CISO视角:Andrew Storms谈信任、AI与API安全的重要性

本文探讨了Replicated安全副总裁Andrew Storms对API安全、人工智能风险管理的见解,以及CISO如何从防御者转变为业务推动者,强调持续API威胁扫描和分层安全策略的重要性。

CISO Spotlight: Andrew Storms on Trust, AI, and Why CISOs Need to Be Optimists

July 11, 2025 | 3 Mins Read

Andrew Storms,Replicated的安全副总裁,已在网络安全前线奋战三十年。从90年代初构建Unix系统到如今领导事件响应和AI安全策略,他见证了CISO角色从后台职能发展为董事会常驻成员。在本篇专访中,他分享了塑造其思维的经验、为什么讲故事是CISO的关键技能,以及API安全为何不再可选。

从被动防御到战略启发

Andrew的职业生涯始于Broderbund Software的质量保证部门,测试像《卡门·桑迪埃戈》这样的经典视频游戏。但随后,一个自发加入新兴Unix团队的邀请使他的职业道路转向另一个方向。

“我们的任务是让公司上线并构建安全,”Andrew回忆道。“我们像下棋一样角色扮演数据包检查。这改变了我对安全的看法——它融入了IT接触的一切。”

这段早期经历激励Andrew将焦点从被动防御转向战略启发,并激发了他对网络安全的终身热情。

将网络安全从阻碍者转变为推动者

像许多早期安全专业人士一样,Andrew曾将自己的角色视为“警长”,即控制执行者。但他承认,这种心态是有缺陷的。

“转折点出现在有人问:‘你的客户是谁?’我说:‘购买我们产品的人。’他们说:‘不。是业务。是员工。你在这里是为了支持他们。’这改变了一切。”

这一启示重新定义了他的角色,促使他作为推动者而非阻碍者工作。“现在,我将安全视为销售工具。如果我能帮助销售更快移动,或工程更快交付,我就做对了工作。”

CISOs应是乐观主义者和讲故事者

随着CISO角色的成熟,Andrew认为软技能与技术能力同样关键。他相信乐观主义是最重要的之一。

“如果你走进来说世界着火了,没人会听。但如果你理解业务目标,你可以将安全挑战转化为机会。”

他也相信讲故事的力量。“我曾做过一次演讲,10分钟讲故事,5分钟演示。人们很喜欢。故事帮助人们理解你的出发点,它们帮助建立 camaraderie。”

实践优于完美

在事件响应方面,Andrew偏爱现实主义而非桌面演练。“我们讨厌桌面练习。相反,我们伪造警报,将它们丢进Slack,看看会发生什么。有人响应了吗?他们做了什么?”

也就是说,对Andrew来说,技术演练只是方程的一部分。文化也很重要。

“你必须让人们觉得说‘我不知道’是可以的。这是成熟的标志,不是弱点。它将不确定性转化为学习的机会。”

API安全的必要性

对Andrew来说,API功能不是一项特性;而是决定因素。

“如果你的产品没有API,我不会购买,”他说。

这可能听起来 blunt,但它反映了期望的更广泛转变。如今的安全团队依赖自动化、编排和AI驱动的工作流——而API使它们成为可能。

“现代环境 built 为快速移动。如果我无法自动化任务、连接系统或让AI代理与你的工具交互,那么它就是 dead weight,”Andrew解释道。

但这种灵活性带来风险。API提供对敏感数据的机器速度访问,如果未加保护,会呈现巨大的攻击面。这就是为什么他认为API安全必须是持续且嵌入核心操作的。

“你不能再依赖一次性扫描,”他说。“API威胁扫描需要24/7。”

Andrew倡导分层方法:强身份验证、适当的秘密管理、Web应用防火墙、速率限制、日志记录和输入/输出验证。

“这不是关于 reinvent the wheel。这是应用我们一直使用的相同安全基础,只是在不同的表面上。”

AI:拥抱机会,尊重风险

在Replicated的当前角色中,Andrew将AI视为游戏改变者,尤其对于合规性。但它也引发了关于数据治理的紧迫问题。

“有人可能会问:‘我可以将支持日志放入AI工具吗?’我会说:‘谢谢询问,让我们一起评估风险。’这些是可教的时刻。我们希望人们像安全人员一样思考。”

他的建议?不要成为“永不使用AI”的公司。但也不要让AI成为影子IT。“与团队合作,帮助他们理解风险、数据流以及如何批判性思考。这就是你建立信任的方式。”

CISO的未来:信任、韧性和AI管理

在未来五年,Andrew预计CISO将成为公司的“信任资产”,一个可见的领导者,帮助客户和合作伙伴感到安全。

这意味着超越防御。“不仅仅是阻止攻击。而是构建有韧性的产品和系统,无论发生什么都能保持业务运行。”

他还强调了在AI驱动的企业世界中数据伦理的日益增长的需求。“AI依赖数据。因此,我们需要将数据管理视为核心安全功能。”

最后的话

Andrew以简单的个人愿望结束:在蒙大拿州进行一次为期一周的飞钓假期。但直到那时,他 laser-focused 于通过同理心、机会和信任帮助安全团队——和企业——茁壮成长。

“CISO能说的最 powerful 的话?‘我在这里帮助你更快、更安全地移动。这就是我们获胜的方式。’”

想了解Wallarm的平台如何与Andrew的API安全观点对齐?今天进行产品之旅。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次