专访Zalando全球首席信息安全官:从漏洞挖掘到AI零售安全的跨越

本文深度访谈了Zalando全球CISO Florence Mottay,探讨了她从软件漏洞研究转型为零售科技巨头安全负责人的历程,并详细阐述了生成式AI带来的全新安全挑战、团队如何构建AI模型安全护栏,以及在高科技零售环境中建立信任与实现业务赋能的安全策略。

专访:Florence Mottay,Zalando全球首席信息安全官

Florence Mottay的职业生涯始于网络安全领域,曾在一家美国初创公司研究安全漏洞的利用。如今,她是Zalando——一家拥有超过5000万客户、覆盖26个市场的高科技在线时尚零售商——的集团首席信息安全官。

她表示,Zalando更像一家科技公司而非零售商,为购物者提供由人工智能驱动的应用程序,这些应用能帮助顾客为特定场合挑选合适服装,或通过手机拍摄图像来获取身体尺寸数据。

公司向生成式AI的转型给Mottay和她由100人组成的安全团队带来了独特的挑战。由于没有现成蓝图,他们需要从零开始探索,并与业务的其他部门紧密合作。

Mottay回忆说,她是在佛罗里达大学参加交换项目学习数学时,偶然“踏入”计算机安全领域的。“我遇到了一位软件工程教授,他可能看到了一些潜力,表示如果我同意从数学专业转到软件工程,并参与他获得的一些研究项目,他将赞助我完成剩余的学士和硕士学位。”

从安全初创公司起步

2003年,Mottay加入了一家专注于为雷神、诺斯罗普·格鲁曼等美国政府承包商创建安全漏洞利用代码的小型初创公司。“我是公司的第七号员工。”这家后来名为Security Innovation的公司,致力于开发概念验证漏洞利用代码,以展示软件中的安全漏洞若未被修复,将如何被黑客或恶意行为者滥用。

在伦敦举行的一次SANS网络安全领导者峰会上接受采访时,Mottay表示这是一段陡峭的学习曲线。“有六个月时间,我每天下班回家后都会学习到凌晨3点,研究如何创建漏洞利用代码,后来我变得相当熟练。”两年后,她被派往荷兰开设分公司,为欧洲公司开发漏洞利用代码。该分公司不断发展,最终被一家更大的公司收购。随后,她又担任了其他安全职位。

转向零售行业

十年后,Mottay转变了方向,在荷兰零售商Ahold(Albert Heijn超市连锁的所有者)担任IT安全总监。不久后,Ahold与比利时跨国零售商Delhaize合并。到2019年,Mottay已晋升为集团全球CISO兼信息安全副总裁。

“我很快发现,利益相关者管理和与业务部门建立伙伴关系是成功的关键,”她说,“我开始建立关系。”Ahold和Delhaize有着相似的历史、文化和商业方法,但它们的IT系统却不同。公司合并后,部分IT系统进行了整合,而在其他情况下,各公司保留了各自独特的技术。“对于我们安全部门来说,我们找到了方法来保障无论做出何种选择的安全性。”

从漏洞研究到时尚科技

2022年,在线时尚零售商Zalando正在寻找一位能转变其安全运营的人才,并向Mottay发出了邀请。Zalando的“创业精神”和对创新数字技术的专注立刻吸引了Mottay。“感觉就像是,‘天哪!’”

她的任务是将网络安全从一个与组织内其他业务单元并列的垂直职能部门,重新定位为一个贯穿Zalando每个部分的横向职能部门。对Mottay而言,这意味着回到与她的新团队和董事会建立信任关系的老路上。这意味着要找到方法来支持公司的目标,并规避任何出现的网络安全问题,而不是将其视为障碍。

“我们在这里是为了支持业务,是为了赋能。我们需要找到方法来实现业务的雄心壮志,我认为这就是建立信任的方式,”她说。Mottay表示她很幸运,Zalando的每一位业务领导者都对技术和网络安全有很好的理解。“这并不常见,但确实令人兴奋,”她说,“这非常酷。”

与AI竞速

随着生成式AI开始带来新的挑战,对Mottay这样的CISO来说,安全管理变得更具挑战性。“想想勒索软件,AI是一个加速器,”她说,“它让攻击对更多人来说变得触手可及,同时也让攻击速度更快。这意味着,作为网络安全职能部门,我们必须比以往任何时候都行动得更快。”

她认为,组织比以往任何时候都更需要对其计算机网络上的所有活动有清晰的可见性。以2021年发现的Log4j安全漏洞为例,该漏洞使企业内大量应用程序面临远程代码执行攻击的风险。漏洞软件在云服务和本地环境中的广泛分布,使得组织难以检测和修补。

“如果你有一份物料清单,你就能快速看到所有易受攻击的实例在哪里并加以解决。所以,思路是一样的——如果发生什么事情,我们能否尽快审视并确定需要采取行动的地方?”她说。

Zalando正在使用AI来对安全警报进行分类,但要跟上威胁的步伐,需要对安全团队进行“持续的技能提升”,并持续监控威胁情报。Mottay在开发漏洞利用代码和研究漏洞方面的经验让她受益匪浅。“当发生攻击时,我理解它是如何被制造的,”她说,“得益于我的技术背景,我可以在需要时深入探究。”

适应生成式AI的动态发展

与此同时,Mottay和她由100人组成的安全团队正在支持Zalando雄心勃勃的生成式AI计划。在2022年底ChatGPT推出后不久,Zalando就开始着手开发基于生成式AI的购物助手,以帮助客户购物。

Mottay被要求帮助应对AI带来的一些风险,包括偏见、幻觉和错误信息,这些超出了IT安全的自然职责范围。安全团队中已有一些人对生成式AI充满热情并开始进行实验,因此Mottay首先找到了他们。

“当我接到这个任务时,我去找他们……我说,‘嘿,伙计们,你们想帮忙吗?想合作吗?我们开始干吧,’”她说,“于是他们开始与业务部门合作。”

存在一些明确的风险。例如,一个AI系统可能会同意让顾客退回穿了多年的衣服并获得退款。或者,它们可能会对不同的人提供同一商品的不同价格。

Mottay的团队整理了80,000条提示词,以安全的方式训练模型。他们将每条提示词分为三类:与业务相关的咨询(例如,关于在售商品);非业务相关的咨询(例如,一个关于食谱配料的不相关问题);以及恶意咨询(例如,请求运行计算机代码)。

该公司于2024年在部分市场推出了其AI驱动的Zalando时尚助手。该工具可以回答诸如以下问题:“我受邀参加10月在巴塞罗那举行的婚礼,接待活动从教堂开始,在海滩结束。我很难找到合适的服装。你能给我推荐一套吗?”

下一个挑战将是如何管理智能体AI的安全性,未来这些智能体将能够为客户和公司执行自动化任务。虽然控制具有自主行动能力的AI智能体本身并不合理,但Mottay正与公司合作制定 overarching 规则,作为安全保障措施。

这些规则将包括:确保每个AI智能体都有明确的人类责任人;确保每个智能体都有明确的职责范围,且其能力不超出其职责范围;确保每个智能体的操作都有审计追踪;并确保任何高风险决策中始终有人类参与。

“我们并不完美,但我们已经建立了良好的基础,并且在持续改进。我们正在研究智能体安全以及我们需要做哪些准备,以便在业务准备好时我们也准备就绪,”她说。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次