CSO奖项得主凸显安全创新与转型

保护组织数据和系统的任务日益复杂，随着企业业务运营数字化程度的加深，这项工作也变得更为关键。安全领导者通过实施创新项目来应对挑战，强化防御并提升组织韧性。

CSO奖项每年表彰展现卓越安全领导力和商业价值的安全项目。2025年的奖项共评选出57个杰出项目，这些项目涵盖了当今安全工作的全领域，从身份和访问管理到AI安全等各个层面的挑战。

以下是七个获奖项目的详细介绍，它们代表了当前安全领域的转型工作。

BMHCC采用基于风险的漏洞管理方法

组织：浸信会纪念医疗保健公司（BMHCC）
项目：风险评级、排序与修复：战略安全转型

安全负责人Seth Fogie希望使这家位于田纳西州孟菲斯的医疗系统的漏洞管理项目更侧重于战略风险降低和修复。该项目在BMHCC现有基础上构建，原本主要围绕扫描网络和设备漏洞，由BMHCC多个实体的IT团队按需修补。

定期审查显示，这项工作在风险降低方面的进展未达安全团队预期。因此，在2024年中期，Fogie和BMHCC安全团队实施了一个战略性的、基于风险的修复模型，以确保实际风险降低。

Fogie首先向BMHCC各实体的IT团队提供定期报告，根据风险评分对漏洞进行排名，指导团队每周重点关注前三个漏洞。“我们从最大风险开始，逐步向下处理，“Fogie解释道，企业级漏洞也由企业IT以相同方式处理。

为确保成功，Fogie与各IT团队合作，将安全需求与IT工作流程对齐。“我们达成一致，我只会在列表中列出有限数量的项目供他们关注，且列表需要自上而下的修复努力，“他表示。

Fogie基于风险的修复模型还显示了补丁工作未达预期的领域，使安全和IT团队能够解决这些问题。该方法在首年实现了70%的风险降低。安全团队目前正在成熟其漏洞管理方法，向项目中添加更多自动化和人工智能。

FSU通过更严格的供应商管理计划应对第三方风险

组织：佛罗里达州立大学
项目：第三方风险管理计划
安全负责人：Bill Hunkapiller，CISO

佛罗里达州立大学官员希望确保与外部实体共享的数据得到良好保护。为此，CISO Bill Hunkapiller及其团队改进了第三方风险管理计划，以便更彻底地识别、评估和缓解与外部供应商及合作伙伴相关的风险。

该项目的主要目标是确保第三方服务的安全性和合规性，保护敏感的大学数据，并维持运营连续性。FSU的IT安全和隐私风险经理Keith Bennett和Jeremy Anderson在六个月内构建了这个新的第三方风险管理计划，首先识别与FSU安全需求最相关的数据元素，然后基于FSU的第三方供应商管理标准创建了独特的方法论、评估工具和评分机制。

该风险管理计划现在要求第三方提交独立安全审计、SOC 2审计或高等教育社区供应商评估工具包（HECVAT）安全审查的结果。计划还包括对第三方的攻击面管理扫描，并通过改进的合同语言和持续监控增强供应商合规性。

Hunkapiller指出，FSU可以利用该计划及其评估流程与第三方谈判，要求他们在开展业务前解决安全缺陷。“现在我们能够降低托管我们数据的供应商的风险，“Hunkapiller表示。

Anderson表示，FSU在识别出一个供应商的安全漏洞后拒绝了合作，Hunkapiller称FSU还拒绝了另一个供应商，因为评估显示该供应商未解决先前已识别的短板。

Hunkapiller表示，FSU正在扩大该计划的应用范围，评估更广泛的第三方，而不仅仅是处理敏感数据或提供关键服务的供应商。Hunkapiller及其团队还在改进该计划，使其更严格，并添加自动化和人工智能以提高效率。

Marvell转型其多云安全态势

组织：Marvell
项目：转型Marvell的云漏洞管理
安全负责人：Derek Hardy，CSO

Marvell面临多云环境的常见挑战：工具碎片化导致可见性、策略对齐、补丁管理和整体流程一致性方面存在差距。“这种复杂性 stretched 资源，减缓响应，限制效率，“Marvell CSO Derek Hardy表示。

为解决可见性问题，Hardy通过"整合到统一平台——真正的单一窗格玻璃，并得到强有力的高管赞助、明确定义的流程和紧密的跨团队协作支持"来转型公司的云漏洞管理计划。

这项工作在几个季度内完成，确保了一致性，提高了效率，并弥补了渗透测试遗漏的差距。它还加速了修复，将关键风险降至零，并提升了公司的整体安全态势。“这项举措不仅保护了我们的数据，还通过确保跨云的可扩展、安全操作来加强与客户和合作伙伴的信任，“Hardy表示，并补充说它确保"我们的云基础设施符合最高安全标准。”

核心安全团队与IT、云运营和业务利益相关者紧密合作，以与组织优先级对齐，并确保在解决漏洞方面的问责制。“每个职能都被要求发挥作用，无论是在识别暴露、实施修复措施还是确保业务流程强化安全最佳实践方面，“Hardy解释道。

统一漏洞管理系统已全面部署在Marvell的多云环境中，安全团队继续优化流程、自动化报告和扩展集成以随时间加强其影响。“我们的重点是持续改进——扩展自动化、深化与业务单元的集成，并随着Marvell云足迹的增长扩展框架，“Hardy表示。“这确保安全嵌入我们的数字化转型旅程中。”

Mastercard发起内部会议推广安全编码实践

组织：Mastercard
项目：安全会议倡议
安全负责人：Michael Lashlee，CSO

2022年，Mastercard发起其安全会议倡议，以强调安全编码实践的重要性。目标是教授软件开发人员通过将安全嵌入软件开发生命周期来创建更安全、有弹性的软件。

该倡议由公司的安全冠军、安全软件开发生命周期团队成员和业务安全赋能公会创立，是一个定期活动，通过互动编码挑战和实时攻击模拟等动手体验吸引开发人员，提升他们的安全编码技能并提高他们对安全软件开发生命周期原则的认识。

此外，它促进了软件开发社区和安全团队之间的协作，推广安全共享责任，构建技术专业知识，并推动文化变革。“最大的好处是通过提供全员参与的安全编码互动学习体验来扩展安全文化，“Mastercard首席产品负责人Swarali Kulkarni表示。

Kulkarni指出，会议涵盖广泛主题，从高管简报和行业洞察到研讨会和竞争性比赛，“为所有参与者创造全面且有影响力的体验。“该倡议依赖Secure Code Warrior和Cyberange培训平台提供游戏化体验，既有可衡量结果又需最小时间投入（两天，每天三到四小时）。这些平台支持50多种编程语言，并提供一系列指标来评估安全编码准确性、监控学习时间、跟踪解决的代码缺陷数量等。

至今已举办五次会议，每次有超过400名来自Mastercard软件开发社区的参与者参加。Kulkarni表示，每次会议都专门为表达参与兴趣的Mastercard内部项目定制。

Penn Medicine现代化其威胁检测计划

组织：Penn Medicine
项目：网络威胁检测 overhaul
安全负责人：Julian Mihai，CTO

Penn Medicine近十年前安装了顶级的 security information and event management (SIEM) 解决方案，但安全团队在几年前认识到，本地系统无法匹配攻击如今演变的速度。“现在威胁可能每小时变化，因此快速检测至关重要。这是重新思考和重新装备检测技术的驱动因素，“CTO Julian Mihai表示。

Mihai及其团队在2024年实施了新的基于云的SIEM解决方案，部署了创新的MITRE ATT&CK模型星座以指导威胁检测计划的战略和战术方向。“这是一个完全重新设计，所有遗留系统都已停用，“Mihai表示。

网络安全防御总监Jesse Whyte表示，该倡议不仅需要技术变革，还需要人员和流程变革。安全人员必须接受培训，采用"威胁情报优先"方法，专注于演变威胁以及如何利用新威胁情报进行检测。

安全团队还必须实施正确的治理，以防止不必要地隔离关键系统。并且他们必须确保出口管道能够支持流向基于云的SIEM解决方案的数据量。“最大挑战是管理支出，[因为]现代SIEM解决方案的许可基于摄入的数据量。我们需要创建一个数据摄入层，提供机会在数据进入数据湖时修剪数据，同时增加整体消耗并管理项目的运行速率，“Whyte解释道。

云原生SIEM解决方案和Penn Medicine现代化的安全运营已交付令人印象深刻的结果。团队现在与其托管安全服务提供商无缝协作，确保24/7覆盖——并且它已被释放以"在堆栈更高层工作，“Whyte表示，因为AI和自动化处理常规事件和任务。

关键的是，安全团队的检测时间和遏制时间已大幅缩短，PennMed报告每项改进超过550%。

TIAA构建AI工具加速威胁狩猎和修复

组织：TIAA
项目：HUNT（超自动化统一网络威胁狩猎）
安全负责人：Sastry Durvasula，首席运营、信息和数字官

TIAA的安全领导者作为公司三年历史的Cyber 2.0倡议的一部分，每年正式审查和刷新其优先级。2024年，他们决定专注于增强人工智能的使用，以对抗日益由AI助长的网络威胁。

结果：一个名为超自动化统一网络威胁狩猎的新能力。HUNT使用创新的AI和机器学习模型，将未检测威胁的风险降至最低，最大检测时间为60分钟。它构建在现有商业工具上，具有定制的遥测收集，整合TIAA云基础设施中的可疑活动。

HUNT针对Sastry Durvasula（TIAA的首席运营、信息和数字官）所称的"休眠细胞”——那些隐藏在环境中，向威胁行为者发送信号并等待他们激活攻击的威胁。

Durvasula负责监督安全，指出这些威胁难以检测，传统上在企业环境中识别它们需要大量手动工作。Durvasula及其团队将AI视为减少手动工作并提高效果和效率的关键。

由于没有符合TIAA需求的商业解决方案，TIAA自行构建。TIAA团队在2024年设计了该工具，构建和训练AI/ML模型以寻找指示威胁的模式。HUNT位于现有工具之上，并使用行业工具包括MITRE ATT&CK框架，在检测到威胁时通知分析师，以便分析师解除威胁。

HUNT于2025年初推出，现在减少了检测和修复所需的时间和资源。“它显著加强了我们的网络态势，“Durvasula表示，并补充说他及其团队计划添加更多自动化和智能，包括生成式AI，目标是使用代理AI完全自动化威胁检测和响应。

Walmart利用AI大规模主动识别品牌网络钓鱼网站

组织：Walmart
项目：Phishface
安全负责人：Jerry Geisler，EVP和CISO

从大量信号中识别真实威胁是大多数安全功能熟悉的挑战。为此，Walmart的网络情报（CI）团队创建了Phishface，一个专有的网络钓鱼检测机器学习模型，训练用于识别与Walmart品牌登录页面视觉相似的网页。

“CI团队手动处理的品牌滥用网站的数量和流入是项目的起因，“安全运营副总裁Jason O’Dell表示。

CI团队构建了一个模型，将摄入域名/网站 feed 并识别可进一步输入检测控制的企业品牌网站。完成POC后，CI团队将Phishface转移给SecOps开发团队。

“项目的主要功能是减少可能威胁的信号量，帮助分析师识别潜在有害和品牌滥用的网站，“O’Dell解释道，并补充说它带来了"分析师效率和效果的大幅提升。”

“过去，分析师面临几乎无法及时审查的海量信息。该项目将数据流转化为可管理的量，使小型分析师团队能够高效提供及时审查，“他补充道。

该项目平均减少了约98.5%的项目数量，使分析师能够将精力重新导向更高优先级的战略活动。安全运营、威胁检测集团总监Gavin Clark表示，它还达到了98%的准确率，直接提升了分析师生产力和资源分配。

Phishface正在产生显著影响，O’Dell表示，“使组织能够快速、大规模识别恶意网站，并将该数据馈送给其他检测控制以进行近实时行动。这样的模型可以快速分析网页，持续筛选数千个网页，并适应新的网络钓鱼页面而无需手动更新。简而言之，它将检测态势从反应性清理转向主动预防。”