Google Cloud CISO Phil Venables: انعدام الثقة “ضروري” لحماية السحابة
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
الأمن السيبراني لعبة صعبة. مع التوقعات الاقتصادية القاتمة لعام 2023 ، تتعرض فرق الأمن لضغوط متزايدة لتأمين البيئات السحابية المعقدة ضد الجهات الفاعلة المهدد ذات الدوافع المالية والسياسية التي تتطلع إلى الاستفادة من أي خطأ صغير.
ومع ذلك ، على الرغم من الضغوط الاقتصادية ، أشار فيل فينابلز ، المسؤول التنفيذي في Google Cloud ، في سؤال وجواب حديث ، إلى أن الاستثمار في إمكانات أمنية جديدة لا يزال أمرًا أساسيًا للحفاظ على تحول الأعمال في عام 2023.
كما شارك فينابلز أفكاره حول كيفية تأثير الذكاء الاصطناعي التوليدي على فرق الأمن ؛ ما الذي يجب أن يفعله CISO لتأمين السحابة ؛ ولماذا يعد انعدام الثقة أمرًا “ضروريًا” لحماية أعباء العمل في السحابة.
يوجد أدناه نسخة منقحة من المقابلة.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
VentureBeat: كيف تعتقد أن التوقعات الاقتصادية ستؤثر على مشهد الأمن السيبراني هذا العام؟
فيل فينابلز: لست خبيرًا في الاقتصاد – ولا يمكنني التنبؤ بما سيحدث – ولكن ما نسمعه من العملاء هو أن حلولنا السحابية تساعدهم على التنقل في تحولاتهم الرقمية وحل مشكلات الأعمال والابتكار في مجالات جديدة المناطق.
مع اقترابنا من عام 2023 ، أنا متفائل بأن الأمان سيظل يمثل أولوية – بالنسبة إلى Google وعملائنا والصناعة بشكل عام. في الواقع ، يتيح الاستثمار في القدرات الأمنية الجديدة إمكانية تحول الأعمال والابتكارات الضرورية في الوقت الحالي.
VB: ما هي أفكارك حول التطورات في الذكاء الاصطناعي من وجهة نظر أمنية ، وحرب الذكاء الاصطناعي الهجومية مقابل الدفاعية التي بدأنا نراها تتكشف ؟؟
فينابلز: مع استمرار زيادة استخدام الذكاء الاصطناعي – لكل من المدافعين والجهات الخبيثة – يجب علينا كصناعة أن نعمل معًا لتطوير نهج مشترك لضمان استخدام هذه التقنيات بشكل مسؤول في مجال الأمان.
أتوقع أن يستمر الذكاء الاصطناعي في تغيير قواعد اللعبة بالنسبة للمدافعين ، لكننا بحاجة إلى نشره بذكاء ومسؤولية. مع تطوير وإصدار نماذج ذكاء اصطناعي جديدة وأكثر قوة ، سيكون الالتزام بممارسات الذكاء الاصطناعي المسؤولة أمرًا بالغ الأهمية.
في Google ، نعمل على حل مشكلات الأمان لأكثر من عقدين من الزمن ونفكر في التقاطع بين الذكاء الاصطناعي والأمان لبعض الوقت. في عام 2018 ، كانت Google أول شركة ذات مقياس فائق ينشر مبادئ الذكاء الاصطناعي الخاصة بجوجل للتأكد من أننا نتحلى بالجرأة والمسؤولية.
نحن مستمرون في تطوير عملنا في هذا المجال ونحن ملتزمون بدفع التقدم المستمر في هذا المجال. تستفيد العديد من منتجاتنا بالفعل من إمكانات الذكاء الاصطناعي الرائدة لدينا ، بما في ذلك العديد من منتجاتنا الأمنية التي يمكن للعملاء استخدامها اليوم.
س: ما أهم ثلاثة عوامل يجب على CISOs مراعاتها عند البحث عن تأمين السحابة؟ (إدارة الهوية ، تكوينات إدارة الموقف؟)
فينابلز:
- إدارة الهوية والوصول (IAM) وقوة انعدام الثقة
من بين جميع المجالات التي تبدو مختلفة في السحابة ، قد تكون IAM هي الأكثر أهمية للحصول على الحق.
باستخدام أدوات IAM ، يمكنك منح الوصول إلى موارد السحابة على مستوى دقيق ، وإنشاء المزيد من سياسات التحكم في الوصول لسمات مثل حالة أمان الجهاز وعنوان IP ونوع المورد والتاريخ والوقت ، لضمان وجود ضوابط الوصول المناسبة بشكل أفضل مكان.
إن تنفيذ إطار عمل عدم الثقة ، حيث لا توجد ثقة ضمنية صفرية ، يعني أنه يجب إنشاؤه عبر آليات متعددة والتحقق منه باستمرار. يعد هذا ضروريًا لحماية القوى العاملة في المؤسسة وأعباء العمل في السحابة.
من خلال تحويل عناصر التحكم في الوصول من محيط الشبكة إلى العمليات الفردية والأجهزة والمستخدمين ، فإن انعدام الثقة يمكّن الموظفين من العمل بشكل أكثر أمانًا من أي مكان وأي جهاز بدون شبكات VPN التقليدية للبوابة البعيدة.
طبقت Google نهج عدم الثقة في معظم جوانب عملياتنا. نعتقد أنه بالتأكيد إطار عمل يجب على CISOs مراعاته عند تأمين البنية التحتية السحابية الخاصة بهم.
- استخبارات التهديد
يراقب مسؤولو أمن المعلومات الناجحون عن كثب [watch] في الحوادث التي وقعت في المنظمات الأخرى والتي من شأنها أن تشير إلى تغييرات في النشاط الضار أو تقدم دروسًا أخرى يمكن أن تغير الوضع السحابي الدفاعي للمؤسسة.
يعد اكتشاف التهديدات والتحقيق فيها والاستجابة لها جزءًا فقط من إدارة أفضل للمخاطر الإلكترونية – من المهم أيضًا فهم شكل المنظمة من منظور المهاجم وما إذا كانت ضوابط الأمن السيبراني للمؤسسة فعالة كما هو متوقع.
وبالمثل ، عندما يتعلق الأمر بتأمين السحابة ، فإن الانتباه إلى اتجاهات استخبارات التهديدات – واختيار موفري السحابة الذين يعتبرون ذكاء التهديدات أولوية – أمر لا بد منه.
- إدارة multicloud
ليس من غير المألوف أن تمتلك المؤسسات بيانات في سحابة متعددة ، وليست واحدة فقط. أحد أكبر التحديات التي يواجهها CISOs ليس فقط ضمان أن كل خدمة فردية مؤمنة بشكل مناسب ، ولكن أن مجموعة تلك الخدمات التي تشكل عملية تجارية أو مهمة آمنة.
إنه تحدٍ أكبر لضمان التخفيف من المخاطر الأخرى عبر المرونة والامتثال والخصوصية وإدارة البيانات والمجالات الأخرى. نتيجة لذلك ، يجب أن يفكر CISOs بشكل شامل حول إستراتيجية أمان السحابة الخاصة بهم وأن ينظروا إلى بنية السحابة الخاصة بهم ككل مقابل في الصوامع.
VB: أي تعليقات على دور Google في المساعدة على تأمين سلسلة توريد البرامج ومشاريع المصدر المفتوح؟
فينابلز: يظل تأمين المصدر المفتوح وسلسلة توريد البرمجيات بشكل جماعي أولوية للقطاعين الخاص والعام. تتكون سلسلة التوريد من مجموعة متنوعة من أنواع مختلفة من البائعين – الخدمات المتصلة وموفري البرامج وتكنولوجيا المعلومات الخارجية وأنواع أخرى من تعهيد العمليات التجارية.
يمكن أن تضم أي مؤسسة ذات حجم معقول مئات الآلاف من البائعين – وبعض الشركات المدرجة في قائمة Fortune 100 لديها عشرات الآلاف.
يتطلب تأمين سلسلة توريد البرمجيات مجموعة من ثلاثة أشياء:
- دفع تبني أفضل الممارسات
- بناء نظام بيئي أفضل للبرامج
- القيام باستثمارات طويلة الأمد في مجال الأمن الرقمي
في Google ، نعمل مع شركاء الصناعة والحكومات ومجتمع المصادر المفتوحة لمعالجة هذه الأهداف تحديدًا. خلال السنوات القليلة الماضية ، أعلنا عن عدد من المبادرات لمواجهة هذه التهديدات:
- في العام الماضي ، أعلنا عن إنشاء طاقم صيانة الأمان مفتوح المصدر الجديد ، وهو فريق من مهندسي Google الذين سيعملون عن كثب مع المشرفين على المنبع لتحسين أمان المشاريع الهامة مفتوحة المصدر.
- لقد قدمنا إرشادات معبرة عن آرائها للتخفيف من مخاطر سلسلة توريد البرامج في الإصدار الأول من سلسلة وجهات نظرنا حول الأمان.
- أطلقنا Software Delivery Shield ، وهو أول حل أمان لسلسلة إمداد البرامج المُدارة بالكامل والذي يزود المطورين وفرق الأمان بالأدوات التي يحتاجونها لبناء تطبيقات سحابية آمنة.
- لقد أصدرنا منتجات جديدة مثل OSV-Scanner وبيانات Open Source Insights في BigQuery ، والتي تهدف إلى دعم مجتمع المصادر المفتوحة بشكل مباشر أثناء قيامهم بتأمين مشاريعهم.
- بالتعاون مع Open Source Security Foundation (OpenSSF) ، اقترحت Google [a] مستويات سلسلة التوريد لإطار عمل البرمجيات (SLSA) ، الذي يضفي الطابع الرسمي على المعايير حول سلامة سلسلة توريد البرامج لمساعدة الصناعة والنظام الإيكولوجي مفتوح المصدر على تأمين دورة حياة تطوير البرمجيات.
يجب أن يستمر العمل الذي قام به القطاعان العام والخاص لمواجهة التحديات الأمنية مفتوحة المصدر إذا أردنا التخفيف من هذه التهديدات. يعد تقرير CSRB الأخير مثالًا رائعًا: إن توجيه مثل هذا أمر بالغ الأهمية لنظامنا البيئي بأكمله.
VB: كيف تحدد المخاطر الإلكترونية ، وكيف يمكن لـ CISOs تحديد المخاطر ذات الأولوية؟
فينابلز: تتضمن المخاطر السيبرانية أي شيء يمكن أن يعطل الشركة أو يضر بها بسبب فشل أنظمتها التكنولوجية. نظرًا لأن الأمن السيبراني أصبح الآن متشابكًا بشدة مع استراتيجيات التكنولوجيا والأعمال ، فمن المهم أن يتعامل القادة مع الأمن السيبراني على أنه خطر أعمال شامل من الدرجة الأولى.
كما يعلم أي CISO جيد ، سيكون لديك دائمًا مخاطر أكثر مما يمكنك التعامل معه على الفور – وبالتالي ، تتطلب مخاطرك إدارة جادة في المخزون. تعيد برامج المخاطر الإلكترونية القوية تقييم ما إذا كانت هناك مخاطر معينة تحتاج إلى تحديد أولوياتها أو عدم ترتيبها من حيث الأولوية.
يجب أن تتوافق المخاطر الإلكترونية مع مجالات مخاطر الأعمال الأخرى ويجب إدارتها أيضًا [part of] محفظة أكبر.
إن أفضل وسائل التخفيف من مخاطر الأمن السيبراني هي أيضًا عوامل تخفيف كبيرة لجميع المخاطر الأخرى: إدارة مشاريع تكنولوجيا المعلومات القوية المتوافقة مع أهداف العمل ، وتطوير واختبار البرامج المحسّنة ، وهندسة المرونة ، والتعلم من الحوادث والتحسين المستمر ، والهندسة لاختبار النطاق والقدرات ، والتكوينات التي يمكن التنبؤ بها ، عزل النظام والمزيد.
تعمل أفضل برامج الأمان جنبًا إلى جنب مع الأعمال الأوسع نطاقًا لحماية المؤسسة من نقاط الضعف.
VB: هل لديك أي تعليقات على أمان API (خاصة بعد انتهاكات T-Mobile و Twitter API)؟
فينابلز: تهيمن حركة مرور API على الإنترنت. ومثلما هو الحال مع أي تقنية مزدهرة ، فقد أصبحت وسيلة هجوم بارزة للجهات الخبيثة.
مثال على ذلك: في عام 2022 ، كشفت Google Cloud Apigee أن نصف 500 من قادة التكنولوجيا الذين شملهم الاستطلاع في الولايات المتحدة أفادوا أنهم تعرضوا لحادث أمان API خلال الـ 12 شهرًا الماضية.
تتوسع أسطح الهجوم بشكل كبير بسبب انتشار واجهة برمجة التطبيقات. نتيجة لذلك ، يجب على قادة الأمن الاستثمار في الحلول التي تساعد على تعزيز حوكمة وإدارة واجهات برمجة التطبيقات وحماية واجهات برمجة التطبيقات بشكل شامل طوال دورة حياتها بالكامل.
ستنتقل المؤسسات ذات التفكير المستقبلي إلى اليسار مع الأمان وتبدأ في نقل عناصر التحكم في وقت مبكر إلى سير عمل المنتج من خلال تقريب فرق الأمان وأصحاب واجهة برمجة التطبيقات. لحسن الحظ ، يمكن لأدوات مثل إدارة Apigee API من Google Cloud دعم ذلك.
VB: كيف تعزز عمليات الاستحواذ في العام الماضي على Mandiant و Siemplify نظام أمان Google Cloud؟
فينابلز: من خلال الاستحواذ على Mandiant و Siemplify ، يمكن لـ Google Cloud الآن توفير إمكانات أمان أكبر لدعم عمليات أمان العملاء عبر بيئاتهم السحابية وفي أماكن العمل.
لقد أدت تقنية SIEM “التفاعلية” من Google (من Chronicle) و SOAR (من Siemplify) المقترنة بقدرات استخبارات التهديدات “الاستباقية” من Mandiant وقدرات الاستجابة للحوادث إلى توفير مجموعة عمليات أمنية شاملة لا مثيل لها.
عند التحدث إلى Mandiant على وجه التحديد ، فإن خبراتهم ومواردهم في الاستجابة للحوادث فريدة من نوعها للصناعة وتسمح لنا بفهم مشهد التهديدات بشكل أفضل والتعرف على نقاط الضعف عبر قاعدة عملائنا بطرق لم نتمكن من ذلك من قبل.
عندما أغلقنا صفقة الاستحواذ على Mandiant في سبتمبر 2022 ، حددنا التوقعات بأننا سنستثمر بكثافة في عروض الأمن السيبراني التي يمكن أن تساعد العملاء على التخفيف من المخاطر – وفي الوقت القصير منذ أن اجتمعت الشركتان معًا ، عملنا وفقًا لهذه الرؤية ، والإعلان عن عروض جديدة مثل Mandiant Breach Analytics for Chronicle و Mandiant Attack Surface Management لـ Google Cloud.
نحن لا نزال ملتزمين بشدة بإضفاء الطابع الديمقراطي على العمليات الأمنية وتقديم نتائج أمنية أفضل للمؤسسات من جميع الأحجام ومستويات الخبرة – وتدعم عمليات الاستحواذ هذه قدرتنا على القيام بذلك.
VB: هل هناك أي شيء آخر ترغب في إضافته؟
فينابلز: كان هناك الكثير من الحالات على مدار العقد الماضي التي استثمرت فيها الشركات كثيرًا في منتجات الأمن السيبراني والأمن ، لكنها لم تقم بتحديث البنية التحتية العامة لتكنولوجيا المعلومات أو تحديث نهجها في تطوير البرامج.
بدون التركيز المستمر على تحديث تكنولوجيا المعلومات ، لن تتمكن المؤسسات من تحقيق الفوائد الكاملة للتقدم في مجال الأمن. يمكن أن تكون المؤسسات أكثر استعدادًا للدفاع ضد تهديدات اليوم من خلال الاستثمار في بيئات السحابة العامة الحديثة.
أكبر نصائحي لمحترفي الأمان مع استمرارنا في عام 2023: استفد مما تقدمه السحابة من خلال الاستثمار في بيئات السحابة العامة الحديثة. إذا لم تكن قد بدأت بالفعل في التفكير في تحديث البنية التحتية لتكنولوجيا المعلومات لديك ، فابدأ الآن. وأخيرًا ، حدد أولويات بناء برامج الأمان والمخاطر التي تكون مستدامة وشاملة وتناسب الاحتياجات الفردية لمؤسستك.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
