الافتراضية ، يشارك John Kindervag رؤيته حول مدى محورية تجاربه في العمل في Forrester في إنشاء الثقة الصفرية. كما يصف خبراته في المساهمة في مسودة اللجنة الاستشارية للاتصالات الأمنية الوطنية (NSTAC) التابعة للرئيس حول الثقة الصفرية وإدارة الهوية الموثوقة.
وهو ينصح مديري أمن المعلومات والفرق الذين ينفذون تهديدًا لا يثق به واحدًا في كل مرة لرؤية جميع الهويات على أنها هويات للآلة أولاً.
فيما يلي النصف الثاني من مقابلة VentureBeat مع John Kindervag:
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
VentureBeat: كيف يمكن للمؤسسات أن تتبنى عدم الثقة لحماية العدد المتزايد سريعًا من هويات الماكينات؟ كيف يمكن أن تكون المعاملات من آلة إلى آلة أكثر توافقًا مع انعدام الثقة والوصول الأقل امتيازًا؟
كيندرفاج: أجل ، أعتقد أن كل هوية هي هوية آلة. لذلك لا يمكن افتراض هذا التجسيم الذي يقوم به John Kindervag على الشبكة. إنه مجرد تأكيد. لذا فكر في SAML (لغة ترميز تأكيد الأمان). إنه تأكيد على أن الحزم يتم إنشاؤها بواسطة MacBook هذا ، والطرف الآخر لذلك هو قيام John بكتابة أو إنشاء الحزم من خلال كاميرا الويب الخاصة به وميكروفونه. [But] قد لا يكون هذا التأكيد صحيحًا.
ربما أنا أكتب بريدًا إلكترونيًا. يأتي أحدهم ويضع مسدسًا على رأسي ويجعلني أخرج من لوحة المفاتيح ويبدأون في الكتابة. وقلت هذا لشخص ما في وكالة حكومية: “ماذا لو صوب أحدهم مسدسًا إلى رأسي واستولى على لوحة المفاتيح؟ هل يصبحون أنا؟ هل هناك انتقال للهوية لذلك الفرد؟ لأنه فجأة ينهار هذا التجريد “.
في الغرفة التي حدث فيها ذلك
VB: كيف ساعدت تجربة المساهمة في مسودة اللجنة الاستشارية للاتصالات الأمنية الوطنية (NSTAC) التابعة للرئيس حول الثقة الصفرية وإدارة الهوية الموثوقة في تحديد المجالات الحاسمة حيث يمكن للحكومة تحسين وضعها الأمني على عدم الثقة؟
كيندرفاج: حسنًا ، لقد كان شرفًا كبيرًا ، أولاً وقبل كل شيء ، أن يتم التعيين والسؤال ثم التعيين. ما وجدته كان تعاونيًا بشكل مذهل. كان هناك اجتماع واحد على الأقل في الأسبوع لمدة عام ، وربما ، وجلسات إحاطة دورية.
ما كان ممتعًا حقًا هو مقدار الأشياء التي قمت بإنشائها والتي تم تصفيتها ودمجها في تفكير كل هؤلاء الأشخاص الآخرين [and] المنظمات. لذلك لم يكن هناك الكثير من الاختلافات. والأشياء التي كانت مختلفة لم تكن مختلفة بما يكفي لتكون هيكلية ، أو كانت مجرد عدسة مختلفة ننظر إليها. [through].
لذلك ، كما هو الحال في شركة Forrester ، كنا نتحدث عن العدسات وفتحات العدسة. قد يقول شخص ما ، “تحتاج إلى وضع عدسة مختلفة عليها” ، مما يعني النظر إليها من منظور مختلف ، أو “تحتاج إلى توسيع فتحة العدسة أو تضييق فتحة العدسة أو التركيز أو الانسحاب ، والحصول على نقطة أكبر منظر.” ولذا فقد ساعدني ذلك في رؤية ما يراه الآخرون و [which] كانت الأشياء هي القواسم المشتركة ، وكانت تلك الأشياء هي الأشياء التي انتهى بها التقرير.
يحتوي التقرير على مبادئ التصميم الأربعة ونموذج الخطوات الخمس. لديها نسختي من نموذج النضج. لديها نموذج نضج CISA ، والذي يتعلق بالتكنولوجيا التي تكون ناضجة ، وليس السطح المحمي. إذن هذان الشيئان يتكاملان بالفعل. إنهم لا يعملون في أغراض متقاطعة.
شركة Forrester وولادة الثقة الصفرية
VB: هل ذهبت إلى إدارتك في Forrester وقلت ، “هذه هي الفكرة. دعنا نكتب عنها. دعنا نقوم به.” وكيف حصلت على الضوء الأخضر لكتابة مثل هذا التقرير الثوري؟
كيندرفاج: حسنًا ، فورستر ، عندما وصلت إلى هناك ، كانت مكانًا رائعًا للتواجد فيه. دخلت [on] في أول يوم لي ، كان هناك إعداد لجميع المحللين الجدد بقيادة جلين أودونيل. وكتبوا على السبورة فكر بأفكار كبيرة. ولم يخبرونا عن الأفكار التي يجب أن نفكر بها. كانوا يقولون إن عملك كباحثين. أنتم محللون. تخرج وتكتشف ما يحدث وتأتي إلينا.
ذهبت إلى مدير البحث الخاص بي وقلت ، “هذا هو الشيء الذي كنت دائمًا منزعجًا منه ، نموذج الثقة هذا من تثبيت جدران الحماية في الماضي.” [And I was told] نعم ، اركض معها. في الواقع ، لقد أجريت بحثًا أوليًا لمدة عامين حول ذلك قبل أن أكتب التقرير.
كان هناك بعض الأشخاص على طول الطريق قدموا لي القليل من التشجيع ، بينما كان غالبية الناس يقولون ، “أنت مجنون. أنت مجنون. هذا لن يذهب إلى أي مكان “. كان هناك بائعون يتصلون ، ويحاولون إيقاف البحث لأن ، “مرحبًا ، قد يقتل هذا عملنا إذا ذهب الناس في هذا الاتجاه. نحن لا نريد هذا. ودعمتني شركة Forrester. أعطيهم الفضل.
لذا صدر هذا التقرير ، وبمرور الوقت ، أصبح ، بحلول الوقت الذي غادرت فيه ، التقرير الأول الذي قرأه – على الأقل ما قالوه لي – الذي تمت كتابته على الإطلاق [at Forrester].
أنا أحبه هناك. كان عظيما. لم اعتقد ابدا انني سأغادر. اعتقدت أنني سأبقى مدى الحياة ، لكن الآخرين آمنوا بعدم الثقة أكثر مما كنت أفعل. قال أحد البائعين ، “الثقة المعدومة ستكون مهنتك لبقية حياتك.” وقلت ، “لا ، ليس كذلك. يا رجل ، أنا أفعل كل هذه الأشياء الأخرى. فعلت أشياء أمن البيانات. لقد أجريت بحثًا عن التشفير. إنه مكان رائع ورائع للتواجد فيه “.
فقال ، “لا ، أنت لا تعرف مدى ضخامة هذا الأمر.” وفي النهاية ، أقنعني هو وبعض الأشخاص الآخرين أنني بحاجة إلى المضي قدمًا لنقل هذا إلى جمهور أوسع.
نقاط المكافأة للامتثال
VB: ما هي النتيجة غير المقصودة التي لم تحققها الثقة الصفرية والتي لم تتوقعها؟
كيندرفاج: كانت أكبر وأفضل نتيجة غير مقصودة لانعدام الثقة هي مدى تحسين القدرة على التعامل مع الامتثال والمدققين وأشياء من هذا القبيل.
منذ عدة سنوات ، تلقيت مكالمة من رئيس قسم المعلومات في هذه الشركة الكبيرة حيث [I] صممت بيئة انعدام الثقة الخاصة بهم. [He] يريد التحدث إليه [me] في غضون ساعة. هذه مكالمة طوارئ. وتلك المكالمات لم تحدث. عادة ما يتم جدولتها مسبقًا بوقت طويل. التقويم الخاص بك محجوز. أنت تجري مكالمة ، بعد المكالمة ، بعد المكالمة. يمكن أن يكون طحن.
ولذا فإن ممثل الحساب مرعوب – “ماذا حدث؟” ولذا تلقيت مكالمة مع رئيس قسم المعلومات ، ويقول ، “لا أعرف كيف أخبرك بهذا ، لكن لدينا شبكة ثقة معدومة ساعدتنا في التصميم المدقق. لقد انتهينا للتو من عملية التدقيق ، ولا أعرف حتى كيف أخبرك بذلك “.
وقلت ، “حسنًا ، ابصقها فقط ، يا رجل ،” لأنني كنت مستعدًا ، لأنه … خطر ببالي أنني لم أفكر في كيفية رد فعل المدققين على هذا؟ وقال: “لم نحصل على أي نتائج تدقيق. هاها “.
قال: أولاً فهموا ذلك. كنا دائمًا نمنحهم مخططات Visio التخطيطية الكبيرة وكل هذه الأشياء ولم يتمكنوا أبدًا من فهم ما كنا نفعله “.
وثانيًا ، نظروا إليها وذهبوا ، رائعًا ، من الواضح أن هذا تم تصميمه لمواجهة مجموعة كبيرة من مشكلات الامتثال التي لدينا.
ثم كان الشيء الثالث هو كل الأشياء التي لم يتم تحديدها في مربعات الاختيار الخاصة بهم ، فقد ذهبوا ، “هذا ليس مناسبًا حتى لهذا النوع من البيئة وهذا النوع من الشبكات.”
لذلك قال ، “لم يقدموا لي أي نتائج تدقيق. عدم وجود نتائج التدقيق وعدم الاضطرار إلى القيام بأي معالجة مدفوعة لشبكة عدم الثقة الخاصة بي. لو كنت أعرف ذلك في وقت مبكر ، لكنت فعلت ذلك في وقت سابق. ولم أفكر في ذلك من قبل “.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.