谷歌云CISO：零信任對(duì)保護(hù)云計(jì)算服務(wù)至關(guān)重要

確保網(wǎng)絡(luò)安全對(duì)于企業(yè)的安全團(tuán)隊(duì)來(lái)說(shuō)是一項(xiàng)艱巨的任務(wù)。隨著2023年全球經(jīng)濟(jì)發(fā)展面臨不確定性，要確保運(yùn)營(yíng)業(yè)務(wù)復(fù)雜的云計(jì)算環(huán)境不受經(jīng)濟(jì)和政治驅(qū)動(dòng)的網(wǎng)絡(luò)威脅者的影響，安全團(tuán)隊(duì)面臨著越來(lái)越大的工作壓力，網(wǎng)絡(luò)威脅者希望利用任何機(jī)會(huì)進(jìn)行攻擊。

盡管面臨經(jīng)濟(jì)壓力，谷歌云首席信息安全官（CISO）Phil Venables在最近接受行業(yè)媒體的采訪時(shí)表示，投資新的安全功能仍然是企業(yè)確保2023年業(yè)務(wù)順利轉(zhuǎn)型的關(guān)鍵。

Venables還分享了他對(duì)生成式人工智能將如何影響安全團(tuán)隊(duì)的看法，首席信息安全官應(yīng)該做什么來(lái)保護(hù)云計(jì)算服務(wù)，以及為什么零信任對(duì)于保護(hù)云中的工作負(fù)載至關(guān)重要。

以下是Phil Venables在接受行業(yè)媒體采訪時(shí)的對(duì)話內(nèi)容。

你認(rèn)為經(jīng)濟(jì)前景將如何影響今年的網(wǎng)絡(luò)安全形勢(shì)?

Venables：我不是經(jīng)濟(jì)專(zhuān)家，也無(wú)法預(yù)測(cè)未來(lái)會(huì)發(fā)生什么，但從客戶(hù)那里聽(tīng)到的是，我們的云計(jì)算解決方案正在幫助他們進(jìn)行數(shù)字化轉(zhuǎn)型，解決業(yè)務(wù)問(wèn)題，并在新領(lǐng)域進(jìn)行創(chuàng)新。

2023年已經(jīng)到來(lái)，我樂(lè)觀地認(rèn)為，網(wǎng)絡(luò)安全將繼續(xù)是谷歌、我們的客戶(hù)和整個(gè)行業(yè)的優(yōu)先事項(xiàng)。事實(shí)上，投資于新的安全功能可以實(shí)現(xiàn)當(dāng)前至關(guān)重要的業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新。

從安全的角度來(lái)看，你對(duì)人工智能的進(jìn)步有什么看法?我們正在開(kāi)始看到的人工智能的攻防戰(zhàn)。

Venables：隨著人工智能的應(yīng)用不斷增加，網(wǎng)絡(luò)安全行業(yè)都必須共同努力，制定一種共同的方法，以確保這些技術(shù)在安全領(lǐng)域得到負(fù)責(zé)任地使用。

我預(yù)計(jì)人工智能將繼續(xù)成為網(wǎng)絡(luò)安全防守者的游戲規(guī)則改變者，但我們需要明智而負(fù)責(zé)地部署人工智能系統(tǒng)。隨著新的、更強(qiáng)大的人工智能模型的開(kāi)發(fā)和發(fā)布，堅(jiān)持負(fù)責(zé)任的人工智能實(shí)踐將是至關(guān)重要的。

谷歌公司在應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題方面具有20多年的經(jīng)驗(yàn)，一段時(shí)間以來(lái)一直在思考人工智能和安全之間的交叉點(diǎn)。2018年，谷歌公司是第一個(gè)發(fā)布谷歌人工智能原則的超大規(guī)模企業(yè)，這體現(xiàn)了我們的大膽和負(fù)責(zé)的精神。

我們將繼續(xù)發(fā)展谷歌在這一領(lǐng)域的優(yōu)勢(shì)，并致力于推動(dòng)這一領(lǐng)域的持續(xù)進(jìn)步。一些產(chǎn)品已經(jīng)利用了我們領(lǐng)先的人工智能功能，包括客戶(hù)現(xiàn)在可以使用的許多安全產(chǎn)品。

在尋求云安全時(shí)，首席信息安全官應(yīng)該考慮的前三個(gè)因素是什么?

Venables：（1）身份和訪問(wèn)管理（IAM）和零信任的力量

在云中所有看起來(lái)不同的域中，身份和訪問(wèn)管理（IAM）可能是最重要的一個(gè)。

使用身份和訪問(wèn)管理（IAM）工具，企業(yè)可以在粒度級(jí)別上授予對(duì)云計(jì)算資源的訪問(wèn)權(quán)限，為設(shè)備安全狀態(tài)、IP地址、資源類(lèi)型、日期和時(shí)間等屬性創(chuàng)建更多的訪問(wèn)控制策略，以更好地確保適當(dāng)?shù)脑L問(wèn)控制到位。

實(shí)現(xiàn)零信任框架意味著必須通過(guò)多種機(jī)制不斷驗(yàn)證安全性，這對(duì)于保護(hù)企業(yè)在云計(jì)算環(huán)境中的工作人員和工作負(fù)載至關(guān)重要。

通過(guò)將訪問(wèn)控制從網(wǎng)絡(luò)邊界轉(zhuǎn)移到各個(gè)進(jìn)程、設(shè)備和用戶(hù)，零信任使員工能夠在任何位置和任何設(shè)備上更安全地工作，而無(wú)需傳統(tǒng)的遠(yuǎn)程網(wǎng)關(guān)VPN。

谷歌公司在運(yùn)營(yíng)的大多數(shù)方面都采用了零信任的方法，我們相信首席信息安全官在保護(hù)他們的云基礎(chǔ)設(shè)施時(shí)應(yīng)該考慮這個(gè)框架。

（2）威脅情報(bào)

成功的首席信息安全官會(huì)密切關(guān)注在其他企業(yè)中發(fā)生的事件，這些事件可能預(yù)示著惡意活動(dòng)的變化，或提供可能改變企業(yè)的防御性云態(tài)勢(shì)的其他教訓(xùn)。

檢測(cè)、調(diào)查和響應(yīng)威脅只是更好的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的一部分，從網(wǎng)絡(luò)攻擊者的角度了解企業(yè)的情況以及企業(yè)的網(wǎng)絡(luò)安全控制是否如預(yù)期的那樣有效也是至關(guān)重要的。

同樣，當(dāng)涉及到保護(hù)云計(jì)算服務(wù)時(shí)，必須關(guān)注威脅情報(bào)趨勢(shì)，并選擇將威脅情報(bào)視為優(yōu)先事項(xiàng)的云計(jì)算提供商。

（3）多云管理

企業(yè)在多個(gè)云平臺(tái)中而不僅僅是一個(gè)云平臺(tái)中擁有數(shù)據(jù)并不罕見(jiàn)。對(duì)于首席信息安全官來(lái)說(shuō)，一個(gè)更大的挑戰(zhàn)不僅僅是確保每個(gè)單獨(dú)的服務(wù)得到適當(dāng)?shù)谋Ｗo(hù)，而且是確保構(gòu)成業(yè)務(wù)或任務(wù)流程的服務(wù)集合是安全的。

確保降低彈性、合規(guī)性、隱私、數(shù)據(jù)治理和其他領(lǐng)域的其他風(fēng)險(xiǎn)是一個(gè)更大的挑戰(zhàn)。因此，首席信息安全官應(yīng)該全面考慮他們的云安全策略，并將其云計(jì)算架構(gòu)作為一個(gè)整體來(lái)看待，而不是孤立地看待。

你對(duì)谷歌公司在幫助確保軟件供應(yīng)鏈和開(kāi)源項(xiàng)目安全方面發(fā)揮的作用有何評(píng)論?

Venables：共同保護(hù)開(kāi)源和軟件供應(yīng)鏈仍然是私營(yíng)部門(mén)和公共部門(mén)的優(yōu)先事項(xiàng)。供應(yīng)鏈由各種不同類(lèi)型的供應(yīng)商組成——連接服務(wù)、軟件提供商、外包IT和其他類(lèi)型的業(yè)務(wù)流程外包。

有些企業(yè)可能擁有數(shù)百到數(shù)千家供應(yīng)商，一些財(cái)富100強(qiáng)公司甚至擁有數(shù)萬(wàn)個(gè)供應(yīng)商。

確保軟件供應(yīng)鏈的安全實(shí)際上需要三件事情的結(jié)合：

（1）推動(dòng)最佳實(shí)踐的采用

（2）構(gòu)建更好的軟件生態(tài)系統(tǒng)

（3）對(duì)數(shù)字安全進(jìn)行長(zhǎng)期投資

谷歌公司正在與行業(yè)合作伙伴、政府和開(kāi)源社區(qū)合作，以實(shí)現(xiàn)這些確切的目標(biāo)。在過(guò)去幾年里，我們宣布了一系列應(yīng)對(duì)這些威脅的舉措：

·我們?cè)谌ツ晷汲闪⒘诵碌拈_(kāi)源安全維護(hù)團(tuán)隊(duì)，這是一個(gè)由谷歌公司工程師組成的團(tuán)隊(duì)，他們將與上游維護(hù)者密切合作，提高關(guān)鍵開(kāi)源項(xiàng)目的安全性。

·我們?cè)凇栋踩雇盗小穲?bào)告的第一版中為減輕軟件供應(yīng)鏈風(fēng)險(xiǎn)提供了有主見(jiàn)的指導(dǎo)。

·我們推出了Software Delivery Shield，這是第一個(gè)軟件供應(yīng)鏈安全解決方案，為開(kāi)發(fā)人員和安全團(tuán)隊(duì)提供構(gòu)建安全云應(yīng)用程序所需的工具。

·我們?cè)贐igQuery中發(fā)布了OSV-Scanner和Open Source Insightsdata等新產(chǎn)品，旨在為開(kāi)源社區(qū)提供直接支持，確保他們的項(xiàng)目安全。

·與開(kāi)源安全基金會(huì)（Open SSF）合作，谷歌公司提出了一個(gè)軟件構(gòu)件供應(yīng)鏈級(jí)別（SLSA）框架，該框架?chē)@軟件供應(yīng)鏈完整性制定了標(biāo)準(zhǔn)，以幫助行業(yè)和開(kāi)源生態(tài)系統(tǒng)確保軟件開(kāi)發(fā)生命周期的安全。

·如果我們要減輕這些威脅，公共部門(mén)和私營(yíng)部門(mén)為解決開(kāi)源安全挑戰(zhàn)所做的工作必須持續(xù)下去。美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全審查委員會(huì)（CSRB）最近的報(bào)告就是一個(gè)完美的例子：這樣的指導(dǎo)對(duì)我們整個(gè)生態(tài)系統(tǒng)至關(guān)重要。

你如何定義網(wǎng)絡(luò)風(fēng)險(xiǎn)，首席信息安全官如何確定風(fēng)險(xiǎn)的級(jí)別?

Venables：網(wǎng)絡(luò)風(fēng)險(xiǎn)包括任何可能由于技術(shù)系統(tǒng)故障而破壞或損害企業(yè)的風(fēng)險(xiǎn)。如今，網(wǎng)絡(luò)安全與技術(shù)和商業(yè)戰(zhàn)略深深交織在一起，企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全問(wèn)題視為首要的商業(yè)風(fēng)險(xiǎn)，這一點(diǎn)非常重要。

正如任何一名優(yōu)秀的首席信息安全官都知道的那樣，總是會(huì)面臨比能夠立即處理的風(fēng)險(xiǎn)更多的風(fēng)險(xiǎn)——因此，企業(yè)面臨的風(fēng)險(xiǎn)需要進(jìn)行認(rèn)真管理。強(qiáng)大的網(wǎng)絡(luò)風(fēng)險(xiǎn)項(xiàng)目不斷重新評(píng)估某些風(fēng)險(xiǎn)是否需要優(yōu)先考慮進(jìn)行處理。

網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)與其他業(yè)務(wù)風(fēng)險(xiǎn)領(lǐng)域保持一致，并應(yīng)作為更大投資組合的一部分進(jìn)行管理。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳緩解措施也是所有其他風(fēng)險(xiǎn)的最佳緩解措施：與業(yè)務(wù)目標(biāo)一致的可靠IT項(xiàng)目管理、改進(jìn)的軟件開(kāi)發(fā)和測(cè)試、彈性工程、事件學(xué)習(xí)和持續(xù)改進(jìn)、規(guī)模和容量測(cè)試工程、可預(yù)測(cè)配置、系統(tǒng)隔離等等。

最好的安全程序與更廣泛的業(yè)務(wù)一起工作，以保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊的侵害。

你對(duì)API安全有什么看法嗎（特別是在T-Mobile和Twitter的API被泄露之后）?

Venables：API流量正在主導(dǎo)互聯(lián)網(wǎng)。而且，就像任何蓬勃發(fā)展的技術(shù)一樣，它正在成為惡意行為者的主要攻擊載體。

例如，谷歌云的API管理平臺(tái)Apigee在2022年透露，在美國(guó)接受調(diào)查的500名技術(shù)領(lǐng)導(dǎo)者中，有一半的人表示，他們?cè)谶^(guò)去12個(gè)月經(jīng)歷了API安全事件。

由于API的擴(kuò)散，攻擊面正在急劇擴(kuò)大。因此，安全領(lǐng)導(dǎo)者必須投資于有助于鞏固API治理和管理的解決方案，并在整個(gè)生命周期內(nèi)全面保護(hù)API。

有遠(yuǎn)見(jiàn)的企業(yè)將“向左轉(zhuǎn)移安全性”，通過(guò)拉近安全團(tuán)隊(duì)和API所有者的距離，開(kāi)始將控制更早地轉(zhuǎn)移到產(chǎn)品工作流程中。幸運(yùn)的是，像谷歌云的Apigee API管理這樣的工具可以支持這一點(diǎn)。

去年收購(gòu)Mandiant和Siemplify將如何增強(qiáng)谷歌云的安全生態(tài)系統(tǒng)?

Venables：通過(guò)收購(gòu)Mandiant和Siemplify，谷歌云現(xiàn)在可以提供更強(qiáng)大的安全功能，以支持客戶(hù)在其云平臺(tái)和內(nèi)部部署環(huán)境中的安全操作。

谷歌的“反應(yīng)性”SIEM（來(lái)自Chronicle）和SOAR（來(lái)自Siemplify）技術(shù)與Mandiant的“主動(dòng)”威脅情報(bào)和事件響應(yīng)能力相結(jié)合，為端到端安全操作套件注入了前所未有的活力。

具體來(lái)說(shuō)，Mandiant在事件響應(yīng)方面的專(zhuān)業(yè)知識(shí)和資源在行業(yè)中是獨(dú)一無(wú)二的，使我們能夠更好地了解威脅情況，并以以前無(wú)法做到的方式捕捉客戶(hù)基礎(chǔ)設(shè)施中的漏洞。

當(dāng)我們?cè)?022年9月完成對(duì)Mandiant的收購(gòu)時(shí)，我們?cè)O(shè)定了期望，也就是將大力投資于可以幫助客戶(hù)降低風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全產(chǎn)品，并且在我們兩家公司合并后的短時(shí)間內(nèi)，我們已經(jīng)按照這一愿景采取了行動(dòng)，發(fā)布了新的產(chǎn)品，例如為Chronicle提供Mandiant Breach Analytics和為谷歌云提供Mandiant Attack Surface Management。

我們?nèi)匀粓?jiān)定地致力于將安全操作民主化，并為各種規(guī)模和專(zhuān)業(yè)水平的企業(yè)提供更好的安全結(jié)果，這些收購(gòu)支持我們實(shí)現(xiàn)這一目標(biāo)的能力。

你還有什么想補(bǔ)充的嗎?

Venables：在過(guò)去十年中，有很多企業(yè)在網(wǎng)絡(luò)安全和安全產(chǎn)品上投入了大量資金，但卻沒(méi)有升級(jí)其整體IT基礎(chǔ)設(shè)施，也沒(méi)有使軟件開(kāi)發(fā)方法實(shí)現(xiàn)現(xiàn)代化。

如果不持續(xù)關(guān)注IT現(xiàn)代化，企業(yè)將無(wú)法充分實(shí)現(xiàn)安全進(jìn)步的好處。通過(guò)投資現(xiàn)代公有云環(huán)境，企業(yè)可以更好地防范當(dāng)今的威脅。

在2023年到來(lái)之際，我們給安全專(zhuān)業(yè)人士的最大建議是：通過(guò)投資現(xiàn)代公有云環(huán)境，充分利用云計(jì)算所提供的服務(wù)。如果還沒(méi)有開(kāi)始考慮現(xiàn)代化IT基礎(chǔ)設(shè)施，那么現(xiàn)在就要開(kāi)始。最后，企業(yè)需要優(yōu)先建立可持續(xù)的、全面的、適合企業(yè)需求的安全和風(fēng)險(xiǎn)計(jì)劃。