Lenovo 首席安全官 Doug Fisher 身兼雙職。他不僅負(fù)責(zé)公司的整體安全態(tài)勢(shì),還主導(dǎo)公司的人工智能 (AI) 治理計(jì)劃,將安全協(xié)議的嚴(yán)謹(jǐn)性應(yīng)用到這一快速發(fā)展的領(lǐng)域。
在最近接受 Computer Weekly 采訪時(shí),他分享了 Lenovo 的安全和 AI 治理策略,闡述了公司如何在瞬息萬變的數(shù)字環(huán)境中與客戶建立并維護(hù)信任關(guān)系。
Fisher 表示:"我更適合被稱為公司的信任官",這體現(xiàn)了他雙重角色的總體目標(biāo)。這種對(duì)信任的重視貫穿于 Lenovo 安全運(yùn)營的方方面面,從基本政策和員工文化,到滲透測(cè)試和紅隊(duì)演練等技術(shù)措施。
Lenovo 戰(zhàn)略的一個(gè)關(guān)鍵要素是 Fisher 所稱的安全"萬神殿"觀,包括政策、文化、基礎(chǔ)設(shè)施安全、平臺(tái)和產(chǎn)品服務(wù)安全、供應(yīng)鏈安全以及物理安全。所有這些領(lǐng)域都匯聚在一起,保護(hù)數(shù)據(jù)隱私和安全,這是客戶的最高優(yōu)先事項(xiàng)。
在 AI 治理方面,Lenovo 建立了一個(gè)集中的開發(fā)項(xiàng)目審查流程,嚴(yán)格審查道德考量、數(shù)據(jù)隱私、知識(shí)產(chǎn)權(quán)問題、數(shù)據(jù)傳輸合規(guī)性,以及最近的數(shù)據(jù)主權(quán)問題。Fisher 說:"已有近 600 個(gè)項(xiàng)目通過了我們的審查流程。"
最初,約 30% 的項(xiàng)目未能達(dá)到嚴(yán)格標(biāo)準(zhǔn),但通過持續(xù)培訓(xùn)和反饋,這一比例已大幅降至 19%。他將這個(gè)過程比作 F1 賽車的嚴(yán)格規(guī)則,指出即使是微小的疏忽也可能導(dǎo)致重大挫折和聲譽(yù)損害。
Fisher 的團(tuán)隊(duì)采用多種安全措施,包括基于 Microsoft 等行業(yè)巨頭最佳實(shí)踐的安全軟件開發(fā)生命周期、內(nèi)部和外部滲透測(cè)試,以及模擬真實(shí)攻擊的紅隊(duì)演練。公司還通過漏洞賞金計(jì)劃積極與安全研究社區(qū)合作,激勵(lì)道德黑客識(shí)別和報(bào)告漏洞。
Fisher 承認(rèn)威脅情報(bào)的關(guān)鍵作用,表示 Lenovo 與威脅情報(bào)供應(yīng)商合作監(jiān)控新興威脅并相應(yīng)調(diào)整防御策略。此外,公司為部分產(chǎn)品和服務(wù)運(yùn)營自己的安全運(yùn)營中心 (SOC),同時(shí)也利用外部 SOC 能力。
針對(duì)網(wǎng)絡(luò)安全行業(yè)持續(xù)面臨的人才短缺挑戰(zhàn),他強(qiáng)調(diào)了在 Lenovo 內(nèi)部培養(yǎng)強(qiáng)大安全文化的重要性。Fisher 說:"你最大的資產(chǎn)可能成為最大的漏洞",指的是員工疏忽可能造成安全漏洞。
為降低這一風(fēng)險(xiǎn),Lenovo 要求所有員工(包括 CEO 和高管)參加年度安全培訓(xùn),并嚴(yán)格執(zhí)行合規(guī)要求。這延伸到網(wǎng)絡(luò)訪問管理,采用零信任政策,嚴(yán)格控制設(shè)備接入網(wǎng)絡(luò)。Fisher 的團(tuán)隊(duì)還基于風(fēng)險(xiǎn)評(píng)估框架對(duì)漏洞修復(fù)進(jìn)行優(yōu)先級(jí)排序,將資源集中在最可能發(fā)生和影響最大的威脅上。
生成式 AI 的興起和員工可能使用未經(jīng)批準(zhǔn)的第三方工具帶來了所謂"影子 AI"的新挑戰(zhàn)。Lenovo 通過創(chuàng)建已獲批準(zhǔn)的 AI 工具"白名單"作出響應(yīng),簡化安全審查、法律合規(guī)和許可協(xié)議。這些工具的訪問權(quán)限進(jìn)一步限制于授權(quán)員工,以防止濫用并確保符合許可條款。
作為全球最大公司使用的服務(wù)器、設(shè)備和系統(tǒng)的主要供應(yīng)商,Lenovo 實(shí)施了"透明、可信的供應(yīng)鏈"計(jì)劃,包括對(duì)所有供應(yīng)商和組件進(jìn)行安全審查。
公司還控制其制造設(shè)施的物理安全,采用防篡改包裝和產(chǎn)品追蹤機(jī)制,有效建立從工廠到客戶的監(jiān)管鏈。Fisher 說:"我們認(rèn)為供應(yīng)鏈的每一步都存在風(fēng)險(xiǎn),我們努力消除盡可能多的風(fēng)險(xiǎn)。"
當(dāng)被問及最令他擔(dān)憂的問題時(shí),他指出了 AI 推動(dòng)的復(fù)雜攻擊加速發(fā)展。Fisher 強(qiáng)調(diào)了深度偽造和社會(huì)工程策略的日益普及,強(qiáng)調(diào)了建立強(qiáng)大安全文化以應(yīng)對(duì)這些新興威脅的重要性。他說:"AI 的加速發(fā)展讓我最為擔(dān)憂",并補(bǔ)充說他采用了英特爾前 CEO Andy Grove 倡導(dǎo)的"偏執(zhí)"安全方法,認(rèn)為只有偏執(zhí)狂才能生存。