确保网络安全对于企业的安全团队来说是一项艰巨的任务。随着2023年全球经济发展面临不确定性,要确保运营业务复杂的云计算环境不受经济和政治驱动的网络威胁者的影响,安全团队面临着越来越大的工作压力,网络威胁者希望利用任何机会进行攻击。
尽管面临经济压力,谷歌云首席信息安全官(CISO)Phil Venables在最近接受行业媒体的采访时表示,投资新的安全功能仍然是企业确保2023年业务顺利转型的关键。
Venables还分享了他对生成式人工智能将如何影响安全团队的看法,首席信息安全官应该做什么来保护云计算服务,以及为什么零信任对于保护云中的工作负载至关重要。
以下是Phil Venables在接受行业媒体采访时的对话内容。
你认为经济前景将如何影响今年的网络安全形势?
Venables:我不是经济专家,也无法预测未来会发生什么,但从客户那里听到的是,我们的云计算解决方案正在帮助他们进行数字化转型,解决业务问题,并在新领域进行创新。
2023年已经到来,我乐观地认为,网络安全将继续是谷歌、我们的客户和整个行业的优先事项。事实上,投资于新的安全功能可以实现当前至关重要的业务转型和创新。
从安全的角度来看,你对人工智能的进步有什么看法?我们正在开始看到的人工智能的攻防战。
Venables:随着人工智能的应用不断增加,网络安全行业都必须共同努力,制定一种共同的方法,以确保这些技术在安全领域得到负责任地使用。
我预计人工智能将继续成为网络安全防守者的游戏规则改变者,但我们需要明智而负责地部署人工智能系统。随着新的、更强大的人工智能模型的开发和发布,坚持负责任的人工智能实践将是至关重要的。
谷歌公司在应对网络安全问题方面具有20多年的经验,一段时间以来一直在思考人工智能和安全之间的交叉点。2018年,谷歌公司是第一个发布谷歌人工智能原则的超大规模企业,这体现了我们的大胆和负责的精神。
我们将继续发展谷歌在这一领域的优势,并致力于推动这一领域的持续进步。一些产品已经利用了我们领先的人工智能功能,包括客户现在可以使用的许多安全产品。
在寻求云安全时,首席信息安全官应该考虑的前三个因素是什么?
在云中所有看起来不同的域中,身份和访问管理(IAM)可能是最重要的一个。
使用身份和访问管理(IAM)工具,企业可以在粒度级别上授予对云计算资源的访问权限,为设备安全状态、IP地址、资源类型、日期和时间等属性创建更多的访问控制策略,以更好地确保适当的访问控制到位。
实现零信任框架意味着必须通过多种机制不断验证安全性,这对于保护企业在云计算环境中的工作人员和工作负载至关重要。
通过将访问控制从网络边界转移到各个进程、设备和用户,零信任使员工能够在任何位置和任何设备上更安全地工作,而无需传统的远程网关VPN。
谷歌公司在运营的大多数方面都采用了零信任的方法,我们相信首席信息安全官在保护他们的云基础设施时应该考虑这个框架。
(2)威胁情报
成功的首席信息安全官会密切关注在其他企业中发生的事件,这些事件可能预示着恶意活动的变化,或提供可能改变企业的防御性云态势的其他教训。
检测、调查和响应威胁只是更好的网络风险管理的一部分,从网络攻击者的角度了解企业的情况以及企业的网络安全控制是否如预期的那样有效也是至关重要的。
同样,当涉及到保护云计算服务时,必须关注威胁情报趋势,并选择将威胁情报视为优先事项的云计算提供商。
(3)多云管理
企业在多个云平台中而不仅仅是一个云平台中拥有数据并不罕见。对于首席信息安全官来说,一个更大的挑战不仅仅是确保每个单独的服务得到适当的保护,而且是确保构成业务或任务流程的服务集合是安全的。
确保降低弹性、合规性、隐私、数据治理和其他领域的其他风险是一个更大的挑战。因此,首席信息安全官应该全面考虑他们的云安全策略,并将其云计算架构作为一个整体来看待,而不是孤立地看待。
你对谷歌公司在帮助确保软件供应链和开源项目安全方面发挥的作用有何评论?
Venables:共同保护开源和软件供应链仍然是私营部门和公共部门的优先事项。供应链由各种不同类型的供应商组成——连接服务、软件提供商、外包IT和其他类型的业务流程外包。
有些企业可能拥有数百到数千家供应商,一些财富100强公司甚至拥有数万个供应商。
确保软件供应链的安全实际上需要三件事情的结合:
(1)推动最佳实践的采用
(2)构建更好的软件生态系统
(3)对数字安全进行长期投资
谷歌公司正在与行业合作伙伴、政府和开源社区合作,以实现这些确切的目标。在过去几年里,我们宣布了一系列应对这些威胁的举措:
- 我们在去年宣布成立了新的开源安全维护团队,这是一个由谷歌公司工程师组成的团队,他们将与上游维护者密切合作,提高关键开源项目的安全性。
- 我们在《安全展望系列》报告的第一版中为减轻软件供应链风险提供了有主见的指导。
- 我们推出了Software Delivery Shield,这是第一个软件供应链安全解决方案,为开发人员和安全团队提供构建安全云应用程序所需的工具。
- 我们在BigQuery中发布了OSV-Scanner和Open Source Insightsdata等新产品,旨在为开源社区提供直接支持,确保他们的项目安全。
- 与开源安全基金会(Open SSF)合作,谷歌公司提出了一个软件构件供应链级别(SLSA)框架,该框架围绕软件供应链完整性制定了标准,以帮助行业和开源生态系统确保软件开发生命周期的安全。
- 如果我们要减轻这些威胁,公共部门和私营部门为解决开源安全挑战所做的工作必须持续下去。美国国土安全部网络安全审查委员会(CSRB)最近的报告就是一个完美的例子:这样的指导对我们整个生态系统至关重要。
你如何定义网络风险,首席信息安全官如何确定风险的级别?
Venables:网络风险包括任何可能由于技术系统故障而破坏或损害企业的风险。如今,网络安全与技术和商业战略深深交织在一起,企业领导者将网络安全问题视为首要的商业风险,这一点非常重要。
正如任何一名优秀的首席信息安全官都知道的那样,总是会面临比能够立即处理的风险更多的风险——因此,企业面临的风险需要进行认真管理。强大的网络风险项目不断重新评估某些风险是否需要优先考虑进行处理。
网络风险应与其他业务风险领域保持一致,并应作为更大投资组合的一部分进行管理。
网络安全风险的最佳缓解措施也是所有其他风险的最佳缓解措施:与业务目标一致的可靠IT项目管理、改进的软件开发和测试、弹性工程、事件学习和持续改进、规模和容量测试工程、可预测配置、系统隔离等等。
最好的安全程序与更广泛的业务一起工作,以保护企业免受网络攻击的侵害。
你对API安全有什么看法吗(特别是在T-Mobile和Twitter 的API被泄露之后)?
Venables:API流量正在主导互联网。而且,就像任何蓬勃发展的技术一样,它正在成为恶意行为者的主要攻击载体。
例如,谷歌云的API管理平台Apigee在2022年透露,在美国接受调查的500名技术领导者中,有一半的人表示,他们在过去12个月经历了API安全事件。
由于API的扩散,攻击面正在急剧扩大。因此,安全领导者必须投资于有助于巩固API治理和管理的解决方案,并在整个生命周期内全面保护API。
有远见的企业将“向左转移安全性”,通过拉近安全团队和API所有者的距离,开始将控制更早地转移到产品工作流程中。幸运的是,像谷歌云的Apigee API管理这样的工具可以支持这一点。
去年收购Mandiant和Siemplify将如何增强谷歌云的安全生态系统?
Venables:通过收购Mandiant和Siemplify,谷歌云现在可以提供更强大的安全功能,以支持客户在其云平台和内部部署环境中的安全操作。
谷歌的“反应性”SIEM(来自Chronicle)和SOAR(来自Siemplify)技术与Mandiant的“主动”威胁情报和事件响应能力相结合,为端到端安全操作套件注入了前所未有的活力。
具体来说,Mandiant在事件响应方面的专业知识和资源在行业中是独一无二的,使我们能够更好地了解威胁情况,并以以前无法做到的方式捕捉客户基础设施中的漏洞。
当我们在2022年9月完成对Mandiant的收购时,我们设定了期望,也就是将大力投资于可以帮助客户降低风险的网络安全产品,并且在我们两家公司合并后的短时间内,我们已经按照这一愿景采取了行动,发布了新的产品,例如为Chronicle提供Mandiant Breach Analytics和为谷歌云提供Mandiant Attack Surface Management。
我们仍然坚定地致力于将安全操作民主化,并为各种规模和专业水平的企业提供更好的安全结果,这些收购支持我们实现这一目标的能力。
你还有什么想补充的吗?
Venables:在过去十年中,有很多企业在网络安全和安全产品上投入了大量资金,但却没有升级其整体IT基础设施,也没有使软件开发方法实现现代化。
如果不持续关注IT现代化,企业将无法充分实现安全进步的好处。通过投资现代公有云环境,企业可以更好地防范当今的威胁。
在2023年到来之际,我们给安全专业人士的最大建议是:通过投资现代公有云环境,充分利用云计算所提供的服务。如果还没有开始考虑现代化IT基础设施,那么现在就要开始。最后,企业需要优先建立可持续的、全面的、适合企业需求的安全和风险计划。