谷歌云CISO:零信任對保護(hù)云計算服務(wù)至關(guān)重要

責(zé)任編輯:cres

作者:Tim Keary

2023-02-23 14:15:05

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

谷歌云首席信息安全官表示,投資新的安全功能是企業(yè)確保2023年業(yè)務(wù)順利轉(zhuǎn)型的關(guān)鍵。人工智能將繼續(xù)成為網(wǎng)絡(luò)安全防守者的游戲規(guī)則改變者,但我們需要明智而負(fù)責(zé)地部署人工智能系統(tǒng)。

確保網(wǎng)絡(luò)安全對于企業(yè)的安全團(tuán)隊(duì)來說是一項(xiàng)艱巨的任務(wù)。隨著2023年全球經(jīng)濟(jì)發(fā)展面臨不確定性,要確保運(yùn)營業(yè)務(wù)復(fù)雜的云計算環(huán)境不受經(jīng)濟(jì)和政治驅(qū)動的網(wǎng)絡(luò)威脅者的影響,安全團(tuán)隊(duì)面臨著越來越大的工作壓力,網(wǎng)絡(luò)威脅者希望利用任何機(jī)會進(jìn)行攻擊。
 
盡管面臨經(jīng)濟(jì)壓力,谷歌云首席信息安全官(CISO)Phil Venables在最近接受行業(yè)媒體的采訪時表示,投資新的安全功能仍然是企業(yè)確保2023年業(yè)務(wù)順利轉(zhuǎn)型的關(guān)鍵。
 
Venables還分享了他對生成式人工智能將如何影響安全團(tuán)隊(duì)的看法,首席信息安全官應(yīng)該做什么來保護(hù)云計算服務(wù),以及為什么零信任對于保護(hù)云中的工作負(fù)載至關(guān)重要。
 
以下是Phil Venables在接受行業(yè)媒體采訪時的對話內(nèi)容。
 
你認(rèn)為經(jīng)濟(jì)前景將如何影響今年的網(wǎng)絡(luò)安全形勢?
 
Venables:我不是經(jīng)濟(jì)專家,也無法預(yù)測未來會發(fā)生什么,但從客戶那里聽到的是,我們的云計算解決方案正在幫助他們進(jìn)行數(shù)字化轉(zhuǎn)型,解決業(yè)務(wù)問題,并在新領(lǐng)域進(jìn)行創(chuàng)新。
 
2023年已經(jīng)到來,我樂觀地認(rèn)為,網(wǎng)絡(luò)安全將繼續(xù)是谷歌、我們的客戶和整個行業(yè)的優(yōu)先事項(xiàng)。事實(shí)上,投資于新的安全功能可以實(shí)現(xiàn)當(dāng)前至關(guān)重要的業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新。
 
從安全的角度來看,你對人工智能的進(jìn)步有什么看法?我們正在開始看到的人工智能的攻防戰(zhàn)。
 
Venables:隨著人工智能的應(yīng)用不斷增加,網(wǎng)絡(luò)安全行業(yè)都必須共同努力,制定一種共同的方法,以確保這些技術(shù)在安全領(lǐng)域得到負(fù)責(zé)任地使用。
 
我預(yù)計人工智能將繼續(xù)成為網(wǎng)絡(luò)安全防守者的游戲規(guī)則改變者,但我們需要明智而負(fù)責(zé)地部署人工智能系統(tǒng)。隨著新的、更強(qiáng)大的人工智能模型的開發(fā)和發(fā)布,堅(jiān)持負(fù)責(zé)任的人工智能實(shí)踐將是至關(guān)重要的。
 
谷歌公司在應(yīng)對網(wǎng)絡(luò)安全問題方面具有20多年的經(jīng)驗(yàn),一段時間以來一直在思考人工智能和安全之間的交叉點(diǎn)。2018年,谷歌公司是第一個發(fā)布谷歌人工智能原則的超大規(guī)模企業(yè),這體現(xiàn)了我們的大膽和負(fù)責(zé)的精神。
 
我們將繼續(xù)發(fā)展谷歌在這一領(lǐng)域的優(yōu)勢,并致力于推動這一領(lǐng)域的持續(xù)進(jìn)步。一些產(chǎn)品已經(jīng)利用了我們領(lǐng)先的人工智能功能,包括客戶現(xiàn)在可以使用的許多安全產(chǎn)品。
 
在尋求云安全時,首席信息安全官應(yīng)該考慮的前三個因素是什么?
 
Venables:(1)身份和訪問管理(IAM)和零信任的力量
 
在云中所有看起來不同的域中,身份和訪問管理(IAM)可能是最重要的一個。
 
使用身份和訪問管理(IAM)工具,企業(yè)可以在粒度級別上授予對云計算資源的訪問權(quán)限,為設(shè)備安全狀態(tài)、IP地址、資源類型、日期和時間等屬性創(chuàng)建更多的訪問控制策略,以更好地確保適當(dāng)?shù)脑L問控制到位。
 
實(shí)現(xiàn)零信任框架意味著必須通過多種機(jī)制不斷驗(yàn)證安全性,這對于保護(hù)企業(yè)在云計算環(huán)境中的工作人員和工作負(fù)載至關(guān)重要。
 
通過將訪問控制從網(wǎng)絡(luò)邊界轉(zhuǎn)移到各個進(jìn)程、設(shè)備和用戶,零信任使員工能夠在任何位置和任何設(shè)備上更安全地工作,而無需傳統(tǒng)的遠(yuǎn)程網(wǎng)關(guān)VPN。
 
谷歌公司在運(yùn)營的大多數(shù)方面都采用了零信任的方法,我們相信首席信息安全官在保護(hù)他們的云基礎(chǔ)設(shè)施時應(yīng)該考慮這個框架。
 
(2)威脅情報
 
成功的首席信息安全官會密切關(guān)注在其他企業(yè)中發(fā)生的事件,這些事件可能預(yù)示著惡意活動的變化,或提供可能改變企業(yè)的防御性云態(tài)勢的其他教訓(xùn)。
 
檢測、調(diào)查和響應(yīng)威脅只是更好的網(wǎng)絡(luò)風(fēng)險管理的一部分,從網(wǎng)絡(luò)攻擊者的角度了解企業(yè)的情況以及企業(yè)的網(wǎng)絡(luò)安全控制是否如預(yù)期的那樣有效也是至關(guān)重要的。
 
同樣,當(dāng)涉及到保護(hù)云計算服務(wù)時,必須關(guān)注威脅情報趨勢,并選擇將威脅情報視為優(yōu)先事項(xiàng)的云計算提供商。
 
(3)多云管理
 
企業(yè)在多個云平臺中而不僅僅是一個云平臺中擁有數(shù)據(jù)并不罕見。對于首席信息安全官來說,一個更大的挑戰(zhàn)不僅僅是確保每個單獨(dú)的服務(wù)得到適當(dāng)?shù)谋Wo(hù),而且是確保構(gòu)成業(yè)務(wù)或任務(wù)流程的服務(wù)集合是安全的。
 
確保降低彈性、合規(guī)性、隱私、數(shù)據(jù)治理和其他領(lǐng)域的其他風(fēng)險是一個更大的挑戰(zhàn)。因此,首席信息安全官應(yīng)該全面考慮他們的云安全策略,并將其云計算架構(gòu)作為一個整體來看待,而不是孤立地看待。
 
你對谷歌公司在幫助確保軟件供應(yīng)鏈和開源項(xiàng)目安全方面發(fā)揮的作用有何評論?
 
Venables:共同保護(hù)開源和軟件供應(yīng)鏈仍然是私營部門和公共部門的優(yōu)先事項(xiàng)。供應(yīng)鏈由各種不同類型的供應(yīng)商組成——連接服務(wù)、軟件提供商、外包IT和其他類型的業(yè)務(wù)流程外包。
 
有些企業(yè)可能擁有數(shù)百到數(shù)千家供應(yīng)商,一些財富100強(qiáng)公司甚至擁有數(shù)萬個供應(yīng)商。
 
確保軟件供應(yīng)鏈的安全實(shí)際上需要三件事情的結(jié)合:
 
(1)推動最佳實(shí)踐的采用
 
(2)構(gòu)建更好的軟件生態(tài)系統(tǒng)
 
(3)對數(shù)字安全進(jìn)行長期投資
 
谷歌公司正在與行業(yè)合作伙伴、政府和開源社區(qū)合作,以實(shí)現(xiàn)這些確切的目標(biāo)。在過去幾年里,我們宣布了一系列應(yīng)對這些威脅的舉措:
 
•我們在去年宣布成立了新的開源安全維護(hù)團(tuán)隊(duì),這是一個由谷歌公司工程師組成的團(tuán)隊(duì),他們將與上游維護(hù)者密切合作,提高關(guān)鍵開源項(xiàng)目的安全性。
 
•我們在《安全展望系列》報告的第一版中為減輕軟件供應(yīng)鏈風(fēng)險提供了有主見的指導(dǎo)。
 
•我們推出了Software Delivery Shield,這是第一個軟件供應(yīng)鏈安全解決方案,為開發(fā)人員和安全團(tuán)隊(duì)提供構(gòu)建安全云應(yīng)用程序所需的工具。
 
•我們在BigQuery中發(fā)布了OSV-Scanner和Open Source Insightsdata等新產(chǎn)品,旨在為開源社區(qū)提供直接支持,確保他們的項(xiàng)目安全。
 
•與開源安全基金會(Open SSF)合作,谷歌公司提出了一個軟件構(gòu)件供應(yīng)鏈級別(SLSA)框架,該框架圍繞軟件供應(yīng)鏈完整性制定了標(biāo)準(zhǔn),以幫助行業(yè)和開源生態(tài)系統(tǒng)確保軟件開發(fā)生命周期的安全。
 
•如果我們要減輕這些威脅,公共部門和私營部門為解決開源安全挑戰(zhàn)所做的工作必須持續(xù)下去。美國國土安全部網(wǎng)絡(luò)安全審查委員會(CSRB)最近的報告就是一個完美的例子:這樣的指導(dǎo)對我們整個生態(tài)系統(tǒng)至關(guān)重要。
 
你如何定義網(wǎng)絡(luò)風(fēng)險,首席信息安全官如何確定風(fēng)險的級別?
 
Venables:網(wǎng)絡(luò)風(fēng)險包括任何可能由于技術(shù)系統(tǒng)故障而破壞或損害企業(yè)的風(fēng)險。如今,網(wǎng)絡(luò)安全與技術(shù)和商業(yè)戰(zhàn)略深深交織在一起,企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全問題視為首要的商業(yè)風(fēng)險,這一點(diǎn)非常重要。
 
正如任何一名優(yōu)秀的首席信息安全官都知道的那樣,總是會面臨比能夠立即處理的風(fēng)險更多的風(fēng)險——因此,企業(yè)面臨的風(fēng)險需要進(jìn)行認(rèn)真管理。強(qiáng)大的網(wǎng)絡(luò)風(fēng)險項(xiàng)目不斷重新評估某些風(fēng)險是否需要優(yōu)先考慮進(jìn)行處理。
 
網(wǎng)絡(luò)風(fēng)險應(yīng)與其他業(yè)務(wù)風(fēng)險領(lǐng)域保持一致,并應(yīng)作為更大投資組合的一部分進(jìn)行管理。
 
網(wǎng)絡(luò)安全風(fēng)險的最佳緩解措施也是所有其他風(fēng)險的最佳緩解措施:與業(yè)務(wù)目標(biāo)一致的可靠IT項(xiàng)目管理、改進(jìn)的軟件開發(fā)和測試、彈性工程、事件學(xué)習(xí)和持續(xù)改進(jìn)、規(guī)模和容量測試工程、可預(yù)測配置、系統(tǒng)隔離等等。
 
最好的安全程序與更廣泛的業(yè)務(wù)一起工作,以保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊的侵害。
 
你對API安全有什么看法嗎(特別是在T-Mobile和Twitter 的API被泄露之后)?
 
Venables:API流量正在主導(dǎo)互聯(lián)網(wǎng)。而且,就像任何蓬勃發(fā)展的技術(shù)一樣,它正在成為惡意行為者的主要攻擊載體。
 
例如,谷歌云的API管理平臺Apigee在2022年透露,在美國接受調(diào)查的500名技術(shù)領(lǐng)導(dǎo)者中,有一半的人表示,他們在過去12個月經(jīng)歷了API安全事件。
 
由于API的擴(kuò)散,攻擊面正在急劇擴(kuò)大。因此,安全領(lǐng)導(dǎo)者必須投資于有助于鞏固API治理和管理的解決方案,并在整個生命周期內(nèi)全面保護(hù)API。
 
有遠(yuǎn)見的企業(yè)將“向左轉(zhuǎn)移安全性”,通過拉近安全團(tuán)隊(duì)和API所有者的距離,開始將控制更早地轉(zhuǎn)移到產(chǎn)品工作流程中。幸運(yùn)的是,像谷歌云的Apigee API管理這樣的工具可以支持這一點(diǎn)。
 
去年收購Mandiant和Siemplify將如何增強(qiáng)谷歌云的安全生態(tài)系統(tǒng)?
 
Venables:通過收購Mandiant和Siemplify,谷歌云現(xiàn)在可以提供更強(qiáng)大的安全功能,以支持客戶在其云平臺和內(nèi)部部署環(huán)境中的安全操作。
 
谷歌的“反應(yīng)性”SIEM(來自Chronicle)和SOAR(來自Siemplify)技術(shù)與Mandiant的“主動”威脅情報和事件響應(yīng)能力相結(jié)合,為端到端安全操作套件注入了前所未有的活力。
 
具體來說,Mandiant在事件響應(yīng)方面的專業(yè)知識和資源在行業(yè)中是獨(dú)一無二的,使我們能夠更好地了解威脅情況,并以以前無法做到的方式捕捉客戶基礎(chǔ)設(shè)施中的漏洞。
 
當(dāng)我們在2022年9月完成對Mandiant的收購時,我們設(shè)定了期望,也就是將大力投資于可以幫助客戶降低風(fēng)險的網(wǎng)絡(luò)安全產(chǎn)品,并且在我們兩家公司合并后的短時間內(nèi),我們已經(jīng)按照這一愿景采取了行動,發(fā)布了新的產(chǎn)品,例如為Chronicle提供Mandiant Breach Analytics和為谷歌云提供Mandiant Attack Surface Management。
 
我們?nèi)匀粓?jiān)定地致力于將安全操作民主化,并為各種規(guī)模和專業(yè)水平的企業(yè)提供更好的安全結(jié)果,這些收購支持我們實(shí)現(xiàn)這一目標(biāo)的能力。
 
你還有什么想補(bǔ)充的嗎?
 
Venables:在過去十年中,有很多企業(yè)在網(wǎng)絡(luò)安全和安全產(chǎn)品上投入了大量資金,但卻沒有升級其整體IT基礎(chǔ)設(shè)施,也沒有使軟件開發(fā)方法實(shí)現(xiàn)現(xiàn)代化。
 
如果不持續(xù)關(guān)注IT現(xiàn)代化,企業(yè)將無法充分實(shí)現(xiàn)安全進(jìn)步的好處。通過投資現(xiàn)代公有云環(huán)境,企業(yè)可以更好地防范當(dāng)今的威脅。
 
在2023年到來之際,我們給安全專業(yè)人士的最大建議是:通過投資現(xiàn)代公有云環(huán)境,充分利用云計算所提供的服務(wù)。如果還沒有開始考慮現(xiàn)代化IT基礎(chǔ)設(shè)施,那么現(xiàn)在就要開始。最后,企業(yè)需要優(yōu)先建立可持續(xù)的、全面的、適合企業(yè)需求的安全和風(fēng)險計劃。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號