確保網絡安全對于企業(yè)的安全團隊來說是一項艱巨的任務。隨著2023年全球經濟發(fā)展面臨不確定性���,要確保運營業(yè)務復雜的云計算環(huán)境不受經濟和政治驅動的網絡威脅者的影響�,安全團隊面臨著越來越大的工作壓力�����,網絡威脅者希望利用任何機會進行攻擊���。
確保網絡安全對于企業(yè)的安全團隊來說是一項艱巨的任務。隨著2023年全球經濟發(fā)展面臨不確定性��,要確保運營業(yè)務復雜的云計算環(huán)境不受經濟和政治驅動的網絡威脅者的影響���,安全團隊面臨著越來越大的工作壓力��,網絡威脅者希望利用任何機會進行攻擊�����。
盡管面臨經濟壓力��,谷歌云首席信息安全官(CISO)Phil Venables在最近接受行業(yè)媒體的采訪時表示�,投資新的安全功能仍然是企業(yè)確保2023年業(yè)務順利轉型的關鍵。
Venables還分享了他對生成式人工智能將如何影響安全團隊的看法�,首席信息安全官應該做什么來保護云計算服務,以及為什么零信任對于保護云中的工作負載至關重要�。
以下是Phil Venables在接受行業(yè)媒體采訪時的對話內容。
你認為經濟前景將如何影響今年的網絡安全形勢?
Venables:我不是經濟專家�����,也無法預測未來會發(fā)生什么���,但從客戶那里聽到的是�,我們的云計算解決方案正在幫助他們進行數(shù)字化轉型�,解決業(yè)務問題,并在新領域進行創(chuàng)新��。
2023年已經到來�,我樂觀地認為,網絡安全將繼續(xù)是谷歌���、我們的客戶和整個行業(yè)的優(yōu)先事項�。事實上���,投資于新的安全功能可以實現(xiàn)當前至關重要的業(yè)務轉型和創(chuàng)新�����。
從安全的角度來看���,你對人工智能的進步有什么看法?我們正在開始看到的人工智能的攻防戰(zhàn)���。
Venables:隨著人工智能的應用不斷增加,網絡安全行業(yè)都必須共同努力�,制定一種共同的方法,以確保這些技術在安全領域得到負責任地使用�����。
我預計人工智能將繼續(xù)成為網絡安全防守者的游戲規(guī)則改變者��,但我們需要明智而負責地部署人工智能系統(tǒng)��。隨著新的�、更強大的人工智能模型的開發(fā)和發(fā)布���,堅持負責任的人工智能實踐將是至關重要的�。
谷歌公司在應對網絡安全問題方面具有20多年的經驗��,一段時間以來一直在思考人工智能和安全之間的交叉點。2018年��,谷歌公司是第一個發(fā)布谷歌人工智能原則的超大規(guī)模企業(yè)��,這體現(xiàn)了我們的大膽和負責的精神��。
我們將繼續(xù)發(fā)展谷歌在這一領域的優(yōu)勢���,并致力于推動這一領域的持續(xù)進步���。一些產品已經利用了我們領先的人工智能功能,包括客戶現(xiàn)在可以使用的許多安全產品�����。
在尋求云安全時�,首席信息安全官應該考慮的前三個因素是什么?
Venables:(1)身份和訪問管理(IAM)和零信任的力量
在云中所有看起來不同的域中,身份和訪問管理(IAM)可能是最重要的一個�。
使用身份和訪問管理(IAM)工具,企業(yè)可以在粒度級別上授予對云計算資源的訪問權限��,為設備安全狀態(tài)�、IP地址、資源類型、日期和時間等屬性創(chuàng)建更多的訪問控制策略�,以更好地確保適當?shù)脑L問控制到位。
實現(xiàn)零信任框架意味著必須通過多種機制不斷驗證安全性���,這對于保護企業(yè)在云計算環(huán)境中的工作人員和工作負載至關重要��。
通過將訪問控制從網絡邊界轉移到各個進程�、設備和用戶��,零信任使員工能夠在任何位置和任何設備上更安全地工作��,而無需傳統(tǒng)的遠程網關VPN��。
谷歌公司在運營的大多數(shù)方面都采用了零信任的方法��,我們相信首席信息安全官在保護他們的云基礎設施時應該考慮這個框架��。
(2)威脅情報
成功的首席信息安全官會密切關注在其他企業(yè)中發(fā)生的事件��,這些事件可能預示著惡意活動的變化�,或提供可能改變企業(yè)的防御性云態(tài)勢的其他教訓�。
檢測、調查和響應威脅只是更好的網絡風險管理的一部分��,從網絡攻擊者的角度了解企業(yè)的情況以及企業(yè)的網絡安全控制是否如預期的那樣有效也是至關重要的。
同樣�,當涉及到保護云計算服務時,必須關注威脅情報趨勢���,并選擇將威脅情報視為優(yōu)先事項的云計算提供商�����。
(3)多云管理
企業(yè)在多個云平臺中而不僅僅是一個云平臺中擁有數(shù)據并不罕見��。對于首席信息安全官來說�����,一個更大的挑戰(zhàn)不僅僅是確保每個單獨的服務得到適當?shù)谋Wo��,而且是確保構成業(yè)務或任務流程的服務集合是安全的��。
確保降低彈性��、合規(guī)性��、隱私�、數(shù)據治理和其他領域的其他風險是一個更大的挑戰(zhàn)��。因此,首席信息安全官應該全面考慮他們的云安全策略�,并將其云計算架構作為一個整體來看待,而不是孤立地看待��。
你對谷歌公司在幫助確保軟件供應鏈和開源項目安全方面發(fā)揮的作用有何評論?
Venables:共同保護開源和軟件供應鏈仍然是私營部門和公共部門的優(yōu)先事項��。供應鏈由各種不同類型的供應商組成——連接服務�����、軟件提供商���、外包IT和其他類型的業(yè)務流程外包�����。
有些企業(yè)可能擁有數(shù)百到數(shù)千家供應商��,一些財富100強公司甚至擁有數(shù)萬個供應商��。
確保軟件供應鏈的安全實際上需要三件事情的結合:
(1)推動最佳實踐的采用
(2)構建更好的軟件生態(tài)系統(tǒng)
(3)對數(shù)字安全進行長期投資
谷歌公司正在與行業(yè)合作伙伴��、政府和開源社區(qū)合作�����,以實現(xiàn)這些確切的目標���。在過去幾年里,我們宣布了一系列應對這些威脅的舉措:
·我們在去年宣布成立了新的開源安全維護團隊�,這是一個由谷歌公司工程師組成的團隊,他們將與上游維護者密切合作���,提高關鍵開源項目的安全性��。
·我們在《安全展望系列》報告的第一版中為減輕軟件供應鏈風險提供了有主見的指導�����。
·我們推出了Software Delivery Shield�����,這是第一個軟件供應鏈安全解決方案�,為開發(fā)人員和安全團隊提供構建安全云應用程序所需的工具���。
·我們在BigQuery中發(fā)布了OSV-Scanner和Open Source Insightsdata等新產品�����,旨在為開源社區(qū)提供直接支持��,確保他們的項目安全�。
·與開源安全基金會(Open SSF)合作,谷歌公司提出了一個軟件構件供應鏈級別(SLSA)框架���,該框架圍繞軟件供應鏈完整性制定了標準�����,以幫助行業(yè)和開源生態(tài)系統(tǒng)確保軟件開發(fā)生命周期的安全���。
·如果我們要減輕這些威脅,公共部門和私營部門為解決開源安全挑戰(zhàn)所做的工作必須持續(xù)下去��。美國國土安全部網絡安全審查委員會(CSRB)最近的報告就是一個完美的例子:這樣的指導對我們整個生態(tài)系統(tǒng)至關重要�����。
你如何定義網絡風險�����,首席信息安全官如何確定風險的級別?
Venables:網絡風險包括任何可能由于技術系統(tǒng)故障而破壞或損害企業(yè)的風險��。如今,網絡安全與技術和商業(yè)戰(zhàn)略深深交織在一起��,企業(yè)領導者將網絡安全問題視為首要的商業(yè)風險�,這一點非常重要��。
正如任何一名優(yōu)秀的首席信息安全官都知道的那樣�����,總是會面臨比能夠立即處理的風險更多的風險——因此��,企業(yè)面臨的風險需要進行認真管理�����。強大的網絡風險項目不斷重新評估某些風險是否需要優(yōu)先考慮進行處理��。
網絡風險應與其他業(yè)務風險領域保持一致�,并應作為更大投資組合的一部分進行管理。
網絡安全風險的最佳緩解措施也是所有其他風險的最佳緩解措施:與業(yè)務目標一致的可靠IT項目管理�、改進的軟件開發(fā)和測試、彈性工程�、事件學習和持續(xù)改進、規(guī)模和容量測試工程�����、可預測配置、系統(tǒng)隔離等等���。
最好的安全程序與更廣泛的業(yè)務一起工作�����,以保護企業(yè)免受網絡攻擊的侵害�����。
你對API安全有什么看法嗎(特別是在T-Mobile和Twitter的API被泄露之后)?
Venables:API流量正在主導互聯(lián)網��。而且��,就像任何蓬勃發(fā)展的技術一樣�����,它正在成為惡意行為者的主要攻擊載體��。
例如���,谷歌云的API管理平臺Apigee在2022年透露�����,在美國接受調查的500名技術領導者中�����,有一半的人表示,他們在過去12個月經歷了API安全事件��。
由于API的擴散�����,攻擊面正在急劇擴大�。因此,安全領導者必須投資于有助于鞏固API治理和管理的解決方案��,并在整個生命周期內全面保護API�����。
有遠見的企業(yè)將“向左轉移安全性”���,通過拉近安全團隊和API所有者的距離��,開始將控制更早地轉移到產品工作流程中�。幸運的是,像谷歌云的Apigee API管理這樣的工具可以支持這一點��。
去年收購Mandiant和Siemplify將如何增強谷歌云的安全生態(tài)系統(tǒng)?
Venables:通過收購Mandiant和Siemplify�,谷歌云現(xiàn)在可以提供更強大的安全功能,以支持客戶在其云平臺和內部部署環(huán)境中的安全操作�����。
谷歌的“反應性”SIEM(來自Chronicle)和SOAR(來自Siemplify)技術與Mandiant的“主動”威脅情報和事件響應能力相結合��,為端到端安全操作套件注入了前所未有的活力�。
具體來說,Mandiant在事件響應方面的專業(yè)知識和資源在行業(yè)中是獨一無二的�����,使我們能夠更好地了解威脅情況��,并以以前無法做到的方式捕捉客戶基礎設施中的漏洞���。
當我們在2022年9月完成對Mandiant的收購時��,我們設定了期望�����,也就是將大力投資于可以幫助客戶降低風險的網絡安全產品��,并且在我們兩家公司合并后的短時間內���,我們已經按照這一愿景采取了行動���,發(fā)布了新的產品,例如為Chronicle提供Mandiant Breach Analytics和為谷歌云提供Mandiant Attack Surface Management���。
我們仍然堅定地致力于將安全操作民主化,并為各種規(guī)模和專業(yè)水平的企業(yè)提供更好的安全結果�,這些收購支持我們實現(xiàn)這一目標的能力。
你還有什么想補充的嗎?
Venables:在過去十年中���,有很多企業(yè)在網絡安全和安全產品上投入了大量資金���,但卻沒有升級其整體IT基礎設施,也沒有使軟件開發(fā)方法實現(xiàn)現(xiàn)代化���。
如果不持續(xù)關注IT現(xiàn)代化��,企業(yè)將無法充分實現(xiàn)安全進步的好處���。通過投資現(xiàn)代公有云環(huán)境��,企業(yè)可以更好地防范當今的威脅��。
在2023年到來之際��,我們給安全專業(yè)人士的最大建議是:通過投資現(xiàn)代公有云環(huán)境���,充分利用云計算所提供的服務。如果還沒有開始考慮現(xiàn)代化IT基礎設施�,那么現(xiàn)在就要開始。最后�,企業(yè)需要優(yōu)先建立可持續(xù)的、全面的���、適合企業(yè)需求的安全和風險計劃���。
閩公網安備 35010202001226號
