在网络安全领域工作20多年后,大卫·林德纳(David Lindner)已做好准备迎接行业变革。
作为网络安全公司Contrast Security的首席信息安全官,他正在推动同行们从传统的安全从业者转型为人工智能的早期采纳者。他在安全领域工作了很长时间,他认为该行业需要借助人工智能实现变革,以免在遭受重大网络攻击后才被迫采取行动。
林德纳表示:“安全领域在适应变化方面,有时表现得极为迟缓。我认为我们正处在变革的边缘。我确实认为人们将不得不开始采取不同的做法。”
多年来,软件生态系统一直饱受漏洞困扰,为恶意黑客提供了大量可乘之机。与此同时,软件的产出速度不断加快,已知缺陷也层出不穷。
林德纳警告称,开发人员利用人工智能加速软件开发,这不仅会扩大黑客的攻击目标范围,还会催生更多漏洞。他认为,应对策略在于更广泛地应用人工智能,以抵消其可能带来的负面影响,并助力企业确定网络安全工作的优先事项。
确定优先事项在一定程度上取决于每家公司所独有的基础设施以及所运营的产品特性。林德纳指出,这是一项艰巨的任务,需要耗费大量资源。
美国国家计算机通用漏洞数据库(National Vulnerability Database)是一个由联邦政府运营的软件漏洞数据库,每天追踪并发布上百个严重程度不一的漏洞。部分漏洞可忽略不计,而另一些则应立即修复或采取降低风险措施。
等开发人员着手修复漏洞时,往往又有新的漏洞加入到本就积压已久的漏洞列表中。软件安全公司Veracode的一份报告显示,在近一半的机构中,关键漏洞在软件中的滞留时间超过一年,局面几乎失控。
林德纳用应用安全领域的行业术语解释道:“确定优先顺序始终是应用安全工作的核心所在,因为在关键环节,信息匮乏的问题长期存在。”
林德纳的技术生涯始于开发人员,随后迅速对安全领域产生了兴趣。他最初在一家中型保险公司从事安全领域的工作,彼时该公司正初步探索应用网络安全之道。
林德纳刚加入安全团队时,就接触到了渗透测试领域,即企业委托专业黑客尝试找出其产品中的漏洞和安全隐患。
林德纳表示:“我们聘请了第三方开展(渗透)测试,我当时眼前一亮。我心想,哇,这太棒了。太酷了,于是我决定去攻读硕士学位。”
2006年获得硕士学位后,他在应用安全领域工作了约15年。之后,林德纳先是进入IBM工作,然后在同一领域从事咨询工作约8年。2008年,他加入了一家安全公司,该公司的部分业务后来剥离出来,最终成为Contrast Security。
如今,他认为无论人们是否做好准备,生态系统已准备好迎接重大变革。软件开发人员和网络安全从业人员就如同置身于一艘满是漏洞的船上,而他们手中用以应对危机的水桶同样满是漏洞。林德纳说:“诸多表象已然改变,但本质上却又仿佛一切如旧。”
修复漏洞对林德纳而言,往往是一个令人沮丧的话题,这很大程度上源于他多年来目睹的情况始终未见好转。例如,专注于软件安全的非营利机构开放式Web应用程序安全项目(OWASP)每年都会发布十大web应用安全风险,而据林德纳所言,这些年度风险榜单中的条目总是大同小异。
林德纳推动更广泛地采用人工智能,部分原因是他听到一些首席信息安全官以安全和隐私问题为由抵制人工智能工具。然而,他指出,在生成式软件风靡之前,多年来,该行业就已经以各种形式使用人工智能了。比如,电子邮件垃圾邮件过滤器就是机器学习的早期应用实例,很快便成为处理大量垃圾邮件的常规解决方案。
林德纳说:“我希望看到人们接受并利用新技术。人工智能并不可怕。它很强大,会对我们有所帮助。”(财富中文网)
译者:中慧言-王芳