如今,安全已成为几乎所有组织的战略重点,然而这一情况并非突然出现的。在本次“安全领导者”访谈中,我们采访了 Red Canary 的联合创始人兼首席技术官 Chris Rothe,了解他对近年来安全领导力演变的看法。
聆听 Chris 与 AWS 企业战略总监 Clarke Rodgers 的对话。从高管在安全领域承担的角色,到招聘安全人才,再到在企业中安全地利用生成式人工智能,Chris 将从各个方面分享自己的看法。
认识 Red Canary 联合创始人兼首席技术官 Chris Rothe
Clarke Rodgers(00:09):
Chris,非常感谢你今天能够光临。
Chris Rothe(00:11):
不客气,谢谢你邀请我。
Clarke Rodgers(00:13):
能否请你介绍一下你的背景以及你在 Red Canary 担任的职位?
Chris Rothe(00:17):
我是 Red Canary 的首席技术官兼联合创始人。我们的业务领域是检测响应。在创立公司之前,我曾从事卫星数据处理工作,即“收集大量数据,并采用有效的算法”。 然后我会将有价值的结果呈现给分析师进行决策,顺便说一句,这与我们在网络安全领域中的工作非常相似。
Clarke Rodgers(00:39):
考虑到你在网络安全行业工作多年,我们经常开玩笑说,首席信息安全官以前被关在地下室,现在反而坐进了董事会会议室。你是如何看待这种演变的?
Chris Rothe(00:49):
我认为最重要的变化是,这个职位已经从一个技术性角色转变成了一个较少涉及技术,但较多涉及政治的角色。成为组织中的安全倡导者,并将安全融入组织文化,对于这个角色至关重要。此外,在我们这种提供 SaaS 平台的企业中,这个角色也经常需要直接与客户打交道,确保客户相信他们的数据已经得到了我们的妥善保护。
定义安全的商业价值
Clarke Rodgers(01:16):
以你的职位与客户交谈时,你会如何清晰地阐述安全的商业价值?
Chris Rothe(01:21):
归根结底,商业风险就是财务风险。阐述方式将根据你所在的行业而有所不同。如果你从事金融服务业,谈话将围绕建立声誉展开,确保人们在金钱方面信任你。如果你从事制造业、医疗保健业或类似的行业,就需要探讨运营风险,例如让机器始终正常运转,或者在医疗保健环境中确保人们的生命安全。
因此,关键在于,如果你能够直击要点,谈到金钱,然后阐述如何降低每一美元的风险,对话可能就会非常成功。
但有时候人们并不想谈论这些。他们想探讨技术方面的事情,以及帮助他们减少安全事件数量的方式,或者安全领域中的其他类似事情。这也很不错。说到底,这些事情最终仍会在某种程度上与金钱挂钩。
Clarke Rodgers(02:06):
那么,在 Red Canary 内部,你们如何提高安全团队的效率,并确保独自工作的开发人员能够关注安全性,在日常工作中时刻保持安全意识?
Red Canary 的招聘、培训和安全文化建设
Chris Rothe(02:22):
这对我们来说非常重要。作为一家安全公司,我们需要遵守更高的标准。因此,公司中的每个人都必须关心我们的业务和客户业务的安全。多年来,为了确保将安全意识自然地融入所有角色,我们付出了一些努力,在我们的软件开发生命周期中,我们为每支敏捷开发团队都配备了产品安全专家。因此,他们也参与到了 Sprint 规划和前期规划中。我们的做法不是简单地说“嘿,我们要拼凑一个设计方案,然后询问安全部门这样做是否可行”。 而是让他们参与到整个流程当中。这为我们奠定了坚实的基础。
其次,我们确保了安全检查、静态分析,或我们要做的其他任何事情都能够自然地融入到开发人员所在的环境中。这是 CICD 管道中的一部分。无需做出专门的考虑。在我们合并代码之前,只需要确保所有事情符合标准即可。这种做法符合开发人员的实际情况,而且在大多数情况下并不会造成什么问题。
Clarke Rodgers(03:17):
安全人才难求,这已经成为了普遍问题。 所以,必须通过雇佣、留用或培训的方式,获得这些人才。在 Red Canary,你们使用哪些策略真正增强安全专业人员的实力?
Chris Rothe(03:31):
用 AWS 的话说,我们希望团队中的安全专业人员不必只是做一些重复的、“无差别”的繁重工作。
Clarke Rodgers(03:40):
确实。
Chris Rothe(03:40):
在一天中,他们有 60% 以上的时间不必做这种工作。60% 是一个关键门槛,如果花费的时间超过了 60%,他们将开始厌倦重复性的工作。为此,我们会采用工具,并构建他们可以使用的自动化流程。我们通过机器学习和人工智能等手段,寻找重复模式,并构建工具,帮助他们完成无差别的繁重工作,让他们可以专注于更有意义的事情。
如何利用生成式人工智能,同时最大限度地降低安全风险
Clarke Rodgers(04:09):
你提到了工具和自动化。生成式人工智能是当下的热门,对吧? 从安全从业人员的角度,你如何看待它,即“如何管理使用它带来的风险?”;而作为企业主,你又如何看待它为你带来的优势? 你能谈一谈吗?
Chris Rothe(04:31):
从风险的角度看,我们的立足点是“确保我们有正确的保护措施,避免在使用人工智能创建的内容时,不清楚内容的所有者是谁。” 因此,我们设置了一些防护机制来应对这个问题。
但总的来说,我们希望 Red Canary 团队中的每个人都能够根据自己的角色,合理地运用生成式人工智能。无论你是销售人员,刚刚与客户完成了一次顺利的通话,需要整理一封跟进邮件,还是其他情况,我们都希望你能够加快这个过程,并提高沟通的成效。因为归根结底,你和客户都能受益,因为这一过程只花了五分钟,而不是一个小时。因此,我们的态度就是确保每个人都能以安全的方式使用它。
但我认为,在了解“有哪些隐患?”、“有哪些相关的挑战”以及“未来几年会出现哪些与生成式人工智能相关的法律问题?”这些方面,我们还处于起步阶段。 就我们在安全领域的具体应用而言,我们非常喜欢“协作助手”这种构想或理念。
多年来,我们一直将我们的安全平台视为……这个比喻可能有点傻,但就像机甲战士服一样,我们可以把相对普通的士兵放进装有火箭发射器的疯狂机器里,让他们跑得更快,或跳得更高,诸如此类。生成式人工智能为我们提供了一些很棒的新工具,让我们能够更进一步思考,如何更快、更全面、更准确地完成调查,从而最终更快地发现并阻止威胁?
这些就是我们正在研究的一些应用。归根结底,在安全领域,最大挑战在于缺乏足够的人手,难以顾及所有方面。因此,AWS 所做的工作至关重要,他们通过一点一滴的努力,提高了平台和服务的安全性。在 AWS 平台之外的世界,我们必须充分利用安全专业人员这种稀缺资源,并避免让无谓的辛苦工作耗尽他们的精力。为他们提供工具,让他们实现卓越的成就。
使用多云环境时的安全注意事项
Clarke Rodgers(06:42):
同样,你与许多客户交谈过,其中许多客户使用的云环境不只一种。在安全方面,以及保护多云环境可能面临的挑战方面,你可以向他们提出哪些建议?
Chris Rothe(06:58):
一般而言,我们会尝试朝着这样一个方向推动议题:无论客户使用的是云平台还是本地部署平台,我们都将确保其对数据和访问权限拥有相同程度的控制和了解。 这是最基本的层面。具体而言,即确保知道谁有访问权限,有权访问什么,以及如果发生不好的状况,要如何得知。
Clarke Rodgers(07:21):
我想,就定义而言,它们应该取得相同的安全结果,是吗?
Chris Rothe(07:25):
完全正确。而且,如果使用某个云平台或其他方式无法实现这一结果,也许就应该对它提出质疑,思考是否应该使用它。如果安全性不是必不可少的,或是无法按照应有方式将它纳入基础控制措施中,那在架构中考虑安全性还有意义吗?
展开这些对话比较艰难,因为人们在与多云相关的战略中投入了大量心血。但我认为最重要的是,必须确保了解要建立哪些控制措施,以及最终如何找到破坏者,这才是我们的出发点。如果你无法回答这些问题,那么就需要重新考虑架构或战略。
Clarke Rodgers(08:07):
这是一个很好的观点。Chris,非常感谢你今天抽时间与我交流。
Chris Rothe(08:12):
谢谢你邀请我。非常感谢。
Chris Rothe
Red Canary 联合创始人兼首席技术官
Chris 于 2014 年与他人共同创立了 Red Canary,负责技术战略,并建立了许多工具和团队。如今,Red Canary 正在利用这些工具和团队获取客户,并为其提供服务。在共同创立 Red Canary 之前,Chris 曾领导软件开发团队,并为国防和情报领域设计了大型数据处理系统。
Clarke Rodgers
AWS 企业战略总监
作为具有丰富安全专业知识的 AWS 企业战略总监,Clarke 充满激情地帮助高管探索如何实现安全转型,并与他们一起找出正确的企业解决方案。Clarke 于 2016 年加入 AWS,但是他早在成为我们的团队成员之前就已开始利用 AWS Security 的优势。在一家跨国人寿再保险公司担任首席信息安全官期间,他负责监督战略部门全面地迁移到 AWS。
更进一步