A importância de um CMDB sólido para a segurança de sua organização

Sean Dawson: Olá, e bem-vindos a mais um episódio do Podcast da destilaria Caskonde realmente analisamos e desbloqueamos todo o potencial do ServiceNow com insights de especialistas e estratégias práticas, somente aqui no Podcast da destilaria Cask. E eu sou seu anfitrião, Sean Dawson. 

E é um prazer ter Mike Stolp comigo, que tem 29 anos de experiência na implementação de alguns dos maiores e mais complexos ambientes de TI do mundo. Ele tem um CISSP, é um pensador criativo - e eu trabalhei com ele pessoalmente - com 20 anos de experiência em design de sistemas e atualmente é o diretor da área de prática de segurança aqui na Cask. E o que vamos falar hoje é sobre a importância de um CMDB sólido para a segurança de sua organização.

Muito obrigado, Mike, por reservar um tempo de sua agenda lotada para falar conosco aqui hoje. Muito obrigado. 

Mike Stolp: Com certeza. É ótimo estar aqui. 

Sean Dawson: Ah, que bom. Vai ser uma ótima conversa. Sempre gosto de começar falando sobre o básico para nossos ouvintes, observadores, ou seja, para quem está consumindo o podcast. Uma das coisas que me lembro de ter feito em uma ligação com você e estávamos falando sobre CMDB e a maneira como você falou sobre isso - foi simplesmente eloquente. Eu queria saber sua opinião sobre isso e conversar com nossos ouvintes/observadores sobre uma visão geral de alto nível do CMDB e o que ele é, para que as pessoas possam se sentar em volta dele e entendê-lo.

Mike Stolp: Sem dúvida. Sob a ótica da segurança, certo? Todo mundo conhece o CMDB, que é basicamente o repositório central de todos os ativos e recursos de TI da sua organização. Mas quando o analisamos sob a ótica da segurança, o que ele realmente é é a fonte central de informações que você pode usar para descobrir, sob vários aspectos, como proteger sua organização, onde estão os riscos potenciais, onde estão as ameaças potenciais, como gerenciar esses riscos, como gerenciar essas ameaças. E podemos nos basear - vamos nos aprofundar um pouco mais em cada um deles.

Mas pense no seguinte: Pense se você tivesse uma casa e lhe pedissem - você queria proteger essa casa de qualquer pessoa que tentasse entrar e manter sua família protegida e assim por diante, mas você não sabia quantas portas tinha. Não tinha certeza de quantas janelas tinha. Talvez você nem saiba ao certo quantos andares tem ou em que parte da rua mora. E se você não tiver essas informações, é impossível proteger o que você não sabe. E tudo isso está ligado a essa casa. Se você tem uma porta dos fundos aberta, uma janela ou uma porta lateral, pode ter o melhor sistema de alarme do mundo. Mas se esses pontos estiverem cobertos - se nem todos os pontos de entrada e saída estiverem cobertos -, você terá um problema.

Sean Dawson: Essa é uma boa maneira de dizer isso. Outra coisa comum que surge quando estamos falando sobre CMDB - e é algo que vejo ficar ainda mais confuso - é como o CSDM se encaixa nisso? Você pode nos dar uma visão geral de alto nível sobre o que é CSDM e como isso está relacionado? 

Mike Stolp: Com certeza. O CSDM é chamado de modelo de dados de serviços comuns. E o que ele faz é fornecer taxonomia e ontologia, certo? Essas são suas palavras de cinco dólares de hoje. A taxonomia é essencialmente apenas uma definição de quando digo "serviço técnico", o que quero dizer com isso? Quando digo "plataforma", o que é uma plataforma? É uma plataforma de hardware? É uma plataforma de software? Quais são as subplataformas? Ela faz parte disso? O que é um serviço comercial? O que é um consumidor? O que é um provedor? O que é o proprietário de uma plataforma? 

Todas essas coisas precisam de taxonomia. Precisamos defini-las para que tenhamos um modelo de dados comum, de modo que, em toda a organização - da TI à segurança cibernética e às unidades de negócios -, entendamos perfeitamente quando dizemos: "Este é um serviço comercial definido", que estamos sempre na mesma definição, certo?

Dessa forma, o que isso faz é nos permitir colocá-las nos domínios corretos. Atualmente, há cinco domínios no CSDM, e esses domínios nos permitem categorizar e gerenciar as informações que estão no CMDB. Se pensarmos bem, é um dicionário de dados, é uma estrutura, e é realmente essencial, e é crucial para a forma como categorizamos e identificamos as informações.

Basicamente, são informações sobre informações ou dados sobre dados. 

Sean Dawson: Muito bom. E, na verdade, você começou a falar sobre isso. Em conversas que tivemos no passado, você fez uma boa correlação entre a diferença de dados e informações. O CMDB é basicamente dados. Mas qual você diria que é a diferença entre dados e informações?

Mike Stolp: Esse é um ótimo ponto. Os dados são - pense nisso da seguinte forma: Se você der uma olhada em qualquer área metropolitana, ela é apenas uma lista de endereços, certo? Como você mapeia isso? Certo. É o código postal, o número da rua, o número do apartamento ou do prédio. Essa é apenas uma lista de informações. Você pode colocá-las em uma planilha. E você pode saber muitas coisas com base nisso. Quantas casas temos? Quantas pessoas moram nessas casas? Coisas desse tipo. Mas isso não diz nada a você. Não fornece informações sobre, ok, quais são os tipos de pessoas que vivem lá? Quais são os diferentes tipos de comunidades? As casas são grandes ou pequenas? São unidades unifamiliares? São unidades multifamiliares? 

E se você der uma olhada nisso e aplicar esse mesmo conceito a um cenário de TI, basicamente, você pode ter uma lista de endereços IP. Você pode ter uma lista de, ok, temos 9.000 servidores. Temos 2.200 endpoints, laptops, desktops, etc. Essa é apenas uma lista de dados. O que o CSC ou o CMDB faz é conter essas informações. São muitos dados, mas eles não informam nada sobre quantos patches eu preciso ter? O que está fora de serviço? Em que ponto de seus ciclos de vida estou? Onde estão minhas vulnerabilidades? Onde estão minhas ameaças? 

Com um bom CMDB, que são dados, você pode usá-los em diferentes conjuntos de ferramentas dentro da plataforma ServiceNow para começar a extrapolar e dizer: "Quais informações eu preciso saber?" "Quantos sistemas eu tenho que constituem um sistema comercial crítico?" "Quantos servidores, certo? Eles são servidores de nível intermediário? São servidores de banco de dados? Eles estão no local ou fora dele?" Todas essas coisas, mais uma vez, com os dados certos, você pode extraí-los e transformá-los em informações. E então, o que você pode fazer é agir com base nessas informações. 

Agir com base nos dados é, na verdade, muito difícil. Temos que transformá-los em algo que possamos realmente usar. Uma lista de endereços em sua cidade não lhe dá muito mais do que uma lista de endereços. Uma lista de ativos em um CMDB? Isso apenas informa que você tem um monte de coisas em seu CMDB. Mas o que ela não faz é não lhe fornecer as informações.

Agora, você combina um bom CMDB com uma boa plataforma que pode consumir essas informações do CMDB? Adivinhe o que acontece? Esses dados do CMDB lhe fornecem essas informações. E então você pode começar a tomar decisões. Quais são meus riscos críticos? Vulnerabilidades? Como posso gerenciá-los? E assim por diante. 

Sean Dawson: Isso é ótimo. Porque uma das minhas esperanças era que os líderes analisassem isso. E, às vezes, olhar, entrar e atualizar ou até mesmo construir seu CMDB pode ser caro. E eles não entendem por que você precisa dele, e não entendem o panorama geral. Você obterá muito valor com ele quando estiver lá. E, ao longo de todo o roteiro de coisas futuras, isso lhe dará muita flexibilidade no futuro. Eu adoro isso. Muito obrigado. 

Em primeiro lugar, como uma organização pode ter certeza de que possui os dados no CMDB? 

Mike Stolp: Uma das coisas que você pode fazer é usar diferentes fontes de autoridade de informações. Pense em um cenário de TI. Você tem endpoints. Você tem plataformas virtuais, certo? Vamos chamá-las de servidores. Neste momento, temos appliances virtuais. Você tem pontos de entrada e saída. Cada um deles terá uma fonte de autoridade diferente. 

Basta dar uma olhada, por exemplo, em todos os seus endpoints, certo? Na verdade, já tivemos organizações que voltaram para o setor financeiro porque - pense nisso: O setor financeiro sabe se entende os dados ou não. É claro que o pessoal do departamento financeiro não tem nada contra, pois ele pode dizer quanto dinheiro você gastou em terminais. Quantos laptops essa empresa ou organização comprou nos últimos dois anos? Certo, você pega essa lista e pergunta: "Quantos eu consigo ver de fato? Onde eles estão? Tenho todos eles registrados? Tenho mais laptops ou mais endpoints conectados ao meu ambiente do que realmente compramos?" Essa é até a pior resposta, certo? Quantos desses terminais você nem conhece, ou nem sabe.

Ou seja, esse é o tipo de coisa em que você diz: "Ok, encontre a fonte autorizada. Quantos devemos ter?". E então você precisa ir ao seu ambiente e dizer: "Ok, quantos temos?" 

Agora, há diferentes maneiras de equilibrar esses dois aspectos. Você pode usar diferentes ferramentas de varredura. Você pode usar ferramentas de varredura de gerenciamento de vulnerabilidades. Você pode usar diferentes ferramentas de varredura de rede. Você também pode, obviamente, usar o recurso de descoberta do ServiceNow. Você o instrumenta, e ele funciona de forma fantástica. Ele encontra - ele vira todas as pedras e olha embaixo das almofadas do sofá e tudo mais, e encontrará o que você tem.

Novamente, fontes confiáveis. Compare isso com suas verificações reais do que você encontra e veja se há um delta, e geralmente há. 

Sean Dawson: Quando pensamos em CMDB, também quero ter certeza de que estamos compartilhando a amplitude. O que o CMDB toca no ambiente do ServiceNow? Quais são todas as coisas que ele abrange?

Mike Stolp: Essencialmente, o CMDB é realmente o motor da plataforma ServiceNow, certo? O CMDB contém todos os dados sobre um ambiente de TI. E não se trata apenas de hardware e software. É uma definição de serviços comerciais, certo? Basicamente, ele é composto pelo que chamamos de itens de configuração. Esses itens de configuração podem ser físicos, lógicos e conceituais. Além disso, o CMDB também contém informações sobre outros aspectos de seu ambiente, como sua estrutura organizacional, certo? Que é - pode se enquadrar em um tipo de estrutura de entidade, que faz parte do CMDB.

Além disso, possui serviços comerciais. Tem informações financeiras. Tudo isso, se você pensar no que um CMDB muito rico, robusto e amador contém, é mais do que uma lista de coisas que você possui ou tem. É, na verdade, um conjunto de dados detalhado - quando digo "detalhado", é um conjunto de dados altamente lógico e disciplinado sobre sua organização que, por meio de várias lentes - incluindo segurança -, você pode gerenciar sua organização por meio desse conjunto de dados no CMDB.

Sean Dawson: Nós Falamos sobre o que é o CMDB, como o CSDM está relacionado a ele, como garantir que você está pegando todas as coisas que precisam ser incluídas nele. Mas quais são os desafios que você vê associados à implementação e manutenção de um CMDB? 

Mike Stolp: Antes de mais nada, há dois desafios fundamentais. Um deles é conseguir o patrocínio executivo adequado, certo? Ter alguém em um nível alto o suficiente para aceitar a ideia de que isso é fundamental. Isso exige um certo nível de esforço. Às vezes, é um nível de esforço que é bastante desconfortável para a maioria das organizações, especialmente se você estiver começando do zero. Isso leva algum tempo. Isso não significa que seja impossível. Fizemos implementações para organizações muito, muito grandes em todo o mundo, certo? Instituições financeiras que operam em todo o mundo e assim por diante. Já vimos isso ser ampliado para escalas enormes. Esse é o primeiro desafio: fazer com que a organização, em nível executivo, aceite a ideia.

O segundo desafio é estabelecer uma estrutura de governança e propriedade. Pense nisso: O CMDB é o repositório central de todos os dados sobre os principais dados sobre você/sua organização. Os indivíduos ou a equipe proprietária dos pontos de extremidade quase sempre são diferentes da equipe proprietária da rede, que é diferente da equipe proprietária dos recursos de terceiros, que é diferente da equipe proprietária do AWS ou do Azure ou de todos esses. E você precisa atribuir a propriedade dessas informações no CMDB. Ninguém - nenhum indivíduo ou mesmo equipe de indivíduos - pode ser o proprietário autorizado da fonte ou dos dados para todos esses diferentes tipos de dados. É preciso usar o que chamamos de modelo federado de propriedade de dados. Sim, isso significa que outras partes da organização terão de se envolver e, obviamente, todos se inscreveram em excesso, mas para que funcione, é preciso estabelecer isso. 

Uma vez estabelecido isso, ele se torna absolutamente a fonte de autoridade para a organização como um todo - se você quiser saber quantos dados do que quer que seja você tem, onde ele está, o que está fazendo, qual é a sua idade, qual é a sua postura de segurança, quanto está custando, quais são os seus riscos. Se você tiver um verdadeiro patrocínio executivo e um modelo federado de propriedade de dados, poderá manter isso. 

Sean Dawson: Essa é uma ótima resposta. A última pergunta que gostaria de fazer a você é aberta, no sentido de que há algo que gostaria de compartilhar com o público - em relação ao CMDB e à segurança da organização -, há algo que gostaria de compartilhar com aqueles que estão considerando CSDM, CMDB e segurança? Há mais alguma coisa que gostaria de compartilhar com os ouvintes? 

Mike Stolp: Sim, com certeza: É não deixar que a tarefa assustadora o impeça de realmente fazer isso. Ela é factível. Porque a questão é a seguinte: você tem tudo isso lá fora. Você tem um ambiente de TI muito complexo - no local, fora do local, híbrido -, tem fornecedores e prestadores de serviços e assim por diante. Quando você começa a olhar para isso e pensa, ok, você tem que fazer tudo isso e juntar tudo, é - para usar a velha frase que provavelmente é usada em demasia - não tente ferver o oceano. Não faça isso. Comece com o que você sabe, certo? Comece com seus pontos de extremidade. 

Pense nisso a partir de uma perspectiva de segurança. Se você pudesse ter uma visão, uma visão precisa apenas dos seus endpoints, de quem está se conectando à sua rede, certo? Em uma base muito confiável, para, ou melhor ainda, quem deveria estar se conectando e quem realmente está, o que muitas vezes é diferente. Imagine, apenas do ponto de vista da segurança, o que isso lhe proporciona. Ou, melhor ainda, quantas plataformas realmente temos em nosso ambiente? Por quantas estamos pagando? Por quantas deveríamos estar pagando? Por quantas estamos pagando que nem sequer estamos usando? Todas essas coisas começam com uma coisa só. Comece com um aspecto de seu ambiente de TI e siga em frente. 

A segunda coisa que eu diria a você é que procure um parceiro - alguém que faça isso o tempo todo. E isso soa como autovenda, mas, na verdade, é complexo de se fazer. Certamente não é impossível. É realmente muito necessário se você quiser ter um ambiente seguro, altamente operacional e altamente confiável: Pegue um parceiro. Encontre alguém que possa sair e trabalhar com você nessa jornada. Diga a você para onde ir, quais armadilhas evitar, como navegar. E isso não vai levar tanto tempo quanto você pensa. É preciso algum esforço, mas vale muito a pena.

Sean Dawson: Isso é ótimo. Ótimo, Mike. Mais uma vez, muito obrigado por reservar um tempo para conversar com os ouvintes e conosco e passar um tempo juntos. Quero pedir ao público que, ao assistir a esses vídeos, curta e se inscreva. Se tiverem alguma coisa que gostariam de ouvir de nós ou de nos ver falar mais, adoraríamos ouvir de vocês.

Comente, envie-nos uma mensagem, envie-nos um e-mail - como quiser entrar em contato conosco. Informe-nos. Gostaríamos muito de ouvir. E, mais uma vez, muito obrigado e fique bem.