National Oilwell Varco (NOV) 正在經(jīng)歷由首席信息官 Alex Philips 掌舵的全方位網(wǎng)絡(luò)安全轉(zhuǎn)型,采用 Zero Trust 架構(gòu)、強(qiáng)化身份防護(hù),并將 AI 融入安全運(yùn)營(yíng)。雖然轉(zhuǎn)型尚未完全完成,但成果顯著——安全事件數(shù)量下降 35 倍,惡意軟件相關(guān)的 PC 重新成像問(wèn)題被消除,并通過(guò)淘汰傳統(tǒng)“硬件陷阱”硬件為公司節(jié)省了數(shù)百萬(wàn)資金。
VentureBeat 最近通過(guò)線上方式與 Philips 進(jìn)行了深入訪談,Philips 在訪談中詳細(xì)說(shuō)明了 NOV 如何借助 Zscaler 的 Zero Trust 平臺(tái)、積極的身份防護(hù)措施以及為安全團(tuán)隊(duì)配備的生成式 AI “同事”而實(shí)現(xiàn)這些成果。
他還分享了在全球威脅環(huán)境中如何讓 NOV 董事會(huì)始終關(guān)注網(wǎng)絡(luò)風(fēng)險(xiǎn) —— 其中 79% 的初始入侵攻擊并非依賴惡意軟件,而且攻擊者有時(shí)僅用 51 秒就能從入侵到突破。
以下是 Philips 最近接受 VentureBeat 訪談的部分摘錄:
VentureBeat: Alex, NOV 幾年前就全面采用了 Zero Trust 策略 —— 那么有哪些顯著收益?
Alex Philips: 當(dāng)我們剛開(kāi)始時(shí),采用的是傳統(tǒng)的城堡與護(hù)城河模型,但這種模式已經(jīng)無(wú)法滿足需求。我們之前并不了解 Zero Trust 的概念,僅僅知道必須將身份和條件訪問(wèn)作為一切工作的核心。我們的轉(zhuǎn)型始于在 Zscaler 的 Zero Trust Exchange 上實(shí)施基于身份的架構(gòu),這一舉措徹底改變了局面。我們的可視化程度和防護(hù)覆蓋范圍大幅提升,同時(shí)安全事件數(shù)量減少了 35 倍。以前,我們的團(tuán)隊(duì)每天要應(yīng)對(duì)成千上萬(wàn)起惡意軟件事件;而現(xiàn)在,問(wèn)題僅占其中的一小部分。我們此前每月需重新成像大約 100 臺(tái)感染惡意軟件的設(shè)備,現(xiàn)在幾乎不用重新成像。這樣不僅節(jié)省了大量時(shí)間,也大大降低了成本。而且,由于解決方案基于云端,我常說(shuō)“硬件陷阱”問(wèn)題已經(jīng)一去不復(fù)返。
如今,該 Zero Trust 策略使 NOV 的 27,500 名用戶及合作伙伴能夠通過(guò)基于策略的訪問(wèn)安全地訪問(wèn)數(shù)千個(gè)內(nèi)部應(yīng)用,而無(wú)需將這些應(yīng)用直接暴露于互聯(lián)網(wǎng)。
隨后,我們還采取了一個(gè)過(guò)渡步驟,對(duì)網(wǎng)絡(luò)進(jìn)行了重新架構(gòu),從而利用基于互聯(lián)網(wǎng)的連接替代傳統(tǒng)昂貴的 MPLS。Philips 指出:“平均而言,我們的網(wǎng)速提高了 10–20 倍,關(guān)鍵 SaaS 應(yīng)用的延遲大幅降低,成本也減少了超過(guò) 4 倍……僅網(wǎng)絡(luò)改造項(xiàng)目一項(xiàng),年節(jié)省已超過(guò) 650 萬(wàn)美元。”
VentureBeat: 轉(zhuǎn)變?yōu)?Zero Trust 是如何將安全噪音降低如此之巨的?
Philips: 主要原因在于我們的互聯(lián)網(wǎng)流量現(xiàn)在全部通過(guò)具備完整 SSL 檢查、沙箱機(jī)制與數(shù)據(jù)泄露防護(hù)功能的 Security Service Edge (SSE) 傳輸。Zscaler 直接與 Microsoft 對(duì)等連接,因此 Office 365 的流量既更快又更安全 —— 用戶不再嘗試?yán)@過(guò)控制,因?yàn)樾阅艿玫搅孙@著改善。以往,由于本地設(shè)備無(wú)法進(jìn)行 SSL 檢查,我們?cè)痪芙^檢查 SSL 流量,但如今我們終于獲得了法律許可來(lái)解密 SSL 流量,因?yàn)樵拼聿辉试S NOV 監(jiān)視數(shù)據(jù)本身。這意味著,在惡意軟件潛藏于加密流量中之前,就已經(jīng)被有效攔截。簡(jiǎn)而言之,我們縮小了攻擊面,讓正常流量暢通無(wú)阻,從而整體降低了警報(bào)數(shù)量。
NOV 的首席信息安全官 John McLeod 也認(rèn)同這一觀點(diǎn),他認(rèn)為“在混合環(huán)境中,舊的網(wǎng)絡(luò)邊界模型已不適用”,必須構(gòu)建以身份為中心的云端安全堆棧。通過(guò)將所有企業(yè)流量導(dǎo)入云端安全層(甚至利用 Zscaler 的 Zero Trust Browser 等工具隔離風(fēng)險(xiǎn)較高的網(wǎng)頁(yè)會(huì)話),NOV 顯著減少了入侵企圖。這種全方位的檢查能力使 NOV 能及時(shí)發(fā)現(xiàn)并攔截以前漏網(wǎng)的威脅,從而使安全事件數(shù)量減少了 35 倍。
VentureBeat: 在采用 Zero Trust 的過(guò)程中,有沒(méi)有出現(xiàn)任何最初未曾預(yù)料到的好處?
Alex Philips: 有的,實(shí)際上我們的用戶更青睞于云端 Zero Trust 的體驗(yàn),相較于傳統(tǒng) VPN 客戶端,其采用過(guò)程更簡(jiǎn)單,并使我們?cè)谝苿?dòng)辦公、并購(gòu),甚至在我所稱的“黑天鵝事件”中具備前所未有的靈活性。例如,當(dāng) COVID-19 疫情爆發(fā)時(shí),NOV 已經(jīng)做好了萬(wàn)全準(zhǔn)備!我對(duì)管理團(tuán)隊(duì)表示,如果所有 27,500 名用戶都需要遠(yuǎn)程辦公,我們的 IT 系統(tǒng)都能輕松應(yīng)對(duì)。管理層為之震驚,而公司則保持持續(xù)運(yùn)轉(zhuǎn),絲毫未受影響。
VentureBeat: 基于身份的攻擊呈上升趨勢(shì) —— 你曾提到有關(guān)憑據(jù)盜竊的驚人數(shù)據(jù)。NOV 是如何加強(qiáng)身份和訪問(wèn)管理的?
Philips: 攻擊者普遍認(rèn)為,使用被盜憑據(jù)登錄往往比植入惡意軟件更為簡(jiǎn)單。實(shí)際上,最新威脅報(bào)告顯示,2024 年 79% 的初始入侵攻擊為無(wú)惡意軟件攻擊,依靠被盜憑據(jù)、基于 AI 的釣魚(yú)以及 deepfake 騙局。去年,每三起云入侵事件中就有一起涉及合法憑據(jù)。我們已收緊身份策略,使得這類攻擊手段更難奏效。
例如,我們將 Zscaler 平臺(tái)與 Okta 集成,實(shí)現(xiàn)了身份及條件訪問(wèn)檢查。我們的條件訪問(wèn)策略要求在允許訪問(wèn)之前,設(shè)備上必須運(yùn)行我們的 SentinelOne 防病毒代理,從而增加了一道額外的檢查。我們還嚴(yán)格限制了可以執(zhí)行密碼或 MFA 重置的人員數(shù)量,杜絕任何單一管理員獨(dú)自繞過(guò)身份驗(yàn)證控制。這種職責(zé)分離能夠防止內(nèi)部人員或已被攻陷的賬戶輕易關(guān)閉我們的防護(hù)措施。
VentureBeat: 你提到在禁用用戶賬戶之后仍然存在一個(gè)漏洞,能否解釋一下?
Philips: 我們發(fā)現(xiàn),即使檢測(cè)到并禁用了被攻陷的用戶賬戶,攻擊者的會(huì)話令牌仍可能保持活動(dòng)狀態(tài)。僅僅重置密碼是不夠的,必須同時(shí)撤銷會(huì)話令牌,才能真正將入侵者踢出系統(tǒng)。我們正在與一家初創(chuàng)公司合作,為我們最常用的資源開(kāi)發(fā)近實(shí)時(shí)的令牌失效解決方案。本質(zhì)上,我們希望在幾秒鐘內(nèi)使被盜令牌失去效用。Zero Trust 架構(gòu)的優(yōu)勢(shì)在于,所有內(nèi)容都需要通過(guò)代理或身份提供商重新進(jìn)行身份驗(yàn)證,這為我們提供了單一控制點(diǎn),以便全球范圍內(nèi)撤銷令牌。這樣,即使攻擊者竊取了 VPN Cookie 或云會(huì)話,他們也無(wú)法進(jìn)行橫向移動(dòng),因?yàn)槲覀兛梢匝杆偈沽钆茻o(wú)效。
VentureBeat: NOV 還有哪些其他的身份安全措施?
Philips: 我們幾乎在所有環(huán)節(jié)都強(qiáng)制實(shí)施多因素認(rèn)證 (MFA) 并監(jiān)控異常訪問(wèn)模式。Okta、Zscaler 與 SentinelOne 聯(lián)手構(gòu)建了以身份為中心的安全邊界,每次登錄以及設(shè)備狀態(tài)都在持續(xù)驗(yàn)證。即使有人竊取了用戶密碼,他們?nèi)匀恍枰ㄟ^(guò)設(shè)備檢查、MFA 挑戰(zhàn)、條件訪問(wèn)規(guī)則,而且一旦出現(xiàn)異常還可能導(dǎo)致會(huì)話立即被撤銷。單獨(dú)重置密碼已遠(yuǎn)遠(yuǎn)不足 —— 我們必須即時(shí)撤銷會(huì)話令牌,以防攻擊者進(jìn)行橫向移動(dòng)。這一理念構(gòu)成了 NOV 身份威脅防御策略的基石。
VentureBeat: 你也是網(wǎng)絡(luò)安全領(lǐng)域中 AI 的早期采用者。NOV 在安全運(yùn)營(yíng)中心 (SOC) 中如何利用 AI 及生成式模型?
Philips: 由于我們?cè)谌蚍秶鷥?nèi)的安全團(tuán)隊(duì)相對(duì)較小,因此必須更高效地工作。我們的一種做法是將 AI “同事”引入安全運(yùn)營(yíng)中心 (SOC)。我們與 SentinelOne 合作,開(kāi)始使用他們的 AI 安全分析工具 —— 一款能夠以機(jī)器速度編寫(xiě)和運(yùn)行跨日志查詢的 AI。這一工具改變了游戲規(guī)則,使得分析師可以用簡(jiǎn)單的英文提問(wèn),并在幾秒鐘內(nèi)得到答案。分析師不再需要手動(dòng)編寫(xiě) SQL 查詢,AI 會(huì)建議下一步查詢或者甚至自動(dòng)生成報(bào)告,從而大幅降低了平均響應(yīng)時(shí)間。
我們已經(jīng)看到,借助 AI 助手,威脅狩獵的速度提升了多達(dá) 80%。Microsoft 的數(shù)據(jù)表明,引入生成式 AI 可將事件平均解決時(shí)間縮短 30%。除此之外,我們還在嘗試?yán)脙?nèi)部 AI 機(jī)器人進(jìn)行運(yùn)營(yíng)分析,使用 OpenAI 的基礎(chǔ) AI 模型幫助非技術(shù)人員快速查詢數(shù)據(jù)。當(dāng)然,我們也設(shè)置了數(shù)據(jù)保護(hù)防護(hù)措施,以確保這些 AI 解決方案不會(huì)導(dǎo)致敏感信息泄露。
VentureBeat: 網(wǎng)絡(luò)安全不再僅僅是 IT 問(wèn)題。你如何讓 NOV 的董事會(huì)和高層管理者了解網(wǎng)絡(luò)風(fēng)險(xiǎn)?
Philips: 我始終把讓董事會(huì)參與我們的網(wǎng)絡(luò)安全轉(zhuǎn)型放在首位。他們無(wú)需了解技術(shù)的細(xì)節(jié),但必須理解我們的風(fēng)險(xiǎn)態(tài)勢(shì)。以生成式 AI 為例,我早已向他們簡(jiǎn)要說(shuō)明了其優(yōu)勢(shì)和潛在風(fēng)險(xiǎn)。這種教育在我提出防止數(shù)據(jù)泄露的管控措施時(shí),能迅速獲得一致認(rèn)可。
現(xiàn)在,董事會(huì)將網(wǎng)絡(luò)安全視為核心業(yè)務(wù)風(fēng)險(xiǎn)。他們?cè)诿看螘?huì)議上都會(huì)收到相關(guān)簡(jiǎn)報(bào),而不僅僅是一年一次。我們甚至與他們共同參與桌面演練,展示假想攻擊的全過(guò)程,將抽象的威脅轉(zhuǎn)化為具體的決策情景,從而強(qiáng)化了自上而下的支持力度。
我始終強(qiáng)調(diào)網(wǎng)絡(luò)風(fēng)險(xiǎn)的現(xiàn)實(shí)存在。即便我們?cè)诰W(wǎng)絡(luò)安全項(xiàng)目上投入了數(shù)百萬(wàn)資金,風(fēng)險(xiǎn)也永遠(yuǎn)無(wú)法完全消除。問(wèn)題不在于是否會(huì)發(fā)生安全事件,而在于何時(shí)會(huì)發(fā)生。
VentureBeat: 基于 NOV 的轉(zhuǎn)型經(jīng)驗(yàn),你對(duì)其他 CIO 與 CISO 有什么最后建議嗎?
Philips: 首先,要認(rèn)識(shí)到安全轉(zhuǎn)型與數(shù)字轉(zhuǎn)型是密不可分的。沒(méi)有 Zero Trust,我們無(wú)法如此高效地向云端遷移或支持遠(yuǎn)程辦公,而業(yè)務(wù)成本的節(jié)省又為安全改進(jìn)提供了資金支持,這真的是一種“三贏”的局面。
其次,務(wù)必注重身份和訪問(wèn)的職責(zé)分離。任何單一個(gè)人都不應(yīng)有能力破壞你的安全控制——包括我自己。即使是小的流程變更,例如要求兩人共同更改高管或高權(quán)限 IT 員工的 MFA,也能有效防止惡意內(nèi)部人員、錯(cuò)誤行為及外部攻擊。
最后,要謹(jǐn)慎而積極地?fù)肀?AI。攻擊者方面已開(kāi)始大規(guī)模應(yīng)用 AI。一個(gè)落實(shí)良好的 AI 助手能成倍提升你的團(tuán)隊(duì)防御能力,但必須控制數(shù)據(jù)泄露或模型不準(zhǔn)確的風(fēng)險(xiǎn)。務(wù)必確保將 AI 輸出與團(tuán)隊(duì)技能相結(jié)合,從而打造出融合 AI 的“大腦”。
我們深知威脅在不斷演化,但借助 Zero Trust、強(qiáng)大的身份安全防護(hù)以及現(xiàn)在 AI 的助力,我們總算擁有了一線生機(jī)。