访谈
Giesecke+Devrient集团首席安全官Thorsten Delbrouck – 采访系列
Thorsten Delbrouck,Giesecke+Devrient集团首席安全官,是一位拥有二十多年经验的资深网络安全高管,曾负责保护企业基础设施、数字身份和关键系统的安全。自2011年加入Giesecke+Devrient(G+D)担任公司首席信息安全官以来,他一直领导公司在高度监管的行业(包括金融、电信和政府基础设施)中的全球安全战略。2020年,他扩大了自己的角色,成为集团副总裁、安全和信息安全官。Delbrouck还担任信息安全论坛(ISF)的主席,信息安全论坛是全球领先的网络安全和风险管理权威机构,并曾在Infineon Technologies、COMLINE和TÜV Secure iT担任过高级安全领导职务。
Giesecke+Devrient(G+D)是一家总部位于德国慕尼黑的全球安全技术公司,已从1852年成立的历史悠久的银行券印刷商演变成数字安全、金融技术和货币基础设施解决方案的主要提供商。该公司在三个核心领域运营:数字安全、金融平台和货币技术,提供安全移动连接、数字身份、银行系统、支付平台和物理及数字货币的技术。G+D与全球政府、中央银行、金融机构和企业合作,包括为电子SIM、认证系统、数字支付、网络安全和中央银行数字货币(CBDC)提供解决方案。该公司将自己定位为数字经济的可信赖基础设施提供商,在全球拥有超过14,000名员工,并在保护关键系统和金融生态系统方面拥有数十年的专业知识。
您在网络安全领导职位上度过了近三十年,跨越了TÜV Secure iT、Infineon和现在Giesecke+Devrient超过15年。网络安全威胁格局如何从传统的企业安全风险演变为今天的AI驱动的网络安全挑战?您对当前行业发展方向最担心的是什么?
我认为我职业生涯中最大的变化是速度和影响力。当我在20世纪90年代末开始从事安全管理时,严重的安全问题意味着防火墙配置错误或服务器未打补丁,影响范围通常相对有限。在过去的三十年里,我看到一次漏洞的后果从运营不便发展到系统风险。
一切都在加速。我们正在处理更多的系统和更高的带宽。今天,仅仅一半的互联网流量是由人类生成的——根据一些估计,大约40%的总流量由恶意活动组成,例如恶意扫描、恶意软件和DDoS攻击。
与此同时,景观已经变得高度集中和整合。互联网的原始设计哲学——冗余和去中心化——已经丧失。因此,针对少数关键故障点的攻击会产生比以前更具毁灭性的后果。这使得现代IT系统的设置和运行几乎没有任何错误的余地。而现在,AI进一步压缩了攻击者的时间表。
最近Dario Amodei的评论重新引发了人们对高级AI系统大规模识别软件漏洞的担忧。您是否认为企业低估了AI辅助开发可能会压倒现有的安全流程的速度?
是的,我相信很多企业都低估了这种转变的速度。最初,似乎AI将同时造福攻击者和防御者。但是,一个令人担忧的现实正在出现:AI并没有创造新的网络犯罪类别;相反,它使得复杂的攻击能力得到了民主化,使得威胁行为者能够自动化侦察,消除钓鱼中的语言障碍,并以人类防御者难以吸收的速度和规模发现软件漏洞。
问题在于,虽然AI引发了漏洞识别的巨大浪潮,但它尚未被同等程度地部署在补救过程中。这造成了一个危险的失衡。AI辅助的漏洞发现只是产生了防御者无法处理的工作量。这可能会在未来几年内得到改善,因为AI用于补救的能力会赶上来,但现在这是一个日益增长的问题。
此外,同一家公司既推出了他们最新的模型作为摆脱网络威胁的解决方案,又在某种程度上助长了部分问题。AI辅助的编码工具加速了软件生产,但它们经常产生粗糙、脆弱的代码——扩大了他们的安全产品承诺减少的攻击面。从经济角度来看,这是天才之举。从安全角度来看,就不那么好了。
在G+D,我们通过AI委员会以结构化的方式评估AI用例,并且不会以无序的方式扩大它们。问题不在于AI本身,而在于其部署缺乏治理。这与G+D内部应用的原则一致:AI需要不仅仅是创新,还需要制度化的评估和批准流程。
许多组织将AI视为主要的防御网络安全工具。从您的角度来看,AI目前在企业环境中创造的风险大于保护的领域是什么?
大多数网络安全团队已经在不同程度上部署AI,以检测、分类、评估和处理安全事件——而且它的效果非常显著。
然而,新的风险正在出现。AI架构本身的漏洞已经被广泛讨论和理解。我们不再仅仅保护静态代码;我们正在保护非确定性系统。这引入了全新的威胁向量,例如提示注入(恶意数据欺骗LLM忽略其防护栏)、数据中毒以在训练期间损害模型的逻辑,以及数据泄露,企业专有数据通过模型输出意外暴露。它从根本上改变了漏洞的定义。
但是,我们的传统、排练过的防御也必须适应。对于许多组织来说,用户和实体行为分析(UEBA)仍然是一个相对较新的概念。事实上,许多公司尚未完全采用这种方法,因为严格的数据隐私法规、严格的劳动法和工人委员会的共同决策权。现在,基准已经转变,尚不清楚UEBA在未来是否仍然有效,在未来,AI可以毫无瑕疵地学习和模仿人类行为。
继续前进,UEBA是否能够区分人类行为和自动化攻击,或者区分良性AI代理和恶意代理?已经有一些产品承诺可以做到这一点,但通常需要一些时间才能从营销承诺转变为实际的、有效的、现实生活中的性能。我们需要新的概念和现代的安全架构来解决这个问题。
作为信息安全论坛的主席,您与全球各大企业的安全领导人进行交流。您是否认为CISO们越来越担心AI生成代码的质量,还是更大的问题是确保代码库的运营安全?
两个问题都是真实的,但它们的影响不同。AI生成的代码质量是一个合理的担忧。AI生成的代码通常看起来干净,但可能带有微妙的逻辑缺陷、不安全的默认值或滥用的库,这些问题因为看起来合理而难以发现。CISO们对此有理由担心。
但在我与ISF成员组织的安全专家进行的交谈中,警报声更大:这是运营上的问题——代码的体积可能带有漏洞,因此需要检查。
我从各个行业的同行那里听到的一致信息是,依赖问题已经成为决定性的负担。对外部组件和第三方库的严重依赖意味着每个依赖项都必须被仔细跟踪、管理和持续修补。在代码中,在工具链中,可能跨越不同的云环境。即使在AI辅助开发之前,这已经是一个重大的挑战。现在,AI辅助开发正在放大它。不因为问题的性质已经改变,而是因为规模已经爆炸了。更多的代码,以更快的速度产生,带有更多的依赖,跨越更多的存储库。
所以,如果我必须优先考虑:代码质量是一个可以解决的工程问题——更好的工具、更严格的审查、开发流程中的更严格的防护栏。确保一个指数级增长的代码库和其庞大的依赖链的运营安全是一个更结构化、更持久的挑战。这就是真正的压力所在,这也是高级CISO讨论中反复出现的问题。
Giesecke+Devrient在高度敏感的领域运营,包括数字身份、支付、银行基础设施、eSIM技术和中央银行数字货币。与传统企业系统相比,AI时代如何改变了对关键基础设施的保护?
在G+D,我们面临着与任何认真对待安全的组织相同的核心责任。然而,我们的标准是异常高的,错误的余地非常小。我们非常清楚,基础设施中的安全事件将带来远比典型企业更广泛的影响——这就是为什么我们的网络安全风险承受能力非常低的原因。
AI在运营架构本身中添加了一个独特的复杂层。我们许多高安全性组件,特别是那些与支付系统、数字身份或中央银行产品相关的组件,是高价值资产,必须遵守严格的认证和安全要求。这些组件必须在单独的环境中开发、测试和运行,从逻辑分离到完全的空气隔离网络,没有任何外部连接。
这在AI出现之前就已经很具有挑战性了,但现在各个组织都将AI辅助工具集成到他们的开发和运营工作流程中。这些工具通常依赖于云连接、大规模数据访问和持续的模型更新。在一个即使网络电缆插入错误的端口也将是一项严重的政策违规的环境中,调和这一点是一个真正的工程和治理挑战。
这迫使我们在AI集成方面非常有意图。我们不仅仅是在选择合适的AI模型,我们还在基础设施层面上做出战略决策,决定是否需要在本地部署这些工具,还是可以通过云使用它们。
我们正在看到AI编码副驾驶和自主开发代理的快速采用。您是否预计企业最终将需要AI生成的代码经过单独的验证和认证流程才能部署?
我不认为决定性标准应该是代码是由人类还是AI编写的。决定性标准是风险。但是,AI生成的代码无疑需要来源、可追溯性和更严格的审查,特别是在监管或高安全环境中。
威胁建模、安全编码策略以及将SAST工具纳入开发工具链已经成为今天的标准做法,而这些工具自然会变得更加AI增强。此外,开发团队必须精心跟踪哪些功能是安全关键或属于监管的、非常敏感的组件。此外,底层依赖项必须被彻底理解并持续测试。
经济最终将在其中发挥越来越重要的作用。目前,主要AI提供商的代币定价并不能覆盖成本。主要AI提供商正在吸收巨大的基础设施和推理赤字,以确保市场份额。这种补贴模式从长远来看在经济上是不可持续的。当企业在将AI部署到企业工作流程中的商业成本被调整为反映这些真正的基础设施费用时,我们将面临一个问题。届时,行业将不得不转向小型、局部和特定用途的模型。为有针对性的用例训练这些较小的模型将成为减轻严重的成本增加的关键策略。
对于具有最高安全性要求的类别,人类监督将仍然是必需的,这正是挑战所在:尽可能高效地利用有限的人类能力。
AI系统现在可以比人类分析师更快地识别漏洞,但补丁管理仍然严重依赖于人类工作流程。企业是否正在接近一个补丁管理必须变得自主的时刻?
是的,自主补丁管理不再是一个奢侈品——它是一个运营必要性。今天的漏洞数量的体积已经超过了人类的分类能力。
话虽如此,我相信实际部署必须遵循分层、务实的方法。对于标准、非关键环境,完全自动化是完全可以实现的,前提是正确的防护措施到位。对于关键、高影响系统,完全自动化的补丁虽然必要,但在可预见的未来可能很难实施。
这就是基本原则的重要性。标准和关键环境之间的区别听起来很简单,但在实践中,它需要大量的精确、详细和持续的内部工作,以便以干净、自动化的方式运营一个具有不同方法的复杂环境。这种工作很容易被低估。
真正的挑战,如往常一样,不在于过程本身的机械执行——而在于更广泛的系统。智能决策只有在整个系统支持它时才有可能。补丁管理需要变得更聪明、更快,而不仅仅是更自动化。
而且,如往常一样:在高度敏感的背景下,受控的稳定性和高速度必须齐头并进。这是困难的部分——也是大多数组织尚未准备好的部分。
全球各国政府正在争相实施数字身份系统、CBDC和互联基础设施。您担心AI驱动的网络威胁可能会超过监管和国家安全准备的速度吗?
像NIS2和网络安全法这样的监管框架正在推动事情朝着正确的方向发展,但监管最终只是拼图的一部分。监管对整个系统很重要,但我们不能假设发布一项规则会立即解决问题。公司仍然必须实施指南,保持系统的永久安全,并不断更新对威胁格局和保护目标的理解,并使其保持一致和协调。
我是谨慎乐观的,前提是组织不要把监管合规当作真正的安全替代品。现代安全管理不应该等待监管。如果有的话,最佳的实践应该流入监管,而不是相反。
在像数字身份和支付基础设施这样的高安全领域,运营准备并不是理所当然的。G+D不仅是供应商,也是中央银行和全球政府的对话伙伴。G+D还通过Secunet(德国联邦共和国的IT安全合作伙伴)积极参与保护关键数字基础设施。
一些专家将高级AI模型描述为“网络武器”,而其他人则认为这种描述是夸张的。从您的角度来看,人们对边缘AI系统所构成的现实风险有什么误解?
人们误解的是,网络冲突遵循物理战争的逻辑。一个足够强大的武器最终会突破任何防御。许多“网络武器”的描述借鉴了这种动态思维:更大的炮弹可以击败更厚的墙,更聪明的导弹可以击败更快的飞机。但网络安全并不是这样的。
一次成功的网络攻击几乎从不通过蛮力来实现。它是通过利用一个漏洞来实现的:配置错误、未打补丁的漏洞、人为错误、供应链中的弱点。AI并没有改变这种基本动态。它使得寻找这些漏洞变得更快、更便宜,并降低了利用它们的技能门槛。这是一个严重的问题,但这与“不可阻挡的武器”这种说法是不同的。
真正的风险不是AI创造了一种无人能挡的进攻能力。真正的风险是AI加速和扩大了对普通弱点的利用——这些弱点我们几十年来一直难以解决——以一种超出我们关闭它们能力的速度。这种说法是错误的。将AI框定为网络武器是夸大其词。
展望未来,您认为AI带来的最大网络安全威胁将来自复杂的国家级攻击、规模化的自动化攻击、内部人员的滥用、供应链漏洞,还是其他尚未受到足够关注的问题?
预测安全的未来总是特别困难。国家级攻击、自动化攻击、内部人员的滥用、供应链漏洞——所有这些都是真正的、日益增长的威胁,我不会忽视任何一个。但是我认为它们都是后果,而不是根源。它们之所以成功,是因为防御者已经无法跟上,无论原因是什么:一个漏洞可能尚未公开披露,补丁可能尚未可用,或者工作量太高。
而且我认为,未来两到三年内的顶级风险在于安全团队被工作量压垮。
所有当前和新兴的主题——监管、主权、复杂的云基础设施以及所有相关内容——都落在了已经被警报分类、事件响应、钓鱼分析、漏洞和补丁管理、文档、审计和报告压力过大的团队身上。AI带来的工作量可能是压垮骆驼的最后一根稻草。除此之外,这还远不止是一个稻草——这是远远超过一个稻草的东西。
而且,考虑到当前的全球经济形势,这一切都对组织施加了真正的成本压力,影响了各个方面。如果这不是被极好地管理的,它最终会变得过多。
感谢这次精彩的采访,希望读者能够通过访问Giesecke+Devrient的网站来了解更多信息。
