AJ Debole是甲骨文的现场CISO,但她的职业生涯起点远离企业董事会。
从法律和政府领域起步后,她转入医疗健康和网络防御领域,带领团队应对勒索软件危机。
本次专访中,她深入探讨了新一轮挑战:如何让安全与商业激励保持一致、控制AI技术无序扩张,以及保护连接一切的API安全。
从公共服务到企业高管:职业历程
在进入网络安全领域之前,AJ早期曾沉浸于区块链技术,接触以太坊后对可编程货币和智能合约产生浓厚兴趣。这份热情引起了一位导师的注意,帮助她在马萨诸塞州陆军国民警卫队新成立的网络部门获得职位。然而,进入企业界并非易事。
“我当时广撒网投简历,迫切希望有人能阅读我的简历并与我交流,因为我觉得自己面试表现不错,”她说道。
她认为部分问题在于,招聘岗位的人很少是编写职位描述和筛选简历的人。“这中间存在脱节,”她指出,“当我招聘时,我想亲自看简历。虽然不清楚具体要找什么,但如果有人看起来有趣,即使纸上条件不完美、教育背景或关键词不符,我也愿意面试。”
CISO专业能力:技术经验与商业头脑的权衡
展望未来,AJ预计CISO角色将变得“更商业化”,出现更多“MBA类型”人才。她理解这一趋势背后的逻辑:转化商业目标并确保安全计划与之对齐日益重要。
但她担心这种侧重会让人们更关注商业和合规,而非实质安全——组织将因此受损。
“问题在于,实质安全需要更多技术经验、更细致的理解,甚至可以说更重要的是对技术足够好奇,真正了解并关心它,”她表示。
不过,她也认识到不同团队和组织的需求各异。有些组织需要技术型CISO,有些则不需要;但它们在组织架构的某个层面都需要技术专业知识。
“我在州政府工作时,被视为CISO的技术副手,因为他的技术背景不如我,”她回忆道,“但当我成为CISO后,我对自己的技术能力不自信,因此特意找了一位技术背景深厚的副手。”
最终,AJ认为最优秀的CISO是那些既懂商业又懂技术的人。他们懂得如何与领导层沟通、转化需求,并确保下属能高效开展工作、避免倦怠、坚守明确使命。
定制沟通策略:获取领导层支持
关于与领导层沟通,AJ认为定制化方法始终最有效。每个董事会及其成员都不同,CISO必须相应调整风格。
“我注意到,关于与董事会互动的讨论常假设所有董事会都一样,仿佛一种方法处处适用,”她指出。
AJ强调,必须认识到“每位董事会成员经历不同,在不同事情上吃过亏,也从不同成就中获益”。
理解这些视角有助于定制信息并获取支持。“如果能与董事会成员建立联系,”AJ主张,“你就能有效争取所需资源或特定项目。如果不理解对方的视角,就无法让对方理解你。”
金钱说话:让安全计划与商业目标对齐
对齐安全计划是与领导沟通最重要的环节之一。对AJ而言,一切始于激励措施。
“归根结底,一切都与钱有关。人们的奖金取决于特定指标,组织通过激励引导行为。问题在于,许多组织的奖金结构与目标不一致,安全部门无法解决这个问题,”她表示。
但当激励与目标一致时,安全优先级就清晰了。
“如果你有幸身处有意识围绕商业目标构建财务激励的组织,就很容易理解人们关心什么并专注于此,”AJ解释道。
历史上,安全侧重关键资产,优先保护高价值应用。但AJ指出,攻击者视角不同,他们会深入应用理解架构,从而发现影子API或利用破损的对象级认证。
AJ认为解决方案是转变视角。
“不应只是给资产赋值,”她说,“更需要理解攻击链如何作用于你的架构,以及如何在攻击开始时检测并遏制它们。”
她强调,成功需要与工程团队合作,从业务逻辑角度审视应用。“这样才能构建更强大的防御体系。”
军事级精度:为数据泄露备战
即使世界最优秀的CISO也难免遭遇数据泄露。准备充分与否决定成败。
AJ回忆起一次特别“棘手”的勒索软件攻击:
“那是医疗健康领域,正值COVID期间,也是我的首个CISO职位。可以想象在转向远程办公的同时,还要支撑数百万人应用的壓力。”
幸运的是,AJ借鉴了军事经验进行准备。
“我们曾开展大型蓝队红队演练。结束后所有人齐聚一堂——防御者解释监控重点,攻击者说明攻击手法。观察双方视角帮助我们整合有效防御措施、改进不足,提升攻击识别与中断能力。反复演练培养了我们在压力下适应的肌肉记忆。”
当勒索软件事件发生时,这些准备让她的团队得以中断攻击,避免成为重大新闻。
“没有这些准备,我们会非常被动,”她坦言。
不过AJ理解并非人人都有军事经验,因此推荐紫队演练作为实用替代方案。
“大家都做年度渗透测试,但几次之后就像走过场。必须升级要求,问‘渗透测试进行时,我的防御团队能发现吗?’”AJ说。要让防御者在使用自身工具和流程的环境中获得有意义的实践。
这种方法的好处双重:组织在真实条件下测试工具,同时训练人员区分可疑活动与正常业务操作。
AJ对此方法充满信心,甚至主张合规标准应纳入此类要求。
“如果能要求组织每几年进行一次红蓝队演练会很好。要想有效中断攻击、保护企业,这是关键要素,”她表示。
AI影响
AJ乐见企业合理利用AI工具和能力促进增长,但对实施、文档记录和监控方式带来的安全风险表示担忧。
“很多企业只想用AI是因为可以说自己在用AI,让股东高兴,但他们不关心具体做什么或怎么做。我认为这非常危险,”她指出。
她将AI视为工具箱中的另一种工具,能加速业务、降本增收。但她也认为,盲目实施可能导致混乱、失控,难以理解、控制和防御。
对AJ而言,将AI计划与商业目标和安全战略对齐至关重要。
“如果AI计划不与商业目标对齐,就无法融入商业战略及其衍生的安全战略。相反,它们会成为孤立问题,缺乏理解AI代理交互数据和系统真实重要性的背景。”
不过AJ也见过有益的AI应用。
“有些组织正在构建AI驱动的SOC,利用深度学习和数据挖掘识别攻击模式,上报至二级或三级分析师,然后通过LLM解释情况并提供响应选项。随后AI代理可执行这些操作。我认为这非常棒,”她说。许多技术人员还苦于撰写报告和文档,这是LLM能为安全团队减负、让其专注更高价值活动的另一个领域。
AI扩张:API安全为何如此重要
AJ清醒认识到API安全的极端重要性——尤其在AI实施背景下。
“API和AI代理是让企业沟通、自动化、标准化流程以提升效率的连接组织。问题在于它们太容易大量创建,有时甚至被其他程序自动生成,”她指出。
AJ认为这种扩张难以理解和监控,尤其在架构日益复杂交织的情况下。
如果链条中出现问题,可能影响架构其他方面和意外依赖关系,威胁机密性、完整性和可用性。
API安全:最佳实践
那么AJ建议组织如何保护API?她认为两点最关键:
- 可见性:必须清楚自己有什么才能防御。
- API生命周期:明确定义API创建时机和原因、构建方式、淘汰时间及正确退役方法。
AJ警告,缺乏这种规范,旧连接可能长期存在,被攻击者发现。
想了解更多Wallarm方案如何与AJ的API安全愿景契合?