VentureBeat近期與沃爾瑪執(zhí)行副總裁兼首席信息安全官Jerry R. Geisler III進(jìn)行了線上交流，以深入了解隨著AI日益自主化，這家全球最大零售商所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。
　　
　　我們探討了自主式AI系統(tǒng)的安全防護(hù)、身份管理的現(xiàn)代化，以及從構(gòu)建沃爾瑪?shù)募惺紸I平臺Element AI中所汲取的關(guān)鍵經(jīng)驗。Geisler以坦誠且新穎的視角，闡述了公司如何應(yīng)對前所未有的安全挑戰(zhàn)，包括抵御AI增強(qiáng)的網(wǎng)絡(luò)威脅，以及在龐大的混合多云基礎(chǔ)設(shè)施中管理安全。他以初創(chuàng)企業(yè)的思維模式重建身份和訪問管理系統(tǒng)，為各種規(guī)模的企業(yè)提供了寶貴經(jīng)驗。
　　
　　Geisler在谷歌云、Azure和私有云環(huán)境下，領(lǐng)導(dǎo)著一家與沃爾瑪規(guī)模相當(dāng)?shù)墓镜陌踩ぷ鳎瑢?shí)施零信任架構(gòu)和構(gòu)建他所謂的“治理下的速度”有著獨(dú)到的見解，能夠在可信賴的安全框架內(nèi)實(shí)現(xiàn)AI的快速創(chuàng)新。在開發(fā)Element AI時所做的架構(gòu)決策，塑造了沃爾瑪集中新興AI技術(shù)的整體方法。
　　
　　VentureBeat：隨著生成式和自主式AI日益自主化，你們現(xiàn)有的治理和安全保障措施將如何演變，以應(yīng)對新出現(xiàn)的威脅和意外的模型行為?
　　
　　Jerry R. Geisler III：自主式AI的采用帶來了全新的安全威脅，這些威脅繞過了傳統(tǒng)控制手段，這些風(fēng)險包括數(shù)據(jù)泄露、API的自主濫用以及智能體間的隱蔽串通，這些都可能擾亂企業(yè)運(yùn)營或違反監(jiān)管規(guī)定。我們的策略是利用先進(jìn)的AI安全態(tài)勢管理(AI-SPM)構(gòu)建強(qiáng)大、主動的安全控制，確保持續(xù)的風(fēng)險監(jiān)控、數(shù)據(jù)保護(hù)、合規(guī)監(jiān)管和運(yùn)營信任。
　　
　　VB：鑒于傳統(tǒng)基于角色的訪問控制(RBAC)在動態(tài)AI環(huán)境中的局限性，沃爾瑪如何改進(jìn)其身份管理和零信任架構(gòu)，以提供精細(xì)、上下文敏感的數(shù)據(jù)訪問?
　　
　　Geisler：我們這種規(guī)模的企業(yè)需要量身定制的方法，有趣的是，這需要一種初創(chuàng)企業(yè)的思維模式。我們的團(tuán)隊經(jīng)常退后一步，思考：“如果我們是一家新公司，從零開始構(gòu)建，我們會怎么做?”身份與訪問管理(IAM)在過去30多年里經(jīng)歷了多次迭代，我們的主要關(guān)注點(diǎn)是如何現(xiàn)代化我們的IAM架構(gòu)以簡化其復(fù)雜性。雖然與零信任相關(guān)但又有所不同，我們的最小權(quán)限原則不會改變。
　　
　　MCP和A2A等協(xié)議的重大演進(jìn)和采用讓我們備受鼓舞，因為它們認(rèn)識到了我們面臨的安全挑戰(zhàn)，并正在積極實(shí)施精細(xì)、上下文敏感的訪問控制，這些協(xié)議利用短期、可驗證的憑證，根據(jù)身份、數(shù)據(jù)敏感性和風(fēng)險做出實(shí)時訪問決策，這確保了每個智能體、工具和請求都得到持續(xù)評估，體現(xiàn)了零信任的原則。
　　
　　VB：沃爾瑪廣泛的混合多云基礎(chǔ)設(shè)施(谷歌、Azure、私有云)如何影響你針對AI工作負(fù)載的零信任網(wǎng)絡(luò)分段和微分段方法?
　　
　　Geisler：分段基于身份而非網(wǎng)絡(luò)位置，訪問策略在云和本地環(huán)境中始終跟隨工作負(fù)載。隨著MCP和A2A等協(xié)議的進(jìn)步，服務(wù)邊緣執(zhí)行正變得標(biāo)準(zhǔn)化，確保零信任原則得到統(tǒng)一應(yīng)用。
　　
　　VB：隨著AI降低了高級威脅(如復(fù)雜網(wǎng)絡(luò)釣魚)的門檻，沃爾瑪正在積極部署哪些AI驅(qū)動的防御措施，以主動檢測和緩解這些不斷演變的威脅?
　　
　　Geisler：在沃爾瑪，我們高度關(guān)注如何領(lǐng)先于威脅曲線，隨著AI重塑網(wǎng)絡(luò)安全格局，這一點(diǎn)尤為重要，對手越來越多地使用GenAI來策劃極具說服力的網(wǎng)絡(luò)釣魚活動，但我們在對手模擬活動中也利用了同類技術(shù)，以主動構(gòu)建針對該攻擊向量的彈性。
　　
　　我們在整個安全架構(gòu)中集成了先進(jìn)的機(jī)器學(xué)習(xí)模型，以識別行為異常和檢測網(wǎng)絡(luò)釣魚嘗試。除了檢測之外，我們還主動使用GenAI來模擬攻擊場景，并通過大規(guī)模將其作為我們紅隊演練的一部分，對我們的防御進(jìn)行壓力測試。
　　
　　通過將人員和技術(shù)以這種方式結(jié)合，我們幫助確保員工和客戶在數(shù)字環(huán)境不斷演變的過程中得到保護(hù)。
　　
　　VB：鑒于沃爾瑪在Element AI中廣泛使用開源AI模型，你發(fā)現(xiàn)了哪些獨(dú)特的網(wǎng)絡(luò)安全挑戰(zhàn)，以及你的安全策略將如何演變以在企業(yè)范圍內(nèi)應(yīng)對這些挑戰(zhàn)?
　　
　　Geisler：分段基于身份而非網(wǎng)絡(luò)位置。訪問策略在云和本地環(huán)境中始終跟隨工作負(fù)載。隨著MCP和A2A等協(xié)議的進(jìn)步，服務(wù)邊緣執(zhí)行正變得標(biāo)準(zhǔn)化，確保零信任原則得到統(tǒng)一應(yīng)用。
　　
　　VB：考慮到沃爾瑪?shù)囊?guī)模和持續(xù)運(yùn)營，你正在實(shí)施哪些先進(jìn)的自動化或快速響應(yīng)措施，以管理全球基礎(chǔ)設(shè)施中同時發(fā)生的網(wǎng)絡(luò)安全事件?
　　
　　Geisler：在沃爾瑪這樣規(guī)模的企業(yè)中運(yùn)營，意味著安全必須既快速又無摩擦。為了實(shí)現(xiàn)這一點(diǎn)，我們在事件響應(yīng)計劃的各個層面嵌入了智能自動化。我們使用安全編排、自動化和響應(yīng)(SOAR)平臺，協(xié)調(diào)跨地域的快速響應(yīng)工作流程。這使我們能夠迅速遏制威脅。
　　
　　我們還廣泛應(yīng)用自動化來持續(xù)評估風(fēng)險，并根據(jù)風(fēng)險確定響應(yīng)行動的優(yōu)先級。這使我們能夠?qū)①Y源集中在最關(guān)鍵的地方。
　　
　　通過將有才華的員工與快速自動化和上下文相結(jié)合，幫助我們快速做出決策，我們能夠履行對沃爾瑪提供快速且大規(guī)模安全的承諾。
　　
　　VB：沃爾瑪正在采取哪些舉措或戰(zhàn)略變革，以吸引、培訓(xùn)和留住具備應(yīng)對快速演變的AI和威脅格局能力的網(wǎng)絡(luò)安全人才?
　　
　　Geisler：我們的“Live Better U(LBU)”計劃提供低成本或無成本的教育，使員工能夠攻讀網(wǎng)絡(luò)安全和相關(guān)IT領(lǐng)域的學(xué)位和認(rèn)證，使各種背景的員工都更容易提升技能。課程旨在提供直接適用于沃爾瑪信息安全需求的實(shí)踐技能。
　　
　　我們每年舉辦SparkCon(前身為Sp4rkCon)活動，與知名專業(yè)人士協(xié)調(diào)舉辦講座和問答環(huán)節(jié)，分享智慧和經(jīng)過驗證的策略。該活動還探討網(wǎng)絡(luò)安全的最新趨勢、技術(shù)、威脅，同時為與會者提供建立有價值關(guān)系以進(jìn)一步發(fā)展職業(yè)生涯的機(jī)會。
　　
　　VB：回顧你開發(fā)Element AI的經(jīng)驗，在決定何時以及如何廣泛集中新興AI技術(shù)方面，出現(xiàn)了哪些關(guān)鍵的網(wǎng)絡(luò)安全或架構(gòu)經(jīng)驗教訓(xùn)，將指導(dǎo)你未來的決策?
　　
　　Geisler：這是一個關(guān)鍵問題，因為我們今天的架構(gòu)選擇將決定未來幾年的風(fēng)險態(tài)勢。回顧我們開發(fā)集中式AI平臺的經(jīng)驗，我們得出了兩大關(guān)鍵經(jīng)驗教訓(xùn)，這些經(jīng)驗教訓(xùn)現(xiàn)在指導(dǎo)著我們的戰(zhàn)略。
　　
　　首先，我們認(rèn)識到集中化是“治理下的速度”的強(qiáng)大推動力。通過為AI開發(fā)創(chuàng)建一條單一、暢通的道路，我們大大降低了數(shù)據(jù)科學(xué)家的復(fù)雜性。更重要的是，從安全角度來看，它為我們提供了一個統(tǒng)一的控制平面。我們可以從一開始就嵌入安全措施，確保數(shù)據(jù)處理、模型審查和輸出監(jiān)控的一致性，它允許在可信的框架內(nèi)快速創(chuàng)新。
　　
　　其次，它實(shí)現(xiàn)了“集中防御和專業(yè)知識”。AI的威脅格局正在以驚人的速度演變。與其將有限的AI安全人才分散到數(shù)十個不同的項目中，集中式架構(gòu)使我們能夠?qū)⒆顑?yōu)秀的人才和最強(qiáng)大的控制集中在最關(guān)鍵的地方。我們可以實(shí)施和微調(diào)復(fù)雜的防御措施，如上下文感知訪問控制、高級提示監(jiān)控和數(shù)據(jù)泄露預(yù)防，并讓這些保護(hù)措施立即覆蓋我們的用例。