技术高管访谈：谷歌云CISO为何对网络安全的长期未来持乐观态度

Phil Venables表示，谷歌通过“制度性的偏执态度”以保护客户，且越来越多的企业已经意识到保证平台以安全性为起点进行设计规划的重要意义。

作为全球体量最大的技术基础设施提供商之一，谷歌旗下囊括有云存储、应用程序和服务等部门。在其最新收益报告中，Google Cloud成为公司最主要的业务增长点之一，收入同比增长35%、营业收入达到19亿美元。像这样的庞大平台当然离不开一流的网络安全防御机制。在本次访谈中，我们有幸请到Google Cloud CISO（福布斯2024年CIO Next List获奖者）Phil Venables，探讨如何帮助谷歌及更多云客户抵御这些威胁。

在您看来，如今的网络安全世界已经发展到何种地步了？

Venables: 我们发现，不同规模的客户都面临着越来越多的攻击，包括勒索软件、金融犯罪甚至某些情况下还涉及间谍活动和其他类型的攻击。总而言之，越来越多的组织开始迁移至Google Cloud以提升安全性。许多组织都在迁移至防御能力更加完美的云环境之后，获得了显著的安全性与业务弹性提升。

在完成了对Mandiant的收购之后，我们拥有了相当强大且积累深厚的事件响应业务。这反过来又为客户创造了新的机会，他们在经历事件响应之后会与我们携手合作，找到在云端更好保护自身业务体系的方法。从观察中可以发现，如今许多组织都在通过更新并对技术基础设施进行现代化改造来升级安全水平，使其防御能力更强。与过去事后才添加保护措施的传统不同，这些现代平台在设计之初就内置有安全保障机制。虽然这类安全升级有时也会出现在本地数据中心之内，但大多数情况下，技术现代化与云迁移已经成为密切关联的两个并行概念。

Google Cloud CISO Phil Venables。

在推动这种更加安全的平台方面，您面临的最大挑战是什么？

我们为整个谷歌建立起统一的全球基础设施，包括支持Google Cloud的庞大基础设施。我们将安全性融入其中，包括自主运营海底电线、设计出用于构建数据中心的谷歌专有硬件等等。所有这一切都被辅以谷歌特制的安全芯片，旨在为整个安全栈提供基础实现层。

以此为基础，我们还严格管理所有软件供应链。我们的所有软件部署都在谷歌的控制之下，会投入大量时间和精力来设计安全性以及相关测试。我们有内部的红队和测试团队，他们不断验证安全性并持续寻求改进，包括我们通过谷歌威胁情报团队从无与伦比的多样化视角出发掌握的所有信息和线索。

我们会尽可能对一切加以严格保护，但大家也知道，总会有新的攻击手段出现，所以这也是个不断演变的过程。我们的目标不仅是建立一个能够抵御住各类攻击的平台，同时也需要快速升级环境以应对新的威胁，从而始终在对抗当中领先于攻击一方。更重要的是，我们自身的安全保障只是一个方面；如果在我们的云平台上运行负载的客户没有进行正确配置，那么他们同样会面临漏洞威胁。也正因为如此，我们现在才会以命运共同体的角度来看待世界。相信大家都听说过云服务中的责任分摊模式，但我们觉得它还不够好，所以会在内部进行频繁沟通、并在一定程度上与客户保持联系。由此就在内外结成了命运共同体，即：我们该如何遗址责任分摊的边界、与客户通力合作，帮助他们在云端安全运行自己的业务体系？

说起来容易，但其中涉及的具体细节往往远超大家能够想到的培训、指导以及现成产品选项之类。这还包括其他一系列举措，例如提供更多安全默认值和越来越好的保护选项，以便在充分安全的前提下实现产品交付。如果客户出于某种原因而需要牺牲一部分安全，也须建立在充分了解且主动选择的前提之下。总之，我们会越来越多地推动更高级别的安全默认设置，以帮助客户在云端得到更好的保护——或者至少保证他们的负载在谷歌云平台上运行时更加安全无忧。

在您看来，当今网络安全领域面临的最大威胁是什么？

从务实的角度来讲，很多威胁都出于机会主义的冒进。勒索软件攻击者会加密或者降级基础设施、窃取信息，而后据此索要赎金。通常，他们所做的就是寻找机会目标，即一个存在漏洞的组织目标，而后利用这个漏洞开展攻击。大多数组织希望实现的主要目标（这也是我们合作的空间所在）在于达成越来越高的基础安全水平，也可以说是实现人们常说的网络卫生。这体现的其实是控制和保护水平的下限，即不让攻击者轻松找到能够趁虚而入的空子。

之后还有更高级别的攻击，包括依托于国家机构的威胁行为者。他们会以组织为目标，尝试开展间谍活动或者实施其他类型的影响。我们还看到有国家通过尚未升级且易受攻击的系统入侵关键基础设施。这其中很大一部分源自投机性质的攻击，也有少部分来自老练的威胁行为者——他们主要针对关键基础设施和国防企业，也会尝试对其他具备访问权限或者相关机密信息的公司发起高水平攻击。

Google Cloud已经成为谷歌旗下增长最快的业务领域之一。从安全角度来看，您觉得这会带来怎样的现实挑战？

我觉得最值得关注的挑战之一，就是我们如何为不断增加的客户提供正确支持。我们的办法是建立起安全和平台和构建工具，这些工具使得越来越多的客户能够在无需我们直接支持的情况下提升其安全水平。我认为这也是Google Cloud最重要的一项核心优势。

当前市场上之所以出现了显著的云迁移浪潮，就是因为我们一直在努力提供各种工具、提高标准化程度，让客户能够更轻松地保护自身安全。这一点在业务增长中也得到了体现。世界上大部分IT系统仍被锁定在运行着传统技术的大型企业数据中心之内，相应的安全保护工作也更加难以开展。但这也代表着巨大的机遇——这种机遇不仅体现在我们的业务潜力上，更体现在帮助改善整个世界的整体安全水平当中。只要能够将越来越多的传统本地数据中心环境迁移至云端，大部分安全威胁都将迎刃而解。我们认为，Google Cloud应当继续扩大自身业务，并通过我们的合作伙伴、我们的生态系统乃至我们为客户提供的工具扩大这方面的安全支持效果和覆盖面。

AI科技对于网络安全产生了怎样的影响？到底是弊端多，还是帮助大？

总体而言，我们认为这代表着一个巨大的机会。十多年以来，我们一直在使用更为传统的AI形式，特别是机器学习。其本质就是在为网络安全提供一系列变革性的防御措施。很多朋友应该是Gmail的用户，要知道您的收件箱之所以没有被垃圾邮件和恶意软件塞满，就是因为我们用AI对其加以保护，而且覆盖面达到数十亿人。如果大家使用过Chrome浏览器，就会发现自己不会被跳转至犯罪网站或者其他受到感染的网站，这是因为我们拥有安全浏览功能——这是一套基于AI的系统，能够扫描整个互联网并识别出不良网站。

而最近这波生成式AI则代表着另外一场重大变革。我们非常清楚，这其中当然蕴藏着潜在风险。攻击者正在利用AI生成质量更高的网络钓鱼邮件、误导信息、伪造图像/语音/视频，这些都可被用作实施诈骗或者诱导行为。我们也有办法应对这种情况，而且已经在与用户、客户乃至整个行业合作以抵御这波前所未有的安全冲击。

但另一方面，AI科技也带来了建立所谓防御者优势的全新机遇。防御者要如何运用AI来改变自身对于威胁形态的理解？我们为此建立起一套安全大语言模型，并配合我们交付给客户的所有威胁情报及最佳实践进行训练，以便大家可以通过AI从我们谷歌收集到的安全知识中获益。大家可能听说过，我们一直希望谷歌能够成为客户安全团队中的一分子，而且应该是很重要的一分子。我们的职责就是实时分析恶意软件，并且不断加快向客户公布防御措施和建议的速度——而AI技术正是推动并达成所有这些目标的有力手段。

我们还对另外一件事情保持乐观，而且已经看到了实现的迹象，那就是AI技术正在改变严重短缺的网络安全劳动力的生产效率。多年以来，我们总在说高水平的网络安全工作者不够多。如今AI不仅改变了生产力形态，还有助于提升网络安全工作者们的技能。刚刚入门的新手通过AI助手轻松掌握更强的技能。最终，我们认为防御一方具备更显著的结构性优势，防御方可以从AI中获得比攻击者更大的助益。虽然攻击者也同样重视AI，但防御者会超越对方、成为AI新时代的最终赢家。

在您看来，还有哪些更大的AI网络安全风险？

目前最主要的风险在于生成伪造的语音和视频，并借此蒙蔽潜在受害者。有组织的犯罪集团可以捕捉下人们的声音或者视频，然后利用AI生成对方的真实头像再把结果纳入某些流程，以证明某些商业交易的真实性、欺骗他人。这种情况确实变得越来越多了。这很危险，但人们也可以通过其他安全控制或者deepfake深度伪造检测等方式加以应对。

我们还没看到有威胁行为者会利用AI来开发恶意软件或者生成新的攻击形式。但我觉得这应该只是时间问题，因此组织才特别需要运用AI技术以增强自身防御能力，这样可以保证防御一方始终领先攻击方一步。

哪些发展动态让您的工作变得更加复杂、令现有安全措施承受更大压力，或者迫使您重新评估自己的安全策略？

考虑到Google Cloud的庞大规模、我们经营的广泛业务以及我们在全球范围内需要支持的企业/个人用户数量，我们在制度上采取了比较偏执、或者叫矫枉过正的态度。相信大家也能想见，我们会不断考验自身、研究所有攻击的演变形式并找出应对方法。面对所有这些威胁活动，我们唯一能做的就只有不断提升自身。

我们还优先考虑在整个行业推动开源、开放标准和分布改进等现实举措。我们提倡并在Gmail中推出了更好的默认安全设置，提供密钥以建立起更加强大的身份验证机制。我们还在云端不懈努力，为整个行业建立起安全AI联盟等组织，旨在分享AI方面的最佳实践。我们还参与创立了开源安全基金会，希望改善全球（而不仅仅是谷歌）的开源软件安全水平。

我们这样的目的当然有利他主义的考量。我们的使命在于改善世界，而此举同时也提高了人们对于云基础设施的安全信心，这最终会扩大云客户规模并让Google Cloud也能从更大的整体市场中受益。

展望未来10年，您认为网络安全领域将会如何发展？

必须承认，我对短期趋势比较悲观，但着眼长期则保持乐观。

之所以对短期趋势比较悲观，是因为目前很多组织仍然迟迟没有升级其技术。他们仍在使用传统的内部部署技术，也仍在使用由少数供应商塑造的单一安全文化，而这些供应商本身就一直解决不了安全问题。所以我认为未来一、两年中，我们还会看到更多攻击活动得逞并造成严重后果。

而之所以对长期保持乐观，是因为我们正在与世界各地的组织合作——除了CIO和CISO之外，还包括更多CEO和董事会成员。他们已经意识到，保障安全的关键在于投资技术现代化，使得安全成为内置元素、而非附加项目。他们知道自己必须主动行动，不断提高攻击活动的实施门槛。虽然攻击一方也在持续演进，但总的来说，我认为网络攻击的操作下限已经越来越高，毕竟现在每个人都肩负着技术升级的使命。

聊了这么多，您总体上似乎是位乐观主义者。在网络安全领域，人们总说攻击者永远不会停止作恶，唯一的问题在于他们何时才会出手。您认同这种看法吗？

确实，我觉得没有哪家组织敢说自己100%不会受到攻击活动的影响。这跟日常生活的经验也类似，没有什么东西100%安全无忧。而且逐年观察，我们也会发现网络安全事件确实在持续增加。但如果换个观察角度，将目光投向已经显著升级并实施防御措施的组织和技术部门，就会发现它们受到的保护越来越好、在网络攻击下受到的影响则越来越弱。

许多组织正之所以持续受到攻击，是因为他们还在使用用户ID加密码的传统组合、员工被电子邮件里的钓鱼内容所蛊惑，攻击者窃取密切并登录后即可获得对所有内容的广泛访问权限。而在积极升级的另一端，许多组织早已放弃使用密码并采取强身份验证机制——包括需要插入设备的硬件令牌、以及手机端经过生物识别验证加持的密钥应用程序。攻击者很难绕过这些机制，也几乎无法正面进行突破。因此，他们会专注于朝着那群仍在使用用户ID加密码的组织加倍猛攻。

总之，我觉得对于任何一个行业，我们都必须将问题拆分开来具体分析。我们不应该只说攻击数量仍在增加，而应该说：对于已经投资建立正确安全保障体系的组织，针对他们的攻击活动是否也在增加？答案是，我认为大多数情况下并没有。所以接下来的问题就是：如何让更多组织也能行动起来，积极升级其安全保障体系？

对于各位CIO和CISO，您能不能分享一点建议？

最重要的是合作，合作是一切的基础。CIO和CISO们应当与企业CEO和董事会成员通力配合，不仅着重考虑对于网络安全的投资，更要重视对于基础设施现代化升级的投资，以确保能够将安全性与基础设施融合起来。多年以来，我在很多掌握着大量传统基础设施的组织中都看到过这种情况。高管团队虽然也认为网络安全很重要，并愿意给网络安全团队很多钱，但由于陈旧的传统基础设施没有升级，安全团队只能把钱用来采购网络安全工具、再把这些工具部署在千疮百孔的陈旧设施之上。这就如同在散沙之上建房子，根本没有保障可言。

而优秀的组织则会广泛投资于各类基础设施，积极将其升级为现代化程度更高、防御能力更强的平台。他们也会为安全团队划拨预算，但不会把所有预算都交给他们。资金的分配应当更加均匀、有章法，以保证包括网络安全在内的一切基础设施要素都能得到现代化改造和升级。