在本次专访中,英伟达首席安全官DavidReber讨论了其公司产品线的复杂性及其对安全的影响。他解释了为什么英伟达复杂的硬件和软件产品线需要多样化的安全解决方案组合;强调了人工智能和机器学习在安全和数据保护方面的作用,并解释了人工智能如何改变网络安全。
Reber提出了一种“生态系统安全观”,认为知识和信任在保护企业的网络安全免受破坏方面发挥着至关重要的作用。
对话还阐明了数据保护和防止泄露之间的相互联系,监控数据供应链以及客户在安全体验等方面的重要性。最后,Reber强调了创新的重要意义,以及安全团队应该如何专注于促进创新,而非阻碍创新。
对话包括以下话题:
英伟达的产品线如何使安全问题复杂化?
英伟达如何管理安全风险?
人工智能和机器学习对安全和数据保护的影响是什么?
英伟达的安全生态系统是什么?为什么它如此重要?
为什么技术、教育和培训对维护网络安全至关重要?
人工智能如何让安全成为数据问题?
如何保护分布式数据集?
直至你信任它,AI才能发展为自动化。
如何在安全和保护与员工生产力之间取得平衡?
在安全领域,客户体验意味着什么?
人工智能治理在安全计划中的作用是什么?
英伟达如何将安全整合到产品开发中?
如何处理自主算法系统的负面后果?
为何安全漏洞如此频繁地发生?
在人工智能和安全方面给业务领导者的建议
DavidReber是英伟达的首席安全官和产品安全主管。在加入英伟达之前,Reber曾在美国情报界担任了十多年的高级参谋。他还曾担任NutanixFrame和GovernmentCloudServices的高级安全总监。他的工作经历覆盖企业安全云服务架构、高级网络战、进攻性安全研究、全球企业安全、安全移动战术通信和内部威胁等诸多领域。Reber持有宾夕法尼亚州立大学信息科学与技术学士学位。
采访摘录
MichaelKrigsman(主持人):今天,我们邀请到了英伟达的DavidReber与我们一起谈论2023年的安全态势,尤其是我们所生活的人工智能世界的安全态势。
DavidReber:在加入英伟达之前,我曾在美国政府从事网络防御工作,也曾在硅谷初创公司和其他一些领域工作过。如今,我是英伟达的首席安全官,主要负责保护英伟达、客户以及员工的安全。
英伟达的产品线如何使安全问题复杂化?
MichaelKrigsman:英伟达拥有非常复杂的产品线,有硬件有软件,那么这种复杂性对您的安全态势或策略意味着什么?
DavidReber:在我之前的工作中,我要么是在一家云公司任职,所以只需要专注于云服务;要么是在一家软件公司工作,只需要专注如何安全地交付软件,而不涉及任何服务元素。
英伟达的复杂性在于,我们既要做硬件开发,还要考虑之后的交付和服务流程,思考如何运行它并保护我们的客户数据。这是一套完全不同的技术和能力。我们要做的是研究采用不同安全方法的构建系统、后端系统、基础设施的非常多样化的组合。我们不能直接说,“这里有一个解决方案,可以满足我们所有开发人员的安全需求。”
我们必须要有创意,必须创新不同的方式,让我们所有的员工都能为我们公司和生态系统的安全做出贡献。
英伟达如何管理安全风险?
MichaelKrigsman:您如何管理这个更大范围内的多个安全解决方案?
DavidReber:我采用了深度和广度的方法。我们在组织内部有安全专家,他们会试图设置通用平台,利用一套通用功能来支持我们的开发者生态系统。
然后,我们还在业务部门中部署了安全专家,与我们的开发人员一起帮助他们使用特定的解决方案集,或者帮助确保我们的硬件中有这些功能。我们会在整个虚拟安全团队中分享这些经验教训,并帮助确保我们在所有不同的业务部门中分享这些经验教训,以便我们能够覆盖防御的深度和广度。
人工智能和机器学习对安全和数据保护有什么影响?
MichaelKrigsman:在安全或数据保护方面,人工智能如何改变您的思维或影响您的思维和策略?
DavidReber:十年前或者更早,我们是一个“以网络为中心”的安全模型。你会设置你的边界,你会有这个网络的UI/GUI中心。但随着时间的推移,我们开始谈论的是“以应用程序为中心”的安全性。思考如何保护这些应用程序?如何保护网络中正在发生的事情?
你开始防止横向移动。一旦威胁行为者进入你的网络,你就开始防范。这就是“零信任”边界开始在全球社区中活跃起来的地方。“零信任”这个术语源自我不想自然地信任我的网络。
当我们审视人工智能时,它带来了不同的动态,真正开始将我们转向“以数据为中心”的安全模型。在一天结束的时候,我们需要能够保护数据的位置、传输过程和使用时间。这确实推动了分布式数据和分布式安全的演变和创新。
它还引入了一种责任共担(sharedresponsibility)模式,在这种模式下,你必须信任你的供应商和服务提供商。你必须开始学习如何信任云服务提供商不会丢失你的数据。这带来了机密计算(confidentialcomputing)的进化,使得我们可以在处理过程中保护它。
但我们要关注的另一件事是数据移动的整个数据供应链不仅仅是在我的组织内部移动,而是这些数据从何而来。我怎么能相信它可以提供值得信赖的AI?
英伟达的安全生态系统是什么?为什么它如此重要?
MichaelKrigsman:这真的很有趣。所以说,数据供应链实际上是生态系统安全观的一部分。听起来,生态系统的观点对您的战略和思维非常重要。
DavidReber:确实,这种观点让我们所有人紧密团结在一起。我们有一个共同的目标,那就是对抗攻击者,实现这一目标的唯一方法是随着攻击者不断进化,防守也必须变得更好。这是“集体防御”的概念。
安全从来都不是独善其身的事情。无论是从重大数据泄露事件还是各大新闻头条中,我们都能清楚地看到这一点。每一个被入侵的云服务提供商都将影响到数十到数百个甚至数千个关联客户。这真的迫切需要我们所有人分享我们的知识,然后信任从别人那里得到的信息。
MichaelKrigsman:当每个参与者都有自己的关注和议程,并且他们可能并不完全一致时,您如何将玩家组成一个生态系统?您怎么管理这些参与者?
DavidReber:这关乎的并非客观、见多识广的安全专家每天都在做什么。更重要的是成千上万的员工。他们每一个人都可能成为攻击者进入这家公司的下一个切入口。
我们的目标是弄清楚我们如何提供信息,让每个人在最需要的时候做出明智、安全的决定,无论是在他们点击链接、查看钓鱼邮件还是编写代码时。我们的目标是弄清楚如何以最快的速度将信息从安全团队传递给这些人,这样反馈循环就会很快。
但是,要做到这一点并不容易。这涉及到创新问题,我们如何看待他们需要做什么,然后才能给他们我们知道的信息,以帮助他们做出更好的决定。
我们仍然有标准的通用平台,无论是做代码扫描,还是做恶意软件扫描,还是做审计记录和监控。我们拥有这些恰好到位的能力,并使我们的多样化生态系统得以实现。实际上,这是关于教育那些非安全专业人员的。他们虽是各自领域的专家,但我们如何帮助他们做出明智的决定?
MichaelKrigsman:您提到了“创新”这个词。您能详细说明一下它具体指的是什么吗?
DavidReber:我们需要有创造力。创新是朝着一个目标一步步前进,并不断迭代以找出最佳解决方案。
我认为我们的团队应该帮助公司实现创新,而不是因为它不完美而阻止它。这就是我们寻找创新技术的地方,每天都有新技术出现,安全工具必须迎头赶上,而不是等待。这是一个全行业的问题。我们如何帮助缓解这种情况,在周围设置控制或其他方面,并使其自动化,使其成为部署过程的一部分,我们可以继续找到独特的方法?
然后我们回馈给我们的安全合作伙伴,我们社区内的安全供应商,“嘿,我们正在学习如何做,比如说,整个ML运维管道。在我们学习的过程中,我们将这些知识和我们的学习回馈给社区,进行集体防御。”
我们正在处理这些平台从未处理过的海量数据集。当我们解决这些问题时,我们如何让每个人都继续前进,而不是让“完美”成为阻碍前进的敌人?
MichaelKrigsman:您如何看待数据保护和防止数据泄露之间的区别?或者,对您来说,它们本质上是一样的吗?
DavidReber:我认为它们是高度相关联的。作为一名攻击者,你的目标是获取信息或在这些东西中造成伤害。但一般来说,这种攻击活动都是围绕着这些数据。如果我把重点放在“以数据为中心”的安全模型上,就能更有效地防御这些漏洞。
如果我们假设某件事总有一天会发生,我们该如何做呢?这是一种“假定妥协(assumedbreach)”策略。整个行业已经朝着这个方向发展。我们如何确保当攻击者侵入时,我们能尽快发现他们,我们有快速反应能力来处理它吗?
更重要的是,我们如何确保完全发现并清理它们?攻击者很可能会使用混淆技术,模糊侦察视线,以便横向移动去访问下一组数据。
我们还经常面临的一件事是,作为一个生态系统,我们看到身份攻击正在上升。你如何在“最小特权”原则下充分发挥开发者的创新能力,同时,确保如果他们及其帐户成为入侵路径,攻击者只能获得有限的访问权限?
为什么技术、教育和培训对维护网络安全至关重要?
MichaelKrigsman:听起来,你们的技术措施是与员工和生态系统参与者的教育和培训相结合的,因为正如您所说,你们的任何一名员工都可能成为攻击的潜在途径。
DavidReber:网络安全关乎的并非只有技术问题,而是人员、流程和技术的结合。我们不想要过分严格的流程,但我们需要足够的流程。同时,还需要设置护栏,以确保你不会让他们在做决定时受到伤害。
我曾经在面试中遇到很多做出过错误决定的人,他们的自信心都受到了不同程度的打击,因为他们内心总认为“这是他们的错”。所以,一个关键问题是,你如何确保能够保护他们每天都能做出正确的决定(跨越人员、流程和技术),以实现这种创新文化?
MichaelKrigsman:那人工智能方面呢?你们是一家人工智能公司。这是否改变了您与安全性交互的本质?
DavidReber:在我看来,这是一种混合,在此之前,当你在处理开发任务时,你只要与开发人员、工程师打交道,他们负责构建解决方案。当你向数据科学家方向发展时,他们可能在这些领域非常专业,但他们不一定是底层网络基础设施或应用程序基础设施方面的专家。
他们擅长数据科学。他们擅长使用工具并提取信息。我们需要确保我们有这些共同的平台,让他们可以专注于他们的独特价值,专注于他们擅长的领域。保护基础设施的其他部分的负担由他们来承担。
现在,独特的挑战是,当你开始谈论数据和数据访问时,你也需要参与其中。当数据科学家从数据中生成一个模型,你开始在生产中使用它时,整个训练环境现在已经成为你生产基础设施的一部分。
传统上,你可以将开发环境分离出来。但是现在,那些训练环境已经变成了生产环境。我们必须专注于保护它们免受一些新的威胁。我们开始看到数据中毒和其他类似的事情,你必须真正开始监控那些你本可以从网络中隔离出来的东西。
人工智能如何让安全成为数据问题?
MichaelKrigsman:人工智能在您的环境中引入了一套新的动态以及需要解决的新安全问题。
DavidReber:是的,我们开始遇到一些限制。我指的是巨大的数据集,规模一般在千兆字节的范围内。传统的安全处理工具无法处理这种规模的负载,因此必须从不同的角度考虑流程和技术。正如我之前所说的,爆炸半径,你如何确保一旦出现问题,你能将它控制在你的基础设施和产品的影响范围内?
MichaelKrigsman:人工智能在帮助您解决这些问题、缩小爆炸半径或以其他方式提供帮助方面发挥了什么作用?
DavidReber:我坚信安全问题比我们过去意识到的更像一个数据问题。我的意思是服务器、系统的数量,一切都在呈指数级增长,你必须能够监控整个系统。你不能用警报和音量对人类进行线性缩放。你必须更聪明地工作,而不是更努力地工作。
实际上,我们试图关注的是让机器做它擅长的事情。提供这些信息,这样你就可以利用这个人做他擅长的事情。
这就是我们使用人工智能技术来具体处理所有事情的地方,试图突出那些最紧迫的挑战,甚至只是可视化数据,以便我们的分析师可以开始研究不同的问题。后来,随着openai人工智能项目ChatGPT的出现,人们开始关注如何开始使用它来提问。
如何保护分布式数据集?
MichaelKrigsman:这是一种信息的组合。您有员工需要的一般背景信息,例如,如何不成为网络钓鱼攻击的受害者。但是您需要(我可以想象)近乎实时的信息来提供给那些试图防御活跃和持续攻击的安全人员。
DavidReber:没错。它着眼于我们如何推动它,将安全左移,既要主动又要被动地进行防御,并处理所有的遥测数据和信息。
除此之外,我们也开始看到其他机会。这是一个数据引力(datagravity)问题。如果我们要收集来自世界各地的日志,你不希望将它们集中运输。随着许多法律的出台,你也不能这么做。你需要为客户保持信息区域化。
现在的问题是,你如何在分布式数据集上进行防御,如何处理共享这些知识,这样你的SOC团队以及安全专家才能真正专注于现实的问题。
直至你信任它,AI才能发展为自动化。
MichaelKrigsman:那么像算法、透明度和隐私这样的问题呢?这和您的工作有什么交集?
DavidReber:在我看来,只有你信任它,AI才能发展为自动化!真的,这一点很重要,还有你如何让AI在做你需要的事情时保持透明度?你如何信任它?你如何向它的用户承诺可信度并推动透明度?这就是我们关注可信任人工智能(trustworthyAI)的原因,人工智能伦理可以确保,我们如何传递这种信任以及这种透明度?
它真正与世界交汇的原因是,它不仅仅是关于它所训练的数据和其中使用的算法。它同时也是整个底层基础设施。这些数据从何而来?它是怎么通过我们的网络的?这是一个关于溯源的对话。
同时,这些原语也是用于机密计算的。这是我们作为云服务提供商所做的事情。你如何让人们信任你的工作?这就是我们要研究的。一种常见的认证解决方案是,我们可以证明这就是发生的事情。然后,作为客户的你可以做出自己的决定。你可以根据信息决定它如何适合你的风险概况,而不是直接为客户做决定。
如何在安全和保护与员工生产力之间取得平衡?
MichaelKrigsman:您如何确保持续的网络安全是最重要的,但又不会影响员工的日常工作?
DavidReber:我们战略的一部分就是,你必须关注良好的客户体验。想想如果你去商店,得到了一次非常糟糕的客户体验,那么你可能再也不会去那里了。
在网络世界、IT世界乃至工程世界中,道理同样如此。如果你有了一次糟糕的安全体验,这就是影子IT开始出现的地方。它让一切都变慢了。
我们所做的很多工作是了解客户的问题是什么,他们喜欢如何工作,并在他们所处的位置满足他们。有时,我们必须积极进取,为组织做出贡献。但是很多事情都停留在初始阶段,从我们需要保护的地方开始,以及我们如何合作?
好消息是,我们也看到了这个行业的转折点。而且我们也已经实践一段时间了。确保你的安全团队要么站在开发人员的角度出发,要么知道如何编写代码,这样他们就可以编写代码来帮助开发人员,成为解决方案的一部分。
之后,创建对话框,与业务领导者建立关系。然后,你就会看到转变——从“哦,这是安全的”到“我如何确保我做对了呢?”
只有当你成为解决方案的一部分,而不是被安全团队告知“你必须这样做!”却从未提供任何帮助时,你才能真正地、清晰地了解持续性网络安全的重要性,并积极地参与其中。
我之前提到过深度和广度的问题。我们在整个公司拥有广泛的知识和专业人员,但我们也分配安全人员、架构师、工程师直接向那些工程团队和工程经理汇报,这样他们就可以在现场帮助我们,并弄清楚我们如何真正地向前推进这些步骤。
客户体验在安全领域意味着什么?
MichaelKrigsman:您刚才提到的安全需要良好的客户体验,您能详细说明一下吗?
DavidReber:这涉及的是一种服务心态。你可以做任何产品,但如果你的客户不喜欢,他们就会离开。
当我们建立开发者生态系统、开发网站以及GPU时,我们试图创造的是一个伟大的体验,这样开发者就可以很轻松地使用它们。带着这种心态,当我们构建我公共平台(比如我们的代码扫描平台)时,我们如何确保你可以轻松地集成,你有正确的文档,你了解他们将如何使用产品?
客户并非必须要选择我们,他们有自主选择权。即便是就安全而言,虽然它是必要的,但你并非唯一选择。但当你有这样的心态时,你就会去努力改变你的产品,让它成为提供良好客户体验的不二之选。
其实,我们也会在自己的安全团队里先进行体验,我们永远是自己产品的第一个客户。我们一直专注于如何使用我们自己的技术来保护我们正在构建的技术,这样我们就减少了与开发人员的摩擦。
MichaelKrigsman:您之前提到不要总是说“NO”,这听起来像是在英伟达文化和您的生态系统文化中集成安全的基础。
DavidReber:当你面对新的技术,以前没有人做过的事情时,我们都在一起学习。没有正确答案。
就人工智能来说,现在世界各地都在出台监管规定。我们也在这条道路上继续探索,只不过我们比别人先行一步而已。关于到底要怎么做,我们也不知道,所以我们需要一起学习。
在这个学习的旅程中,我们遇到的每个问题,甚至是安全人员遇到的最疯狂的问题,我们都可以说“YES”,然后一起学习。我们知道,在在迈出第一步时,我们可以冒险,可以学习,可以失败,来看看到底会发生什么。它让我们作为一个安全团队能够继续学习,看看我们需要做什么,开发人员继续弄清楚他们要去哪里。然后,我们就可以进行下一步。
现在,随着技术开始被定义,它有点像,“这是你的标准平台。这是你的共性,”目标是确保你有基础设施即代码。你已经准备好了这些例子,所以你不需要再进行那些对话,你可以专注于下一件事。
我们都可以在业务中学习和创新。我们没有理由在这场战斗中落后,因为归根结底,我们的目标是帮助解决世界上最困难的问题。如果你不前进,你就无法做到这一点。
人工智能治理在安全计划中的作用是什么?
MichaelKrigsman:我们回到关于人工智能以及人工智能治理等问题的具体讨论上,这类话题与您作为首席安全官的角色有什么交集?
DavidReber:正如我之前所说的,治理就是信任。我如何信任训练模型的数据、算法和基础设施,以及数据的来源?由谁发布,然后又由谁不断更新?然后如何交付给客户?
当你以这种方式看待问题时,它与标准的CICD系统(dev-ops管道)并没有什么真正的不同。现在我们只讨论数据管道。
作为一个安全团队,我们可能不是给定模型的特定道德方面的专家,就像他们也未必是数据供应链领域的专家一样。这就是我们存在交集的地方,所以我可以和那些道德专家、法律专家以及其他领域的专家们走到一起,讨论并弄清楚需要保证在整个供应链中哪些信息是值得信赖的。
然后,我们安全团队要做的就是弄清楚如何构建数据供应链,一直到我们的供应商,到我们对他们的合同要求,到他们需要实施的安全控制,这样他们就可以相信自己得到的数据是准确的。这就是相互作用的地方,随着值得信赖AI在生态系统中真正形成,我们深刻地参与了这种形成。
英伟达如何将安全整合到产品开发中?
MichaelKrigsman:那产品方面呢?英伟达一直在创造新的硬件、软件和云服务。您是如何参与的?同样地,产品开发、产品发布和安全团队之间的交集是什么?
DavidReber:我关注的是产品安全性,产品本身的安全性。产品的部分工作是需要我们在幕后完成的,以确保我们有高质量的代码,减少代码中的错误。如果我们正在运行服务,我们如何记录、监控和保护我们在客户中运行的基础设施。
我们的安全团队始终专注于确保做了所有需要在幕后完成的事情。这是一种责任共担的模式,所以我们有建筑师和工程师来确保我们对客户是透明的。“我们在服务或产品中加入了这些功能,使您能够使用我们提供的服务安全工作。您负责监控它,”就像任何云服务提供商所做的那样。
“这是您的日志功能,这样您就可以监控您的使用情况,”因为,在集体防御的世界里,我不知道对我们的客户来说,什么是好用户,什么是坏用户。我想让他们获得成功所需的所有信息,同时在我们的层面上保护我们需要保护的东西。
作为一个产品安全组织,除了架构这些功能之外,我们还需要考虑如何加强我们需要控制和监控的内容,清楚地阐明客户所做的事情和我们需要做的事情的信任模型。所以,当我们使用自己的产品时,我们也必须确保他们的使用安全。这就是我们需要确保我们在软件和硬件中建立正确的东西,以实现集体防御。
MichaelKrigsman:在产品开发生命周期的哪个阶段,安全开始成为与核心产品功能同等重要的基础问题?
DavidReber:我们的目标始终是从头开始构建安全性,所以我们确实参与到产品定义和产品团队中。我们一直在深入了解客户的问题集。他们需要什么样的法规?他们需要哪些功能来保护他们的工作负载?
自此我们集成了整个生命周期,从设计一直到开发再到运营。然后一直到它作为一个产品退役,不再受支持。
我们看待这个问题的方式是,我们定义了正确的产品,构建了正确的产品,运行了正确的产品,然后,如果存在安全漏洞,我们如何做到透明地进行更新,并与客户沟通。
MichaelKrigsman:今天的人工智能平台、技术和科技如何改变网络攻击和防御的性质?
DavidReber:两者都在加速。一般来说,攻击者的劣势在于规模。如何将自定义扩展到这些目标公司?有了ChatGPT这类技术的加持,攻击者开始能够创建读起来非常有效的钓鱼邮件。它在机器规模上加速了为组织定制攻击载体的能力。
正如我之前谈到的,在防御方面,它关乎我们如何处理数据,如何看待数据。我们如何确保机器在做它们最擅长的事情,这样它们就可以给防御者提供信息。
MichaelKrigsman:既然人工智能是未来,它依赖于数据和算法,那么普通的非技术人员如何确保数据和算法没有偏见,因为决策可能是基于人工智能的建议?
DavidReber:当我们审视值得信赖的人工智能时,我们的目标是透明度。你如何让训练过程透明化?我们对它了解多少?
作为预先训练过模型的专家,我们知道什么?我们从哪里知道的?把这些信息呈现出来,这样你才能做出决定。
这需要与不断的测试,不断的反馈相结合,让人们知道这些知识,而不是像一个“黑匣子”,你不知道幕后是什么。只要你知道它告诉你什么,当你把它交给人类时,你就可以用这些信息和知识做出决定。当你知道它在那里,你可以努力让它变得更好,我们可以一起努力让它变得更好。
如何处理自主算法系统的负面后果?
MichaelKrigsman:我们该如何应对本质上自主的、算法的、数据驱动的系统,这些系统做出的决定会影响我们的生活,而另一端却没有人帮助我们纠正错误?
DavidReber:这是一个常见的问题,你创建了一个系统,可以真正帮助你更好地完成今天的工作。但是你并没有围绕着反馈循环、客户服务或产品内的功能来进行整合。
我在很多不同的云服务中看到的,比如账户锁定之类的,它们所做的是试图保护你,并试图将保护用户作为第一优先事项。他们的第二优先级和下一优先级可能是如何尽快给你数据,告诉你这是为什么。
这就是为什么你需要人类参与。为什么会这样?发生了什么事?那么,您如何以一种值得信赖的方式反馈信息,以便能够(希望是自动)解锁?
这是动态的,因为攻击者一直在使用社会工程。他们甚至会试图利用这一过程。你得让人类参与进来。我们所做的(甚至在一些系统内部,比如供应商产品中的网络AI选项)是能够识别地理和可能的登录。我们如何与SOC和帮助台建立良好的反馈循环和客户体验,以便尽快解决问题?
MichaelKrigsman:网络安全的根本困境是成本和不便是确定的、即时的,但收益是延迟的、不确定的。人工智能能帮上忙吗?
DavidReber:传统的组织安全模型是一种保险策略。我们想要投资多少,它的响应性如何?
我认为我们在不同的产品中看到的人工智能作用,尤其是在网络世界中,是如何帮助更好地告知你应该在哪里投资?以及今年、明年以及未来会取得怎样的进展?在您的企业中,每天都有成千上万的漏洞出现。你怎么知道哪些是可以利用的?你怎么知道在哪里投资最多?
当你把信息交到决策者手中,人们开始根据信息修补漏洞。在此过程中,你将如何帮助他们?与其查看数百个缺少补丁的CVE,还不如关注那三个最有可能(在您的网络环境和上下文中)成功的CVE。这就是如何平衡这些投资的关键。
此外,你如何改变企业文化,使其不再是一种保险政策,而是成为你和客户之间共同防御的推动者?这是一种产品价值,也是你考虑这些投资的地方。
为什么安全漏洞经常发生?
MichaelKrigsman:组织进行了很多安全投资,但现在仍有很多安全漏洞。这是怎么回事呢?
DavidReber:防守方总是处于不利地位。攻击者只需正确一次,而作为防守方的我们却必须每次都是对的。
在拥有数万甚至数十万人的组织中,只需一人操作失误或发生疏忽,就会造成毁灭性的后果。当你实际观察大多数重大漏洞时就会发现,它们通常没有那么复杂。攻击者大多数时候并没有利用一些高危漏洞来追踪那些备受瞩目的目标。只要有人点错了链接,或者有人按了不该按的多因素键,攻击者就能成功侵入目标组织,然后横向移动以访问更多资源。
不过,再看看你的问题,这需要我们所有人协同工作,提供信息,建立关系,但这样做得结果就是,我们开始看到越来越多的供应链攻击。一家公司被攻破,就会影响下一个,形成一种连锁反应。
在公司之间建立这些关系,以便能够共享信息,减少对我们共同客户群的影响,这是我们需要关注的地方,也是我们作为一个社区真正需要投资的地方,这样我们就可以帮助使它更安全。
在人工智能和安全方面给业务领导者的建议
MichaelKrigsman:正如您之前所言,在这个快速变化的世界中,人工智能正在加速一切,那么在管理安全方面,您对业务领导者有什么建议?
DavidReber:这关乎的是人的问题。从你的安全组织如何与业务领导者集成开始。你们是如何让安全成为你们产品组合的一部分的?你还要确保了解你的客户。当你开始研究这些关系时,可以推动您的安全组织成为开发解决方案的一部分。这有利于这种关系的形成。
每个人都在谈论修复安全文化。它始于这些关系,理解双方,并能够做到这一点。
我想说的另一件事是,当我们进入人工智能的新世界时,确保你有一个清晰的供应链数据战略。这是一个新的领域,你能否信任所有东西的来源(从软件到数据),它是如何移动的,以及它是如何交付给客户的。在你向人工智能发展的过程中,请确保优先考虑这一点。
MichaelKrigsman:这个观点很有趣。拥有一个供应链安全战略是决定安全成功与否的基础。
DavidReber:没错,在过去的几年里,我们已经在许多引人注目的违规和问题中验证了这一点。这在整个行业中正变得越来越普遍。
了解你的供应商,能够建立这些关系,即使你不是一家人工智能或数据公司,这也是很重要的。这对于今天的每个企业来说都很重要,而且随着数据供应链的持续增长,这只会使情况更加复杂。
MichaelKrigsman:您强调了人的作用。那么就防御而言,技术发挥着什么作用?
DavidReber:你需要继续使用并投资你的标准技术层和标准工具。人工智能不会取代这些良好的基础。
通过一个良好的公共安全控制,从审计到监视再到加固和锁定,将能奠定坚实的安全基础。随着时间的推移,这些技术将能继续帮助我们分析所有的数据,从而做出更快速的决定。
我刚开始的工作任务,就是要让每天做决定的人掌握信息。技术将帮助我们解决这个问题。了解他们在做什么,什么是最好的选择,什么是风险最小的选择,以及他们如何接近实时地得到这些信息,这就是技术将帮助我们的地方。
