確保網絡安全對于企業的安全團隊來說是一項艱巨的任務。隨著2023年全球經濟發展面臨不確定性，要確保運營業務復雜的云計算環境不受經濟和政治驅動的網絡威脅者的影響，安全團隊面臨著越來越大的工作壓力，網絡威脅者希望利用任何機會進行攻擊。

盡管面臨經濟壓力，谷歌云首席信息安全官(CISO)Phil Venables在最近接受行業媒體的采訪時表示，投資新的安全功能仍然是企業確保2023年業務順利轉型的關鍵。

Venables還分享了他對生成式人工智能將如何影響安全團隊的看法，首席信息安全官應該做什么來保護云計算服務，以及為什么零信任對于保護云中的工作負載至關重要。

以下是Phil Venables在接受行業媒體采訪時的對話內容。

你認為經濟前景將如何影響今年的網絡安全形勢?

Venables：我不是經濟專家，也無法預測未來會發生什么，但從客戶那里聽到的是，我們的云計算解決方案正在幫助他們進行數字化轉型，解決業務問題，并在新領域進行創新。

2023年已經到來，我樂觀地認為，網絡安全將繼續是谷歌、我們的客戶和整個行業的優先事項。事實上，投資于新的安全功能可以實現當前至關重要的業務轉型和創新。

從安全的角度來看，你對人工智能的進步有什么看法?我們正在開始看到的人工智能的攻防戰。

Venables：隨著人工智能的應用不斷增加，網絡安全行業都必須共同努力，制定一種共同的方法，以確保這些技術在安全領域得到負責任地使用。

我預計人工智能將繼續成為網絡安全防守者的游戲規則改變者，但我們需要明智而負責地部署人工智能系統。隨著新的、更強大的人工智能模型的開發和發布，堅持負責任的人工智能實踐將是至關重要的。

谷歌公司在應對網絡安全問題方面具有20多年的經驗，一段時間以來一直在思考人工智能和安全之間的交叉點。2018年，谷歌公司是第一個發布谷歌人工智能原則的超大規模企業，這體現了我們的大膽和負責的精神。

我們將繼續發展谷歌在這一領域的優勢，并致力于推動這一領域的持續進步。一些產品已經利用了我們領先的人工智能功能，包括客戶現在可以使用的許多安全產品。

在尋求云安全時，首席信息安全官應該考慮的前三個因素是什么?

在云中所有看起來不同的域中，身份和訪問管理(IAM)可能是最重要的一個。

使用身份和訪問管理(IAM)工具，企業可以在粒度級別上授予對云計算資源的訪問權限，為設備安全狀態、IP地址、資源類型、日期和時間等屬性創建更多的訪問控制策略，以更好地確保適當的訪問控制到位。

實現零信任框架意味著必須通過多種機制不斷驗證安全性，這對于保護企業在云計算環境中的工作人員和工作負載至關重要。

通過將訪問控制從網絡邊界轉移到各個進程、設備和用戶，零信任使員工能夠在任何位置和任何設備上更安全地工作，而無需傳統的遠程網關VPN。

谷歌公司在運營的大多數方面都采用了零信任的方法，我們相信首席信息安全官在保護他們的云基礎設施時應該考慮這個框架。

(2)威脅情報

成功的首席信息安全官會密切關注在其他企業中發生的事件，這些事件可能預示著惡意活動的變化，或提供可能改變企業的防御性云態勢的其他教訓。

檢測、調查和響應威脅只是更好的網絡風險管理的一部分，從網絡攻擊者的角度了解企業的情況以及企業的網絡安全控制是否如預期的那樣有效也是至關重要的。

同樣，當涉及到保護云計算服務時，必須關注威脅情報趨勢，并選擇將威脅情報視為優先事項的云計算提供商。

(3)多云管理

企業在多個云平臺中而不僅僅是一個云平臺中擁有數據并不罕見。對于首席信息安全官來說，一個更大的挑戰不僅僅是確保每個單獨的服務得到適當的保護，而且是確保構成業務或任務流程的服務集合是安全的。

確保降低彈性、合規性、隱私、數據治理和其他領域的其他風險是一個更大的挑戰。因此，首席信息安全官應該全面考慮他們的云安全策略，并將其云計算架構作為一個整體來看待，而不是孤立地看待。

你對谷歌公司在幫助確保軟件供應鏈和開源項目安全方面發揮的作用有何評論?

Venables：共同保護開源和軟件供應鏈仍然是私營部門和公共部門的優先事項。供應鏈由各種不同類型的供應商組成——連接服務、軟件提供商、外包IT和其他類型的業務流程外包。

有些企業可能擁有數百到數千家供應商，一些財富100強公司甚至擁有數萬個供應商。

確保軟件供應鏈的安全實際上需要三件事情的結合：

(1)推動最佳實踐的采用

(2)構建更好的軟件生態系統

(3)對數字安全進行長期投資

谷歌公司正在與行業合作伙伴、政府和開源社區合作，以實現這些確切的目標。在過去幾年里，我們宣布了一系列應對這些威脅的舉措：

• 我們在去年宣布成立了新的開源安全維護團隊，這是一個由谷歌公司工程師組成的團隊，他們將與上游維護者密切合作，提高關鍵開源項目的安全性。
• 我們在《安全展望系列》報告的第一版中為減輕軟件供應鏈風險提供了有主見的指導。
• 我們推出了Software Delivery Shield，這是第一個軟件供應鏈安全解決方案，為開發人員和安全團隊提供構建安全云應用程序所需的工具。
• 我們在BigQuery中發布了OSV-Scanner和Open Source Insightsdata等新產品，旨在為開源社區提供直接支持，確保他們的項目安全。
• 與開源安全基金會(Open SSF)合作，谷歌公司提出了一個軟件構件供應鏈級別(SLSA)框架，該框架圍繞軟件供應鏈完整性制定了標準，以幫助行業和開源生態系統確保軟件開發生命周期的安全。
• 如果我們要減輕這些威脅，公共部門和私營部門為解決開源安全挑戰所做的工作必須持續下去。美國國土安全部網絡安全審查委員會(CSRB)最近的報告就是一個完美的例子：這樣的指導對我們整個生態系統至關重要。

你如何定義網絡風險，首席信息安全官如何確定風險的級別?

Venables：網絡風險包括任何可能由于技術系統故障而破壞或損害企業的風險。如今，網絡安全與技術和商業戰略深深交織在一起，企業領導者將網絡安全問題視為首要的商業風險，這一點非常重要。

正如任何一名優秀的首席信息安全官都知道的那樣，總是會面臨比能夠立即處理的風險更多的風險——因此，企業面臨的風險需要進行認真管理。強大的網絡風險項目不斷重新評估某些風險是否需要優先考慮進行處理。

網絡風險應與其他業務風險領域保持一致，并應作為更大投資組合的一部分進行管理。

網絡安全風險的最佳緩解措施也是所有其他風險的最佳緩解措施：與業務目標一致的可靠IT項目管理、改進的軟件開發和測試、彈性工程、事件學習和持續改進、規模和容量測試工程、可預測配置、系統隔離等等。

最好的安全程序與更廣泛的業務一起工作，以保護企業免受網絡攻擊的侵害。

你對API安全有什么看法嗎(特別是在T-Mobile和Twitter 的API被泄露之后)?

Venables：API流量正在主導互聯網。而且，就像任何蓬勃發展的技術一樣，它正在成為惡意行為者的主要攻擊載體。

例如，谷歌云的API管理平臺Apigee在2022年透露，在美國接受調查的500名技術領導者中，有一半的人表示，他們在過去12個月經歷了API安全事件。

由于API的擴散，攻擊面正在急劇擴大。因此，安全領導者必須投資于有助于鞏固API治理和管理的解決方案，并在整個生命周期內全面保護API。

有遠見的企業將“向左轉移安全性”，通過拉近安全團隊和API所有者的距離，開始將控制更早地轉移到產品工作流程中。幸運的是，像谷歌云的Apigee API管理這樣的工具可以支持這一點。

去年收購Mandiant和Siemplify將如何增強谷歌云的安全生態系統?

Venables：通過收購Mandiant和Siemplify，谷歌云現在可以提供更強大的安全功能，以支持客戶在其云平臺和內部部署環境中的安全操作。

谷歌的“反應性”SIEM(來自Chronicle)和SOAR(來自Siemplify)技術與Mandiant的“主動”威脅情報和事件響應能力相結合，為端到端安全操作套件注入了前所未有的活力。

具體來說，Mandiant在事件響應方面的專業知識和資源在行業中是獨一無二的，使我們能夠更好地了解威脅情況，并以以前無法做到的方式捕捉客戶基礎設施中的漏洞。

當我們在2022年9月完成對Mandiant的收購時，我們設定了期望，也就是將大力投資于可以幫助客戶降低風險的網絡安全產品，并且在我們兩家公司合并后的短時間內，我們已經按照這一愿景采取了行動，發布了新的產品，例如為Chronicle提供Mandiant Breach Analytics和為谷歌云提供Mandiant Attack Surface Management。

我們仍然堅定地致力于將安全操作民主化，并為各種規模和專業水平的企業提供更好的安全結果，這些收購支持我們實現這一目標的能力。

你還有什么想補充的嗎?

Venables：在過去十年中，有很多企業在網絡安全和安全產品上投入了大量資金，但卻沒有升級其整體IT基礎設施，也沒有使軟件開發方法實現現代化。

如果不持續關注IT現代化，企業將無法充分實現安全進步的好處。通過投資現代公有云環境，企業可以更好地防范當今的威脅。

在2023年到來之際，我們給安全專業人士的最大建議是：通過投資現代公有云環境，充分利用云計算所提供的服務。如果還沒有開始考慮現代化IT基礎設施，那么現在就要開始。最后，企業需要優先建立可持續的、全面的、適合企業需求的安全和風險計劃。