本期采訪我們邀請(qǐng)了Expedia集團(tuán)的首席安全官(CSO)KurtJohn，以及風(fēng)險(xiǎn)投資公司MarkCuban的首席成長(zhǎng)官Q(mào)uHarrisonTerry與我們一起探討數(shù)字時(shí)代企業(yè)面臨的最新威脅，以及可以采取的防護(hù)策略。

　　在這次采訪中，KurtJohn分享了自己總結(jié)的第一手的網(wǎng)絡(luò)安全經(jīng)驗(yàn)。有需要的人一定不要錯(cuò)過(guò)這個(gè)機(jī)會(huì)，以獲得關(guān)于網(wǎng)絡(luò)安全未來(lái)的寶貴見(jiàn)解，并聽(tīng)取該領(lǐng)域經(jīng)驗(yàn)豐富的領(lǐng)導(dǎo)者的意見(jiàn)。

　　KurtJohn是Expedia集團(tuán)的全球首席安全官，負(fù)責(zé)網(wǎng)絡(luò)安全、物理安全和隱私的海外治理和執(zhí)行。他還是大西洋理事會(huì)(AtlanticCouncil)的非常駐高級(jí)研究員，幫助思考美國(guó)及其盟友在地緣政治、商業(yè)和安全交叉領(lǐng)域面臨的最相關(guān)的網(wǎng)絡(luò)安全挑戰(zhàn)。這包括為政策制定者提供建議，以幫助加強(qiáng)生活方式的安全。除此之外，Kurt還在私人和公共組織擔(dān)任多個(gè)董事會(huì)職位，包括弗吉尼亞州創(chuàng)新伙伴關(guān)系管理局等等。

　　QuHarrisonTerry是德克薩斯州達(dá)拉斯風(fēng)險(xiǎn)投資公司MarkCuban的首席成長(zhǎng)官，負(fù)責(zé)為投資組合公司的營(yíng)銷(xiāo)策略和目標(biāo)提供建議和幫助。此前，他曾在Redox負(fù)責(zé)領(lǐng)導(dǎo)市場(chǎng)營(yíng)銷(xiāo)，專(zhuān)注于潛在客戶獲取、新用戶體驗(yàn)、活動(dòng)和內(nèi)容營(yíng)銷(xiāo)等任務(wù)。QuHarrison曾接受過(guò)CNN、哈佛商業(yè)評(píng)論、WIRED、福布斯等媒體專(zhuān)訪，同時(shí)也是CNBC黃金時(shí)段系列節(jié)目《NoRetreat:BusinessBootcamp》的聯(lián)合主持人。身兼演講者和主持人的QuHarrison曾在CES、TEDx、羅馬尼亞的Techsylvania、東京的PersolHoldings、德克薩斯州奧斯汀的SXSW等場(chǎng)合發(fā)表過(guò)演講。值得一提的是，QuHarrison曾4次獲得領(lǐng)英(Linkedin)“最佳技術(shù)發(fā)聲獎(jiǎng)(topvoicesinTechnologyaward)”。

　　采訪摘錄

　　MichaelKrigsman(主持人)：今天的主題是2023年的安全態(tài)勢(shì)以及如何管理和引導(dǎo)安全。下面有請(qǐng)本期嘉賓——來(lái)自Expedia集團(tuán)的首席安全官KurtJohn，以及嘉賓主持人——來(lái)自MarkCuban公司的成長(zhǎng)型營(yíng)銷(xiāo)主管QuHarrisonTerry。Kurt，可以先簡(jiǎn)單介紹下Expedia集團(tuán)以及您的角色嗎?

　　KurtJohn：我是Expedia集團(tuán)的首席安全官(CSO)，主要負(fù)責(zé)物理安全、IT安全(或網(wǎng)絡(luò)安全)以及隱私等領(lǐng)域。

　　MichaelKrigsman：QuHarrisonTerry，歡迎您回來(lái)跟我一起主持今天的采訪，能簡(jiǎn)單介紹您的角色以及MarkCuban公司嗎?

　　QuHarrisonTerry：正如你所說(shuō)，我是MarkCuban公司的成長(zhǎng)型營(yíng)銷(xiāo)主管。我也很高興能參與本期采訪，并且真的很期待即將到來(lái)的與Kurt的對(duì)話環(huán)節(jié)。我對(duì)這次談話很興奮，因?yàn)槲覀兊闹黝}是安全問(wèn)題。

　　MichaelKrigsman：Kurt，您如何看待當(dāng)前復(fù)雜的安全形勢(shì)?

　　KurtJohn：我認(rèn)為很多公司都在努力應(yīng)對(duì)的一件事就是威脅的規(guī)模。我喜歡你剛才用的這個(gè)詞，復(fù)雜性。規(guī)模的不斷擴(kuò)張，隨之而來(lái)的就是環(huán)境的復(fù)雜性。試想一下，我們有云、有邊緣計(jì)算、有人工智能、有自動(dòng)化，還有編排。

　　有趣的是，不僅只有我們?cè)谂Ω淖儤I(yè)務(wù)模式以及市場(chǎng)影響力，惡意行為者也在改變。他們有相同類(lèi)型的組織結(jié)構(gòu)，相同的合資企業(yè)以及相同類(lèi)型的戰(zhàn)略合作，他們也在努力爭(zhēng)取自己的利益，為自己牟利。

　　因此，我們要做的不僅要嘗試新的業(yè)務(wù)模式以及獲取更大的市場(chǎng)影響力，還必須防御那些正在做類(lèi)似事情的攻擊對(duì)手。所以，我認(rèn)為，目前最大的挑戰(zhàn)是規(guī)模、擴(kuò)展以及復(fù)雜性。

　　話雖如此，但當(dāng)涉及到實(shí)際的技術(shù)威脅時(shí)，可能有一些東西可以組織起來(lái)發(fā)揮作用。這與終端設(shè)備(我們都在使用的電腦)有很大關(guān)系;它與云有關(guān)，因?yàn)槲覀兌荚谑褂盟?。甚至?duì)于一部分公司來(lái)說(shuō)，這也與邊緣計(jì)算有關(guān)。

　　最后一點(diǎn)，人工智能，無(wú)論是從安全的角度，還是從倫理的角度，關(guān)注人工智能都非常重要。

　　QuHarrisonTerry：Kurt，世界上有很多像您這樣的首席安全官角色。但在Expedia這樣的旅游公司，這個(gè)職位意味著什么呢?

　　KurtJohn：它關(guān)乎的是我們的旅行者，因?yàn)檫@是我們?cè)噲D做的根本的事情。我們正在努力將旅行者與全球各地的新體驗(yàn)聯(lián)系起來(lái)。

　　為了做到這一點(diǎn)，我們需要為旅行者提供新的能力，新的方式，讓他們參與和計(jì)劃自己的旅行。因此，我們會(huì)組織我們的旅行者，合作伙伴，當(dāng)然還有我們的員工。我們做的很多決定以及我們問(wèn)自己的問(wèn)題和給出的答案都是圍繞著旅行者、合作伙伴和員工。

　　現(xiàn)在，關(guān)于Expedia的有趣事實(shí)是，除了Expedia,Expedia集團(tuán)還擁有很多其他品牌。對(duì)于這一點(diǎn)，很多人都不知道。

　　有次，我跟一位朋友聊天時(shí)提及，“嘿，我現(xiàn)在要去Expedia工作了!”

　　他們表示，“哇，你知道的，Expedia很好，但你知道誰(shuí)更好嗎?Orbitz.com!你可以搜索一下。”

　　我回應(yīng)稱(chēng)，“哦，好的，我想我會(huì)去了解的。”但那個(gè)時(shí)候，很明顯，我知道他們說(shuō)的這個(gè)品牌。

　　除了orbitz.com外，我們其實(shí)還有travelocity.com、hotels.com、Verbo、carrentals.com以及很多品牌。所以，一個(gè)有趣的事實(shí)是，我們通過(guò)很多不同的品牌來(lái)推動(dòng)市場(chǎng)價(jià)值。

　　MichaelKrigsman：您如何看待不同公司、不同知名品牌的安全問(wèn)題?

　　KurtJohn：分享信息是十分必要的，因?yàn)槲覀儸F(xiàn)在已經(jīng)到了一個(gè)地步：你無(wú)法獨(dú)自完成任何你需要做的事情。除非你正在制造一個(gè)非常特殊的小部件(硬件小部件)供其他人消費(fèi)(即使這樣，你也需要有人提供鋼鐵或其他類(lèi)型的原材料)，否則你需要一個(gè)合作伙伴的生態(tài)系統(tǒng)才能取得成功。

　　從根本上講，我會(huì)從兩個(gè)方面來(lái)看待這個(gè)問(wèn)題。第一個(gè)問(wèn)題是，如何與合作伙伴合作，在整個(gè)生態(tài)系統(tǒng)中始終如一地推動(dòng)安全性?這意味著顯然每個(gè)人都不需要達(dá)到這個(gè)難以置信的高門(mén)檻。但是，你希望與你的合作伙伴在整個(gè)價(jià)值鏈上真正實(shí)現(xiàn)安全性。這是第一點(diǎn)。

　　另一方面，對(duì)我來(lái)說(shuō)，是威脅情報(bào)和共享數(shù)據(jù)的能力，因?yàn)槟愕纳鷳B(tài)系統(tǒng)中的一些人可能正在遭受某些攻擊。接下來(lái)的問(wèn)題是，你們能在多大程度上共享信息，從而使你們能夠隔離自己，或者試圖避免這樣的攻擊?

　　在與你們的生態(tài)系統(tǒng)合作以及共享信息的過(guò)程中，我發(fā)現(xiàn)了提升安全態(tài)勢(shì)的巨大價(jià)值。我認(rèn)為這才是網(wǎng)絡(luò)安全真正的未來(lái)。

　　甚至聯(lián)邦政府、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)，以及國(guó)家網(wǎng)絡(luò)安全記錄辦公室，都說(shuō)過(guò)同樣的話。換句話說(shuō)，要打敗我們所有人，你可能需要打敗我們中的一個(gè)。但另一方面，要打敗我們中的一個(gè)，你就必須打敗我們所有人。這聽(tīng)起來(lái)非常復(fù)雜，但本質(zhì)上，這意味著如果我們都合作，共享信息，并確保整個(gè)生態(tài)系統(tǒng)的控制是一致的，我認(rèn)為所有企業(yè)都將受益匪淺。

　　QuHarrisonTerry：Expedia內(nèi)部是如何看待您所描述的決策支持系統(tǒng)的?畢竟，在整個(gè)企業(yè)中工作，每個(gè)人都有自己的指令和目標(biāo)。

　　KurtJohn：這并非Expedia獨(dú)有的。這實(shí)際上可以應(yīng)用于任何公司。這同樣適用于我之前工作過(guò)的公司，任何人都可以采用。

　　從根本上說(shuō)，你要考慮兩件事。我認(rèn)為人們通常沒(méi)有足夠的時(shí)間來(lái)構(gòu)建你剛才描述的那種結(jié)構(gòu)。它非常特別，你希望盡可能快地從特別轉(zhuǎn)換到優(yōu)化。這意味著過(guò)程的一致性。A)你的組織結(jié)構(gòu)是什么樣的?B)你如何評(píng)估組織內(nèi)部的風(fēng)險(xiǎn)?你需要一種可重復(fù)的方法來(lái)做到這一點(diǎn)。C)你知道你的風(fēng)險(xiǎn)偏好嗎?

　　這很有趣。我以前在公司工作過(guò)，當(dāng)然不是Expedia。很多年前，我是一名顧問(wèn)，我見(jiàn)過(guò)一些自認(rèn)為風(fēng)險(xiǎn)偏好非常保守的公司。但當(dāng)你看他們做決定的方式以及他們追求的東西的類(lèi)型時(shí)，這是非常矛盾的。他們的風(fēng)險(xiǎn)偏好非常強(qiáng)烈。

　　我認(rèn)為這是因?yàn)槿藗?或組織)并沒(méi)有刻意去定義你的風(fēng)險(xiǎn)偏好是什么。它是保守的、激進(jìn)的，還是介于兩者之間?你覺(jué)得有風(fēng)險(xiǎn)和沒(méi)有風(fēng)險(xiǎn)哪個(gè)更舒服?這又回到了你的風(fēng)險(xiǎn)偏好。

　　最后，你可能需要一種非常快速地做出決策的方法，就像您提到的那樣。這意味著您可能需要為特定的風(fēng)險(xiǎn)閾值分配特定的決策。對(duì)于低、中、高以及更高的關(guān)鍵風(fēng)險(xiǎn)可能需要通過(guò)CEO做出決策。如果有一些風(fēng)險(xiǎn)較低的事情，可能會(huì)在總監(jiān)級(jí)別或更低的級(jí)別做出。

　　MichaelKrigsman：當(dāng)技術(shù)無(wú)處不在時(shí)，您如何定義生態(tài)系統(tǒng)的邊界?

　　KurtJohn：不可否認(rèn)，如今的生態(tài)系統(tǒng)邊界已經(jīng)變得難以置信地更加多孔(porous)。所以，我認(rèn)為你不需要定義邊界。事實(shí)上，在安全社區(qū)中，你會(huì)發(fā)現(xiàn)有些人可能會(huì)對(duì)這個(gè)不以為然，而是更多的關(guān)注零信任。這個(gè)術(shù)語(yǔ)可謂老生常談，但你的信任圣地究竟在哪里?

　　零信任，仍然是關(guān)乎租戶的問(wèn)題。換句話說(shuō)，你如何在你的環(huán)境中創(chuàng)建一個(gè)生態(tài)系統(tǒng)，允許你的合作伙伴和員工(無(wú)論他們?cè)谀睦?適當(dāng)?shù)卦L問(wèn)，而無(wú)需訪問(wèn)所有內(nèi)容的完整權(quán)限。

　　我在這個(gè)話題上的基本觀點(diǎn)是，我沒(méi)有邊界，即使我有邊界，它也會(huì)非常多孔。那么，如何更好地管理軟件級(jí)別的訪問(wèn)呢?零信任是其中一個(gè)重要方面。

　　QuHarrisonTerry：這個(gè)問(wèn)題有沒(méi)有引發(fā)您在隱私方面的擔(dān)憂?

　　KurtJohn：最大的擔(dān)憂還是數(shù)據(jù)蔓延問(wèn)題，原因有兩個(gè)：一方面是云計(jì)算帶來(lái)的速度和可擴(kuò)展性。你有一個(gè)開(kāi)發(fā)環(huán)境。你有一個(gè)管道。你可以建造一些東西。你只有一個(gè)最小的可行產(chǎn)品。你把數(shù)據(jù)放進(jìn)去。然后有人會(huì)說(shuō)，“哦，這是有趣的數(shù)據(jù)。讓我復(fù)制一份。”很難開(kāi)始?對(duì)不起，它很容易開(kāi)始，但很難控制!數(shù)據(jù)蔓延就是其中最大的問(wèn)題之一。

　　其次，我認(rèn)為是不斷變化的隱私環(huán)境。歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)在列出人們需要做的具體事情方面做得非常好。但例如，在美國(guó)，不同的州仍在思考如何以不同的方式處理隱私。這意味著如果你在美國(guó)或者你在美國(guó)做生意，那么你可能需要注意50個(gè)不同的隱私法規(guī)。

　　我認(rèn)為這是兩件最重要的事情。隱私和安全之間有很多融合。所以，你需要一個(gè)個(gè)人隱私策略，但你也需要一個(gè)聯(lián)合策略，來(lái)更好地實(shí)現(xiàn)隱私保護(hù)。

　　MichaelKrigsman：安全組織能在多大程度上通過(guò)為客戶提供更好的安全性和隱私來(lái)實(shí)現(xiàn)他們公司的市場(chǎng)差異化?

　　KurtJohn：一般來(lái)說(shuō)，安全部門(mén)面臨的最大挑戰(zhàn)之一就是闡明它的價(jià)值，因?yàn)槲覀兊膬r(jià)值來(lái)自于沒(méi)有發(fā)生安全事故或沒(méi)有漏洞。我已經(jīng)看到了越來(lái)越多的，我傾向于稱(chēng)之為業(yè)務(wù)價(jià)值指標(biāo)。

　　你需要一些操作指標(biāo)來(lái)減少漏洞。你需要降低風(fēng)險(xiǎn)，需要清楚地表達(dá)風(fēng)險(xiǎn)等等。這些都是操作或風(fēng)險(xiǎn)指標(biāo)。

　　業(yè)務(wù)價(jià)值指標(biāo)是指這些活動(dòng)如何向業(yè)務(wù)交付價(jià)值。一個(gè)很好的例子就是ISO27001，它是一個(gè)標(biāo)準(zhǔn)機(jī)構(gòu)的認(rèn)證，你可以作為一個(gè)組織獲得該認(rèn)證。它本質(zhì)上說(shuō)明，當(dāng)涉及到組織內(nèi)的安全治理時(shí)，你做得非常好。

　　對(duì)我來(lái)說(shuō)，這是一個(gè)很好的例子，它不僅降低了風(fēng)險(xiǎn)(這是因?yàn)樗馕吨阋呀?jīng)把某些事情放在適當(dāng)?shù)奈恢?，以確保你有一個(gè)健康的安全計(jì)劃)，而且它還成為了一個(gè)業(yè)務(wù)價(jià)值指標(biāo)。為什么?因?yàn)槟愕暮献骰锇槿绻牒湍愫灱s，可能會(huì)問(wèn)你，“安全對(duì)我們來(lái)說(shuō)真的很重要。它會(huì)破壞我們的行動(dòng)。我需要知道你對(duì)待安全的態(tài)度有多認(rèn)真?”

　　這時(shí)候，你就可以把證書(shū)交給他們。當(dāng)然，這并不是最終的結(jié)果，但這是向正確方向邁出的重要一步，表明你在市場(chǎng)中脫穎而出。這是個(gè)很簡(jiǎn)單的例子。

　　我認(rèn)為，當(dāng)你向下移動(dòng)技術(shù)堆棧或你得到更多的安全技術(shù)成果時(shí)，你會(huì)看到這些也開(kāi)始在市場(chǎng)上得到反映。實(shí)際上，我對(duì)此非常興奮，因?yàn)樗鉀Q了一個(gè)古老的問(wèn)題，那就是：第一，CEO和CSO(在過(guò)去幾年)講的是不同的語(yǔ)言，一種非常技術(shù)，一種非常以業(yè)務(wù)為中心。第二，每當(dāng)CEO或董事會(huì)的任何人問(wèn)“我們做得怎么樣?”時(shí)，如果我們回答，“嗯，我們做得很好。沒(méi)有違規(guī)。”他們就會(huì)表示：“好吧，如果沒(méi)有違規(guī)，你真的還需要那么多錢(qián)嗎?”

　　這是一種充滿碰撞性的對(duì)話?，F(xiàn)在，有了這些業(yè)務(wù)價(jià)值指標(biāo)，對(duì)話就變得更容易了。

　　QuHarrisonTerry：也就是說(shuō)，當(dāng)您在構(gòu)建一個(gè)沒(méi)有太多事件的環(huán)境時(shí)，必須要有威脅向量或您發(fā)現(xiàn)普遍存在的東西。

　　KurtJohn：沒(méi)錯(cuò)。

　　QuHarrisonTerry：它們不僅對(duì)您如何建立內(nèi)部組織有不同的影響，甚至對(duì)您如何傳達(dá)您所建立的系統(tǒng)的價(jià)值也有不同的影響，因?yàn)檫@些對(duì)您來(lái)說(shuō)是最重要的。您覺(jué)得現(xiàn)在有什么特別的計(jì)算機(jī)事件非常引人注目嗎?

　　KurtJohn：我非常依賴我的威脅情報(bào)團(tuán)隊(duì)來(lái)展示一般的威脅形勢(shì)，以及這對(duì)Expedia來(lái)說(shuō)意味著什么。另一個(gè)，就你的觀點(diǎn)而言，如果我的安全運(yùn)營(yíng)團(tuán)隊(duì)正在減輕或阻止一些發(fā)生在環(huán)境中的事件時(shí)，我會(huì)高調(diào)地宣稱(chēng)，“看，在過(guò)去30天里，我們阻止了以下幾起事件。”

　　回到你問(wèn)題的關(guān)鍵，我現(xiàn)在處理這個(gè)問(wèn)題的方式是，我在我的團(tuán)隊(duì)所關(guān)注的事情和業(yè)務(wù)結(jié)果之間建立了非常緊密的聯(lián)系。

　　例如，一家公司專(zhuān)注于與第三方建立更強(qiáng)大的合作伙伴，并試圖在那里推動(dòng)更多的自動(dòng)化。然后，突然之間，API和邊緣計(jì)算對(duì)于驅(qū)動(dòng)我的程序需要的那種業(yè)務(wù)效率變得非常重要。為什么?因?yàn)檫@是一個(gè)對(duì)成功至關(guān)重要的業(yè)務(wù)策略，所以我的項(xiàng)目也需要以此為中心。

　　QuHarrisonTerry：在這種環(huán)境下，考慮到貴公司是一家電子商務(wù)公司，您如何看待欺詐?這是您負(fù)責(zé)的威脅的一部分嗎?或者這是您必須與內(nèi)部業(yè)務(wù)部門(mén)密切合作的事情嗎?

　　KurtJohn：有些欺詐是從一次安全事故開(kāi)始的。有些欺詐是從錯(cuò)誤配置開(kāi)始的，但有些人可能會(huì)認(rèn)為這本質(zhì)上也屬于安全事故。有一些可能是從隱私事件開(kāi)始的，有些人可能會(huì)說(shuō)這是一樣的，但它有一點(diǎn)不同。

　　歸根結(jié)底，我發(fā)現(xiàn)，在整個(gè)行業(yè)中，至少有三到四個(gè)職能部門(mén)存在大量的合作關(guān)系。通常情況下，你會(huì)看到這些技能組合。最好的理解方式是價(jià)值鏈。我認(rèn)為大多數(shù)過(guò)程和結(jié)果都是一個(gè)價(jià)值鏈。

　　作為一個(gè)組織，如果你想確保你能很好地處理欺詐行為，那么你想要的結(jié)果是什么?你需要采取哪些步驟?然后專(zhuān)注于推動(dòng)這一過(guò)程，而不管它們?cè)诮M織中的位置。

　　總有機(jī)會(huì)去優(yōu)化和改變事物。但你想要的是這樣一種環(huán)境，在這種環(huán)境中，你可以得到一個(gè)結(jié)果，找到里程碑，然后橫向地推動(dòng)各個(gè)業(yè)務(wù)單元。

　　QuHarrisonTerry：您認(rèn)為，在欺詐保護(hù)方面，一個(gè)更好的企業(yè)與政府聯(lián)盟具體是什么樣的?

　　KurtJohn：你可能不太了解信息共享和分析中心(ISAC，InformationSharingandAnalysisCenter)。它是收集對(duì)信息科技，尤其是收集對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施信息科技的網(wǎng)絡(luò)威脅信息的中心。ISAC通常是一個(gè)非營(yíng)利組織，并在企業(yè)和公共事業(yè)之間提供雙向信息共享。

　　例如，成立于1999年的FS-ISAC(金融業(yè)信息共享和分析中心)現(xiàn)在已有300余企業(yè)會(huì)員，會(huì)員包括銀行、證券、保險(xiǎn)、票券、期貨等細(xì)分行業(yè)。FS-ISAC還提供了額外的服務(wù)，包括參與在線研討會(huì)、威脅演習(xí)、協(xié)助創(chuàng)建信息過(guò)濾器以防信息超載。

　　就目前來(lái)看，美國(guó)已具有約20個(gè)行業(yè)ISAC。主要分布在金融、交通、電力、通信、航空、衛(wèi)生、能源、水利等擁有大量關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)行業(yè)。已知的ISAC還包括歐盟的FI-ISAC、日本的F-ISAC，韓國(guó)也已設(shè)置了KS-ISAC。

　　關(guān)于你的問(wèn)題，有趣的是，我認(rèn)為大多數(shù)企業(yè)都受到欺詐的影響，特別是如果控制不力的話。也許我想到的一個(gè)更好的方法是——我以前從來(lái)沒(méi)有想過(guò)這個(gè)問(wèn)題，所以這是一個(gè)非常好的問(wèn)題——我們是否需要開(kāi)始思考這些困擾著我們的特定主題的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)在多個(gè)領(lǐng)域橫向運(yùn)行，坦率地說(shuō)，困擾著很多公司和領(lǐng)域?

　　針對(duì)你的問(wèn)題，我覺(jué)得它應(yīng)該是某種信息共享類(lèi)型的政企聯(lián)盟，最好是專(zhuān)門(mén)針對(duì)欺詐主題的信息共享和分析中心。

　　MichaelKrigsman：在消費(fèi)者生態(tài)系統(tǒng)中，個(gè)人無(wú)法通過(guò)合同向提供商追究責(zé)任，在您看來(lái)，安全項(xiàng)目增量投資的最大董事會(huì)激勵(lì)因素是什么?以及安全團(tuán)隊(duì)可以提供哪些重要指標(biāo)來(lái)推動(dòng)董事會(huì)成員和業(yè)務(wù)同事的對(duì)話?

　　KurtJohn：說(shuō)到董事會(huì)，主要有兩件事。首先，你需要找到一種方法，向董事會(huì)闡明安全性是如何幫助保護(hù)或促進(jìn)業(yè)務(wù)發(fā)展的。在最大程度上，你總是希望在業(yè)務(wù)策略的上下文中闡明你的安全結(jié)果。通常情況下，在董事會(huì)會(huì)議期間會(huì)有關(guān)于業(yè)務(wù)戰(zhàn)略的更新，所以你可以在會(huì)議之前或之后來(lái)，并能夠說(shuō)明，“是的，我們正在采取這些步驟來(lái)幫助維護(hù)這一戰(zhàn)略。”這是一個(gè)。

　　第二，消費(fèi)者也變得非常精明。我認(rèn)為，總體而言，董事會(huì)和管理層開(kāi)始意識(shí)到這一點(diǎn)(特別是隨著Twitter等社交媒體平臺(tái)的出現(xiàn))?？吹竭@一點(diǎn)后，我認(rèn)為董事會(huì)對(duì)公司的形象要敏感得多。

　　我認(rèn)為最大的推動(dòng)力還是合規(guī)。我們所做的事情是否會(huì)讓我們所有人都進(jìn)監(jiān)獄或被叫到國(guó)會(huì)聽(tīng)證?不，沒(méi)人想要這樣，所以進(jìn)行安全審查。

　　作為一家公司，我們是誰(shuí)?我們是否采取了必要的措施，讓我們的消費(fèi)者繼續(xù)認(rèn)為我們是他們安全和/或隱私的倡導(dǎo)者?如果我們不是——我認(rèn)為許多公司需要問(wèn)自己這個(gè)問(wèn)題——那么我們是誰(shuí)?

　　我之所以使用“個(gè)人(individual)”這個(gè)詞，是因?yàn)槲艺J(rèn)為公司具有獨(dú)特的文化和個(gè)性等等，所以請(qǐng)?jiān)徫覍?duì)“個(gè)人”這個(gè)詞的使用。在安全和隱私方面，我們屬于哪種類(lèi)型的人?我們?cè)敢庾叨噙h(yuǎn)?

　　第三個(gè)問(wèn)題是，我們是否需要成為同類(lèi)最佳，或者我們是那種擅長(zhǎng)行業(yè)標(biāo)準(zhǔn)的公司?是最佳還是落后一點(diǎn)?這是一個(gè)公司需要與自己進(jìn)行的持續(xù)風(fēng)險(xiǎn)對(duì)話。

　　我并不認(rèn)為每個(gè)公司都需要在任何時(shí)候都是最好的。你需要考慮很多變量。當(dāng)涉及到你的同事時(shí)，也是一樣的事情——只是降低了一個(gè)層次。

　　最后我想說(shuō)的是，你需要非常重視反饋。你知道自己想要完成什么。你要盡自己最大的努力以一種你認(rèn)為合理的方式與董事會(huì)和其他業(yè)務(wù)領(lǐng)導(dǎo)者建立聯(lián)系。

　　你要真正推動(dòng)他們?nèi)〉贸晒Φ慕Y(jié)果。但你不可能總是對(duì)的，所以你想要有一個(gè)封閉的反饋循環(huán)系統(tǒng)，你可以不斷地得到反饋。那是怎么回事?有用嗎?沒(méi)用嗎?所以，我是業(yè)務(wù)價(jià)值指標(biāo)的強(qiáng)烈支持者。我們?cè)趺绰鋵?shí)?然后得到反饋。因此，如果你需要以業(yè)務(wù)價(jià)值指標(biāo)為中心，那么你就可以這樣做。

　　MichaelKrigsman：我認(rèn)為這是個(gè)好答案。問(wèn)題是要說(shuō)服董事會(huì)他們必須進(jìn)行投資，這顯然很困難，因?yàn)橥顿Y就像保險(xiǎn)一樣。

　　KurtJohn：完全同意。我要提的另一件事是，你必須是一個(gè)令人難以置信的出色的資金管理人。

　　這是什么意思呢?如果你即將獲得一筆投資，你需要做兩件事。首先，你需要非常清楚地知道什么時(shí)候會(huì)產(chǎn)生什么價(jià)值，并為你和團(tuán)隊(duì)設(shè)定里程碑，這樣錢(qián)就不會(huì)憑空消失。

　　另一件事是，僅僅因?yàn)槟惬@得了大量資金，并不意味著你不需要節(jié)約成本。你總是想這么做。如果為了進(jìn)行更多優(yōu)化和節(jié)省成本，你需要做出艱難的決定，那么你幾乎需要將它們分開(kāi)對(duì)待，因此您需要進(jìn)行優(yōu)化。不管你是否有現(xiàn)金流入，你都會(huì)不斷優(yōu)化你的支出。

　　MichaelKrigsman：GDPR是一個(gè)很好的框架，我們知道美國(guó)聯(lián)邦政府無(wú)法很快制定出這種數(shù)據(jù)隱私法案，那么為什么公司不把GDPR作為自己的標(biāo)準(zhǔn)呢?

　　KurtJohn：公司之所以不這么做，最重要的原因是他們大多是全球性公司。我想你們會(huì)發(fā)現(xiàn)，他們是總部在美國(guó)的公司，主要在歐洲運(yùn)營(yíng)，或者他們是總部在歐洲的公司，很快就會(huì)這么做。

　　但如果你關(guān)注更多的全球性公司，你會(huì)發(fā)現(xiàn)他們可能會(huì)更加猶豫，因?yàn)槠渲幸粋€(gè)挑戰(zhàn)是，當(dāng)你在美國(guó)東部或西部工作時(shí)，他們面對(duì)的是不斷變化的隱私法規(guī)，更不用說(shuō)50個(gè)州了。例如，我知道加州剛剛通過(guò)了CPRA。俄勒岡州正在考慮出臺(tái)一個(gè)隱私法規(guī)。弗吉尼亞州也有一個(gè)。

　　我認(rèn)為，公司在猶豫，他們最終做的是試圖找到公分母并解決這個(gè)問(wèn)題，直到有一個(gè)更可預(yù)測(cè)的監(jiān)管環(huán)境。我認(rèn)為這可能是關(guān)鍵。在缺乏可預(yù)測(cè)的監(jiān)管環(huán)境的情況下，公司會(huì)試圖做到公約數(shù)，以避免浪費(fèi)資金。

　　QuHarrisonTerry：你知道拳王泰森有句話，他說(shuō)：“每個(gè)人都有一個(gè)計(jì)劃，直到……”

　　KurtJohn：你的臉被打了一拳!

　　QuHarrisonTerry：沒(méi)錯(cuò)。完全正確。我想開(kāi)始放大一下這個(gè)對(duì)話。作為首席安全官，您可以建立一個(gè)非常好的安全系統(tǒng)，但沒(méi)有一個(gè)系統(tǒng)是完美的。當(dāng)您真的被入侵了或者遭遇一些超出想象的事情時(shí)，您在想什么?

　　KurtJohn：作為一名首席安全官，你需要做的一件事就是弄清楚如何快速而優(yōu)雅地面對(duì)失敗，因?yàn)闆](méi)有什么——正如你提到的——是完美的，總會(huì)出問(wèn)題。當(dāng)它出現(xiàn)時(shí)，你不會(huì)想要萎靡不振。你需要能夠在失敗后盡快恢復(fù)。

　　我還關(guān)注的一件事是，你需要不斷評(píng)估你快速失敗和快速恢復(fù)的能力。坦白地說(shuō)，這是那些能很好地處理數(shù)據(jù)泄露的公司，和那些不能很好地處理數(shù)據(jù)泄露的公司之間的最大區(qū)別，因?yàn)槿绻粋€(gè)國(guó)家決定跟蹤你，你幾乎無(wú)法阻止它。

　　這周我參加了一個(gè)CISO會(huì)議，有人問(wèn)了這樣一個(gè)問(wèn)題：“消費(fèi)者真的還關(guān)心數(shù)據(jù)泄露的發(fā)生嗎?”

　　這個(gè)問(wèn)題不是問(wèn)我的。我當(dāng)時(shí)也是觀眾，但我說(shuō)了出來(lái)。我說(shuō)，“是的，也許我們作為消費(fèi)者有點(diǎn)麻木了，因?yàn)槊刻於荚谄毓飧鞣N漏洞新聞。但這并不意味著消費(fèi)者不關(guān)心。”

　　公司面對(duì)的問(wèn)題已經(jīng)從“已經(jīng)發(fā)生的數(shù)據(jù)泄露”轉(zhuǎn)變?yōu)?ldquo;公司如何應(yīng)對(duì)數(shù)據(jù)泄露”以及他們的溝通方式。對(duì)我來(lái)說(shuō)，這也是你快速失敗并快速恢復(fù)的能力的一部分。

　　QuHarrisonTerry：當(dāng)我在安全部門(mén)工作時(shí)，我們非常擅長(zhǎng)的一件事是事后分析和事后分析的藝術(shù)，我認(rèn)為這幫了我們很多忙。我們做得有點(diǎn)不同的一件事是，我們總是以已實(shí)現(xiàn)的修復(fù)為主導(dǎo)。那么，你的團(tuán)隊(duì)最高層的事后分析過(guò)程是怎樣的?

　　KurtJohn：對(duì)我來(lái)說(shuō)，最基本的問(wèn)題就是剛剛發(fā)生了什么，怎么發(fā)生的。即使你不一定完全知道對(duì)手得到了什么，你要開(kāi)始做的是試著弄清楚在你的環(huán)境中是否有其他區(qū)域復(fù)制了這種類(lèi)型的錯(cuò)誤配置或漏洞，你需要開(kāi)始非常非常迅速地查看。它需要把發(fā)生的事情放入背景/上下文中分析。然后，與此同時(shí)，你顯然需要處理被訪問(wèn)的內(nèi)容，因?yàn)榭赡軙?huì)有一些報(bào)告要求。

　　但對(duì)我來(lái)說(shuō)，最重要的是弄清楚如何阻止可能發(fā)生的任何類(lèi)型的破壞。但是，在那之后，我需要非常迅速地進(jìn)入修復(fù)模式，并且能夠與董事會(huì)和其他可能需要獲得信息的人清楚地溝通。

　　QuHarrisonTerry：假設(shè)您帶著現(xiàn)在的經(jīng)驗(yàn)和知識(shí)儲(chǔ)備回到過(guò)去，年輕時(shí)的你會(huì)怎么做?

　　KurtJohn：可能有四到五件事，我希望我能記住它們，因?yàn)樽竭@樣的位置上，真的會(huì)讓人不知所措。

　　有無(wú)數(shù)不同的事情在發(fā)生。每個(gè)人都需要占用你的時(shí)間。尤其是作為一個(gè)新手CISO，真的很難從噪音中過(guò)濾出信號(hào)。

　　我的建議是，確保你非常清楚自己的目標(biāo)和關(guān)鍵結(jié)果，無(wú)論別人如何干擾你，你都要回到這些目標(biāo)上。

　　第二，在安全領(lǐng)域，可能有4件事。有安全意識(shí)和培訓(xùn)，試圖減少你的用戶群體做傻事的可能性;有端點(diǎn)保護(hù)，這里說(shuō)的端點(diǎn)包括服務(wù)器;還有漏洞管理，你希望盡可能快地發(fā)現(xiàn)并擺脫這些漏洞;然后，在一定程度上，還有身份和訪問(wèn)管理。

　　如果你能解決這四個(gè)問(wèn)題，我認(rèn)為你比很多其他組織都處于更好的位置，然后在此基礎(chǔ)上進(jìn)行構(gòu)建。找出你的基礎(chǔ)是什么。建立一些OKR，那就是你的“北極星”。你虔誠(chéng)地工作，任噪音來(lái)來(lái)去去，你只需要專(zhuān)注于實(shí)現(xiàn)這些目標(biāo)。

　　MichaelKrigsman：安全和IT部門(mén)是如何處理合作伙伴的問(wèn)題的，比如西南航空公司在圣誕節(jié)期間的服務(wù)中斷?

　　KurtJohn：如果你也受到了波及，那么從今天開(kāi)始，你就需要和你的重要伙伴建立關(guān)系，共享信息，分享政策，找出答案——獲得雙向報(bào)告等等。這就是你想做的。

　　如果是合作伙伴發(fā)生了事情，而你并未受到波及，那么你需要發(fā)揮真正的合作伙伴精神，利用你的資源，看看并詢問(wèn)你能為其提供什么幫助。

　　這是需要雙向奔赴的關(guān)系，無(wú)論你是主要參與者還是第三方，你都需要這樣做。因?yàn)?，沒(méi)有強(qiáng)大、積極的伙伴關(guān)系，我們都不會(huì)成功。

　　MichaelKrigsman：人工智能在安全方面的作用如何?能使用人工智能作為首席信息安全官的顧問(wèn)嗎?

　　KurtJohn：這個(gè)問(wèn)題很有趣。事實(shí)上，隨著ChatGPT的出現(xiàn)，人們確實(shí)圍繞這種類(lèi)型的安全功能進(jìn)行了大量的分析和開(kāi)發(fā)利用。它會(huì)做一些類(lèi)似于逆向工程的事情，基本上，只要告訴它要做什么，它就能做所有這些。

　　我堅(jiān)定地認(rèn)為人工智能在今天有一席之地，在未來(lái)還會(huì)有更大的一席之地，因?yàn)槿斯ぶ悄軐椭覀兂橄蟪鲈S多安全的復(fù)雜性，并讓我們專(zhuān)注于結(jié)果?，F(xiàn)在，有些人可能會(huì)聽(tīng)到這句話并認(rèn)為，“人工智能導(dǎo)致工作機(jī)會(huì)正在消失。”對(duì)此，我并不認(rèn)同。安全是一個(gè)非常復(fù)雜的領(lǐng)域，我認(rèn)為這樣做可以幫助人類(lèi)騰出非常有限的資源，來(lái)處理更復(fù)雜和有趣的業(yè)務(wù)問(wèn)題。

　　MichaelKrigsman：下面的問(wèn)題需要你們兩位做出回答，“偉大的成長(zhǎng)心態(tài)”思維認(rèn)為安全既關(guān)乎偉大的技術(shù)，也關(guān)乎人類(lèi)的行為。陷入危機(jī)，讓漏洞慢慢消失，絕不是正確的答案。事后和持續(xù)改進(jìn)不僅關(guān)乎改善障礙，還關(guān)乎人們的反應(yīng)和響應(yīng)。

　　QuHarrisonTerry：我相信你可能已經(jīng)看到了，但新生代(00后)對(duì)此非常感興趣。我們都記得伴隨著我們成長(zhǎng)的這些東西。Kurt，你還記得這種翻蓋電話嗎?

　　KurtJohn：我當(dāng)然記得!

　　QuHarrisonTerry：瘋狂的是，這是一部你現(xiàn)在必須擔(dān)心的自帶設(shè)備手機(jī)。不，我是認(rèn)真的。翻蓋手機(jī)又回來(lái)了。同時(shí)，惡意行為者也在利用這種設(shè)備，因?yàn)橥ㄟ^(guò)它更容易滲透進(jìn)組織網(wǎng)絡(luò)。

　　但我們并沒(méi)有思考這些事情。我們總是看到新興的趨勢(shì)，然后發(fā)表評(píng)論。我們不考慮隱私，不考慮數(shù)據(jù)。我們使用它只是因?yàn)槲覀兿矚g它的外觀。

　　舊的東西有朝一日會(huì)變成新的。新的東西有朝一日會(huì)變成舊的?，F(xiàn)在在一個(gè)更加互聯(lián)的環(huán)境下，這些東西甚至可以發(fā)揮競(jìng)爭(zhēng)情報(bào)的作用，這很吸引人。它們可以成為威脅、安全風(fēng)險(xiǎn)和漏洞。

　　但是我想把這個(gè)問(wèn)題傳給你，Kurt，你是怎么看待這個(gè)問(wèn)題的?因?yàn)槿斯ぶ悄墁F(xiàn)在很酷，但我記得當(dāng)時(shí)區(qū)塊鏈和大數(shù)據(jù)也曾風(fēng)靡一時(shí)?？傆幸环N被炒作的趨勢(shì)，但你有責(zé)任將其保持在正軌上，并確保引擎向前發(fā)展。

　　KurtJohn：技術(shù)可能會(huì)改變，但是，對(duì)于提出問(wèn)題的人來(lái)說(shuō)，你可以換掉技術(shù)，但本質(zhì)上，你從用戶社區(qū)中尋找的是完全相同的東西。

　　首先，安全是零號(hào)任務(wù)(jobzero)。第二，他們是安全的倡導(dǎo)者還是擁護(hù)者?如果他們不是，他們需要開(kāi)始更多的意識(shí)培訓(xùn)，只有參與水平和反饋水平才能推動(dòng)這種文化。

　　然后，從我的角度來(lái)看，這也歸結(jié)于多樣性和成長(zhǎng)心態(tài)。成長(zhǎng)心態(tài)不言自明。我該如何學(xué)習(xí)、發(fā)展、成長(zhǎng)，以便更好地應(yīng)對(duì)這類(lèi)問(wèn)題?

　　然后多樣性。我說(shuō)的是種族的，認(rèn)知的，你能想到的，所有類(lèi)型的多樣性。關(guān)于安全非常有趣的一點(diǎn)是，這是一個(gè)非常有創(chuàng)造性的領(lǐng)域。

　　兩個(gè)人可以坐在一起盯著同樣的東西看。僅僅因?yàn)槟阌辛遂`感的火花，你就能想出別人無(wú)法解決的問(wèn)題。

　　是的，這是技術(shù)性的，但也有一定的藝術(shù)成分。無(wú)論何時(shí)，當(dāng)你處在這樣的情況下，你都想要擁有背景多樣化的團(tuán)隊(duì)。當(dāng)它們組合在一起時(shí)，其效果將大于各部分的和。

　　我認(rèn)為這是文化的結(jié)合，包括成長(zhǎng)心態(tài)，以及多樣性。

　　QuHarrisonTerry：考慮到您自己、同事和合作伙伴已經(jīng)實(shí)施的一些實(shí)踐，為我們所有人帶來(lái)了新的環(huán)境。您認(rèn)為IT安全的應(yīng)用對(duì)整個(gè)旅游業(yè)有什么影響?

　　KurtJohn：我會(huì)說(shuō)，這是一種深切關(guān)心旅行者及其經(jīng)歷的能力。這種體驗(yàn)的一部分不僅僅是能夠看到大峽谷或救世主基督像或其他任何可能的東西。而是他們有信心與你分享信息，并相信你可以促進(jìn)這種經(jīng)歷，以幫助他們?cè)诼眯泻髮?duì)生活有更好的看法。我認(rèn)為這為我們繼續(xù)努力在游客和合作伙伴中建立信心提供了動(dòng)力。（企業(yè)網(wǎng)D1Net 原創(chuàng)）