作为 Google Cloud 高级总监兼首席信息安全官 (CISO) 办公室全球负责人,Nick Godfrey 负责对员工进行网络安全教育以及处理威胁检测和缓解。我们通过视频电话采访了 Godfrey,了解 CISO 和其他以技术为重点的企业领导者如何分配有限的资源、获得其他利益相关者对安全性的认可,以及生成式 AI 带来的新挑战和机遇。由于戈弗雷居住在英国,我们也询问了他对英国具体考虑因素的看法。
梅根·克劳斯: 他们的组织可能面临什么,以及考虑预算和资源?
尼克·戈弗雷:在确定如何最好地分配任何 CISO 或任何组织拥有的有限资源时,需要考虑的最重要的事情之一是购买纯粹的安全产品和安全服务与考虑组织所拥有的潜在技术风险类型之间的平衡。特别是,对于拥有遗留技术的组织来说,即使在安全产品之上,也使遗留技术变得可防御的能力变得越来越困难。
因此,挑战和权衡是要考虑:我们是否购买更多的安全产品?我们是否投资更多的安全人员?我们是否购买更多的安全服务?对比:我们是否投资于本质上更具防御性的现代基础设施?
响应和恢复是应对网络威胁的关键
梅根·克劳斯:在确定 IT 预算支出的优先顺序方面,人们经常讨论勒索软件和数据盗窃。您是否认为关注这些是好的,或者 CISO 应该关注其他地方,或者这在很大程度上取决于您在自己的组织中看到的情况?
尼克·戈弗雷:数据盗窃和勒索软件攻击非常常见;因此,作为 CISO、安全团队和 CPO,你必须关注这些事情。勒索软件尤其是一种值得尝试和管理的有趣风险,实际上对于构建端到端安全程序的思考方式非常有帮助。它要求您考虑安全计划的响应和恢复方面的全面方法,特别是重建关键基础设施以恢复数据并最终恢复服务的能力。
专注于这些事情不仅会提高您专门响应这些事情的能力,而且实际上还会提高您管理 IT 和基础设施的能力,因为您移动到的地方不再不了解您的 IT 以及如何重建它,而是有能力重建它。如果您有能力定期重建 IT 并恢复数据,那么实际上您可以更轻松地积极管理漏洞并修补底层基础设施。
为什么?因为如果您修补它并且它损坏了,您不必恢复它并使其正常工作。因此,关注勒索软件的具体性质以及它导致您必须考虑的因素实际上会产生超出您管理勒索软件能力的积极影响。
参见:A在美国,目标是关键基础设施。 (科技共和国)
CISO 需要其他预算决策者的支持
梅根·克劳斯:技术专业人士和技术高管应如何就安全优先事项对其他预算决策者进行教育?
尼克·戈弗雷:首先,你必须找到整体上做到这一点的方法。如果安全预算与技术预算之间的对话脱节,那么您可能会失去进行联合对话的巨大机会。您可以创造条件,将安全性视为技术预算的一部分,我认为这不一定很有帮助。
让 CISO 和 CPO 共同努力,共同向董事会展示技术项目和安全的组合如何最终改善技术风险状况,以及实现其他商业目标和业务目标,这是正确的方法。他们不应该仅仅将安全支出视为安全支出;而应该将其视为安全支出。他们应该将相当多的技术支出视为安全支出。
我们越能将围绕安全、网络安全和技术风险的对话嵌入到董事会经常进行的其他对话中,我们就越能像董事会思考财务和运营风险一样,将其作为主流风险和考虑因素。是的,首席财务官会定期讨论整个组织的财务状况和风险管理,但您还会看到 CIO 在 IT 方面和 CISO 在安全方面谈论其业务的财务方面。
围绕生成人工智能的安全考虑
梅根·克劳斯:全球重大技术变革之一是。如今,公司应该特别关注生成式人工智能的哪些安全注意事项?
尼克·戈弗雷:从较高的层面来看,我们思考安全与人工智能交叉点的方式是将其分为三个部分。
首先是利用AI进行防御。我们如何将人工智能构建到网络安全工具和服务中,以提高分析的保真度或分析的速度?
第二个方面是攻击者使用人工智能来提高他们完成以前需要大量人工输入或手动流程的事情的能力。
第三个桶是:组织如何思考以下问题:?
当我们与客户交谈时,第一个目标是他们认为安全产品提供商应该解决的问题。我们是,其他人也是。
第二个方面,就威胁行为者对人工智能的使用而言,我们的客户正在密切关注,但这并不是一个新领域。我们始终必须改进我们的威胁概况,以对网络空间中发生的任何情况做出反应。这可能是进化要求的一个稍微不同的版本,但从根本上来说它仍然是我们必须做的事情。您必须扩展和修改您的威胁情报功能才能了解该类型的威胁,特别是您必须调整您的控制措施。
第三个主题——如何考虑在公司内部使用生成式人工智能——引发了相当多的深入对话。这个桶涉及许多不同的领域。实际上,其中之一就是影子 IT。消费级生成式人工智能的使用是一个影子 IT 问题,因为它造成了组织试图利用人工智能和消费级技术做事的情况。我们强烈主张 CISO 不应总是阻止消费者人工智能;而应该这样做。在某些情况下,您可能需要这样做,但最好尝试找出您的组织想要实现的目标,并尝试以正确的方式实现这一目标,而不是试图阻止这一切。
但商业人工智能进入了一些有趣的领域,包括数据沿袭和组织中数据的来源、如何使用这些数据来训练模型以及谁对数据质量负责——而不是数据的安全性……数据的质量。
企业还应该询问有关人工智能项目总体治理的问题。企业的哪些部分最终对人工智能负责?举个例子,人工智能平台的红队与纯技术系统的红队有很大不同,除了技术红队之外,你还需要思考与LLM(大语言模型)和生成式AI的实际交互的红队以及如何在该层面上打破它。实际上,确保人工智能的使用安全似乎是业内最具挑战性的事情。
国际和英国网络威胁和趋势
梅根·克劳斯:就英国而言,英国组织最可能面临的安全威胁是什么?关于安全方面的预算和规划,您有什么具体建议可以提供给他们吗?
尼克·戈弗雷:我认为这可能与其他类似国家非常一致。显然,某些类型的网络攻击和某些威胁行为者有一定程度的政治背景,但我认为如果将英国与美国和西欧国家进行比较,我认为他们都看到了类似的威胁。
威胁部分是针对政治路线的,但其中许多威胁是机会主义的,并且基于任何特定组织或国家正在运行的基础设施。我认为在很多情况下,出于商业或经济动机的威胁行为者不一定过于担心他们所针对的特定国家。我认为他们的动机主要是潜在回报的大小以及他们实现这一结果的容易程度。