CISO视角:Mike Wilkes谈如何在不断演变的威胁中构建弹性

本文通过前漫威CISO Mike Wilkes的职业生涯,深入探讨了现代网络安全策略,包括API安全的重要性、AI对网络犯罪的影响,以及CISO如何通过业务对齐和技术深度构建组织弹性。

CISO Spotlight: Mike Wilkes on Resilience Amid Evolving Threats

从哲学到防火墙

Mike Wilkes的职业生涯非同寻常。拥有哲学背景和斯坦福大学教育哲学硕士学位的他,最初在加州K-12教育智库工作。但他很快意识到自己的才能在科技领域能发挥更大作用。

“帕洛阿尔托垃圾箱里的电脑比教室里的还多,“他说。“那时我知道,科技是我能真正发挥作用的地方。“这一认识使他在互联网泡沫时期早期担任WebOps角色,帮助星巴克、PlayStation和梅西百货推出数字平台。

但Mike从不只是一个网站人员。“我负责基础设施,“他说。“在DevOps成为DevOps之前,我们称之为WebOps。那时安全不是一个部门——而是你为了让服务器不在凌晨2点崩溃而做的事情。”

跨行业的CISO职业路径

多年来,Mike在众多行业担任过CISO角色——金融、娱乐、科技、体育等。“我甚至喜欢说我保护了钢铁侠的安全,“他开玩笑说,指的是他在漫威担任CISO的时光。在美国作曲家、作家与出版商协会(ASCAP),他身份的两个方面——网络安全领导者和爵士鼓手——和谐地结合在一起。“能够在同一份工作中结合音乐和安全?这太棒了。”

Mike还与世界经济论坛合作,并合著了关于量子安全的论文。“如果你将机器学习与量子结合,你会得到Reese’s花生酱杯式的炒作,“他笑道。“但真正的问题是:你如何实际使用这些技术来保护数据?”

两类CISO及其所需技能

考虑到他广泛多样的CISO经验,很少有人比Mike更适合提供对这一角色的见解——他对许多CISO的看法相当严厉。

“CISO有两类:球员教练和纯教练,“他争论道。“球员教练拥有硬技能——他们知道如何登录、阅读日志和发现威胁。纯教练完全依赖影响力和关系。”

尽管如此,虽然Mike确实重视技术深度,但现代CISO还必须掌握业务对齐。“有人在安全会议上说过,‘我们不仅需要为员工提供安全意识培训——还需要为CISO提供业务意识培训。‘这句话一直留在我心中。”

他说,安全不能是"拒绝部门”。他敦促CISO说"还没有,让我们试试这种方式”,而不是简单地说"不,你不能这样做”。他甚至说,如果CISO不了解公司如何赚钱,他们就不是在保护业务——而是在拖慢业务。

给CISO的建议:绝地心灵技巧

Mike给CISO的建议是以适量的实用主义和诡计来对待这一角色。“你必须使用绝地心灵技巧,“他说。“让你的CEO认为这是他们的想法。提出三个选项——维持、降级或升级——然后猜他们会选择什么。”

然而,对Mike来说,作为CISO成功不仅仅在于巧妙使用建议——还在于以决策者能理解的具体术语与CEO和董事会成员交谈。“如果你说’这个API可能导致数据泄露’,那是抽象的。如果你说’这次泄露可能花费1000万美元并使我们的系统停机三天’,那是真实的。”

泄露节奏胜过泄露可能性

为了进一步向关键决策者强调强大网络安全的重要性,Mike建议改变叙述方式:不是组织是否会遭受泄露;而是何时会遭受泄露。

“任何公司都可能被攻破,“他说,“只要给攻击者足够的时间和动机。所以CISO需要停止谈论可能性。谈论节奏。“他用两家公司对比来说明这一点。“也许T-Mobile每隔几个月就被攻破一次。FireEye在遭受攻击前坚持了五年。问问你的CEO:你会为五年的平静支付什么?”

大多数公司学得太晚的艰难教训

Mike认为,网络安全最严重的问题之一是,太多时候需要一次重大泄露才能说服组织需要改进防御。“大多数组织不会花费50万美元进行预防,直到他们在泄露中损失500-1000万美元。就像孩子和热炉子——你告诉他们很热,但他们直到烫伤手指才学会。”

Mike认为,这种被动的网络安全方法相当于将优先级排序外包给攻击者,后果严重。“我们让威胁行为者决定什么重要,“他说,“而不是自己建立弹性。”

API安全的重要性

API安全是Mike认为值得特别关注的领域。“85%的互联网流量是机器对机器的——换句话说,就是API,“他说。“但大多数公司甚至不知道他们有多少API。”

他继续说:“有这种东西叫做低代码/无代码。人们将API密钥粘贴到Slack或Salesforce中,没有任何审查。这就像用胶带将后门粘在你的数据中心上。”

那么,第一步是什么?“可见性。你无法保护你不知道自己拥有的东西。但可见性还不够。你需要控制、文档、监控和数据流的上下文。”

AI如何使网络犯罪民主化

谈到AI话题,Mike认识到既有风险也有机遇。“AI让初级选手能够在高级水平上比赛,“他说。“我们过去担心国家行为体。现在我们担心拥有AI工具的无聊青少年。”

然而,在防御方面,Mike更加乐观。“每个CISO都应该有一个基于公司政策训练的AI助手,能够发现异常并简化决策。但他们需要负责任地部署它,而不是为了部署而部署。”

始终以人为本

现在在纽约大学和哥伦比亚大学任教的Mike将指导视为他使命的延伸。“我教书是因为我想激励下一代。我想让他们知道这项工作很重要。”

他的指导是他对网络安全更广泛看法的延伸:“网络安全的产物是避免伤害。我们通过人员、流程和工具来实现这一目标——按这个顺序。工具虽然有用,但排在最后。”

当被问及梦想假期时,Mike回答:“冰岛。火山、冰川、原始自然。还有日本,因为那里尊重长辈的文化。既然我现在是长辈了,这听起来不错。”

至于网络安全主题曲?Wilkes让AI写了一首:《魔镜,魔镜》。你可以在这里收听。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次