National Oilwell Varco (NOV) 正在经历由首席信息官 Alex Philips 掌舵的全方位网络安全转型,采用 Zero Trust 架构、强化身份防护,并将 AI 融入安全运营。虽然转型尚未完全完成,但成果显著——安全事件数量下降 35 倍,恶意软件相关的 PC 重新成像问题被消除,并通过淘汰传统“硬件陷阱”硬件为公司节省了数百万资金。
VentureBeat 最近通过线上方式与 Philips 进行了深入访谈,Philips 在访谈中详细说明了 NOV 如何借助 Zscaler 的 Zero Trust 平台、积极的身份防护措施以及为安全团队配备的生成式 AI “同事”而实现这些成果。
他还分享了在全球威胁环境中如何让 NOV 董事会始终关注网络风险 —— 其中 79% 的初始入侵攻击并非依赖恶意软件,而且攻击者有时仅用 51 秒就能从入侵到突破。
以下是 Philips 最近接受 VentureBeat 访谈的部分摘录:
VentureBeat: Alex, NOV 几年前就全面采用了 Zero Trust 策略 —— 那么有哪些显著收益?
Alex Philips: 当我们刚开始时,采用的是传统的城堡与护城河模型,但这种模式已经无法满足需求。我们之前并不了解 Zero Trust 的概念,仅仅知道必须将身份和条件访问作为一切工作的核心。我们的转型始于在 Zscaler 的 Zero Trust Exchange 上实施基于身份的架构,这一举措彻底改变了局面。我们的可视化程度和防护覆盖范围大幅提升,同时安全事件数量减少了 35 倍。以前,我们的团队每天要应对成千上万起恶意软件事件;而现在,问题仅占其中的一小部分。我们此前每月需重新成像大约 100 台感染恶意软件的设备,现在几乎不用重新成像。这样不仅节省了大量时间,也大大降低了成本。而且,由于解决方案基于云端,我常说“硬件陷阱”问题已经一去不复返。
如今,该 Zero Trust 策略使 NOV 的 27,500 名用户及合作伙伴能够通过基于策略的访问安全地访问数千个内部应用,而无需将这些应用直接暴露于互联网。
随后,我们还采取了一个过渡步骤,对网络进行了重新架构,从而利用基于互联网的连接替代传统昂贵的 MPLS。Philips 指出:“平均而言,我们的网速提高了 10–20 倍,关键 SaaS 应用的延迟大幅降低,成本也减少了超过 4 倍……仅网络改造项目一项,年节省已超过 650 万美元。”
VentureBeat: 转变为 Zero Trust 是如何将安全噪音降低如此之巨的?
Philips: 主要原因在于我们的互联网流量现在全部通过具备完整 SSL 检查、沙箱机制与数据泄露防护功能的 Security Service Edge (SSE) 传输。Zscaler 直接与 Microsoft 对等连接,因此 Office 365 的流量既更快又更安全 —— 用户不再尝试绕过控制,因为性能得到了显著改善。以往,由于本地设备无法进行 SSL 检查,我们曾被拒绝检查 SSL 流量,但如今我们终于获得了法律许可来解密 SSL 流量,因为云代理不允许 NOV 监视数据本身。这意味着,在恶意软件潜藏于加密流量中之前,就已经被有效拦截。简而言之,我们缩小了攻击面,让正常流量畅通无阻,从而整体降低了警报数量。
NOV 的首席信息安全官 John McLeod 也认同这一观点,他认为“在混合环境中,旧的网络边界模型已不适用”,必须构建以身份为中心的云端安全堆栈。通过将所有企业流量导入云端安全层(甚至利用 Zscaler 的 Zero Trust Browser 等工具隔离风险较高的网页会话),NOV 显著减少了入侵企图。这种全方位的检查能力使 NOV 能及时发现并拦截以前漏网的威胁,从而使安全事件数量减少了 35 倍。
VentureBeat: 在采用 Zero Trust 的过程中,有没有出现任何最初未曾预料到的好处?
Alex Philips: 有的,实际上我们的用户更青睐于云端 Zero Trust 的体验,相较于传统 VPN 客户端,其采用过程更简单,并使我们在移动办公、并购,甚至在我所称的“黑天鹅事件”中具备前所未有的灵活性。例如,当 COVID-19 疫情爆发时,NOV 已经做好了万全准备!我对管理团队表示,如果所有 27,500 名用户都需要远程办公,我们的 IT 系统都能轻松应对。管理层为之震惊,而公司则保持持续运转,丝毫未受影响。
VentureBeat: 基于身份的攻击呈上升趋势 —— 你曾提到有关凭据盗窃的惊人数据。NOV 是如何加强身份和访问管理的?
Philips: 攻击者普遍认为,使用被盗凭据登录往往比植入恶意软件更为简单。实际上,最新威胁报告显示,2024 年 79% 的初始入侵攻击为无恶意软件攻击,依靠被盗凭据、基于 AI 的钓鱼以及 deepfake 骗局。去年,每三起云入侵事件中就有一起涉及合法凭据。我们已收紧身份策略,使得这类攻击手段更难奏效。
例如,我们将 Zscaler 平台与 Okta 集成,实现了身份及条件访问检查。我们的条件访问策略要求在允许访问之前,设备上必须运行我们的 SentinelOne 防病毒代理,从而增加了一道额外的检查。我们还严格限制了可以执行密码或 MFA 重置的人员数量,杜绝任何单一管理员独自绕过身份验证控制。这种职责分离能够防止内部人员或已被攻陷的账户轻易关闭我们的防护措施。
VentureBeat: 你提到在禁用用户账户之后仍然存在一个漏洞,能否解释一下?
Philips: 我们发现,即使检测到并禁用了被攻陷的用户账户,攻击者的会话令牌仍可能保持活动状态。仅仅重置密码是不够的,必须同时撤销会话令牌,才能真正将入侵者踢出系统。我们正在与一家初创公司合作,为我们最常用的资源开发近实时的令牌失效解决方案。本质上,我们希望在几秒钟内使被盗令牌失去效用。Zero Trust 架构的优势在于,所有内容都需要通过代理或身份提供商重新进行身份验证,这为我们提供了单一控制点,以便全球范围内撤销令牌。这样,即使攻击者窃取了 VPN Cookie 或云会话,他们也无法进行横向移动,因为我们可以迅速使令牌无效。
VentureBeat: NOV 还有哪些其他的身份安全措施?
Philips: 我们几乎在所有环节都强制实施多因素认证 (MFA) 并监控异常访问模式。Okta、Zscaler 与 SentinelOne 联手构建了以身份为中心的安全边界,每次登录以及设备状态都在持续验证。即使有人窃取了用户密码,他们仍然需要通过设备检查、MFA 挑战、条件访问规则,而且一旦出现异常还可能导致会话立即被撤销。单独重置密码已远远不足 —— 我们必须即时撤销会话令牌,以防攻击者进行横向移动。这一理念构成了 NOV 身份威胁防御策略的基石。
VentureBeat: 你也是网络安全领域中 AI 的早期采用者。NOV 在安全运营中心 (SOC) 中如何利用 AI 及生成式模型?
Philips: 由于我们在全球范围内的安全团队相对较小,因此必须更高效地工作。我们的一种做法是将 AI “同事”引入安全运营中心 (SOC)。我们与 SentinelOne 合作,开始使用他们的 AI 安全分析工具 —— 一款能够以机器速度编写和运行跨日志查询的 AI。这一工具改变了游戏规则,使得分析师可以用简单的英文提问,并在几秒钟内得到答案。分析师不再需要手动编写 SQL 查询,AI 会建议下一步查询或者甚至自动生成报告,从而大幅降低了平均响应时间。
我们已经看到,借助 AI 助手,威胁狩猎的速度提升了多达 80%。Microsoft 的数据表明,引入生成式 AI 可将事件平均解决时间缩短 30%。除此之外,我们还在尝试利用内部 AI 机器人进行运营分析,使用 OpenAI 的基础 AI 模型帮助非技术人员快速查询数据。当然,我们也设置了数据保护防护措施,以确保这些 AI 解决方案不会导致敏感信息泄露。
VentureBeat: 网络安全不再仅仅是 IT 问题。你如何让 NOV 的董事会和高层管理者了解网络风险?
Philips: 我始终把让董事会参与我们的网络安全转型放在首位。他们无需了解技术的细节,但必须理解我们的风险态势。以生成式 AI 为例,我早已向他们简要说明了其优势和潜在风险。这种教育在我提出防止数据泄露的管控措施时,能迅速获得一致认可。
现在,董事会将网络安全视为核心业务风险。他们在每次会议上都会收到相关简报,而不仅仅是一年一次。我们甚至与他们共同参与桌面演练,展示假想攻击的全过程,将抽象的威胁转化为具体的决策情景,从而强化了自上而下的支持力度。
我始终强调网络风险的现实存在。即便我们在网络安全项目上投入了数百万资金,风险也永远无法完全消除。问题不在于是否会发生安全事件,而在于何时会发生。
VentureBeat: 基于 NOV 的转型经验,你对其他 CIO 与 CISO 有什么最后建议吗?
Philips: 首先,要认识到安全转型与数字转型是密不可分的。没有 Zero Trust,我们无法如此高效地向云端迁移或支持远程办公,而业务成本的节省又为安全改进提供了资金支持,这真的是一种“三赢”的局面。
其次,务必注重身份和访问的职责分离。任何单一个人都不应有能力破坏你的安全控制——包括我自己。即使是小的流程变更,例如要求两人共同更改高管或高权限 IT 员工的 MFA,也能有效防止恶意内部人员、错误行为及外部攻击。
最后,要谨慎而积极地拥抱 AI。攻击者方面已开始大规模应用 AI。一个落实良好的 AI 助手能成倍提升你的团队防御能力,但必须控制数据泄露或模型不准确的风险。务必确保将 AI 输出与团队技能相结合,从而打造出融合 AI 的“大脑”。
我们深知威胁在不断演化,但借助 Zero Trust、强大的身份安全防护以及现在 AI 的助力,我们总算拥有了一线生机。