在本次專訪中,英偉達首席安全官DavidReber討論了其公司產品線的復雜性及其對安全的影響。他解釋了為什么英偉達復雜的硬件和軟件產品線需要多樣化的安全解決方案組合;強調了人工智能和機器學習在安全和數據保護方面的作用,并解釋了人工智能如何改變網絡安全。
Reber提出了一種“生態系統安全觀”,認為知識和信任在保護企業的網絡安全免受破壞方面發揮著至關重要的作用。
對話還闡明了數據保護和防止泄露之間的相互聯系,監控數據供應鏈以及客戶在安全體驗等方面的重要性。最后,Reber強調了創新的重要意義,以及安全團隊應該如何專注于促進創新,而非阻礙創新。
對話包括以下話題:
英偉達的產品線如何使安全問題復雜化?
英偉達如何管理安全風險?
人工智能和機器學習對安全和數據保護的影響是什么?
英偉達的安全生態系統是什么?為什么它如此重要?
為什么技術、教育和培訓對維護網絡安全至關重要?
人工智能如何讓安全成為數據問題?
如何保護分布式數據集?
直至你信任它,AI才能發展為自動化。
如何在安全和保護與員工生產力之間取得平衡?
在安全領域,客戶體驗意味著什么?
人工智能治理在安全計劃中的作用是什么?
英偉達如何將安全整合到產品開發中?
如何處理自主算法系統的負面后果?
為何安全漏洞如此頻繁地發生?
在人工智能和安全方面給業務領導者的建議
DavidReber是英偉達的首席安全官和產品安全主管。在加入英偉達之前,Reber曾在美國情報界擔任了十多年的高級參謀。他還曾擔任NutanixFrame和GovernmentCloudServices的高級安全總監。他的工作經歷覆蓋企業安全云服務架構、高級網絡戰、進攻性安全研究、全球企業安全、安全移動戰術通信和內部威脅等諸多領域。Reber持有賓夕法尼亞州立大學信息科學與技術學士學位。
采訪摘錄
MichaelKrigsman(主持人):今天,我們邀請到了英偉達的DavidReber與我們一起談論2023年的安全態勢,尤其是我們所生活的人工智能世界的安全態勢。
DavidReber:在加入英偉達之前,我曾在美國政府從事網絡防御工作,也曾在硅谷初創公司和其他一些領域工作過。如今,我是英偉達的首席安全官,主要負責保護英偉達、客戶以及員工的安全。
英偉達的產品線如何使安全問題復雜化?
MichaelKrigsman:英偉達擁有非常復雜的產品線,有硬件有軟件,那么這種復雜性對您的安全態勢或策略意味著什么?
DavidReber:在我之前的工作中,我要么是在一家云公司任職,所以只需要專注于云服務;要么是在一家軟件公司工作,只需要專注如何安全地交付軟件,而不涉及任何服務元素。
英偉達的復雜性在于,我們既要做硬件開發,還要考慮之后的交付和服務流程,思考如何運行它并保護我們的客戶數據。這是一套完全不同的技術和能力。我們要做的是研究采用不同安全方法的構建系統、后端系統、基礎設施的非常多樣化的組合。我們不能直接說,“這里有一個解決方案,可以滿足我們所有開發人員的安全需求。”
我們必須要有創意,必須創新不同的方式,讓我們所有的員工都能為我們公司和生態系統的安全做出貢獻。
英偉達如何管理安全風險?
MichaelKrigsman:您如何管理這個更大范圍內的多個安全解決方案?
DavidReber:我采用了深度和廣度的方法。我們在組織內部有安全專家,他們會試圖設置通用平臺,利用一套通用功能來支持我們的開發者生態系統。
然后,我們還在業務部門中部署了安全專家,與我們的開發人員一起幫助他們使用特定的解決方案集,或者幫助確保我們的硬件中有這些功能。我們會在整個虛擬安全團隊中分享這些經驗教訓,并幫助確保我們在所有不同的業務部門中分享這些經驗教訓,以便我們能夠覆蓋防御的深度和廣度。
人工智能和機器學習對安全和數據保護有什么影響?
MichaelKrigsman:在安全或數據保護方面,人工智能如何改變您的思維或影響您的思維和策略?
DavidReber:十年前或者更早,我們是一個“以網絡為中心”的安全模型。你會設置你的邊界,你會有這個網絡的UI/GUI中心。但隨著時間的推移,我們開始談論的是“以應用程序為中心”的安全性。思考如何保護這些應用程序?如何保護網絡中正在發生的事情?
你開始防止橫向移動。一旦威脅行為者進入你的網絡,你就開始防范。這就是“零信任”邊界開始在全球社區中活躍起來的地方。“零信任”這個術語源自我不想自然地信任我的網絡。
當我們審視人工智能時,它帶來了不同的動態,真正開始將我們轉向“以數據為中心”的安全模型。在一天結束的時候,我們需要能夠保護數據的位置、傳輸過程和使用時間。這確實推動了分布式數據和分布式安全的演變和創新。
它還引入了一種責任共擔(sharedresponsibility)模式,在這種模式下,你必須信任你的供應商和服務提供商。你必須開始學習如何信任云服務提供商不會丟失你的數據。這帶來了機密計算(confidentialcomputing)的進化,使得我們可以在處理過程中保護它。
但我們要關注的另一件事是數據移動的整個數據供應鏈不僅僅是在我的組織內部移動,而是這些數據從何而來。我怎么能相信它可以提供值得信賴的AI?
英偉達的安全生態系統是什么?為什么它如此重要?
MichaelKrigsman:這真的很有趣。所以說,數據供應鏈實際上是生態系統安全觀的一部分。聽起來,生態系統的觀點對您的戰略和思維非常重要。
DavidReber:確實,這種觀點讓我們所有人緊密團結在一起。我們有一個共同的目標,那就是對抗攻擊者,實現這一目標的唯一方法是隨著攻擊者不斷進化,防守也必須變得更好。這是“集體防御”的概念。
安全從來都不是獨善其身的事情。無論是從重大數據泄露事件還是各大新聞頭條中,我們都能清楚地看到這一點。每一個被入侵的云服務提供商都將影響到數十到數百個甚至數千個關聯客戶。這真的迫切需要我們所有人分享我們的知識,然后信任從別人那里得到的信息。
MichaelKrigsman:當每個參與者都有自己的關注和議程,并且他們可能并不完全一致時,您如何將玩家組成一個生態系統?您怎么管理這些參與者?
DavidReber:這關乎的并非客觀、見多識廣的安全專家每天都在做什么。更重要的是成千上萬的員工。他們每一個人都可能成為攻擊者進入這家公司的下一個切入口。
我們的目標是弄清楚我們如何提供信息,讓每個人在最需要的時候做出明智、安全的決定,無論是在他們點擊鏈接、查看釣魚郵件還是編寫代碼時。我們的目標是弄清楚如何以最快的速度將信息從安全團隊傳遞給這些人,這樣反饋循環就會很快。
但是,要做到這一點并不容易。這涉及到創新問題,我們如何看待他們需要做什么,然后才能給他們我們知道的信息,以幫助他們做出更好的決定。
我們仍然有標準的通用平臺,無論是做代碼掃描,還是做惡意軟件掃描,還是做審計記錄和監控。我們擁有這些恰好到位的能力,并使我們的多樣化生態系統得以實現。實際上,這是關于教育那些非安全專業人員的。他們雖是各自領域的專家,但我們如何幫助他們做出明智的決定?
MichaelKrigsman:您提到了“創新”這個詞。您能詳細說明一下它具體指的是什么嗎?
DavidReber:我們需要有創造力。創新是朝著一個目標一步步前進,并不斷迭代以找出最佳解決方案。
我認為我們的團隊應該幫助公司實現創新,而不是因為它不完美而阻止它。這就是我們尋找創新技術的地方,每天都有新技術出現,安全工具必須迎頭趕上,而不是等待。這是一個全行業的問題。我們如何幫助緩解這種情況,在周圍設置控制或其他方面,并使其自動化,使其成為部署過程的一部分,我們可以繼續找到獨特的方法?
然后我們回饋給我們的安全合作伙伴,我們社區內的安全供應商,“嘿,我們正在學習如何做,比如說,整個ML運維管道。在我們學習的過程中,我們將這些知識和我們的學習回饋給社區,進行集體防御。”
我們正在處理這些平臺從未處理過的海量數據集。當我們解決這些問題時,我們如何讓每個人都繼續前進,而不是讓“完美”成為阻礙前進的敵人?
MichaelKrigsman:您如何看待數據保護和防止數據泄露之間的區別?或者,對您來說,它們本質上是一樣的嗎?
DavidReber:我認為它們是高度相關聯的。作為一名攻擊者,你的目標是獲取信息或在這些東西中造成傷害。但一般來說,這種攻擊活動都是圍繞著這些數據。如果我把重點放在“以數據為中心”的安全模型上,就能更有效地防御這些漏洞。
如果我們假設某件事總有一天會發生,我們該如何做呢?這是一種“假定妥協(assumedbreach)”策略。整個行業已經朝著這個方向發展。我們如何確保當攻擊者侵入時,我們能盡快發現他們,我們有快速反應能力來處理它嗎?
更重要的是,我們如何確保完全發現并清理它們?攻擊者很可能會使用混淆技術,模糊偵察視線,以便橫向移動去訪問下一組數據。
我們還經常面臨的一件事是,作為一個生態系統,我們看到身份攻擊正在上升。你如何在“最小特權”原則下充分發揮開發者的創新能力,同時,確保如果他們及其帳戶成為入侵路徑,攻擊者只能獲得有限的訪問權限?
為什么技術、教育和培訓對維護網絡安全至關重要?
MichaelKrigsman:聽起來,你們的技術措施是與員工和生態系統參與者的教育和培訓相結合的,因為正如您所說,你們的任何一名員工都可能成為攻擊的潛在途徑。
DavidReber:網絡安全關乎的并非只有技術問題,而是人員、流程和技術的結合。我們不想要過分嚴格的流程,但我們需要足夠的流程。同時,還需要設置護欄,以確保你不會讓他們在做決定時受到傷害。
我曾經在面試中遇到很多做出過錯誤決定的人,他們的自信心都受到了不同程度的打擊,因為他們內心總認為“這是他們的錯”。所以,一個關鍵問題是,你如何確保能夠保護他們每天都能做出正確的決定(跨越人員、流程和技術),以實現這種創新文化?
MichaelKrigsman:那人工智能方面呢?你們是一家人工智能公司。這是否改變了您與安全性交互的本質?
DavidReber:在我看來,這是一種混合,在此之前,當你在處理開發任務時,你只要與開發人員、工程師打交道,他們負責構建解決方案。當你向數據科學家方向發展時,他們可能在這些領域非常專業,但他們不一定是底層網絡基礎設施或應用程序基礎設施方面的專家。
他們擅長數據科學。他們擅長使用工具并提取信息。我們需要確保我們有這些共同的平臺,讓他們可以專注于他們的獨特價值,專注于他們擅長的領域。保護基礎設施的其他部分的負擔由他們來承擔。
現在,獨特的挑戰是,當你開始談論數據和數據訪問時,你也需要參與其中。當數據科學家從數據中生成一個模型,你開始在生產中使用它時,整個訓練環境現在已經成為你生產基礎設施的一部分。
傳統上,你可以將開發環境分離出來。但是現在,那些訓練環境已經變成了生產環境。我們必須專注于保護它們免受一些新的威脅。我們開始看到數據中毒和其他類似的事情,你必須真正開始監控那些你本可以從網絡中隔離出來的東西。
人工智能如何讓安全成為數據問題?
MichaelKrigsman:人工智能在您的環境中引入了一套新的動態以及需要解決的新安全問題。
DavidReber:是的,我們開始遇到一些限制。我指的是巨大的數據集,規模一般在千兆字節的范圍內。傳統的安全處理工具無法處理這種規模的負載,因此必須從不同的角度考慮流程和技術。正如我之前所說的,爆炸半徑,你如何確保一旦出現問題,你能將它控制在你的基礎設施和產品的影響范圍內?
MichaelKrigsman:人工智能在幫助您解決這些問題、縮小爆炸半徑或以其他方式提供幫助方面發揮了什么作用?
DavidReber:我堅信安全問題比我們過去意識到的更像一個數據問題。我的意思是服務器、系統的數量,一切都在呈指數級增長,你必須能夠監控整個系統。你不能用警報和音量對人類進行線性縮放。你必須更聰明地工作,而不是更努力地工作。
實際上,我們試圖關注的是讓機器做它擅長的事情。提供這些信息,這樣你就可以利用這個人做他擅長的事情。
這就是我們使用人工智能技術來具體處理所有事情的地方,試圖突出那些最緊迫的挑戰,甚至只是可視化數據,以便我們的分析師可以開始研究不同的問題。后來,隨著openai人工智能項目ChatGPT的出現,人們開始關注如何開始使用它來提問。
如何保護分布式數據集?
MichaelKrigsman:這是一種信息的組合。您有員工需要的一般背景信息,例如,如何不成為網絡釣魚攻擊的受害者。但是您需要(我可以想象)近乎實時的信息來提供給那些試圖防御活躍和持續攻擊的安全人員。
DavidReber:沒錯。它著眼于我們如何推動它,將安全左移,既要主動又要被動地進行防御,并處理所有的遙測數據和信息。
除此之外,我們也開始看到其他機會。這是一個數據引力(datagravity)問題。如果我們要收集來自世界各地的日志,你不希望將它們集中運輸。隨著許多法律的出臺,你也不能這么做。你需要為客戶保持信息區域化。
現在的問題是,你如何在分布式數據集上進行防御,如何處理共享這些知識,這樣你的SOC團隊以及安全專家才能真正專注于現實的問題。
直至你信任它,AI才能發展為自動化。
MichaelKrigsman:那么像算法、透明度和隱私這樣的問題呢?這和您的工作有什么交集?
DavidReber:在我看來,只有你信任它,AI才能發展為自動化!真的,這一點很重要,還有你如何讓AI在做你需要的事情時保持透明度?你如何信任它?你如何向它的用戶承諾可信度并推動透明度?這就是我們關注可信任人工智能(trustworthyAI)的原因,人工智能倫理可以確保,我們如何傳遞這種信任以及這種透明度?
它真正與世界交匯的原因是,它不僅僅是關于它所訓練的數據和其中使用的算法。它同時也是整個底層基礎設施。這些數據從何而來?它是怎么通過我們的網絡的?這是一個關于溯源的對話。
同時,這些原語也是用于機密計算的。這是我們作為云服務提供商所做的事情。你如何讓人們信任你的工作?這就是我們要研究的。一種常見的認證解決方案是,我們可以證明這就是發生的事情。然后,作為客戶的你可以做出自己的決定。你可以根據信息決定它如何適合你的風險概況,而不是直接為客戶做決定。
如何在安全和保護與員工生產力之間取得平衡?
MichaelKrigsman:您如何確保持續的網絡安全是最重要的,但又不會影響員工的日常工作?
DavidReber:我們戰略的一部分就是,你必須關注良好的客戶體驗。想想如果你去商店,得到了一次非常糟糕的客戶體驗,那么你可能再也不會去那里了。
在網絡世界、IT世界乃至工程世界中,道理同樣如此。如果你有了一次糟糕的安全體驗,這就是影子IT開始出現的地方。它讓一切都變慢了。
我們所做的很多工作是了解客戶的問題是什么,他們喜歡如何工作,并在他們所處的位置滿足他們。有時,我們必須積極進取,為組織做出貢獻。但是很多事情都停留在初始階段,從我們需要保護的地方開始,以及我們如何合作?
好消息是,我們也看到了這個行業的轉折點。而且我們也已經實踐一段時間了。確保你的安全團隊要么站在開發人員的角度出發,要么知道如何編寫代碼,這樣他們就可以編寫代碼來幫助開發人員,成為解決方案的一部分。
之后,創建對話框,與業務領導者建立關系。然后,你就會看到轉變——從“哦,這是安全的”到“我如何確保我做對了呢?”
只有當你成為解決方案的一部分,而不是被安全團隊告知“你必須這樣做!”卻從未提供任何幫助時,你才能真正地、清晰地了解持續性網絡安全的重要性,并積極地參與其中。
我之前提到過深度和廣度的問題。我們在整個公司擁有廣泛的知識和專業人員,但我們也分配安全人員、架構師、工程師直接向那些工程團隊和工程經理匯報,這樣他們就可以在現場幫助我們,并弄清楚我們如何真正地向前推進這些步驟。
客戶體驗在安全領域意味著什么?
MichaelKrigsman:您剛才提到的安全需要良好的客戶體驗,您能詳細說明一下嗎?
DavidReber:這涉及的是一種服務心態。你可以做任何產品,但如果你的客戶不喜歡,他們就會離開。
當我們建立開發者生態系統、開發網站以及GPU時,我們試圖創造的是一個偉大的體驗,這樣開發者就可以很輕松地使用它們。帶著這種心態,當我們構建我公共平臺(比如我們的代碼掃描平臺)時,我們如何確保你可以輕松地集成,你有正確的文檔,你了解他們將如何使用產品?
客戶并非必須要選擇我們,他們有自主選擇權。即便是就安全而言,雖然它是必要的,但你并非唯一選擇。但當你有這樣的心態時,你就會去努力改變你的產品,讓它成為提供良好客戶體驗的不二之選。
其實,我們也會在自己的安全團隊里先進行體驗,我們永遠是自己產品的第一個客戶。我們一直專注于如何使用我們自己的技術來保護我們正在構建的技術,這樣我們就減少了與開發人員的摩擦。
MichaelKrigsman:您之前提到不要總是說“NO”,這聽起來像是在英偉達文化和您的生態系統文化中集成安全的基礎。
DavidReber:當你面對新的技術,以前沒有人做過的事情時,我們都在一起學習。沒有正確答案。
就人工智能來說,現在世界各地都在出臺監管規定。我們也在這條道路上繼續探索,只不過我們比別人先行一步而已。關于到底要怎么做,我們也不知道,所以我們需要一起學習。
在這個學習的旅程中,我們遇到的每個問題,甚至是安全人員遇到的最瘋狂的問題,我們都可以說“YES”,然后一起學習。我們知道,在在邁出第一步時,我們可以冒險,可以學習,可以失敗,來看看到底會發生什么。它讓我們作為一個安全團隊能夠繼續學習,看看我們需要做什么,開發人員繼續弄清楚他們要去哪里。然后,我們就可以進行下一步。
現在,隨著技術開始被定義,它有點像,“這是你的標準平臺。這是你的共性,”目標是確保你有基礎設施即代碼。你已經準備好了這些例子,所以你不需要再進行那些對話,你可以專注于下一件事。
我們都可以在業務中學習和創新。我們沒有理由在這場戰斗中落后,因為歸根結底,我們的目標是幫助解決世界上最困難的問題。如果你不前進,你就無法做到這一點。
人工智能治理在安全計劃中的作用是什么?
MichaelKrigsman:我們回到關于人工智能以及人工智能治理等問題的具體討論上,這類話題與您作為首席安全官的角色有什么交集?
DavidReber:正如我之前所說的,治理就是信任。我如何信任訓練模型的數據、算法和基礎設施,以及數據的來源?由誰發布,然后又由誰不斷更新?然后如何交付給客戶?
當你以這種方式看待問題時,它與標準的CICD系統(dev-ops管道)并沒有什么真正的不同。現在我們只討論數據管道。
作為一個安全團隊,我們可能不是給定模型的特定道德方面的專家,就像他們也未必是數據供應鏈領域的專家一樣。這就是我們存在交集的地方,所以我可以和那些道德專家、法律專家以及其他領域的專家們走到一起,討論并弄清楚需要保證在整個供應鏈中哪些信息是值得信賴的。
然后,我們安全團隊要做的就是弄清楚如何構建數據供應鏈,一直到我們的供應商,到我們對他們的合同要求,到他們需要實施的安全控制,這樣他們就可以相信自己得到的數據是準確的。這就是相互作用的地方,隨著值得信賴AI在生態系統中真正形成,我們深刻地參與了這種形成。
英偉達如何將安全整合到產品開發中?
MichaelKrigsman:那產品方面呢?英偉達一直在創造新的硬件、軟件和云服務。您是如何參與的?同樣地,產品開發、產品發布和安全團隊之間的交集是什么?
DavidReber:我關注的是產品安全性,產品本身的安全性。產品的部分工作是需要我們在幕后完成的,以確保我們有高質量的代碼,減少代碼中的錯誤。如果我們正在運行服務,我們如何記錄、監控和保護我們在客戶中運行的基礎設施。
我們的安全團隊始終專注于確保做了所有需要在幕后完成的事情。這是一種責任共擔的模式,所以我們有建筑師和工程師來確保我們對客戶是透明的。“我們在服務或產品中加入了這些功能,使您能夠使用我們提供的服務安全工作。您負責監控它,”就像任何云服務提供商所做的那樣。
“這是您的日志功能,這樣您就可以監控您的使用情況,”因為,在集體防御的世界里,我不知道對我們的客戶來說,什么是好用戶,什么是壞用戶。我想讓他們獲得成功所需的所有信息,同時在我們的層面上保護我們需要保護的東西。
作為一個產品安全組織,除了架構這些功能之外,我們還需要考慮如何加強我們需要控制和監控的內容,清楚地闡明客戶所做的事情和我們需要做的事情的信任模型。所以,當我們使用自己的產品時,我們也必須確保他們的使用安全。這就是我們需要確保我們在軟件和硬件中建立正確的東西,以實現集體防御。
MichaelKrigsman:在產品開發生命周期的哪個階段,安全開始成為與核心產品功能同等重要的基礎問題?
DavidReber:我們的目標始終是從頭開始構建安全性,所以我們確實參與到產品定義和產品團隊中。我們一直在深入了解客戶的問題集。他們需要什么樣的法規?他們需要哪些功能來保護他們的工作負載?
自此我們集成了整個生命周期,從設計一直到開發再到運營。然后一直到它作為一個產品退役,不再受支持。
我們看待這個問題的方式是,我們定義了正確的產品,構建了正確的產品,運行了正確的產品,然后,如果存在安全漏洞,我們如何做到透明地進行更新,并與客戶溝通。
MichaelKrigsman:今天的人工智能平臺、技術和科技如何改變網絡攻擊和防御的性質?
DavidReber:兩者都在加速。一般來說,攻擊者的劣勢在于規模。如何將自定義擴展到這些目標公司?有了ChatGPT這類技術的加持,攻擊者開始能夠創建讀起來非常有效的釣魚郵件。它在機器規模上加速了為組織定制攻擊載體的能力。
正如我之前談到的,在防御方面,它關乎我們如何處理數據,如何看待數據。我們如何確保機器在做它們最擅長的事情,這樣它們就可以給防御者提供信息。
MichaelKrigsman:既然人工智能是未來,它依賴于數據和算法,那么普通的非技術人員如何確保數據和算法沒有偏見,因為決策可能是基于人工智能的建議?
DavidReber:當我們審視值得信賴的人工智能時,我們的目標是透明度。你如何讓訓練過程透明化?我們對它了解多少?
作為預先訓練過模型的專家,我們知道什么?我們從哪里知道的?把這些信息呈現出來,這樣你才能做出決定。
這需要與不斷的測試,不斷的反饋相結合,讓人們知道這些知識,而不是像一個“黑匣子”,你不知道幕后是什么。只要你知道它告訴你什么,當你把它交給人類時,你就可以用這些信息和知識做出決定。當你知道它在那里,你可以努力讓它變得更好,我們可以一起努力讓它變得更好。
如何處理自主算法系統的負面后果?
MichaelKrigsman:我們該如何應對本質上自主的、算法的、數據驅動的系統,這些系統做出的決定會影響我們的生活,而另一端卻沒有人幫助我們糾正錯誤?
DavidReber:這是一個常見的問題,你創建了一個系統,可以真正幫助你更好地完成今天的工作。但是你并沒有圍繞著反饋循環、客戶服務或產品內的功能來進行整合。
我在很多不同的云服務中看到的,比如賬戶鎖定之類的,它們所做的是試圖保護你,并試圖將保護用戶作為第一優先事項。他們的第二優先級和下一優先級可能是如何盡快給你數據,告訴你這是為什么。
這就是為什么你需要人類參與。為什么會這樣?發生了什么事?那么,您如何以一種值得信賴的方式反饋信息,以便能夠(希望是自動)解鎖?
這是動態的,因為攻擊者一直在使用社會工程。他們甚至會試圖利用這一過程。你得讓人類參與進來。我們所做的(甚至在一些系統內部,比如供應商產品中的網絡AI選項)是能夠識別地理和可能的登錄。我們如何與SOC和幫助臺建立良好的反饋循環和客戶體驗,以便盡快解決問題?
MichaelKrigsman:網絡安全的根本困境是成本和不便是確定的、即時的,但收益是延遲的、不確定的。人工智能能幫上忙嗎?
DavidReber:傳統的組織安全模型是一種保險策略。我們想要投資多少,它的響應性如何?
我認為我們在不同的產品中看到的人工智能作用,尤其是在網絡世界中,是如何幫助更好地告知你應該在哪里投資?以及今年、明年以及未來會取得怎樣的進展?在您的企業中,每天都有成千上萬的漏洞出現。你怎么知道哪些是可以利用的?你怎么知道在哪里投資最多?
當你把信息交到決策者手中,人們開始根據信息修補漏洞。在此過程中,你將如何幫助他們?與其查看數百個缺少補丁的CVE,還不如關注那三個最有可能(在您的網絡環境和上下文中)成功的CVE。這就是如何平衡這些投資的關鍵。
此外,你如何改變企業文化,使其不再是一種保險政策,而是成為你和客戶之間共同防御的推動者?這是一種產品價值,也是你考慮這些投資的地方。
為什么安全漏洞經常發生?
MichaelKrigsman:組織進行了很多安全投資,但現在仍有很多安全漏洞。這是怎么回事呢?
DavidReber:防守方總是處于不利地位。攻擊者只需正確一次,而作為防守方的我們卻必須每次都是對的。
在擁有數萬甚至數十萬人的組織中,只需一人操作失誤或發生疏忽,就會造成毀滅性的后果。當你實際觀察大多數重大漏洞時就會發現,它們通常沒有那么復雜。攻擊者大多數時候并沒有利用一些高危漏洞來追蹤那些備受矚目的目標。只要有人點錯了鏈接,或者有人按了不該按的多因素鍵,攻擊者就能成功侵入目標組織,然后橫向移動以訪問更多資源。
不過,再看看你的問題,這需要我們所有人協同工作,提供信息,建立關系,但這樣做得結果就是,我們開始看到越來越多的供應鏈攻擊。一家公司被攻破,就會影響下一個,形成一種連鎖反應。
在公司之間建立這些關系,以便能夠共享信息,減少對我們共同客戶群的影響,這是我們需要關注的地方,也是我們作為一個社區真正需要投資的地方,這樣我們就可以幫助使它更安全。
在人工智能和安全方面給業務領導者的建議
MichaelKrigsman:正如您之前所言,在這個快速變化的世界中,人工智能正在加速一切,那么在管理安全方面,您對業務領導者有什么建議?
DavidReber:這關乎的是人的問題。從你的安全組織如何與業務領導者集成開始。你們是如何讓安全成為你們產品組合的一部分的?你還要確保了解你的客戶。當你開始研究這些關系時,可以推動您的安全組織成為開發解決方案的一部分。這有利于這種關系的形成。
每個人都在談論修復安全文化。它始于這些關系,理解雙方,并能夠做到這一點。
我想說的另一件事是,當我們進入人工智能的新世界時,確保你有一個清晰的供應鏈數據戰略。這是一個新的領域,你能否信任所有東西的來源(從軟件到數據),它是如何移動的,以及它是如何交付給客戶的。在你向人工智能發展的過程中,請確保優先考慮這一點。
MichaelKrigsman:這個觀點很有趣。擁有一個供應鏈安全戰略是決定安全成功與否的基礎。
DavidReber:沒錯,在過去的幾年里,我們已經在許多引人注目的違規和問題中驗證了這一點。這在整個行業中正變得越來越普遍。
了解你的供應商,能夠建立這些關系,即使你不是一家人工智能或數據公司,這也是很重要的。這對于今天的每個企業來說都很重要,而且隨著數據供應鏈的持續增長,這只會使情況更加復雜。
MichaelKrigsman:您強調了人的作用。那么就防御而言,技術發揮著什么作用?
DavidReber:你需要繼續使用并投資你的標準技術層和標準工具。人工智能不會取代這些良好的基礎。
通過一個良好的公共安全控制,從審計到監視再到加固和鎖定,將能奠定堅實的安全基礎。隨著時間的推移,這些技術將能繼續幫助我們分析所有的數據,從而做出更快速的決定。
我剛開始的工作任務,就是要讓每天做決定的人掌握信息。技術將幫助我們解決這個問題。了解他們在做什么,什么是最好的選擇,什么是風險最小的選擇,以及他們如何接近實時地得到這些信息,這就是技術將幫助我們的地方。
