确保网络安全对于企业安全团队来说是一项艰巨的任务。随着全球经济在2023年面临不确定性,安全团队面临越来越大的压力,以确保操作复杂的云计算环境不受经济和政治驱动的网络威胁行为者的影响,这些行为者希望随时进行攻击。尽管面临经济压力,谷歌云首席信息安全官(CISO)PhilVenables在近期接受行业媒体采访时表示,投资新的安全能力仍将是企业确保2023年业务顺利转型的关键。Venables还分享了他对生成式AI将如何影响安全团队、CISO应该如何保护云计算服务以及为什么零信任对于保护云中的工作负载至关重要的看法。以下是PhilVenables在接受行业媒体采访时的对话。您认为经济前景将如何影响今年的网络安全格局?Venables:我不是经济专家,我无法预测会发生什么,但我们从客户那里听到的是,我们的云计算解决方案正在帮助他们进行数字化转型、解决业务问题并在新领域进行创新领域。现在2023年已经到来,我乐观地认为网络安全将继续成为谷歌、我们的客户和整个行业的首要任务。事实上,投资新的安全功能可以实现当今至关重要的业务转型和创新。从安全的角度来看,您如何看待人工智能的进步?我们开始看到的人工智能的攻防战。Venables:随着人工智能的使用不断增加,网络安全行业必须共同努力开发一种通用方法,以确保这些技术在安全领域得到负责任的使用。我预计人工智能将继续成为网络安全捍卫者的游戏规则改变者,但我们需要明智和负责任地部署人工智能系统。随着新的、更强大的人工智能模型的开发和发布,坚持负责任的人工智能实践将变得至关重要。拥有20多年处理网络安全问题经验的谷歌,一段时间以来一直在思考人工智能与安全的交叉点。2018年,谷歌率先在大型企业中发布了GoogleAIPrinciples,体现了我们大胆负责的精神。我们将继续发展谷歌在这一领域的优势,并致力于推动这一领域的不断进步。一些产品已经利用了我们领先的AI功能,包括现在可供客户使用的许多安全产品。CISO在考虑云安全时应考虑的前三大因素是什么?支持:(1)身份和访问管理(IAM)以及零信任的力量。在云中所有看似不同的领域中,身份和访问管理(IAM)可能是最重要的领域。使用身份和访问管理(IAM)工具,组织可以在粒度级别授予对云计算资源的访问权限,为设备安全状态、IP地址、资源类型、日期和时间等属性创建更多访问控制策略。更好地确保适当的访问控制到位。实施零信任框架意味着必须通过多种机制不断验证安全性,这对于保护云计算环境中企业的员工和工作负载至关重要。通过将访问控制从网络边界转移到各个进程、设备和用户,零信任使员工能够在任何位置和任何设备上更安全地工作,而无需传统的远程网关VPN。谷歌对其运营的大多数方面都采用了零信任方法,我们认为CISO在保护其云基础设施时应该考虑这个框架。(2)威胁情报成功的CISO会留意其他组织中发生的事件,这些事件可能预示着恶意活动的变化或提供可能改变组织的防御云态势的其他教训。检测、调查和响应威胁只是更好的网络风险管理的一部分,从网络攻击者的角度了解您的组织中正在发生的事情以及您的网络安全控制是否按预期工作也很重要。同样,在保护云计算服务时,必须密切关注威胁情报趋势并选择将威胁情报作为优先事项的云提供商。(3)多云管理企业数据在多个云平台而不是一个云平台的情况并不少见。CISO面临的更大挑战不仅仅是确保每个单独的服务都得到适当保护,而且构成业务或任务流程的服务集合也是安全的。确保减轻弹性、合规性、隐私、数据治理和其他领域的其他风险是一个更大的挑战。因此,CISO应该全面考虑他们的云安全策略,并将他们的云计算架构作为一个整体来看待,而不是孤立地看待。您对Google在帮助保护软件供应链和开源项目方面发挥的作用有何评论?Venables:同时保护开源和软件供应链仍然是私营和公共部门的优先事项。供应链由各种不同类型的供应商组成——连接服务、软件供应商、外包IT和其他类型的业务流程外包。有的企业可能有成百上千家供应商,有的世界100强企业甚至有几万家供应商。保护软件供应链实际上需要结合三件事:(1)推动最佳实践的采用(2)构建更好的软件生态系统(3)对数字安全进行长期投资Google正在与行业合作伙伴、政府、和开源社区协作以实现这些确切的目标。在过去的几年里,我们宣布了一些应对这些威胁的举措:去年我们宣布了一个新的开源安全维护团队,该团队由一群谷歌工程师组成,他们将与上游维护人员密切合作,以提高关键开放源代码的安全性。源项目。我们在第一版《安全展望系列》报告中为减轻软件供应链风险提供了深思熟虑的指导。我们推出了SoftwareDeliveryShield,这是第一个软件供应链安全解决方案,可为开发人员和安全团队提供构建安全云应用程序所需的工具。我们在BigQuery中发布了OSV-Scanner和OpenSourceInsightsdata等新产品,以直接支持开源社区确保其项目安全。谷歌与开源安全基金会(OpenSSF)合作,提出了一个软件组件供应链级别(SLSA)框架,该框架围绕软件供应链完整性制定标准,以帮助行业和开源??生态系统确保软件开发生命周期的安全。如果我们要减轻这些威胁,公共和私营部门必须继续努力应对开源安全挑战。美国国土安全部网络安全审查委员会(CSRB)最近的报告就是一个很好的例子:这样的指导对我们的整个生态系统至关重要。您如何定义网络风险,CISO如何确定风险级别?Venables:网络风险包括技术系统故障可能扰乱或损害业务的任何风险。如今,随着网络安全与技术和业务战略紧密交织在一起,企业领导者必须将网络安全问题视为首要业务风险。任何优秀的CISO都知道,风险总是比立即处理的要多——因此,需要谨慎管理业务风险。强大的网络风险计划会不断重新评估某些风险是否需要优先处理。网络风险应与其他业务风险领域保持一致,并应作为更大投资组合的一部分进行管理。网络安全风险的最佳缓解措施也是所有其他风险的最佳缓解措施:与业务目标一致的可靠IT项目管理、改进的软件开发和测试、弹性工程、事件学习和持续改进、规模和容量测试工程、可预测的配置、系统隔离等等。最好的安全计划与更广泛的企业合作,以保护企业免受网络攻击。你对API安全有什么想法吗(尤其是在T-Mobile和TwitterAPI泄??露之后)?Venables:API流量主导着互联网。而且,与任何蓬勃发展的技术一样,它正在成为恶意行为者的主要攻击媒介。例如,谷歌云的API管理平台Apigee在2022年透露,在美国接受调查的500名技术领导者中,有一半表示他们在过去12个月内经历过API安全事件。由于API的激增,攻击面正在急剧扩大。因此,安全领导者必须投资有助于巩固API治理和管理的解决方案,并在API的整个生命周期内全面保护它们。具有前瞻性思维的企业将“向左转移安全性”,通过拉近安全团队和API所有者的距离,开始在产品工作流程中更早地转移控制权。幸运的是,GoogleCloud的ApigeeAPIManagement等工具可以支持这一点。去年对Mandiant和Siemplify的收购将如何加强谷歌云的安全生态系统?Venables:通过收购Mandiant和Siemplify,谷歌云现在可以提供更强大的安全功能,以支持客户在其云和本地环境中的安全操作。谷歌的“反应式”SIEM(来自Chronicle)和SOAR(来自Siemplify)技术,结合Mandiant的“主动”威胁情报和事件响应能力,为端到端安全操作套件注入了前所未有的活力。具体来说,Mandiant在事件响应方面的专业知识和资源在业内是独一无二的,这使我们能够更好地了解威胁形势,并以前所未有的方式捕获客户基础设施中的漏洞。当我们在2022年9月完成对Mandiant的收购时,我们设定了我们将大量投资于帮助客户降低风险的网络安全产品的期望,并且在我们两家公司合并后的短时间内,我们已经采取了新的行动来实现这一愿景产品发布,例如MandiantBreachAnalyticsforChronicle和MandiantAttackSurfaceManagementforGoogleCloud。我们仍然坚定地致力于使安全运营民主化,并为各种规模和专业水平的企业提供更好的安全成果,这些收购支持我们实现这一目标的能力。您还有什么要补充的吗?Venables:在过去十年中,有许多企业在网络安全和安全产品方面投入了大量资金,但并未升级其整体IT基础设施或对其软件开发方法进行现代化改造。如果不持续关注IT现代化,组织将无法充分实现安全进步的好处。通过投资现代公共云环境,企业可以更好地抵御当今的威胁。随着2023年的到来,我们对安全专业人士的最大建议是:通过投资现代公共云环境,充分利用云计算的优势。如果您还没有开始考虑对您的IT基础设施进行现代化改造,那么现在就开始吧。最后,组织需要优先考虑构建适合其需求的可持续、全面的安全和风险计划。
