NOV CIO une IA e Zero Trust para reduzir ameaças em 35 vezes

National Oilwell Varco (NOV) está passando por uma transformação abrangente em cibersegurança sob a liderança do CIO Alex Philips, adotando uma arquitetura de Zero Trust, fortalecendo as defesas de identidade e incorporando IA nas operações de segurança. Embora a jornada ainda não esteja completa, os resultados, por todos os relatos, são dramáticos – uma redução de 35 vezes nos eventos de segurança, a eliminação da reimpressão de PCs relacionados a malware e milhões economizados ao descartar a “ferramenta do inferno” de hardware legado.

A VentureBeat recentemente se reuniu (virtualmente) para uma entrevista aprofundada onde Philips detalha como a NOV alcançou esses resultados com a plataforma de Zero Trust da Zscaler, proteções de identidade agressivas e uma “cooperadora” de IA generativa para sua equipe de segurança.

Ele também compartilha como mantém o conselho da NOV engajado sobre riscos cibernéticos em meio a um cenário de ameaças global onde 79% dos ataques para obter acesso inicial são livres de malware, e os adversários podem se mover de uma violação para uma quebra em apenas 51 segundos.

Abaixo estão trechos da recente entrevista de Philips com a VentureBeat:

VentureBeat: Alex, a NOV se comprometeu totalmente ao Zero Trust há alguns anos – quais foram os ganhos notáveis?

Alex Philips: Quando começamos, éramos um modelo tradicional de castelo e fosso que não estava acompanhando. Não sabíamos o que era Zero Trust, apenas sabíamos que precisávamos de identidade e acesso condicional no centro de tudo. Nossa jornada começou adotando uma arquitetura orientada à identidade na Zero Trust Exchange da Zscaler e isso mudou tudo. Nossa visibilidade e cobertura de proteção aumentaram dramaticamente enquanto experimentávamos uma redução de 35 vezes no número de incidentes de segurança. Antes, nossa equipe estava atrás de milhares de incidentes de malware; agora, é uma fração ínfima disso. Também passamos de reimprimir cerca de 100 máquinas infectadas por malware a praticamente zero agora. Isso economizou uma quantidade considerável de tempo e dinheiro. E como a solução é baseada na nuvem, o inferno das ferramentas se foi, como eu gosto de dizer.

A abordagem de zero trust agora oferece a 27.500 usuários da NOV e a terceiros acesso baseado em políticas a milhares de aplicações internas, tudo sem expor esses aplicativos diretamente à internet.

Então, conseguimos dar um passo intermediário e re-arquitetar nossa rede para aproveitar a conectividade baseada na internet em vez do caro MPLS legado. “Em média, aumentamos a velocidade em 10–20 vezes, reduzimos a latência para aplicativos SaaS críticos, e diminuímos os custos em mais de 4 vezes… As economias anualizadas [das mudanças na rede] já alcançaram mais de $6,5 milhões,” observou Philips sobre o projeto.

VB: Como a transição para o zero trust realmente reduziu o ruído de segurança em um fator tão enorme?

Philips: Uma grande razão é que nosso tráfego de internet agora passa por uma Security Service Edge (SSE) com inspeção SSL completa, sandboxing e prevenção de perda de dados. A Zscaler se comunica diretamente com Microsoft, então o tráfego do Office 365 ficou mais rápido e seguro – os usuários pararam de tentar contornar os controles porque a performance melhorou. Depois de receber a negativa para a inspeção SSL com equipamentos locais, finalmente obtivemos aprovação legal para descriptografar o tráfego SSL, uma vez que o proxy da nuvem não dá à NOV acesso para espionar os dados em si. Isso significa que o malware que se escondia em streams criptografados começou a ser pego antes de atingir os endpoints. Em resumo, reduzimos a superfície de ataque e permitimos que o tráfego bom flua livremente. Menos ameaças significou menos alertas no total.

John McLeod, CISO da NOV, concordou que o “modelo antigo de perímetro de rede não funciona em um mundo híbrido” e que uma pilha de segurança na nuvem centrada em identidade era necessária. Ao roteá todos os tráfegos empresariais através de camadas de segurança na nuvem (e até isolando sessões da web arriscadas por meio de ferramentas como o Zscaler’s Zero Trust Browser), a NOV reduziu drasticamente as tentativas de intrusão. Essa capacidade de inspeção abrangente foi o que permitiu à NOV identificar e parar ameaças que anteriormente passavam despercebidas, reduzindo os volumes de incidentes em 35 vezes.

VB: Houve benefícios imprevistos na adoção do Zero Trust que você não esperava inicialmente?

Alex Philips: Sim, nossos usuários realmente preferiram a experiência de Zero Trust baseada na nuvem em comparação com os clientes VPN legados, então a adoção foi simples e nos deu uma agilidade sem precedentes para mobilidade, aquisições e até mesmo o que gostamos de chamar de “Eventos do Cisne Negro”. Por exemplo, quando a COVID-19 atingiu, a NOV estava já preparada! Eu disse à minha equipe de liderança que, se todos os 27.500 de nossos usuários precisassem trabalhar remotamente, nossos sistemas de TI poderiam lidar com isso. Minha liderança ficou estupefata e nossa empresa continuou avançando sem perder o ritmo.

VB: Ataques baseados em identidade estão em ascensão – você mencionou estatísticas impressionantes sobre o roubo de credenciais. Como a NOV está fortalecendo a gestão de identidade e acesso?

Philips: Os atacantes sabem que muitas vezes é mais fácil entrar com credenciais roubadas do que implantar malware. De fato, 79% dos ataques para obter acesso inicial em 2024 foram livres de malware, confiando em credenciais roubadas, phishing impulsionado por IA e fraudes com deepfake, de acordo com relatórios de ameaças recentes. Um em cada três incidentes em nuvem no ano passado envolveu credenciais válidas. Nós apertamos as políticas de identidade para dificultar essas táticas.

Por exemplo, integramos nossa plataforma Zscaler com Okta para verificações de identidade e acesso condicional. Nossas políticas de acesso condicional verificam se os dispositivos possuem nosso agente antivírus SentinelOne em execução antes de conceder acesso, adicionando uma verificação de postura extra. Também limitamos drasticamente quem pode realizar redefinições de senha ou MFA. Nenhum administrador deve ser capaz de contornar os controles de autenticação sozinho. Essa separação de funções impede que um insider ou uma conta comprometida simplesmente desative nossas proteções.

VB: Você mencionou ter encontrado uma lacuna mesmo após desabilitar a conta de um usuário. Pode explicar?

Philips: Descobrimos que, se você detectar e desabilitar a conta de um usuário comprometido, os tokens de sessão do invasor ainda podem estar ativos. Não é suficiente apenas redefinir senhas; você precisa revogar tokens de sessão para realmente expulsar um intruso. Estamos colaborando com uma startup para criar soluções de invalidação de tokens em tempo quase real para nossos recursos mais comumente usados. Essencialmente, queremos tornar um token roubado inútil em segundos. Uma arquitetura de Zero Trust ajuda porque tudo é re-autenticado através de um proxy ou provedor de identidade, dando-nos um único ponto de controle para cancelar tokens globalmente. Dessa forma, mesmo que um invasor consiga pegar um cookie de VPN ou uma sessão na nuvem, eles não podem se mover lateralmente porque vamos matar esse token rapidamente.

VB: Como mais você está segurando identidades na NOV?

Philips: Exigimos autenticação multifator (MFA) em quase todos os lugares e monitoramos padrões de acesso anormais. Okta, Zscaler e SentinelOne juntas formam um perímetro de segurança orientado à identidade, onde cada login e postura do dispositivo é continuamente verificado. Mesmo que alguém roube uma senha de usuário, eles ainda enfrentam verificações de dispositivos, desafios de MFA, regras de acesso condicional e o risco de revogação instantânea da sessão se algo parecer suspeito. Redefinir uma senha não é mais suficiente – devemos revogar tokens de sessão instantaneamente para parar o movimento lateral. Essa filosofia fundamenta a estratégia de defesa contra ameaças de identidade da NOV.

VB: Você também foi um dos primeiros a adotar IA em cibersegurança. Como a NOV está aproveitando IA e modelos generativos no SOC?

Philips: Temos uma equipe de segurança relativamente pequena para nossa presença global, então precisamos trabalhar de forma mais inteligente. Uma abordagem é trazer “colegas de trabalho” de IA para nosso centro de operações de segurança (SOC). Fizemos parceria com a SentinelOne e começamos a usar sua ferramenta de analista de segurança de IA – uma IA que pode escrever e executar consultas em nossos logs na velocidade da máquina. Tem sido uma mudança radical, permitindo que analistas façam perguntas em linguagem simples e obtenham respostas em segundos. Em vez de elaborar consultas SQL manualmente, a IA sugere a próxima consulta ou até mesmo gera um relatório automaticamente, o que diminuiu nosso tempo médio de resposta.

Temos visto casos de sucesso onde caçadas a ameaças são realizadas até 80% mais rapidamente usando assistentes de IA. Os próprios dados da Microsoft mostram que adicionar IA generativa pode reduzir o tempo médio de resolução de incidentes em 30%. Além das ferramentas dos fornecedores, também estamos experimentando bots de IA internos para análises operacionais, usando modelos de IA fundamentais da OpenAI para ajudar funcionários não técnicos a consultar dados rapidamente. Claro, temos proteções de dados em vigor para que essas soluções de IA não vazem informações sensíveis.

VB: A cibersegurança não é mais apenas uma questão de TI. Como você envolve o conselho e os executivos da NOV sobre riscos cibernéticos?

Philips: Fiz questão de levar nosso conselho de diretores junto em nossa jornada cibernética. Eles não precisam entender os detalhes técnicos profundos, mas precisam compreender nossa postura de risco. Com a explosão da IA generativa, por exemplo, informei-os sobre as vantagens e os riscos desde o início. Essa educação ajuda quando proponho controles para evitar vazamentos de dados – já há um alinhamento sobre por que isso é necessário.

O conselho agora vê a cibersegurança como um risco empresarial central. Eles são informados sobre isso em todas as reuniões, não apenas uma vez por ano. Inclusive, realizamos exercícios de mesa com eles para mostrar como um ataque se desenrolaria, transformando ameaças abstratas em pontos de decisão tangíveis. Isso leva a um suporte mais forte de cima para baixo.

Eu faço questão de reforçar constantemente a realidade do risco cibernético. Mesmo com milhões investidos em nosso programa de cibersegurança, o risco nunca é totalmente eliminado. Não se trata de se teremos um incidente, mas de quando.

VB: Algum conselho final, com base na jornada da NOV, para outros CIOs e CISOs por aí?

Philips: Primeiro, reconheça que a transformação de segurança e a transformação digital andam de mãos dadas. Não poderíamos ter migrado para a nuvem ou habilitado o trabalho remoto de forma tão eficaz sem o Zero Trust, e as economias de custo para os negócios ajudaram a financiar melhorias na segurança. Foi realmente uma “vencer, vencer, vencer”.

Em segundo lugar, concentre-se na separação de funções na identidade e no acesso. Ninguém deve ser capaz de minar seus controles de segurança – eu mesmo estou incluído. Mudanças de processo pequenas como exigir que duas pessoas mudem a MFA para um executivo ou pessoal de TI altamente privilegiado podem impedir insiders maliciosos, erros e atacantes.

Por último, abrace a IA com cautela, mas proativamente. A IA já é uma realidade do lado do atacante. Um assistente de IA bem implementado pode multiplicar a defesa de sua equipe, mas você deve gerenciar os riscos de vazamento de dados ou modelos imprecisos. Certifique-se de combinar a saída da IA com a habilidade de sua equipe para criar um “brAIn” infundido com IA.

Sabemos que as ameaças continuam evoluindo, mas com zero trust, segurança de identidade forte e agora IA ao nosso lado, isso nos ajuda a ter uma chance de luta.