几个月前,我算了一算。我已经在网络安全行业工作了大约一万天 — 这听起来是一个巨大的里程碑,但转念一想,几十年就这样过去了。这次反思促使我回顾了一下这段旅程,不仅是为了我自己,也是为了整个行业。虽然我们面临的核心威胁 — 恶意软件、拒绝服务、中间人攻击 — 仍然根深蒂固地为我们所熟悉,但围绕这些威胁的格局已经完全改变。发生变化的是我们对手的速度、规模和复杂程度;我们作为防御者角色的演变;以及改变我们对安全本身思考方式的战略必要性。
惨痛的教训,却是不可多得的经验
我自己的旅程始于一次无意中在校园里引发的骚乱。上世纪 90 年代中期,作为普渡大学计算机科学专业的学生,我收到了一项关于进程间通信的作业。目标是编写一个能够在不同进程之间自我复制的程序。我被这个挑战深深吸引,决定更进一步:如果我能让它在网络上的多台机器之间复制呢?
我灵机一动,编写了一个可以做到这一点的程序。它不是恶意程序;不会窃取数据或删除文件。作为一次学习实验,我甚至添加了一个无害的弹出消息 —“你好,地球人”— 来确认程序已执行。接下来发生什么大概也能猜到了。这个程序开始在校园里几乎所有的计算机实验室里传播开来。计算机在突如其来的负荷下崩溃了,几个小时之内,IT 部门就不得不关停了整个网络。
所幸,在我坦白后,学校并没有惩罚我,而是和我一起建立了一个切断开关,了解了这个漏洞。这段经历对我意义重大。它让我明白,就算能做一件事,也不意味着就应该去做。更重要的是,它让我明白,在快速移动时,护栏、控制和灵敏的刹车至关重要。这是一个教训,即使在一万天之后,开发人员仍要学习,因为我们致力于将安全嵌入到开发生命周期的一开始,而不是将其视为创新道路上的减速带。
CISO:从技术运营到业务主管
在我开始职业生涯的时候,还没有 CISO 这个职位。我们是安全经理,几乎只专注于网络和终端。如今,CISO 已成为数字化转型的基石,而这一转变在新冠疫情后急剧加快,因为企业首先向我们求助来实现安全的远程工作。
现代的 CISO 不再仅仅是一个下意识地购买最新、最好的工具的技术专家。我见证了最成功的领导者在四个关键领域的发展:
- 战略转变:从技术运营者转变为业务主管,能够进行董事会层面的对话,从业务角度量化风险。
- 范围扩张:关注点已超越企业的围墙,扩展到第三方风险管理、隐私和合规整合。这些人深知,实力取决于最弱的供应商。
- 投资优化:预算大师,专注于投资回报率的衡量和技术组合优化,而不仅仅是采购新产品。
- 领导力和危机管理:我认识的最优秀的 CISO 都是跨职能的工作能手。这些人能讲 DevOps、财务和法律语言,在整个企业中倡导安全。这些人还是危机管理方面的专家,已经为不可避免的事故做好了准备。
不仅仅是整合,更是平台化
多年来,各企业一直试图通过将几十种同类最佳的产品拼凑在一起来解决复杂性问题。我在以前的工作中亲眼目睹了这种情况。初衷是创建一个“平台”,但现实却是各种不同的工具纠缠在一起,无法在策略、控制或可视性层面进行整合。这种做法之所以行不通,是因为它只是反映了问题本身,而不是解决问题。
我们的 CEO Nikesh Arora 创造了“平台化”这个词,明确了行业迫切需要的一个概念。这种平台化不仅仅意味着整合;整合只是其众多成果之一。
真正的平台方法旨在通过单一的原生集成系统来实现流畅的运营。它关乎于在整个安全态势中利用同样丰富、准确、全面的数据,交付更好的成果。其优势显而易见:
- 统一的安全和运营效率:消除了管理几十家供应商和孤立工具的复杂性。
- 卓越的分析能力:从基于完整数据集进行训练的机器学习中获得关联的洞察,实现预测和预防威胁的预测能力。
- 显著的业务影响力:向董事会展示更快的响应时间、更低的供应商开销和更精简的合规流程,证明安全是业务的推动力,而不是成本中心。
接下来的一万天
预测未来是不可能的,但我可以告诉你未来的 CISO(或许是首席 AI 安全官)需要什么。那就是灵活的思维方式。未来的 SOC 应该是 100% 自动化的。我们已经看到能够管理日程和通讯的个人 AI 代理的出现;不难想象,未来将会出现一个专门负责我们个人安全的代理。
归根结底,无论是被攻击者还是防御者使用,AI 的有效性都取决于训练它的数据。这是不争的事实。要保持领先地位,我们必须拥有最好、最丰富、最准确的网络安全数据,为我们的防御式 AI 模型提供动力。
为了使我们的战略面向未来,我们必须培养一种安全意识文化,让每个员工都发挥作用。任何数字化转型举措,如果第一步没有融入网络安全,都注定会失败。从普渡大学计算机实验室那个惊慌失措的夜晚,到如今的董事会会议室,核心教训始终如一:没有刹车的建设远远谈不上创新,而只是一场随时可能发生的事故。在接下来的一万天里,我们面临的挑战是如何以坚韧和目标为核心进行建设。
敬请收听 Threat Vector 播客,了解更多信息。
想知道 Haider 还说了些什么吗?请在他的其他博客文章中阅读他的观点。
