National Oilwell Varco (NOV) 正在經(jīng)歷由首席信息官 Alex Philips 掌舵的全方位網(wǎng)絡(luò)安全轉(zhuǎn)型����,采用 Zero Trust 架構(gòu)、強(qiáng)化身份防護(hù),并將 AI 融入安全運(yùn)營。雖然轉(zhuǎn)型尚未完全完成,但成果顯著——安全事件數(shù)量下降 35 倍,惡意軟件相關(guān)的 PC 重新成像問題被消除���,并通過淘汰傳統(tǒng)“硬件陷阱”硬件為公司節(jié)省了數(shù)百萬資金。
VentureBeat 最近通過線上方式與 Philips 進(jìn)行了深入訪談,Philips 在訪談中詳細(xì)說明了 NOV 如何借助 Zscaler 的 Zero Trust 平臺�、積極的身份防護(hù)措施以及為安全團(tuán)隊(duì)配備的生成式 AI “同事”而實(shí)現(xiàn)這些成果�����。
他還分享了在全球威脅環(huán)境中如何讓 NOV 董事會始終關(guān)注網(wǎng)絡(luò)風(fēng)險(xiǎn) —— 其中 79% 的初始入侵攻擊并非依賴惡意軟件,而且攻擊者有時僅用 51 秒就能從入侵到突破。
以下是 Philips 最近接受 VentureBeat 訪談的部分摘錄:
VentureBeat: Alex, NOV 幾年前就全面采用了 Zero Trust 策略 —— 那么有哪些顯著收益?
Alex Philips: 當(dāng)我們剛開始時��,采用的是傳統(tǒng)的城堡與護(hù)城河模型���,但這種模式已經(jīng)無法滿足需求����。我們之前并不了解 Zero Trust 的概念,僅僅知道必須將身份和條件訪問作為一切工作的核心���。我們的轉(zhuǎn)型始于在 Zscaler 的 Zero Trust Exchange 上實(shí)施基于身份的架構(gòu)����,這一舉措徹底改變了局面。我們的可視化程度和防護(hù)覆蓋范圍大幅提升,同時安全事件數(shù)量減少了 35 倍��。以前����,我們的團(tuán)隊(duì)每天要應(yīng)對成千上萬起惡意軟件事件;而現(xiàn)在���,問題僅占其中的一小部分�。我們此前每月需重新成像大約 100 臺感染惡意軟件的設(shè)備����,現(xiàn)在幾乎不用重新成像。這樣不僅節(jié)省了大量時間,也大大降低了成本。而且���,由于解決方案基于云端,我常說“硬件陷阱”問題已經(jīng)一去不復(fù)返。
如今���,該 Zero Trust 策略使 NOV 的 27,500 名用戶及合作伙伴能夠通過基于策略的訪問安全地訪問數(shù)千個內(nèi)部應(yīng)用,而無需將這些應(yīng)用直接暴露于互聯(lián)網(wǎng)。
隨后,我們還采取了一個過渡步驟,對網(wǎng)絡(luò)進(jìn)行了重新架構(gòu)�,從而利用基于互聯(lián)網(wǎng)的連接替代傳統(tǒng)昂貴的 MPLS�。Philips 指出:“平均而言�,我們的網(wǎng)速提高了 10–20 倍,關(guān)鍵 SaaS 應(yīng)用的延遲大幅降低,成本也減少了超過 4 倍……僅網(wǎng)絡(luò)改造項(xiàng)目一項(xiàng)����,年節(jié)省已超過 650 萬美元���?����!?
VentureBeat: 轉(zhuǎn)變?yōu)?Zero Trust 是如何將安全噪音降低如此之巨的?
Philips: 主要原因在于我們的互聯(lián)網(wǎng)流量現(xiàn)在全部通過具備完整 SSL 檢查、沙箱機(jī)制與數(shù)據(jù)泄露防護(hù)功能的 Security Service Edge (SSE) 傳輸。Zscaler 直接與 Microsoft 對等連接,因此 Office 365 的流量既更快又更安全 —— 用戶不再嘗試?yán)@過控制���,因?yàn)樾阅艿玫搅孙@著改善�。以往,由于本地設(shè)備無法進(jìn)行 SSL 檢查���,我們曾被拒絕檢查 SSL 流量���,但如今我們終于獲得了法律許可來解密 SSL 流量��,因?yàn)樵拼聿辉试S NOV 監(jiān)視數(shù)據(jù)本身。這意味著�,在惡意軟件潛藏于加密流量中之前����,就已經(jīng)被有效攔截�����。簡而言之�����,我們縮小了攻擊面,讓正常流量暢通無阻�����,從而整體降低了警報(bào)數(shù)量����。
NOV 的首席信息安全官 John McLeod 也認(rèn)同這一觀點(diǎn),他認(rèn)為“在混合環(huán)境中�����,舊的網(wǎng)絡(luò)邊界模型已不適用”����,必須構(gòu)建以身份為中心的云端安全堆棧����。通過將所有企業(yè)流量導(dǎo)入云端安全層(甚至利用 Zscaler 的 Zero Trust Browser 等工具隔離風(fēng)險(xiǎn)較高的網(wǎng)頁會話),NOV 顯著減少了入侵企圖���。這種全方位的檢查能力使 NOV 能及時發(fā)現(xiàn)并攔截以前漏網(wǎng)的威脅,從而使安全事件數(shù)量減少了 35 倍。
VentureBeat: 在采用 Zero Trust 的過程中��,有沒有出現(xiàn)任何最初未曾預(yù)料到的好處?
Alex Philips: 有的�,實(shí)際上我們的用戶更青睞于云端 Zero Trust 的體驗(yàn)�����,相較于傳統(tǒng) VPN 客戶端,其采用過程更簡單���,并使我們在移動辦公、并購�����,甚至在我所稱的“黑天鵝事件”中具備前所未有的靈活性�����。例如�����,當(dāng) COVID-19 疫情爆發(fā)時����,NOV 已經(jīng)做好了萬全準(zhǔn)備!我對管理團(tuán)隊(duì)表示,如果所有 27,500 名用戶都需要遠(yuǎn)程辦公,我們的 IT 系統(tǒng)都能輕松應(yīng)對。管理層為之震驚,而公司則保持持續(xù)運(yùn)轉(zhuǎn)����,絲毫未受影響����。
VentureBeat: 基于身份的攻擊呈上升趨勢 —— 你曾提到有關(guān)憑據(jù)盜竊的驚人數(shù)據(jù)���。NOV 是如何加強(qiáng)身份和訪問管理的?
Philips: 攻擊者普遍認(rèn)為��,使用被盜憑據(jù)登錄往往比植入惡意軟件更為簡單���。實(shí)際上���,最新威脅報(bào)告顯示���,2024 年 79% 的初始入侵攻擊為無惡意軟件攻擊�,依靠被盜憑據(jù)、基于 AI 的釣魚以及 deepfake 騙局���。去年,每三起云入侵事件中就有一起涉及合法憑據(jù)。我們已收緊身份策略,使得這類攻擊手段更難奏效���。
例如,我們將 Zscaler 平臺與 Okta 集成,實(shí)現(xiàn)了身份及條件訪問檢查�。我們的條件訪問策略要求在允許訪問之前��,設(shè)備上必須運(yùn)行我們的 SentinelOne 防病毒代理����,從而增加了一道額外的檢查����。我們還嚴(yán)格限制了可以執(zhí)行密碼或 MFA 重置的人員數(shù)量��,杜絕任何單一管理員獨(dú)自繞過身份驗(yàn)證控制��。這種職責(zé)分離能夠防止內(nèi)部人員或已被攻陷的賬戶輕易關(guān)閉我們的防護(hù)措施。
VentureBeat: 你提到在禁用用戶賬戶之后仍然存在一個漏洞����,能否解釋一下?
Philips: 我們發(fā)現(xiàn)��,即使檢測到并禁用了被攻陷的用戶賬戶,攻擊者的會話令牌仍可能保持活動狀態(tài)。僅僅重置密碼是不夠的,必須同時撤銷會話令牌�����,才能真正將入侵者踢出系統(tǒng)�。我們正在與一家初創(chuàng)公司合作�,為我們最常用的資源開發(fā)近實(shí)時的令牌失效解決方案�����。本質(zhì)上����,我們希望在幾秒鐘內(nèi)使被盜令牌失去效用����。Zero Trust 架構(gòu)的優(yōu)勢在于,所有內(nèi)容都需要通過代理或身份提供商重新進(jìn)行身份驗(yàn)證,這為我們提供了單一控制點(diǎn)��,以便全球范圍內(nèi)撤銷令牌��。這樣,即使攻擊者竊取了 VPN Cookie 或云會話�����,他們也無法進(jìn)行橫向移動����,因?yàn)槲覀兛梢匝杆偈沽钆茻o效。
VentureBeat: NOV 還有哪些其他的身份安全措施?
Philips: 我們幾乎在所有環(huán)節(jié)都強(qiáng)制實(shí)施多因素認(rèn)證 (MFA) 并監(jiān)控異常訪問模式�。Okta��、Zscaler 與 SentinelOne 聯(lián)手構(gòu)建了以身份為中心的安全邊界,每次登錄以及設(shè)備狀態(tài)都在持續(xù)驗(yàn)證�����。即使有人竊取了用戶密碼��,他們?nèi)匀恍枰ㄟ^設(shè)備檢查��、MFA 挑戰(zhàn)、條件訪問規(guī)則���,而且一旦出現(xiàn)異常還可能導(dǎo)致會話立即被撤銷。單獨(dú)重置密碼已遠(yuǎn)遠(yuǎn)不足 —— 我們必須即時撤銷會話令牌�,以防攻擊者進(jìn)行橫向移動���。這一理念構(gòu)成了 NOV 身份威脅防御策略的基石�。
VentureBeat: 你也是網(wǎng)絡(luò)安全領(lǐng)域中 AI 的早期采用者。NOV 在安全運(yùn)營中心 (SOC) 中如何利用 AI 及生成式模型?
Philips: 由于我們在全球范圍內(nèi)的安全團(tuán)隊(duì)相對較小�����,因此必須更高效地工作���。我們的一種做法是將 AI “同事”引入安全運(yùn)營中心 (SOC)�����。我們與 SentinelOne 合作,開始使用他們的 AI 安全分析工具 —— 一款能夠以機(jī)器速度編寫和運(yùn)行跨日志查詢的 AI。這一工具改變了游戲規(guī)則����,使得分析師可以用簡單的英文提問�,并在幾秒鐘內(nèi)得到答案���。分析師不再需要手動編寫 SQL 查詢����,AI 會建議下一步查詢或者甚至自動生成報(bào)告,從而大幅降低了平均響應(yīng)時間��。
我們已經(jīng)看到����,借助 AI 助手,威脅狩獵的速度提升了多達(dá) 80%�。Microsoft 的數(shù)據(jù)表明�,引入生成式 AI 可將事件平均解決時間縮短 30%�。除此之外,我們還在嘗試?yán)脙?nèi)部 AI 機(jī)器人進(jìn)行運(yùn)營分析��,使用 OpenAI 的基礎(chǔ) AI 模型幫助非技術(shù)人員快速查詢數(shù)據(jù)��。當(dāng)然����,我們也設(shè)置了數(shù)據(jù)保護(hù)防護(hù)措施,以確保這些 AI 解決方案不會導(dǎo)致敏感信息泄露�����。
VentureBeat: 網(wǎng)絡(luò)安全不再僅僅是 IT 問題�����。你如何讓 NOV 的董事會和高層管理者了解網(wǎng)絡(luò)風(fēng)險(xiǎn)?
Philips: 我始終把讓董事會參與我們的網(wǎng)絡(luò)安全轉(zhuǎn)型放在首位。他們無需了解技術(shù)的細(xì)節(jié)���,但必須理解我們的風(fēng)險(xiǎn)態(tài)勢。以生成式 AI 為例���,我早已向他們簡要說明了其優(yōu)勢和潛在風(fēng)險(xiǎn)。這種教育在我提出防止數(shù)據(jù)泄露的管控措施時�,能迅速獲得一致認(rèn)可��。
現(xiàn)在,董事會將網(wǎng)絡(luò)安全視為核心業(yè)務(wù)風(fēng)險(xiǎn)��。他們在每次會議上都會收到相關(guān)簡報(bào),而不僅僅是一年一次。我們甚至與他們共同參與桌面演練�����,展示假想攻擊的全過程����,將抽象的威脅轉(zhuǎn)化為具體的決策情景,從而強(qiáng)化了自上而下的支持力度。
我始終強(qiáng)調(diào)網(wǎng)絡(luò)風(fēng)險(xiǎn)的現(xiàn)實(shí)存在�。即便我們在網(wǎng)絡(luò)安全項(xiàng)目上投入了數(shù)百萬資金�,風(fēng)險(xiǎn)也永遠(yuǎn)無法完全消除。問題不在于是否會發(fā)生安全事件,而在于何時會發(fā)生���。
VentureBeat: 基于 NOV 的轉(zhuǎn)型經(jīng)驗(yàn),你對其他 CIO 與 CISO 有什么最后建議嗎?
Philips: 首先,要認(rèn)識到安全轉(zhuǎn)型與數(shù)字轉(zhuǎn)型是密不可分的。沒有 Zero Trust�����,我們無法如此高效地向云端遷移或支持遠(yuǎn)程辦公�����,而業(yè)務(wù)成本的節(jié)省又為安全改進(jìn)提供了資金支持,這真的是一種“三贏”的局面。
其次,務(wù)必注重身份和訪問的職責(zé)分離。任何單一個人都不應(yīng)有能力破壞你的安全控制——包括我自己�����。即使是小的流程變更�����,例如要求兩人共同更改高管或高權(quán)限 IT 員工的 MFA��,也能有效防止惡意內(nèi)部人員、錯誤行為及外部攻擊�。
最后����,要謹(jǐn)慎而積極地?fù)肀?AI����。攻擊者方面已開始大規(guī)模應(yīng)用 AI。一個落實(shí)良好的 AI 助手能成倍提升你的團(tuán)隊(duì)防御能力�����,但必須控制數(shù)據(jù)泄露或模型不準(zhǔn)確的風(fēng)險(xiǎn)�����。務(wù)必確保將 AI 輸出與團(tuán)隊(duì)技能相結(jié)合�,從而打造出融合 AI 的“大腦”�����。
我們深知威脅在不斷演化�����,但借助 Zero Trust、強(qiáng)大的身份安全防護(hù)以及現(xiàn)在 AI 的助力��,我們總算擁有了一線生機(jī)�。
