日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司，提供做網(wǎng)站、網(wǎng)站建設(shè)，網(wǎng)頁(yè)設(shè)計(jì)，建網(wǎng)站，PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展；專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站，是專業(yè)的做網(wǎng)站團(tuán)隊(duì)，希望更多企業(yè)前來(lái)合作!

在本次專訪中，英偉達(dá)首席安全官David Reber討論了其公司產(chǎn)品線的復(fù)雜性及其對(duì)安全的影響。他解釋了為什么英偉達(dá)復(fù)雜的硬件和軟件產(chǎn)品線需要多樣化的安全解決方案組合;強(qiáng)調(diào)了人工智能和機(jī)器學(xué)習(xí)在安全和數(shù)據(jù)保護(hù)方面的作用，并解釋了人工智能如何改變網(wǎng)絡(luò)安全。

Reber提出了一種“生態(tài)系統(tǒng)安全觀”，認(rèn)為知識(shí)和信任在保護(hù)企業(yè)的網(wǎng)絡(luò)安全免受破壞方面發(fā)揮著至關(guān)重要的作用。

對(duì)話還闡明了數(shù)據(jù)保護(hù)和防止泄露之間的相互聯(lián)系，監(jiān)控?cái)?shù)據(jù)供應(yīng)鏈以及客戶在安全體驗(yàn)等方面的重要性。最后，Reber強(qiáng)調(diào)了創(chuàng)新的重要意義，以及安全團(tuán)隊(duì)?wèi)?yīng)該如何專注于促進(jìn)創(chuàng)新，而非阻礙創(chuàng)新。

對(duì)話包括以下話題：

• 英偉達(dá)的產(chǎn)品線如何使安全問(wèn)題復(fù)雜化?
• 英偉達(dá)如何管理安全風(fēng)險(xiǎn)?
• 人工智能和機(jī)器學(xué)習(xí)對(duì)安全和數(shù)據(jù)保護(hù)的影響是什么?
• 英偉達(dá)的安全生態(tài)系統(tǒng)是什么?為什么它如此重要?
• 為什么技術(shù)、教育和培訓(xùn)對(duì)維護(hù)網(wǎng)絡(luò)安全至關(guān)重要?
• 人工智能如何讓安全成為數(shù)據(jù)問(wèn)題?
• 如何保護(hù)分布式數(shù)據(jù)集?
• 直至你信任它，AI才能發(fā)展為自動(dòng)化。
• 如何在安全和保護(hù)與員工生產(chǎn)力之間取得平衡?
• 在安全領(lǐng)域，客戶體驗(yàn)意味著什么?
• 人工智能治理在安全計(jì)劃中的作用是什么?
• 英偉達(dá)如何將安全整合到產(chǎn)品開(kāi)發(fā)中?
• 如何處理自主算法系統(tǒng)的負(fù)面后果?
• 為何安全漏洞如此頻繁地發(fā)生?
• 在人工智能和安全方面給業(yè)務(wù)領(lǐng)導(dǎo)者的建議

David Reber是英偉達(dá)的首席安全官和產(chǎn)品安全主管。在加入英偉達(dá)之前，Reber曾在美國(guó)情報(bào)界擔(dān)任了十多年的高級(jí)參謀。他還曾擔(dān)任Nutanix Frame和Government Cloud Services的高級(jí)安全總監(jiān)。他的工作經(jīng)歷覆蓋企業(yè)安全云服務(wù)架構(gòu)、高級(jí)網(wǎng)絡(luò)戰(zhàn)、進(jìn)攻性安全研究、全球企業(yè)安全、安全移動(dòng)戰(zhàn)術(shù)通信和內(nèi)部威脅等諸多領(lǐng)域。Reber持有賓夕法尼亞州立大學(xué)信息科學(xué)與技術(shù)學(xué)士學(xué)位。

采訪摘錄

Michael Krigsman(主持人)：今天，我們邀請(qǐng)到了英偉達(dá)的David Reber與我們一起談?wù)?023年的安全態(tài)勢(shì)，尤其是我們所生活的人工智能世界的安全態(tài)勢(shì)。

David Reber：在加入英偉達(dá)之前，我曾在美國(guó)政府從事網(wǎng)絡(luò)防御工作，也曾在硅谷初創(chuàng)公司和其他一些領(lǐng)域工作過(guò)。如今，我是英偉達(dá)的首席安全官，主要負(fù)責(zé)保護(hù)英偉達(dá)、客戶以及員工的安全。

英偉達(dá)的產(chǎn)品線如何使安全問(wèn)題復(fù)雜化?

Michael Krigsman：英偉達(dá)擁有非常復(fù)雜的產(chǎn)品線，有硬件有軟件，那么這種復(fù)雜性對(duì)您的安全態(tài)勢(shì)或策略意味著什么?

David Reber：在我之前的工作中，我要么是在一家云公司任職，所以只需要專注于云服務(wù);要么是在一家軟件公司工作，只需要專注如何安全地交付軟件，而不涉及任何服務(wù)元素。

英偉達(dá)的復(fù)雜性在于，我們既要做硬件開(kāi)發(fā)，還要考慮之后的交付和服務(wù)流程，思考如何運(yùn)行它并保護(hù)我們的客戶數(shù)據(jù)。這是一套完全不同的技術(shù)和能力。我們要做的是研究采用不同安全方法的構(gòu)建系統(tǒng)、后端系統(tǒng)、基礎(chǔ)設(shè)施的非常多樣化的組合。我們不能直接說(shuō)，“這里有一個(gè)解決方案，可以滿足我們所有開(kāi)發(fā)人員的安全需求。”

我們必須要有創(chuàng)意，必須創(chuàng)新不同的方式，讓我們所有的員工都能為我們公司和生態(tài)系統(tǒng)的安全做出貢獻(xiàn)。

英偉達(dá)如何管理安全風(fēng)險(xiǎn)?

Michael Krigsman：您如何管理這個(gè)更大范圍內(nèi)的多個(gè)安全解決方案?

David Reber：我采用了深度和廣度的方法。我們?cè)诮M織內(nèi)部有安全專家，他們會(huì)試圖設(shè)置通用平臺(tái)，利用一套通用功能來(lái)支持我們的開(kāi)發(fā)者生態(tài)系統(tǒng)。

然后，我們還在業(yè)務(wù)部門(mén)中部署了安全專家，與我們的開(kāi)發(fā)人員一起幫助他們使用特定的解決方案集，或者幫助確保我們的硬件中有這些功能。我們會(huì)在整個(gè)虛擬安全團(tuán)隊(duì)中分享這些經(jīng)驗(yàn)教訓(xùn)，并幫助確保我們?cè)谒胁煌臉I(yè)務(wù)部門(mén)中分享這些經(jīng)驗(yàn)教訓(xùn)，以便我們能夠覆蓋防御的深度和廣度。

人工智能和機(jī)器學(xué)習(xí)對(duì)安全和數(shù)據(jù)保護(hù)有什么影響?

Michael Krigsman：在安全或數(shù)據(jù)保護(hù)方面，人工智能如何改變您的思維或影響您的思維和策略?

David Reber：十年前或者更早，我們是一個(gè)“以網(wǎng)絡(luò)為中心”的安全模型。你會(huì)設(shè)置你的邊界，你會(huì)有這個(gè)網(wǎng)絡(luò)的UI/GUI中心。但隨著時(shí)間的推移，我們開(kāi)始談?wù)摰氖恰耙詰?yīng)用程序?yàn)橹行摹钡陌踩?。思考如何保護(hù)這些應(yīng)用程序?如何保護(hù)網(wǎng)絡(luò)中正在發(fā)生的事情?

你開(kāi)始防止橫向移動(dòng)。一旦威脅行為者進(jìn)入你的網(wǎng)絡(luò)，你就開(kāi)始防范。這就是“零信任”邊界開(kāi)始在全球社區(qū)中活躍起來(lái)的地方?！傲阈湃巍边@個(gè)術(shù)語(yǔ)源自我不想自然地信任我的網(wǎng)絡(luò)。

當(dāng)我們審視人工智能時(shí)，它帶來(lái)了不同的動(dòng)態(tài)，真正開(kāi)始將我們轉(zhuǎn)向“以數(shù)據(jù)為中心”的安全模型。在一天結(jié)束的時(shí)候，我們需要能夠保護(hù)數(shù)據(jù)的位置、傳輸過(guò)程和使用時(shí)間。這確實(shí)推動(dòng)了分布式數(shù)據(jù)和分布式安全的演變和創(chuàng)新。

它還引入了一種責(zé)任共擔(dān)(shared responsibility)模式，在這種模式下，你必須信任你的供應(yīng)商和服務(wù)提供商。你必須開(kāi)始學(xué)習(xí)如何信任云服務(wù)提供商不會(huì)丟失你的數(shù)據(jù)。這帶來(lái)了機(jī)密計(jì)算(confidential computing)的進(jìn)化，使得我們可以在處理過(guò)程中保護(hù)它。

但我們要關(guān)注的另一件事是數(shù)據(jù)移動(dòng)的整個(gè)數(shù)據(jù)供應(yīng)鏈不僅僅是在我的組織內(nèi)部移動(dòng)，而是這些數(shù)據(jù)從何而來(lái)。我怎么能相信它可以提供值得信賴的AI?

英偉達(dá)的安全生態(tài)系統(tǒng)是什么?為什么它如此重要?

Michael Krigsman：這真的很有趣。所以說(shuō)，數(shù)據(jù)供應(yīng)鏈實(shí)際上是生態(tài)系統(tǒng)安全觀的一部分。聽(tīng)起來(lái)，生態(tài)系統(tǒng)的觀點(diǎn)對(duì)您的戰(zhàn)略和思維非常重要。

David Reber：確實(shí)，這種觀點(diǎn)讓我們所有人緊密團(tuán)結(jié)在一起。我們有一個(gè)共同的目標(biāo)，那就是對(duì)抗攻擊者，實(shí)現(xiàn)這一目標(biāo)的唯一方法是隨著攻擊者不斷進(jìn)化，防守也必須變得更好。這是“集體防御”的概念。

安全從來(lái)都不是獨(dú)善其身的事情。無(wú)論是從重大數(shù)據(jù)泄露事件還是各大新聞?lì)^條中，我們都能清楚地看到這一點(diǎn)。每一個(gè)被入侵的云服務(wù)提供商都將影響到數(shù)十到數(shù)百個(gè)甚至數(shù)千個(gè)關(guān)聯(lián)客戶。這真的迫切需要我們所有人分享我們的知識(shí)，然后信任從別人那里得到的信息。

Michael Krigsman：當(dāng)每個(gè)參與者都有自己的關(guān)注和議程，并且他們可能并不完全一致時(shí)，您如何將玩家組成一個(gè)生態(tài)系統(tǒng)?您怎么管理這些參與者?

David Reber：這關(guān)乎的并非客觀、見(jiàn)多識(shí)廣的安全專家每天都在做什么。更重要的是成千上萬(wàn)的員工。他們每一個(gè)人都可能成為攻擊者進(jìn)入這家公司的下一個(gè)切入口。

我們的目標(biāo)是弄清楚我們?nèi)绾翁峁┬畔?，讓每個(gè)人在最需要的時(shí)候做出明智、安全的決定，無(wú)論是在他們點(diǎn)擊鏈接、查看釣魚(yú)郵件還是編寫(xiě)代碼時(shí)。我們的目標(biāo)是弄清楚如何以最快的速度將信息從安全團(tuán)隊(duì)傳遞給這些人，這樣反饋循環(huán)就會(huì)很快。

但是，要做到這一點(diǎn)并不容易。這涉及到創(chuàng)新問(wèn)題，我們?nèi)绾慰创麄冃枰鍪裁矗缓蟛拍芙o他們我們知道的信息，以幫助他們做出更好的決定。

我們?nèi)匀挥袠?biāo)準(zhǔn)的通用平臺(tái)，無(wú)論是做代碼掃描，還是做惡意軟件掃描，還是做審計(jì)記錄和監(jiān)控。我們擁有這些恰好到位的能力，并使我們的多樣化生態(tài)系統(tǒng)得以實(shí)現(xiàn)。實(shí)際上，這是關(guān)于教育那些非安全專業(yè)人員的。他們雖是各自領(lǐng)域的專家，但我們?nèi)绾螏椭麄冏龀雒髦堑臎Q定?

Michael Krigsman：您提到了“創(chuàng)新”這個(gè)詞。您能詳細(xì)說(shuō)明一下它具體指的是什么嗎?

David Reber：我們需要有創(chuàng)造力。創(chuàng)新是朝著一個(gè)目標(biāo)一步步前進(jìn)，并不斷迭代以找出最佳解決方案。

我認(rèn)為我們的團(tuán)隊(duì)?wèi)?yīng)該幫助公司實(shí)現(xiàn)創(chuàng)新，而不是因?yàn)樗煌昝蓝柚顾?。這就是我們尋找創(chuàng)新技術(shù)的地方，每天都有新技術(shù)出現(xiàn)，安全工具必須迎頭趕上，而不是等待。這是一個(gè)全行業(yè)的問(wèn)題。我們?nèi)绾螏椭徑膺@種情況，在周圍設(shè)置控制或其他方面，并使其自動(dòng)化，使其成為部署過(guò)程的一部分，我們可以繼續(xù)找到獨(dú)特的方法?

然后我們回饋給我們的安全合作伙伴，我們社區(qū)內(nèi)的安全供應(yīng)商，“嘿，我們正在學(xué)習(xí)如何做，比如說(shuō)，整個(gè)ML運(yùn)維管道。在我們學(xué)習(xí)的過(guò)程中，我們將這些知識(shí)和我們的學(xué)習(xí)回饋給社區(qū)，進(jìn)行集體防御?！?/p>

我們正在處理這些平臺(tái)從未處理過(guò)的海量數(shù)據(jù)集。當(dāng)我們解決這些問(wèn)題時(shí)，我們?nèi)绾巫屆總€(gè)人都繼續(xù)前進(jìn)，而不是讓“完美”成為阻礙前進(jìn)的敵人?

Michael Krigsman：您如何看待數(shù)據(jù)保護(hù)和防止數(shù)據(jù)泄露之間的區(qū)別?或者，對(duì)您來(lái)說(shuō)，它們本質(zhì)上是一樣的嗎?

David Reber：我認(rèn)為它們是高度相關(guān)聯(lián)的。作為一名攻擊者，你的目標(biāo)是獲取信息或在這些東西中造成傷害。但一般來(lái)說(shuō)，這種攻擊活動(dòng)都是圍繞著這些數(shù)據(jù)。如果我把重點(diǎn)放在“以數(shù)據(jù)為中心”的安全模型上，就能更有效地防御這些漏洞。

如果我們假設(shè)某件事總有一天會(huì)發(fā)生，我們?cè)撊绾巫瞿?這是一種“假定妥協(xié)(assumed breach)”策略。整個(gè)行業(yè)已經(jīng)朝著這個(gè)方向發(fā)展。我們?nèi)绾未_保當(dāng)攻擊者侵入時(shí)，我們能盡快發(fā)現(xiàn)他們，我們有快速反應(yīng)能力來(lái)處理它嗎?

更重要的是，我們?nèi)绾未_保完全發(fā)現(xiàn)并清理它們?攻擊者很可能會(huì)使用混淆技術(shù)，模糊偵察視線，以便橫向移動(dòng)去訪問(wèn)下一組數(shù)據(jù)。

我們還經(jīng)常面臨的一件事是，作為一個(gè)生態(tài)系統(tǒng)，我們看到身份攻擊正在上升。你如何在“最小特權(quán)”原則下充分發(fā)揮開(kāi)發(fā)者的創(chuàng)新能力，同時(shí)，確保如果他們及其帳戶成為入侵路徑，攻擊者只能獲得有限的訪問(wèn)權(quán)限?

為什么技術(shù)、教育和培訓(xùn)對(duì)維護(hù)網(wǎng)絡(luò)安全至關(guān)重要?

Michael Krigsman：聽(tīng)起來(lái)，你們的技術(shù)措施是與員工和生態(tài)系統(tǒng)參與者的教育和培訓(xùn)相結(jié)合的，因?yàn)檎缒f(shuō)，你們的任何一名員工都可能成為攻擊的潛在途徑。

David Reber：網(wǎng)絡(luò)安全關(guān)乎的并非只有技術(shù)問(wèn)題，而是人員、流程和技術(shù)的結(jié)合。我們不想要過(guò)分嚴(yán)格的流程，但我們需要足夠的流程。同時(shí)，還需要設(shè)置護(hù)欄，以確保你不會(huì)讓他們?cè)谧鰶Q定時(shí)受到傷害。

我曾經(jīng)在面試中遇到很多做出過(guò)錯(cuò)誤決定的人，他們的自信心都受到了不同程度的打擊，因?yàn)樗麄儍?nèi)心總認(rèn)為“這是他們的錯(cuò)”。所以，一個(gè)關(guān)鍵問(wèn)題是，你如何確保能夠保護(hù)他們每天都能做出正確的決定(跨越人員、流程和技術(shù))，以實(shí)現(xiàn)這種創(chuàng)新文化?

Michael Krigsman：那人工智能方面呢?你們是一家人工智能公司。這是否改變了您與安全性交互的本質(zhì)?

David Reber：在我看來(lái)，這是一種混合，在此之前，當(dāng)你在處理開(kāi)發(fā)任務(wù)時(shí)，你只要與開(kāi)發(fā)人員、工程師打交道，他們負(fù)責(zé)構(gòu)建解決方案。當(dāng)你向數(shù)據(jù)科學(xué)家方向發(fā)展時(shí)，他們可能在這些領(lǐng)域非常專業(yè)，但他們不一定是底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施或應(yīng)用程序基礎(chǔ)設(shè)施方面的專家。

他們擅長(zhǎng)數(shù)據(jù)科學(xué)。他們擅長(zhǎng)使用工具并提取信息。我們需要確保我們有這些共同的平臺(tái)，讓他們可以專注于他們的獨(dú)特價(jià)值，專注于他們擅長(zhǎng)的領(lǐng)域。保護(hù)基礎(chǔ)設(shè)施的其他部分的負(fù)擔(dān)由他們來(lái)承擔(dān)。

現(xiàn)在，獨(dú)特的挑戰(zhàn)是，當(dāng)你開(kāi)始談?wù)摂?shù)據(jù)和數(shù)據(jù)訪問(wèn)時(shí)，你也需要參與其中。當(dāng)數(shù)據(jù)科學(xué)家從數(shù)據(jù)中生成一個(gè)模型，你開(kāi)始在生產(chǎn)中使用它時(shí)，整個(gè)訓(xùn)練環(huán)境現(xiàn)在已經(jīng)成為你生產(chǎn)基礎(chǔ)設(shè)施的一部分。

傳統(tǒng)上，你可以將開(kāi)發(fā)環(huán)境分離出來(lái)。但是現(xiàn)在，那些訓(xùn)練環(huán)境已經(jīng)變成了生產(chǎn)環(huán)境。我們必須專注于保護(hù)它們免受一些新的威脅。我們開(kāi)始看到數(shù)據(jù)中毒和其他類似的事情，你必須真正開(kāi)始監(jiān)控那些你本可以從網(wǎng)絡(luò)中隔離出來(lái)的東西。

人工智能如何讓安全成為數(shù)據(jù)問(wèn)題?

Michael Krigsman：人工智能在您的環(huán)境中引入了一套新的動(dòng)態(tài)以及需要解決的新安全問(wèn)題。

David Reber：是的，我們開(kāi)始遇到一些限制。我指的是巨大的數(shù)據(jù)集，規(guī)模一般在千兆字節(jié)的范圍內(nèi)。傳統(tǒng)的安全處理工具無(wú)法處理這種規(guī)模的負(fù)載，因此必須從不同的角度考慮流程和技術(shù)。正如我之前所說(shuō)的，爆炸半徑，你如何確保一旦出現(xiàn)問(wèn)題，你能將它控制在你的基礎(chǔ)設(shè)施和產(chǎn)品的影響范圍內(nèi)?

Michael Krigsman：人工智能在幫助您解決這些問(wèn)題、縮小爆炸半徑或以其他方式提供幫助方面發(fā)揮了什么作用?

David Reber：我堅(jiān)信安全問(wèn)題比我們過(guò)去意識(shí)到的更像一個(gè)數(shù)據(jù)問(wèn)題。我的意思是服務(wù)器、系統(tǒng)的數(shù)量，一切都在呈指數(shù)級(jí)增長(zhǎng)，你必須能夠監(jiān)控整個(gè)系統(tǒng)。你不能用警報(bào)和音量對(duì)人類進(jìn)行線性縮放。你必須更聰明地工作，而不是更努力地工作。

實(shí)際上，我們?cè)噲D關(guān)注的是讓機(jī)器做它擅長(zhǎng)的事情。提供這些信息，這樣你就可以利用這個(gè)人做他擅長(zhǎng)的事情。

這就是我們使用人工智能技術(shù)來(lái)具體處理所有事情的地方，試圖突出那些最緊迫的挑戰(zhàn)，甚至只是可視化數(shù)據(jù)，以便我們的分析師可以開(kāi)始研究不同的問(wèn)題。后來(lái)，隨著open ai人工智能項(xiàng)目ChatGPT的出現(xiàn)，人們開(kāi)始關(guān)注如何開(kāi)始使用它來(lái)提問(wèn)。

如何保護(hù)分布式數(shù)據(jù)集?

Michael Krigsman：這是一種信息的組合。您有員工需要的一般背景信息，例如，如何不成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者。但是您需要(我可以想象)近乎實(shí)時(shí)的信息來(lái)提供給那些試圖防御活躍和持續(xù)攻擊的安全人員。

David Reber：沒(méi)錯(cuò)。它著眼于我們?nèi)绾瓮苿?dòng)它，將安全左移，既要主動(dòng)又要被動(dòng)地進(jìn)行防御，并處理所有的遙測(cè)數(shù)據(jù)和信息。

除此之外，我們也開(kāi)始看到其他機(jī)會(huì)。這是一個(gè)數(shù)據(jù)引力(data gravity)問(wèn)題。如果我們要收集來(lái)自世界各地的日志，你不希望將它們集中運(yùn)輸。隨著許多法律的出臺(tái)，你也不能這么做。你需要為客戶保持信息區(qū)域化。

現(xiàn)在的問(wèn)題是，你如何在分布式數(shù)據(jù)集上進(jìn)行防御，如何處理共享這些知識(shí)，這樣你的SOC團(tuán)隊(duì)以及安全專家才能真正專注于現(xiàn)實(shí)的問(wèn)題。

直至你信任它，AI才能發(fā)展為自動(dòng)化。

Michael Krigsman：那么像算法、透明度和隱私這樣的問(wèn)題呢?這和您的工作有什么交集?

David Reber：在我看來(lái)，只有你信任它，AI才能發(fā)展為自動(dòng)化!真的，這一點(diǎn)很重要，還有你如何讓AI在做你需要的事情時(shí)保持透明度?你如何信任它?你如何向它的用戶承諾可信度并推動(dòng)透明度?這就是我們關(guān)注可信任人工智能(trustworthy AI)的原因，人工智能倫理可以確保，我們?nèi)绾蝹鬟f這種信任以及這種透明度?

它真正與世界交匯的原因是，它不僅僅是關(guān)于它所訓(xùn)練的數(shù)據(jù)和其中使用的算法。它同時(shí)也是整個(gè)底層基礎(chǔ)設(shè)施。這些數(shù)據(jù)從何而來(lái)?它是怎么通過(guò)我們的網(wǎng)絡(luò)的?這是一個(gè)關(guān)于溯源的對(duì)話。

同時(shí)，這些原語(yǔ)也是用于機(jī)密計(jì)算的。這是我們作為云服務(wù)提供商所做的事情。你如何讓人們信任你的工作?這就是我們要研究的。一種常見(jiàn)的認(rèn)證解決方案是，我們可以證明這就是發(fā)生的事情。然后，作為客戶的你可以做出自己的決定。你可以根據(jù)信息決定它如何適合你的風(fēng)險(xiǎn)概況，而不是直接為客戶做決定。

如何在安全和保護(hù)與員工生產(chǎn)力之間取得平衡?

Michael Krigsman：您如何確保持續(xù)的網(wǎng)絡(luò)安全是最重要的，但又不會(huì)影響員工的日常工作?

David Reber：我們戰(zhàn)略的一部分就是，你必須關(guān)注良好的客戶體驗(yàn)。想想如果你去商店，得到了一次非常糟糕的客戶體驗(yàn)，那么你可能再也不會(huì)去那里了。

在網(wǎng)絡(luò)世界、IT世界乃至工程世界中，道理同樣如此。如果你有了一次糟糕的安全體驗(yàn)，這就是影子IT開(kāi)始出現(xiàn)的地方。它讓一切都變慢了。

我們所做的很多工作是了解客戶的問(wèn)題是什么，他們喜歡如何工作，并在他們所處的位置滿足他們。有時(shí)，我們必須積極進(jìn)取，為組織做出貢獻(xiàn)。但是很多事情都停留在初始階段，從我們需要保護(hù)的地方開(kāi)始，以及我們?nèi)绾魏献?

好消息是，我們也看到了這個(gè)行業(yè)的轉(zhuǎn)折點(diǎn)。而且我們也已經(jīng)實(shí)踐一段時(shí)間了。確保你的安全團(tuán)隊(duì)要么站在開(kāi)發(fā)人員的角度出發(fā)，要么知道如何編寫(xiě)代碼，這樣他們就可以編寫(xiě)代碼來(lái)幫助開(kāi)發(fā)人員，成為解決方案的一部分。

之后，創(chuàng)建對(duì)話框，與業(yè)務(wù)領(lǐng)導(dǎo)者建立關(guān)系。然后，你就會(huì)看到轉(zhuǎn)變——從“哦，這是安全的”到“我如何確保我做對(duì)了呢?”

只有當(dāng)你成為解決方案的一部分，而不是被安全團(tuán)隊(duì)告知“你必須這樣做!”卻從未提供任何幫助時(shí)，你才能真正地、清晰地了解持續(xù)性網(wǎng)絡(luò)安全的重要性，并積極地參與其中。

我之前提到過(guò)深度和廣度的問(wèn)題。我們?cè)谡麄€(gè)公司擁有廣泛的知識(shí)和專業(yè)人員，但我們也分配安全人員、架構(gòu)師、工程師直接向那些工程團(tuán)隊(duì)和工程經(jīng)理匯報(bào)，這樣他們就可以在現(xiàn)場(chǎng)幫助我們，并弄清楚我們?nèi)绾握嬲叵蚯巴七M(jìn)這些步驟。

客戶體驗(yàn)在安全領(lǐng)域意味著什么?

Michael Krigsman：您剛才提到的安全需要良好的客戶體驗(yàn)，您能詳細(xì)說(shuō)明一下嗎?

David Reber：這涉及的是一種服務(wù)心態(tài)。你可以做任何產(chǎn)品，但如果你的客戶不喜歡，他們就會(huì)離開(kāi)。

當(dāng)我們建立開(kāi)發(fā)者生態(tài)系統(tǒng)、開(kāi)發(fā)網(wǎng)站以及GPU時(shí)，我們?cè)噲D創(chuàng)造的是一個(gè)偉大的體驗(yàn)，這樣開(kāi)發(fā)者就可以很輕松地使用它們。帶著這種心態(tài)，當(dāng)我們構(gòu)建我公共平臺(tái)(比如我們的代碼掃描平臺(tái))時(shí)，我們?nèi)绾未_保你可以輕松地集成，你有正確的文檔，你了解他們將如何使用產(chǎn)品?

客戶并非必須要選擇我們，他們有自主選擇權(quán)。即便是就安全而言，雖然它是必要的，但你并非唯一選擇。但當(dāng)你有這樣的心態(tài)時(shí)，你就會(huì)去努力改變你的產(chǎn)品，讓它成為提供良好客戶體驗(yàn)的不二之選。

其實(shí)，我們也會(huì)在自己的安全團(tuán)隊(duì)里先進(jìn)行體驗(yàn)，我們永遠(yuǎn)是自己產(chǎn)品的第一個(gè)客戶。我們一直專注于如何使用我們自己的技術(shù)來(lái)保護(hù)我們正在構(gòu)建的技術(shù)，這樣我們就減少了與開(kāi)發(fā)人員的摩擦。

Michael Krigsman：您之前提到不要總是說(shuō)“NO”，這聽(tīng)起來(lái)像是在英偉達(dá)文化和您的生態(tài)系統(tǒng)文化中集成安全的基礎(chǔ)。

David Reber：當(dāng)你面對(duì)新的技術(shù)，以前沒(méi)有人做過(guò)的事情時(shí)，我們都在一起學(xué)習(xí)。沒(méi)有正確答案。

就人工智能來(lái)說(shuō)，現(xiàn)在世界各地都在出臺(tái)監(jiān)管規(guī)定。我們也在這條道路上繼續(xù)探索，只不過(guò)我們比別人先行一步而已。關(guān)于到底要怎么做，我們也不知道，所以我們需要一起學(xué)習(xí)。

在這個(gè)學(xué)習(xí)的旅程中，我們遇到的每個(gè)問(wèn)題，甚至是安全人員遇到的最瘋狂的問(wèn)題，我們都可以說(shuō)“YES”，然后一起學(xué)習(xí)。我們知道，在在邁出第一步時(shí)，我們可以冒險(xiǎn)，可以學(xué)習(xí)，可以失敗，來(lái)看看到底會(huì)發(fā)生什么。它讓我們作為一個(gè)安全團(tuán)隊(duì)能夠繼續(xù)學(xué)習(xí)，看看我們需要做什么，開(kāi)發(fā)人員繼續(xù)弄清楚他們要去哪里。然后，我們就可以進(jìn)行下一步。

現(xiàn)在，隨著技術(shù)開(kāi)始被定義，它有點(diǎn)像，“這是你的標(biāo)準(zhǔn)平臺(tái)。這是你的共性，”目標(biāo)是確保你有基礎(chǔ)設(shè)施即代碼。你已經(jīng)準(zhǔn)備好了這些例子，所以你不需要再進(jìn)行那些對(duì)話，你可以專注于下一件事。

我們都可以在業(yè)務(wù)中學(xué)習(xí)和創(chuàng)新。我們沒(méi)有理由在這場(chǎng)戰(zhàn)斗中落后，因?yàn)闅w根結(jié)底，我們的目標(biāo)是幫助解決世界上最困難的問(wèn)題。如果你不前進(jìn)，你就無(wú)法做到這一點(diǎn)。

人工智能治理在安全計(jì)劃中的作用是什么?

Michael Krigsman：我們回到關(guān)于人工智能以及人工智能治理等問(wèn)題的具體討論上，這類話題與您作為首席安全官的角色有什么交集?

David Reber：正如我之前所說(shuō)的，治理就是信任。我如何信任訓(xùn)練模型的數(shù)據(jù)、算法和基礎(chǔ)設(shè)施，以及數(shù)據(jù)的來(lái)源?由誰(shuí)發(fā)布，然后又由誰(shuí)不斷更新?然后如何交付給客戶?

當(dāng)你以這種方式看待問(wèn)題時(shí)，它與標(biāo)準(zhǔn)的CICD系統(tǒng)(dev-ops管道)并沒(méi)有什么真正的不同?，F(xiàn)在我們只討論數(shù)據(jù)管道。

作為一個(gè)安全團(tuán)隊(duì)，我們可能不是給定模型的特定道德方面的專家，就像他們也未必是數(shù)據(jù)供應(yīng)鏈領(lǐng)域的專家一樣。這就是我們存在交集的地方，所以我可以和那些道德專家、法律專家以及其他領(lǐng)域的專家們走到一起，討論并弄清楚需要保證在整個(gè)供應(yīng)鏈中哪些信息是值得信賴的。

然后，我們安全團(tuán)隊(duì)要做的就是弄清楚如何構(gòu)建數(shù)據(jù)供應(yīng)鏈，一直到我們的供應(yīng)商，到我們對(duì)他們的合同要求，到他們需要實(shí)施的安全控制，這樣他們就可以相信自己得到的數(shù)據(jù)是準(zhǔn)確的。這就是相互作用的地方，隨著值得信賴AI在生態(tài)系統(tǒng)中真正形成，我們深刻地參與了這種形成。

英偉達(dá)如何將安全整合到產(chǎn)品開(kāi)發(fā)中?

Michael Krigsman：那產(chǎn)品方面呢?英偉達(dá)一直在創(chuàng)造新的硬件、軟件和云服務(wù)。您是如何參與的?同樣地，產(chǎn)品開(kāi)發(fā)、產(chǎn)品發(fā)布和安全團(tuán)隊(duì)之間的交集是什么?

David Reber：我關(guān)注的是產(chǎn)品安全性，產(chǎn)品本身的安全性。產(chǎn)品的部分工作是需要我們?cè)谀缓笸瓿傻?，以確保我們有高質(zhì)量的代碼，減少代碼中的錯(cuò)誤。如果我們正在運(yùn)行服務(wù)，我們?nèi)绾斡涗洝⒈O(jiān)控和保護(hù)我們?cè)诳蛻糁羞\(yùn)行的基礎(chǔ)設(shè)施。

我們的安全團(tuán)隊(duì)始終專注于確保做了所有需要在幕后完成的事情。這是一種責(zé)任共擔(dān)的模式，所以我們有建筑師和工程師來(lái)確保我們對(duì)客戶是透明的?！拔覀?cè)诜?wù)或產(chǎn)品中加入了這些功能，使您能夠使用我們提供的服務(wù)安全工作。您負(fù)責(zé)監(jiān)控它，”就像任何云服務(wù)提供商所做的那樣。

“這是您的日志功能，這樣您就可以監(jiān)控您的使用情況，”因?yàn)?，在集體防御的世界里，我不知道對(duì)我們的客戶來(lái)說(shuō)，什么是好用戶，什么是壞用戶。我想讓他們獲得成功所需的所有信息，同時(shí)在我們的層面上保護(hù)我們需要保護(hù)的東西。

作為一個(gè)產(chǎn)品安全組織，除了架構(gòu)這些功能之外，我們還需要考慮如何加強(qiáng)我們需要控制和監(jiān)控的內(nèi)容，清楚地闡明客戶所做的事情和我們需要做的事情的信任模型。所以，當(dāng)我們使用自己的產(chǎn)品時(shí)，我們也必須確保他們的使用安全。這就是我們需要確保我們?cè)谲浖陀布薪⒄_的東西，以實(shí)現(xiàn)集體防御。

Michael Krigsman：在產(chǎn)品開(kāi)發(fā)生命周期的哪個(gè)階段，安全開(kāi)始成為與核心產(chǎn)品功能同等重要的基礎(chǔ)問(wèn)題?

David Reber：我們的目標(biāo)始終是從頭開(kāi)始構(gòu)建安全性，所以我們確實(shí)參與到產(chǎn)品定義和產(chǎn)品團(tuán)隊(duì)中。我們一直在深入了解客戶的問(wèn)題集。他們需要什么樣的法規(guī)?他們需要哪些功能來(lái)保護(hù)他們的工作負(fù)載?

自此我們集成了整個(gè)生命周期，從設(shè)計(jì)一直到開(kāi)發(fā)再到運(yùn)營(yíng)。然后一直到它作為一個(gè)產(chǎn)品退役，不再受支持。

我們看待這個(gè)問(wèn)題的方式是，我們定義了正確的產(chǎn)品，構(gòu)建了正確的產(chǎn)品，運(yùn)行了正確的產(chǎn)品，然后，如果存在安全漏洞，我們?nèi)绾巫龅酵该鞯剡M(jìn)行更新，并與客戶溝通。

Michael Krigsman：今天的人工智能平臺(tái)、技術(shù)和科技如何改變網(wǎng)絡(luò)攻擊和防御的性質(zhì)?

David Reber：兩者都在加速。一般來(lái)說(shuō)，攻擊者的劣勢(shì)在于規(guī)模。如何將自定義擴(kuò)展到這些目標(biāo)公司?有了ChatGPT這類技術(shù)的加持，攻擊者開(kāi)始能夠創(chuàng)建讀起來(lái)非常有效的釣魚(yú)郵件。它在機(jī)器規(guī)模上加速了為組織定制攻擊載體的能力。

正如我之前談到的，在防御方面，它關(guān)乎我們?nèi)绾翁幚頂?shù)據(jù)，如何看待數(shù)據(jù)。我們?nèi)绾未_保機(jī)器在做它們最擅長(zhǎng)的事情，這樣它們就可以給防御者提供信息。

Michael Krigsman：既然人工智能是未來(lái)，它依賴于數(shù)據(jù)和算法，那么普通的非技術(shù)人員如何確保數(shù)據(jù)和算法沒(méi)有偏見(jiàn)，因?yàn)闆Q策可能是基于人工智能的建議?

David Reber：當(dāng)我們審視值得信賴的人工智能時(shí)，我們的目標(biāo)是透明度。你如何讓訓(xùn)練過(guò)程透明化?我們對(duì)它了解多少?

作為預(yù)先訓(xùn)練過(guò)模型的專家，我們知道什么?我們從哪里知道的?把這些信息呈現(xiàn)出來(lái)，這樣你才能做出決定。

這需要與不斷的測(cè)試，不斷的反饋相結(jié)合，讓人們知道這些知識(shí)，而不是像一個(gè)“黑匣子”，你不知道幕后是什么。只要你知道它告訴你什么，當(dāng)你把它交給人類時(shí)，你就可以用這些信息和知識(shí)做出決定。當(dāng)你知道它在那里，你可以努力讓它變得更好，我們可以一起努力讓它變得更好。

如何處理自主算法系統(tǒng)的負(fù)面后果?

Michael Krigsman：我們?cè)撊绾螒?yīng)對(duì)本質(zhì)上自主的、算法的、數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)，這些系統(tǒng)做出的決定會(huì)影響我們的生活，而另一端卻沒(méi)有人幫助我們糾正錯(cuò)誤?

David Reber：這是一個(gè)常見(jiàn)的問(wèn)題，你創(chuàng)建了一個(gè)系統(tǒng)，可以真正幫助你更好地完成今天的工作。但是你并沒(méi)有圍繞著反饋循環(huán)、客戶服務(wù)或產(chǎn)品內(nèi)的功能來(lái)進(jìn)行整合。

我在很多不同的云服務(wù)中看到的，比如賬戶鎖定之類的，它們所做的是試圖保護(hù)你，并試圖將保護(hù)用戶作為第一優(yōu)先事項(xiàng)。他們的第二優(yōu)先級(jí)和下一優(yōu)先級(jí)可能是如何盡快給你數(shù)據(jù)，告訴你這是為什么。

這就是為什么你需要人類參與。為什么會(huì)這樣?發(fā)生了什么事?那么，您如何以一種值得信賴的方式反饋信息，以便能夠(希望是自動(dòng))解鎖?

這是動(dòng)態(tài)的，因?yàn)楣粽咭恢痹谑褂蒙鐣?huì)工程。他們甚至?xí)噲D利用這一過(guò)程。你得讓人類參與進(jìn)來(lái)。我們所做的(甚至在一些系統(tǒng)內(nèi)部，比如供應(yīng)商產(chǎn)品中的網(wǎng)絡(luò)AI選項(xiàng))是能夠識(shí)別地理和可能的登錄。我們?nèi)绾闻cSOC和幫助臺(tái)建立良好的反饋循環(huán)和客戶體驗(yàn)，以便盡快解決問(wèn)題?

Michael Krigsman：網(wǎng)絡(luò)安全的根本困境是成本和不便是確定的、即時(shí)的，但收益是延遲的、不確定的。人工智能能幫上忙嗎?

David Reber：傳統(tǒng)的組織安全模型是一種保險(xiǎn)策略。我們想要投資多少，它的響應(yīng)性如何?

我認(rèn)為我們?cè)诓煌漠a(chǎn)品中看到的人工智能作用，尤其是在網(wǎng)絡(luò)世界中，是如何幫助更好地告知你應(yīng)該在哪里投資?以及今年、明年以及未來(lái)會(huì)取得怎樣的進(jìn)展?在您的企業(yè)中，每天都有成千上萬(wàn)的漏洞出現(xiàn)。你怎么知道哪些是可以利用的?你怎么知道在哪里投資最多?

當(dāng)你把信息交到?jīng)Q策者手中，人們開(kāi)始根據(jù)信息修補(bǔ)漏洞。在此過(guò)程中，你將如何幫助他們?與其查看數(shù)百個(gè)缺少補(bǔ)丁的CVE，還不如關(guān)注那三個(gè)最有可能(在您的網(wǎng)絡(luò)環(huán)境和上下文中)成功的CVE。這就是如何平衡這些投資的關(guān)鍵。

此外，你如何改變企業(yè)文化，使其不再是一種保險(xiǎn)政策，而是成為你和客戶之間共同防御的推動(dòng)者?這是一種產(chǎn)品價(jià)值，也是你考慮這些投資的地方。

為什么安全漏洞經(jīng)常發(fā)生?

Michael Krigsman：組織進(jìn)行了很多安全投資，但現(xiàn)在仍有很多安全漏洞。這是怎么回事呢?

David Reber：防守方總是處于不利地位。攻擊者只需正確一次，而作為防守方的我們卻必須每次都是對(duì)的。

在擁有數(shù)萬(wàn)甚至數(shù)十萬(wàn)人的組織中，只需一人操作失誤或發(fā)生疏忽，就會(huì)造成毀滅性的后果。當(dāng)你實(shí)際觀察大多數(shù)重大漏洞時(shí)就會(huì)發(fā)現(xiàn)，它們通常沒(méi)有那么復(fù)雜。攻擊者大多數(shù)時(shí)候并沒(méi)有利用一些高危漏洞來(lái)追蹤那些備受矚目的目標(biāo)。只要有人點(diǎn)錯(cuò)了鏈接，或者有人按了不該按的多因素鍵，攻擊者就能成功侵入目標(biāo)組織，然后橫向移動(dòng)以訪問(wèn)更多資源。

不過(guò)，再看看你的問(wèn)題，這需要我們所有人協(xié)同工作，提供信息，建立關(guān)系，但這樣做得結(jié)果就是，我們開(kāi)始看到越來(lái)越多的供應(yīng)鏈攻擊。一家公司被攻破，就會(huì)影響下一個(gè)，形成一種連鎖反應(yīng)。

在公司之間建立這些關(guān)系，以便能夠共享信息，減少對(duì)我們共同客戶群的影響，這是我們需要關(guān)注的地方，也是我們作為一個(gè)社區(qū)真正需要投資的地方，這樣我們就可以幫助使它更安全。

在人工智能和安全方面給業(yè)務(wù)領(lǐng)導(dǎo)者的建議

Michael Krigsman：正如您之前所言，在這個(gè)快速變化的世界中，人工智能正在加速一切，那么在管理安全方面，您對(duì)業(yè)務(wù)領(lǐng)導(dǎo)者有什么建議?

David Reber：這關(guān)乎的是人的問(wèn)題。從你的安全組織如何與業(yè)務(wù)領(lǐng)導(dǎo)者集成開(kāi)始。你們是如何讓安全成為你們產(chǎn)品組合的一部分的?你還要確保了解你的客戶。當(dāng)你開(kāi)始研究這些關(guān)系時(shí)，可以推動(dòng)您的安全組織成為開(kāi)發(fā)解決方案的一部分。這有利于這種關(guān)系的形成。

每個(gè)人都在談?wù)撔迯?fù)安全文化。它始于這些關(guān)系，理解雙方，并能夠做到這一點(diǎn)。

我想說(shuō)的另一件事是，當(dāng)我們進(jìn)入人工智能的新世界時(shí)，確保你有一個(gè)清晰的供應(yīng)鏈數(shù)據(jù)戰(zhàn)略。這是一個(gè)新的領(lǐng)域，你能否信任所有東西的來(lái)源(從軟件到數(shù)據(jù))，它是如何移動(dòng)的，以及它是如何交付給客戶的。在你向人工智能發(fā)展的過(guò)程中，請(qǐng)確保優(yōu)先考慮這一點(diǎn)。

Michael Krigsman：這個(gè)觀點(diǎn)很有趣。擁有一個(gè)供應(yīng)鏈安全戰(zhàn)略是決定安全成功與否的基礎(chǔ)。

David Reber：沒(méi)錯(cuò)，在過(guò)去的幾年里，我們已經(jīng)在許多引人注目的違規(guī)和問(wèn)題中驗(yàn)證了這一點(diǎn)。這在整個(gè)行業(yè)中正變得越來(lái)越普遍。

了解你的供應(yīng)商，能夠建立這些關(guān)系，即使你不是一家人工智能或數(shù)據(jù)公司，這也是很重要的。這對(duì)于今天的每個(gè)企業(yè)來(lái)說(shuō)都很重要，而且隨著數(shù)據(jù)供應(yīng)鏈的持續(xù)增長(zhǎng)，這只會(huì)使情況更加復(fù)雜。

Michael Krigsman：您強(qiáng)調(diào)了人的作用。那么就防御而言，技術(shù)發(fā)揮著什么作用?

David Reber：你需要繼續(xù)使用并投資你的標(biāo)準(zhǔn)技術(shù)層和標(biāo)準(zhǔn)工具。人工智能不會(huì)取代這些良好的基礎(chǔ)。

通過(guò)一個(gè)良好的公共安全控制，從審計(jì)到監(jiān)視再到加固和鎖定，將能奠定堅(jiān)實(shí)的安全基礎(chǔ)。隨著時(shí)間的推移，這些技術(shù)將能繼續(xù)幫助我們分析所有的數(shù)據(jù)，從而做出更快速的決定。

我剛開(kāi)始的工作任務(wù)，就是要讓每天做決定的人掌握信息。技術(shù)將幫助我們解決這個(gè)問(wèn)題。了解他們?cè)谧鍪裁矗裁词亲詈玫倪x擇，什么是風(fēng)險(xiǎn)最小的選擇，以及他們?nèi)绾谓咏鼘?shí)時(shí)地得到這些信息，這就是技術(shù)將幫助我們的地方。

分享題目：英偉達(dá)首席安全官談2023年的網(wǎng)絡(luò)安全戰(zhàn)略和人工智能對(duì)網(wǎng)絡(luò)安全的作用
文章出自：http://www.5511xx.com/article/dpighgd.html