谷歌云CISO：零信任對保護云計算服務(wù)至關(guān)重要

確保網(wǎng)絡(luò)安全對于企業(yè)的安全團隊來說是一項艱巨的任務(wù)。隨著2023年全球經(jīng)濟發(fā)展面臨不確定性，要確保運營業(yè)務(wù)復(fù)雜的云計算環(huán)境不受經(jīng)濟和政治驅(qū)動的網(wǎng)絡(luò)威脅者的影響，安全團隊面臨著越來越大的工作壓力，網(wǎng)絡(luò)威脅者希望利用任何機會進行攻擊。

盡管面臨經(jīng)濟壓力，谷歌云首席信息安全官（CISO）Phil Venables在最近接受行業(yè)媒體的采訪時表示，投資新的安全功能仍然是企業(yè)確保2023年業(yè)務(wù)順利轉(zhuǎn)型的關(guān)鍵。

Venables還分享了他對生成式人工智能將如何影響安全團隊的看法，首席信息安全官應(yīng)該做什么來保護云計算服務(wù)，以及為什么零信任對于保護云中的工作負載至關(guān)重要。

以下是Phil Venables在接受行業(yè)媒體采訪時的對話內(nèi)容。

你認為經(jīng)濟前景將如何影響今年的網(wǎng)絡(luò)安全形勢?

Venables：我不是經(jīng)濟專家，也無法預(yù)測未來會發(fā)生什么，但從客戶那里聽到的是，我們的云計算解決方案正在幫助他們進行數(shù)字化轉(zhuǎn)型，解決業(yè)務(wù)問題，并在新領(lǐng)域進行創(chuàng)新。

2023年已經(jīng)到來，我樂觀地認為，網(wǎng)絡(luò)安全將繼續(xù)是谷歌、我們的客戶和整個行業(yè)的優(yōu)先事項。事實上，投資于新的安全功能可以實現(xiàn)當前至關(guān)重要的業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新。

從安全的角度來看，你對人工智能的進步有什么看法?我們正在開始看到的人工智能的攻防戰(zhàn)。

Venables：隨著人工智能的應(yīng)用不斷增加，網(wǎng)絡(luò)安全行業(yè)都必須共同努力，制定一種共同的方法，以確保這些技術(shù)在安全領(lǐng)域得到負責任地使用。

我預(yù)計人工智能將繼續(xù)成為網(wǎng)絡(luò)安全防守者的游戲規(guī)則改變者，但我們需要明智而負責地部署人工智能系統(tǒng)。隨著新的、更強大的人工智能模型的開發(fā)和發(fā)布，堅持負責任的人工智能實踐將是至關(guān)重要的。

谷歌公司在應(yīng)對網(wǎng)絡(luò)安全問題方面具有20多年的經(jīng)驗，一段時間以來一直在思考人工智能和安全之間的交叉點。2018年，谷歌公司是第一個發(fā)布谷歌人工智能原則的超大規(guī)模企業(yè)，這體現(xiàn)了我們的大膽和負責的精神。

我們將繼續(xù)發(fā)展谷歌在這一領(lǐng)域的優(yōu)勢，并致力于推動這一領(lǐng)域的持續(xù)進步。一些產(chǎn)品已經(jīng)利用了我們領(lǐng)先的人工智能功能，包括客戶現(xiàn)在可以使用的許多安全產(chǎn)品。

在尋求云安全時，首席信息安全官應(yīng)該考慮的前三個因素是什么?

Venables：（1）身份和訪問管理（IAM）和零信任的力量

在云中所有看起來不同的域中，身份和訪問管理（IAM）可能是最重要的一個。

使用身份和訪問管理（IAM）工具，企業(yè)可以在粒度級別上授予對云計算資源的訪問權(quán)限，為設(shè)備安全狀態(tài)、IP地址、資源類型、日期和時間等屬性創(chuàng)建更多的訪問控制策略，以更好地確保適當?shù)脑L問控制到位。

實現(xiàn)零信任框架意味著必須通過多種機制不斷驗證安全性，這對于保護企業(yè)在云計算環(huán)境中的工作人員和工作負載至關(guān)重要。

通過將訪問控制從網(wǎng)絡(luò)邊界轉(zhuǎn)移到各個進程、設(shè)備和用戶，零信任使員工能夠在任何位置和任何設(shè)備上更安全地工作，而無需傳統(tǒng)的遠程網(wǎng)關(guān)VPN。

谷歌公司在運營的大多數(shù)方面都采用了零信任的方法，我們相信首席信息安全官在保護他們的云基礎(chǔ)設(shè)施時應(yīng)該考慮這個框架。

（2）威脅情報

成功的首席信息安全官會密切關(guān)注在其他企業(yè)中發(fā)生的事件，這些事件可能預(yù)示著惡意活動的變化，或提供可能改變企業(yè)的防御性云態(tài)勢的其他教訓(xùn)。

檢測、調(diào)查和響應(yīng)威脅只是更好的網(wǎng)絡(luò)風險管理的一部分，從網(wǎng)絡(luò)攻擊者的角度了解企業(yè)的情況以及企業(yè)的網(wǎng)絡(luò)安全控制是否如預(yù)期的那樣有效也是至關(guān)重要的。

同樣，當涉及到保護云計算服務(wù)時，必須關(guān)注威脅情報趨勢，并選擇將威脅情報視為優(yōu)先事項的云計算提供商。

（3）多云管理

企業(yè)在多個云平臺中而不僅僅是一個云平臺中擁有數(shù)據(jù)并不罕見。對于首席信息安全官來說，一個更大的挑戰(zhàn)不僅僅是確保每個單獨的服務(wù)得到適當?shù)谋Ｗo，而且是確保構(gòu)成業(yè)務(wù)或任務(wù)流程的服務(wù)集合是安全的。

確保降低彈性、合規(guī)性、隱私、數(shù)據(jù)治理和其他領(lǐng)域的其他風險是一個更大的挑戰(zhàn)。因此，首席信息安全官應(yīng)該全面考慮他們的云安全策略，并將其云計算架構(gòu)作為一個整體來看待，而不是孤立地看待。

你對谷歌公司在幫助確保軟件供應(yīng)鏈和開源項目安全方面發(fā)揮的作用有何評論?

Venables：共同保護開源和軟件供應(yīng)鏈仍然是私營部門和公共部門的優(yōu)先事項。供應(yīng)鏈由各種不同類型的供應(yīng)商組成——連接服務(wù)、軟件提供商、外包IT和其他類型的業(yè)務(wù)流程外包。

有些企業(yè)可能擁有數(shù)百到數(shù)千家供應(yīng)商，一些財富100強公司甚至擁有數(shù)萬個供應(yīng)商。

確保軟件供應(yīng)鏈的安全實際上需要三件事情的結(jié)合：

（1）推動最佳實踐的采用

（2）構(gòu)建更好的軟件生態(tài)系統(tǒng)

（3）對數(shù)字安全進行長期投資

谷歌公司正在與行業(yè)合作伙伴、政府和開源社區(qū)合作，以實現(xiàn)這些確切的目標。在過去幾年里，我們宣布了一系列應(yīng)對這些威脅的舉措：

·我們在去年宣布成立了新的開源安全維護團隊，這是一個由谷歌公司工程師組成的團隊，他們將與上游維護者密切合作，提高關(guān)鍵開源項目的安全性。

·我們在《安全展望系列》報告的第一版中為減輕軟件供應(yīng)鏈風險提供了有主見的指導(dǎo)。

·我們推出了Software Delivery Shield，這是第一個軟件供應(yīng)鏈安全解決方案，為開發(fā)人員和安全團隊提供構(gòu)建安全云應(yīng)用程序所需的工具。

·我們在BigQuery中發(fā)布了OSV-Scanner和Open Source Insightsdata等新產(chǎn)品，旨在為開源社區(qū)提供直接支持，確保他們的項目安全。

·與開源安全基金會（Open SSF）合作，谷歌公司提出了一個軟件構(gòu)件供應(yīng)鏈級別（SLSA）框架，該框架圍繞軟件供應(yīng)鏈完整性制定了標準，以幫助行業(yè)和開源生態(tài)系統(tǒng)確保軟件開發(fā)生命周期的安全。

·如果我們要減輕這些威脅，公共部門和私營部門為解決開源安全挑戰(zhàn)所做的工作必須持續(xù)下去。美國國土安全部網(wǎng)絡(luò)安全審查委員會（CSRB）最近的報告就是一個完美的例子：這樣的指導(dǎo)對我們整個生態(tài)系統(tǒng)至關(guān)重要。

你如何定義網(wǎng)絡(luò)風險，首席信息安全官如何確定風險的級別?

Venables：網(wǎng)絡(luò)風險包括任何可能由于技術(shù)系統(tǒng)故障而破壞或損害企業(yè)的風險。如今，網(wǎng)絡(luò)安全與技術(shù)和商業(yè)戰(zhàn)略深深交織在一起，企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全問題視為首要的商業(yè)風險，這一點非常重要。

正如任何一名優(yōu)秀的首席信息安全官都知道的那樣，總是會面臨比能夠立即處理的風險更多的風險——因此，企業(yè)面臨的風險需要進行認真管理。強大的網(wǎng)絡(luò)風險項目不斷重新評估某些風險是否需要優(yōu)先考慮進行處理。

網(wǎng)絡(luò)風險應(yīng)與其他業(yè)務(wù)風險領(lǐng)域保持一致，并應(yīng)作為更大投資組合的一部分進行管理。

網(wǎng)絡(luò)安全風險的最佳緩解措施也是所有其他風險的最佳緩解措施：與業(yè)務(wù)目標一致的可靠IT項目管理、改進的軟件開發(fā)和測試、彈性工程、事件學習和持續(xù)改進、規(guī)模和容量測試工程、可預(yù)測配置、系統(tǒng)隔離等等。

最好的安全程序與更廣泛的業(yè)務(wù)一起工作，以保護企業(yè)免受網(wǎng)絡(luò)攻擊的侵害。

你對API安全有什么看法嗎（特別是在T-Mobile和Twitter的API被泄露之后）?

Venables：API流量正在主導(dǎo)互聯(lián)網(wǎng)。而且，就像任何蓬勃發(fā)展的技術(shù)一樣，它正在成為惡意行為者的主要攻擊載體。

例如，谷歌云的API管理平臺Apigee在2022年透露，在美國接受調(diào)查的500名技術(shù)領(lǐng)導(dǎo)者中，有一半的人表示，他們在過去12個月經(jīng)歷了API安全事件。

由于API的擴散，攻擊面正在急劇擴大。因此，安全領(lǐng)導(dǎo)者必須投資于有助于鞏固API治理和管理的解決方案，并在整個生命周期內(nèi)全面保護API。

有遠見的企業(yè)將“向左轉(zhuǎn)移安全性”，通過拉近安全團隊和API所有者的距離，開始將控制更早地轉(zhuǎn)移到產(chǎn)品工作流程中。幸運的是，像谷歌云的Apigee API管理這樣的工具可以支持這一點。

去年收購Mandiant和Siemplify將如何增強谷歌云的安全生態(tài)系統(tǒng)?

Venables：通過收購Mandiant和Siemplify，谷歌云現(xiàn)在可以提供更強大的安全功能，以支持客戶在其云平臺和內(nèi)部部署環(huán)境中的安全操作。

谷歌的“反應(yīng)性”SIEM（來自Chronicle）和SOAR（來自Siemplify）技術(shù)與Mandiant的“主動”威脅情報和事件響應(yīng)能力相結(jié)合，為端到端安全操作套件注入了前所未有的活力。

具體來說，Mandiant在事件響應(yīng)方面的專業(yè)知識和資源在行業(yè)中是獨一無二的，使我們能夠更好地了解威脅情況，并以以前無法做到的方式捕捉客戶基礎(chǔ)設(shè)施中的漏洞。

當我們在2022年9月完成對Mandiant的收購時，我們設(shè)定了期望，也就是將大力投資于可以幫助客戶降低風險的網(wǎng)絡(luò)安全產(chǎn)品，并且在我們兩家公司合并后的短時間內(nèi)，我們已經(jīng)按照這一愿景采取了行動，發(fā)布了新的產(chǎn)品，例如為Chronicle提供Mandiant Breach Analytics和為谷歌云提供Mandiant Attack Surface Management。

我們?nèi)匀粓远ǖ刂铝τ趯踩僮髅裰骰?，并為各種規(guī)模和專業(yè)水平的企業(yè)提供更好的安全結(jié)果，這些收購支持我們實現(xiàn)這一目標的能力。

你還有什么想補充的嗎?

Venables：在過去十年中，有很多企業(yè)在網(wǎng)絡(luò)安全和安全產(chǎn)品上投入了大量資金，但卻沒有升級其整體IT基礎(chǔ)設(shè)施，也沒有使軟件開發(fā)方法實現(xiàn)現(xiàn)代化。

如果不持續(xù)關(guān)注IT現(xiàn)代化，企業(yè)將無法充分實現(xiàn)安全進步的好處。通過投資現(xiàn)代公有云環(huán)境，企業(yè)可以更好地防范當今的威脅。

在2023年到來之際，我們給安全專業(yè)人士的最大建議是：通過投資現(xiàn)代公有云環(huán)境，充分利用云計算所提供的服務(wù)。如果還沒有開始考慮現(xiàn)代化IT基礎(chǔ)設(shè)施，那么現(xiàn)在就要開始。最后，企業(yè)需要優(yōu)先建立可持續(xù)的、全面的、適合企業(yè)需求的安全和風險計劃。