CISO聚焦:AJ Debole谈技术业务鸿沟、数据泄露准备与AI风险
2025年9月23日 · 5分钟阅读
AJ Debole是甲骨文的现场CISO,但她的职业生涯起点远非企业董事会。从法律和政府工作起步后,她转入医疗保健和网络防御领域,带领团队应对勒索软件危机。
在本期聚焦中,她探讨了下一波挑战——使安全与业务激励保持一致,控制AI蔓延,以及保护连接这一切的API安全。
从公共服务到高管层:迄今为止的故事
在网络安全工作之前,AJ早期曾沉浸于区块链技术,发现了以太坊,并被可编程货币和智能合约的概念所吸引。这份热情引起了一位导师的注意,帮助她在马萨诸塞州陆军国民警卫队新创建的网络部门获得了一个职位。然而,进入企业领域并非易事。
“我当时在广撒网投简历。我迫切希望有人能阅读我的简历并与我交谈,因为我觉得自己是个不错的面试者,”她说。
她认为部分问题在于,招聘职位的人很少与撰写职位描述和筛选简历的人是同一批人。
“那里存在差距,”她说。“当我招聘时,我想看简历。虽然我不知道自己在找什么,但如果有人看起来有趣,即使他们在纸面上不完美,没有合适的教育背景或流行词汇,我也想面试他们。”
CISO专业知识:技术与业务能力的权衡
展望未来,AJ预计CISO角色将变得“更加商业化”,出现更多“MBA类型”。她理解这一轨迹背后的逻辑:转化业务目标并确保安全计划与之保持一致正变得越来越重要。
然而,她担心这种关注会使人们更关心业务和合规性,而不是实质性的安全——组织将为此付出代价。
“问题在于,实质性安全需要更多的技术经验、更细致的理解,更重要的是,有人可能会争辩说,需要对技术有足够的好奇心去真正了解它并关心它,”她说。
话虽如此,她认识到不同团队和组织有不同的需求。有些组织需要技术型CISO,有些则不需要;但它们都在层级结构的某个层面需要技术专业知识。
“当我在州政府工作时,我被视为CISO的技术副手,因为他的技术能力不如我,”她说。“但当我成为CISO时,我对自己的技术能力感到不安,所以我确保找一位具有深厚技术背景的人作为我的副手。”
最终,AJ认为一些最好的CISO是那些既了解组织业务又了解技术方面的人。对她来说,这些人知道如何与领导层沟通,转化需求,并确保向他们汇报的人能够引导他们的努力以实现最大影响,避免倦怠,并坚持明确的使命。
定制您的沟通:获得领导层支持
关于与领导层沟通的话题,AJ认为定制化的方法总是最有效的。每个董事会,以及每位董事会成员,都是不同的,CISO必须相应地调整他们的风格。
“我注意到的一点是,关于与董事会接触的对话通常被框定得好像所有董事会都一样,好像一种方法在任何地方都有效,”她说。
根据AJ的说法,重要的是要记住“每位董事会成员都有不同的经历,他们在不同的事情上受过挫折,他们在不同的成就中获得过奖励。”
理解这些观点有助于定制信息并获得支持。“如果你能与董事会成员建立联系,”AJ认为,“你就能有效地倡导你所需要的,无论是资源还是特定类型的计划。如果你不理解他们的观点,你就无法让他们看到你的观点。”
金钱说话:使安全计划与业务目标保持一致
使安全计划与业务目标保持一致是与领导层沟通的最重要方面之一。对AJ来说,一切都始于激励。
“归根结底,一切都归结为金钱。人们因某些事情获得奖金。组织激励某些行为。问题是许多组织的奖金结构与它们试图实现的目标不一致,而安全无法解决这个问题,”她说。
然而,当激励和目标确实一致时,安全优先级就更清晰。
“如果你有幸身处一个有意识围绕业务目标建立财务激励的组织,应该很容易理解人们关心什么并专注于那一点,”AJ解释说。
历史上,安全专注于关键资产,首先保护高价值应用程序。但正如AJ指出的,攻击者持不同观点,深入应用程序以理解其架构。这就是他们发现影子API或利用破损的对象级身份验证的方式。
根据AJ的说法,解决方案是转变视角。
“不应该只是为资产分配价值,”她说。“更需要理解攻击链,它们如何应用于你的架构,以及一旦攻击开始,你如何检测和遏制它们。”
她认为,成功需要与工程团队合作,并通过业务逻辑的视角来看待应用程序。“这就是你建立更强防御的方式。”
军事精度:为数据泄露准备团队
即使世界上最好的CISO最终也会面临数据泄露。他们的准备程度是区分优劣的关键。
AJ回忆了一次特别“棘手”的勒索软件攻击,这次攻击一直留在她的记忆中:
“那是医疗保健领域,是COVID期间,是我第一次担任CISO角色。你可以想象在转向远程工作的同时,还要启动应用程序以支持数百万人的压力。”
幸运的是,AJ依靠她的军事经验进行了准备。
“我们会运行大型演习,包括蓝队和红队。一天结束时,所有人会聚在一起——防御者解释他们在寻找什么,攻击者解释他们在做什么。看到双方的观点帮助我们拼凑出作为防御者什么有效,什么无效,以及我们如何更熟练地识别和中断攻击。反复进行这样的演习使我们能够建立肌肉记忆,在压力下适应。”
当勒索软件事件发生时,这种准备意味着她的团队能够中断攻击,并最终避免成为重大新闻头条。
“没有它,我们会过得非常糟糕,”她说。
然而,AJ认识到不是每个人都能借鉴军事经验,因此指出紫队演练是一个实用的替代方案。
“每个人都进行年度渗透测试,但经过几次之后,这几乎感觉像是走过场。你必须将其提升到下一个水平,说,‘在这次渗透测试进行时,我的防御团队能发现它吗?’”AJ说。让你的防御者处于能够使用你的工具和流程在你的环境中获得有意义的实践的位置。
这种方法的好处是双重的:组织在现实条件下测试工具,并训练人们区分可疑活动和正常业务操作。
事实上,AJ对这种方法的信心如此之强,以至于她认为合规标准应该将其纳入。
“如果每隔几年,组织被要求进行一次红队-蓝队演习,那将是很好的。如果我们有任何机会中断攻击并保护我们负责保护的企业,那就是关键因素,”她说。
AI影响
AJ很高兴看到企业如何深思熟虑地利用AI工具和能力来发展,但对基于各种工具的实施、记录和监控方式的安全风险表示担忧。
“我想说很多企业只是想使用AI,因为他们想说他们正在使用AI,这会让他们的股东高兴,但他们并不真正关心他们在做什么或他们如何做。我认为这是非常危险的,”她说。
她将AI视为它本来的样子:工具箱中的另一个工具,一个可以加速业务、帮助削减成本和增加收入的工具。但她也认为,不加思考地实施可能会混乱、无纪律,并且像其他任何东西一样,难以理解、控制和防御。
对AJ来说,使AI计划与业务目标和安全策略保持一致至关重要。
“如果你的AI计划与业务目标不一致,它们将无法融入业务策略,或应随之而来的安全策略。相反,它们成为一个单独的问题,缺乏理解数据及这些代理交互的系统真正重要性的背景,”她说。
话虽如此,AJ已经看到了有用的AI应用。
“一些组织正在构建AI驱动的SOC,使用深度学习和数据挖掘来识别攻击模式,将其升级到第2层或第3层分析师,然后利用LLM解释正在发生的事情以及可能的响应选项。从那里,AI代理可以执行这些操作。我认为这真的很棒,”她说。许多技术专家也在撰写报告和文档方面遇到困难。这是LLMs可以减轻我们安全团队负担并让他们有时间专注于更高影响活动的另一个领域。
AI蔓延:为什么API安全如此重要
AJ对API安全的巨大重要性有着清晰的认识——特别是在与AI实施相关时。
“API和AI代理是让企业沟通、自动化并标准化流程以更快更高效工作的连接组织。问题是它们也太容易启动,有时数量很大,而且通常由其他程序自动启动,”她说。
AJ认为,这种蔓延可能难以理解和监控,特别是在架构变得更加复杂和交织的情况下。
如果链中某个环节出现问题,可能会影响架构的其他方面和意外的依赖关系,对机密性、完整性和可用性构成威胁。
API安全:最佳实践
那么,AJ建议组织做些什么来保护他们的API?对她来说,两件事最重要:
可见性:你必须知道你拥有什么才能防御它。 API生命周期:定义API何时以及为何创建,它们如何构建,你何时不再需要它们,以及如何确保它们被正确退役。
AJ警告说,没有这种纪律,旧的连接可能会持续存在足够长的时间,让攻击者发现它们。
想了解更多关于Wallarm方法如何与AJ对API安全的愿景保持一致的信息吗?