CISO聚焦：Andrew Storms谈信任、AI与为什么CISO需要成为乐观主义者

Andrew Storms作为Replicated的安全副总裁，在网络安全前线奋战了三十年。从90年代构建Unix系统到如今领导事件响应和AI安全策略，他见证了CISO角色从后台职能发展为董事会常驻成员。在本篇聚焦中，他分享了塑造其思维的经验教训、为什么讲故事是关键CISO技能，以及API安全为何不再可选。

从被动防御到战略启发

Andrew的职业生涯始于Broderbund软件的质量保证，测试《卡门·圣地亚哥》等经典视频游戏。但随后，一次自发加入新兴Unix团队的邀请使他的职业道路转向另一个方向。

“我们的任务是让公司上线并构建安全体系，”Andrew回忆道，“我们像下棋一样角色扮演数据包检查。这改变了我对安全的看法——它融入了IT接触的一切。”

这段早期经历激励Andrew将焦点从被动防御转向战略启发，并激发了对网络安全的终身热情。

将网络安全从阻碍转变为推动力

像许多早期安全专业人士一样，Andrew曾将自己的角色视为“警长”，即控制执行者。但他承认这种心态存在缺陷。

“转折点出现在有人问‘你的客户是谁？’时。我说‘购买我们产品的人’。他们说‘不，是业务部门，是员工。你在这里是为了支持他们。’这改变了一切。”

这一启示重新定义了他的角色，促使他作为推动者而非阻碍者工作。“现在，我将安全视为销售工具。如果我能帮助销售更快推进，或工程更快交付，那我就做对了。”

CISO应是乐观主义者和讲故事者

随着CISO角色的成熟，Andrew认为软技能与技术能力同样关键。他相信乐观是最重要的品质之一。

“如果你走进来说世界着火了，没人会听。但如果你理解业务目标，就能将安全挑战转化为机遇。”

他也相信讲故事的力量。“我曾做过一次演讲，10分钟讲故事，5分钟演示。大家很喜欢。故事帮助人们理解你的出发点，有助于建立 camaraderie。”

实践优于完美

在事件响应方面，Andrew偏爱现实主义而非桌面演练。“我们讨厌桌面练习。相反，我们伪造警报，将其放入Slack，观察发生什么。有人响应了吗？他们做了什么？”

尽管如此，对Andrew来说，技术演练只是方程的一部分。文化也很重要。

“你必须让人们能坦然说‘我不知道’。这是成熟的标志，而非弱点。它将不确定性转化为学习机会。”

API安全势在必行

对Andrew而言，API功能不是特性，而是交易破坏者。

“如果产品没有API，我不会购买，”他说。

这听起来可能直白，但反映了期望的广泛转变。如今的安全团队依赖自动化、编排和AI驱动的工作流——而API使这些成为可能。

“现代环境为快速移动而构建。如果我无法自动化任务、连接系统或让AI代理与你的工具交互，那就是死重，”Andrew解释道。

但这种灵活性带来风险。API提供对敏感数据的机器速度访问，如果未加保护，会呈现巨大的攻击面。这就是为什么他认为API安全必须持续并嵌入核心操作。

“你不能再依赖一次性扫描，”他说，“API威胁扫描需要7x24小时运行。”

Andrew主张分层方法：强身份验证、适当的密钥管理、Web应用防火墙、速率限制、日志记录和输入/输出验证。

“这不是重新发明轮子。而是应用我们一直使用的相同安全基础，只是在不同表面上。”

AI：拥抱机遇，尊重风险

在Replicated的当前角色中，Andrew将AI视为游戏规则改变者，尤其对于合规性。但它也引发了关于数据治理的紧迫问题。

“有人可能会问‘我能将支持日志放入AI工具吗？’我会说‘谢谢询问，让我们一起评估风险。’这些是可教的时刻。我们希望人们像安全人员一样思考。”

他的建议？不要成为“永不使用AI”的公司。但也不要让AI成为影子IT。“与团队合作，帮助他们理解风险、数据流以及如何批判性思考。这是建立信任的方式。”

CISO的未来：信任、韧性与AI管理

在未来五年，Andrew预计CISO将成为公司的“信任资产”，一个帮助客户和合作伙伴感到安全的可见领导者。

这意味着超越防御。“不仅仅是阻止攻击。而是构建有韧性的产品和系统，确保业务无论如何都能运行。”

他还强调了在AI驱动的企业世界中日益增长的数据伦理需求。“AI依赖数据。因此，我们需要将数据管理视为核心安全功能。”

最后的话

Andrew以简单的个人愿望结束：在蒙大拿进行为期一周的飞钓假期。但在此之前，他专注于通过同理心、机遇和信任帮助安全团队和企业蓬勃发展。

“CISO能说的最有力的话？‘我在这里帮助你更快、更安全地前进。这就是我们获胜的方式。’”

想了解Wallarm平台如何与Andrew的API安全观点一致？立即进行产品巡览。