Ник Годфри из Google Cloud рассказывает о безопасности, бюджете и искусственном интеллекте для директоров по информационной безопасности
13 февраля 2024 г.В качестве старшего директора и глобального руководителя офиса директора по информационной безопасности (CISO) в Google Cloud Ник Годфри курирует обучение сотрудников вопросам кибербезопасности, а также занимается обнаружением и устранением угроз. Мы провели интервью с Годфри посредством видеозвонка о том, как директора по информационной безопасности и другие бизнес-лидеры, ориентированные на технологии, могут распределять свои ограниченные ресурсы, получая поддержку других заинтересованных сторон в вопросах безопасности, а также о новых проблемах и возможностях, которые открывает генеративный искусственный интеллект. Поскольку Годфри живет в Соединенном Королевстве, мы также спросили его точку зрения по поводу особенностей Великобритании.
Как директора по информационной безопасности могут распределять ресурсы в соответствии с наиболее вероятными угрозами кибербезопасности
Меган Крауз: Как директора по информационной безопасности могут оценить наиболее вероятные угрозы кибербезопасности, с которыми может столкнуться их организация, а также учитывать бюджет и ресурсы?
Ник Годфри: Одна из самых важных вещей, о которых следует подумать при определении того, как лучше всего распределить ограниченные ресурсы, которыми располагает любой директор по информационной безопасности или любая организация, — это баланс между покупкой чистых продуктов и услуг безопасности и размышлениями о типе базовой технологии. риски, которые есть у организации. В частности, в случае, если организация имеет унаследованную технологию, возможность защитить устаревшую технологию даже с помощью продуктов безопасности становится все более сложной.
Итак, задача и компромисс заключаются в следующем: будем ли мы покупать больше продуктов безопасности? Инвестируем ли мы в большее количество сотрудников службы безопасности? Покупаем ли мы больше услуг безопасности? Против: инвестируем ли мы в современную инфраструктуру, которая по своей сути более защищена?
Реагирование и восстановление — ключ к реагированию на киберугрозы
Меган Крауз: Говоря о приоритетности расходов в рамках ИТ-бюджета, часто обсуждаются программы-вымогатели и кража данных. Можете ли вы сказать, что на этом стоит сосредоточиться, или директора по информационной безопасности должны сосредоточиться на чем-то другом, или это во многом зависит от того, что вы видите в своей организации?
Ник Годфри: Кража данных и атаки программ-вымогателей очень распространены; поэтому вы, как директор по информационной безопасности, группа безопасности и директор по политике безопасности, должны сосредоточиться на такого рода вещах. В частности, программы-вымогатели представляют собой интересный риск, с которым стоит попытаться справиться, и на самом деле они могут быть весьма полезны с точки зрения формирования подхода к сквозной программе безопасности. Это требует от вас продумать комплексный подход к аспектам реагирования и восстановления программы безопасности и, в частности, к вашей способности перестроить критическую инфраструктуру для восстановления данных и, в конечном итоге, для восстановления служб.
Сосредоточение внимания на этих вещах не только улучшит вашу способность реагировать конкретно на эти вещи, но на самом деле также улучшит вашу способность управлять своими ИТ и своей инфраструктурой, потому что вы переедете туда, где вместо того, чтобы не понимать свои ИТ и то, как вы Собираясь восстановить его, у вас есть возможность восстановить его. Если у вас есть возможность регулярно перестраивать свою ИТ-инфраструктуру и восстанавливать данные, это фактически создает ситуацию, когда вам намного проще агрессивно управлять уязвимостями и исправлять уязвимости базовой инфраструктуры.
Почему? Потому что, если вы исправите его, и он сломается, вам не придется его восстанавливать и заставлять работать. Таким образом, сосредоточение внимания на специфике программ-вымогателей и на том, о чем вам приходится думать, на самом деле имеет положительный эффект, выходящий за рамки вашей способности управлять программами-вымогателями.
SEE: Угроза бот-сети в США нацелена на критически важную инфраструктуру. (Техреспублик)
Директорам по информационной безопасности необходима поддержка со стороны других лиц, принимающих решения по бюджету
Меган Крауз: Как технические специалисты и технические руководители должны обучать других лиц, принимающих решения по бюджету, приоритетам безопасности?
Ник Годфри: Прежде всего, вам нужно найти способы сделать это целостно. Если происходит разрозненный разговор о бюджете на безопасность и о бюджете на технологии, вы можете потерять огромную возможность провести этот совместный разговор. Вы можете создать условия, в которых безопасность будет рассматриваться как процент от технологического бюджета, что, я думаю, не обязательно будет очень полезным.
Правильным подходом является совместная работа директора по информационной безопасности и директора по вопросам политики и совместное представление совету директоров того, как объединенный портфель технологических проектов и безопасности в конечном итоге улучшает профиль технологических рисков, а также способствует достижению других коммерческих и бизнес-целей. Им не следует думать о расходах на безопасность просто как о расходах на безопасность; им следует подумать о довольно больших расходах на технологии как о расходах на безопасность.
Чем больше мы сможем встроить разговор о безопасности, кибербезопасности и технологических рисках в другие обсуждения, которые всегда происходят на совете директоров, тем больше мы сможем сделать это основным риском и рассматривать его так же, как советы директоров думают о финансовых и финансовых вопросах. операционные риски. Да, финансовый директор будет периодически рассказывать о финансовом положении всей организации и управлении рисками, но вы также увидите, как ИТ-директор в контексте ИТ и директор по информационной безопасности в контексте безопасности говорят о финансовых аспектах своего бизнеса.
Соображения безопасности, связанные с генеративным ИИ
Меган Крауз: Одним из важнейших глобальных технологических сдвигов является генеративный искусственный интеллект. На какие вопросы безопасности, связанные с генеративным искусственным интеллектом, компаниям следует обратить внимание сегодня?
Ник Годфри: На высоком уровне мы думаем о пересечении безопасности и искусственного интеллекта, разделяя его на три группы.
Во-первых, это использование ИИ для защиты. Как мы можем внедрить искусственный интеллект в инструменты и услуги кибербезопасности, которые повысят точность или скорость анализа?
Второе направление — это использование злоумышленниками ИИ для улучшения своих возможностей делать вещи, которые раньше требовали большого количества человеческого вмешательства или ручных процессов.
Третья группа: как организации думают о проблеме защиты ИИ?
Когда мы разговариваем с нашими клиентами, первая группа — это то, что, по их мнению, должны выяснить поставщики продуктов безопасности. Мы такие, и другие тоже.
Вторая область, с точки зрения использования ИИ злоумышленниками, — это то, за чем наши клиенты следят, но это не совсем новая территория. Нам всегда приходилось совершенствовать наши профили угроз, чтобы реагировать на все, что происходит в киберпространстве. Возможно, это немного другая версия требований эволюции, но по сути нам все же пришлось это сделать. Вам необходимо расширить и изменить свои возможности анализа угроз, чтобы понять этот тип угроз, и, в частности, вам необходимо настроить средства контроля.
Именно третье направление — как подумать об использовании генеративного ИИ внутри вашей компании — вызывает довольно много глубоких разговоров. Это ведро проникает в различные области. Одним из них, по сути, являются теневые ИТ. Использование генеративного ИИ потребительского уровня — это теневая ИТ-проблема, поскольку оно создает ситуацию, когда организация пытается что-то делать с помощью ИИ и технологий потребительского уровня. Мы решительно выступаем за то, чтобы директора по информационной безопасности не всегда блокировали потребительский ИИ; могут возникнуть ситуации, когда это необходимо, но лучше попытаться выяснить, чего пытается достичь ваша организация, и попытаться реализовать это правильными способами, а не пытаться все это заблокировать.
Но коммерческий ИИ затрагивает интересные области, касающиеся происхождения и происхождения данных в организации, того, как они используются для обучения моделей и кто отвечает за качество данных, а не за их безопасность… их качество.
Предприятиям также следует задавать вопросы об общем управлении проектами ИИ. Какие части бизнеса в конечном итоге несут ответственность за ИИ? Например, «красная команда» платформы ИИ сильно отличается от «красной команды» чисто технической системы тем, что, помимо выполнения технической «красной команды», вам также необходимо продумать «красную команду» фактического взаимодействия с LLM (большим языком). модель) и генеративный ИИ и как его сломать на этом уровне. На самом деле обеспечение использования ИИ, похоже, является для нас самой сложной задачей в отрасли.
Международные и британские киберугрозы и тенденции
Меган Крауз: Что касается Великобритании, с какими наиболее вероятными угрозами безопасности сталкиваются британские организации? И есть ли какой-нибудь конкретный совет, который вы могли бы дать им относительно бюджета и планирования безопасности?
Ник Годфри: Я думаю, что это, вероятно, вполне соответствует ситуации в других подобных странах. Очевидно, что у определенных типов кибератак и определенных субъектов угроз была определенная политическая подоплека, но я думаю, что если вы сравните Великобританию с США и странами Западной Европы, я думаю, что все они видят схожие угрозы.
Угрозы частично направлены на политические мотивы, но многие из них носят оппортунистический характер и основаны на инфраструктуре, которой управляет та или иная организация или страна. Я не думаю, что во многих ситуациях коммерчески или экономически мотивированные субъекты угроз обязательно слишком беспокоятся о том, какую именно страну они преследуют. Я думаю, что их мотивирует прежде всего размер потенциального вознаграждения и легкость, с которой они могут достичь этого результата.
Оригинал