National Oilwell Varco (NOV) 正在經歷由首席信息官 Alex Philips 掌舵的全方位網絡安全轉型,采用 Zero Trust 架構、強化身份防護,并將 AI 融入安全運營。雖然轉型尚未完全完成,但成果顯著——安全事件數量下降 35 倍,惡意軟件相關的 PC 重新成像問題被消除,并通過淘汰傳統“硬件陷阱”硬件為公司節省了數百萬資金。
VentureBeat 最近通過線上方式與 Philips 進行了深入訪談,Philips 在訪談中詳細說明了 NOV 如何借助 Zscaler 的 Zero Trust 平臺、積極的身份防護措施以及為安全團隊配備的生成式 AI “同事”而實現這些成果。
他還分享了在全球威脅環境中如何讓 NOV 董事會始終關注網絡風險 —— 其中 79% 的初始入侵攻擊并非依賴惡意軟件,而且攻擊者有時僅用 51 秒就能從入侵到突破。
以下是 Philips 最近接受 VentureBeat 訪談的部分摘錄:
VentureBeat: Alex, NOV 幾年前就全面采用了 Zero Trust 策略 —— 那么有哪些顯著收益?
Alex Philips: 當我們剛開始時,采用的是傳統的城堡與護城河模型,但這種模式已經無法滿足需求。我們之前并不了解 Zero Trust 的概念,僅僅知道必須將身份和條件訪問作為一切工作的核心。我們的轉型始于在 Zscaler 的 Zero Trust Exchange 上實施基于身份的架構,這一舉措徹底改變了局面。我們的可視化程度和防護覆蓋范圍大幅提升,同時安全事件數量減少了 35 倍。以前,我們的團隊每天要應對成千上萬起惡意軟件事件;而現在,問題僅占其中的一小部分。我們此前每月需重新成像大約 100 臺感染惡意軟件的設備,現在幾乎不用重新成像。這樣不僅節省了大量時間,也大大降低了成本。而且,由于解決方案基于云端,我常說“硬件陷阱”問題已經一去不復返。
如今,該 Zero Trust 策略使 NOV 的 27,500 名用戶及合作伙伴能夠通過基于策略的訪問安全地訪問數千個內部應用,而無需將這些應用直接暴露于互聯網。
隨后,我們還采取了一個過渡步驟,對網絡進行了重新架構,從而利用基于互聯網的連接替代傳統昂貴的 MPLS。Philips 指出:“平均而言,我們的網速提高了 10–20 倍,關鍵 SaaS 應用的延遲大幅降低,成本也減少了超過 4 倍……僅網絡改造項目一項,年節省已超過 650 萬美元。”
VentureBeat: 轉變為 Zero Trust 是如何將安全噪音降低如此之巨的?
Philips: 主要原因在于我們的互聯網流量現在全部通過具備完整 SSL 檢查、沙箱機制與數據泄露防護功能的 Security Service Edge (SSE) 傳輸。Zscaler 直接與 Microsoft 對等連接,因此 Office 365 的流量既更快又更安全 —— 用戶不再嘗試繞過控制,因為性能得到了顯著改善。以往,由于本地設備無法進行 SSL 檢查,我們曾被拒絕檢查 SSL 流量,但如今我們終于獲得了法律許可來解密 SSL 流量,因為云代理不允許 NOV 監視數據本身。這意味著,在惡意軟件潛藏于加密流量中之前,就已經被有效攔截。簡而言之,我們縮小了攻擊面,讓正常流量暢通無阻,從而整體降低了警報數量。
NOV 的首席信息安全官 John McLeod 也認同這一觀點,他認為“在混合環境中,舊的網絡邊界模型已不適用”,必須構建以身份為中心的云端安全堆棧。通過將所有企業流量導入云端安全層(甚至利用 Zscaler 的 Zero Trust Browser 等工具隔離風險較高的網頁會話),NOV 顯著減少了入侵企圖。這種全方位的檢查能力使 NOV 能及時發現并攔截以前漏網的威脅,從而使安全事件數量減少了 35 倍。
VentureBeat: 在采用 Zero Trust 的過程中,有沒有出現任何最初未曾預料到的好處?
Alex Philips: 有的,實際上我們的用戶更青睞于云端 Zero Trust 的體驗,相較于傳統 VPN 客戶端,其采用過程更簡單,并使我們在移動辦公、并購,甚至在我所稱的“黑天鵝事件”中具備前所未有的靈活性。例如,當 COVID-19 疫情爆發時,NOV 已經做好了萬全準備!我對管理團隊表示,如果所有 27,500 名用戶都需要遠程辦公,我們的 IT 系統都能輕松應對。管理層為之震驚,而公司則保持持續運轉,絲毫未受影響。
VentureBeat: 基于身份的攻擊呈上升趨勢 —— 你曾提到有關憑據盜竊的驚人數據。NOV 是如何加強身份和訪問管理的?
Philips: 攻擊者普遍認為,使用被盜憑據登錄往往比植入惡意軟件更為簡單。實際上,最新威脅報告顯示,2024 年 79% 的初始入侵攻擊為無惡意軟件攻擊,依靠被盜憑據、基于 AI 的釣魚以及 deepfake 騙局。去年,每三起云入侵事件中就有一起涉及合法憑據。我們已收緊身份策略,使得這類攻擊手段更難奏效。
例如,我們將 Zscaler 平臺與 Okta 集成,實現了身份及條件訪問檢查。我們的條件訪問策略要求在允許訪問之前,設備上必須運行我們的 SentinelOne 防病毒代理,從而增加了一道額外的檢查。我們還嚴格限制了可以執行密碼或 MFA 重置的人員數量,杜絕任何單一管理員獨自繞過身份驗證控制。這種職責分離能夠防止內部人員或已被攻陷的賬戶輕易關閉我們的防護措施。
VentureBeat: 你提到在禁用用戶賬戶之后仍然存在一個漏洞,能否解釋一下?
Philips: 我們發現,即使檢測到并禁用了被攻陷的用戶賬戶,攻擊者的會話令牌仍可能保持活動狀態。僅僅重置密碼是不夠的,必須同時撤銷會話令牌,才能真正將入侵者踢出系統。我們正在與一家初創公司合作,為我們最常用的資源開發近實時的令牌失效解決方案。本質上,我們希望在幾秒鐘內使被盜令牌失去效用。Zero Trust 架構的優勢在于,所有內容都需要通過代理或身份提供商重新進行身份驗證,這為我們提供了單一控制點,以便全球范圍內撤銷令牌。這樣,即使攻擊者竊取了 VPN Cookie 或云會話,他們也無法進行橫向移動,因為我們可以迅速使令牌無效。
VentureBeat: NOV 還有哪些其他的身份安全措施?
Philips: 我們幾乎在所有環節都強制實施多因素認證 (MFA) 并監控異常訪問模式。Okta、Zscaler 與 SentinelOne 聯手構建了以身份為中心的安全邊界,每次登錄以及設備狀態都在持續驗證。即使有人竊取了用戶密碼,他們仍然需要通過設備檢查、MFA 挑戰、條件訪問規則,而且一旦出現異常還可能導致會話立即被撤銷。單獨重置密碼已遠遠不足 —— 我們必須即時撤銷會話令牌,以防攻擊者進行橫向移動。這一理念構成了 NOV 身份威脅防御策略的基石。
VentureBeat: 你也是網絡安全領域中 AI 的早期采用者。NOV 在安全運營中心 (SOC) 中如何利用 AI 及生成式模型?
Philips: 由于我們在全球范圍內的安全團隊相對較小,因此必須更高效地工作。我們的一種做法是將 AI “同事”引入安全運營中心 (SOC)。我們與 SentinelOne 合作,開始使用他們的 AI 安全分析工具 —— 一款能夠以機器速度編寫和運行跨日志查詢的 AI。這一工具改變了游戲規則,使得分析師可以用簡單的英文提問,并在幾秒鐘內得到答案。分析師不再需要手動編寫 SQL 查詢,AI 會建議下一步查詢或者甚至自動生成報告,從而大幅降低了平均響應時間。
我們已經看到,借助 AI 助手,威脅狩獵的速度提升了多達 80%。Microsoft 的數據表明,引入生成式 AI 可將事件平均解決時間縮短 30%。除此之外,我們還在嘗試利用內部 AI 機器人進行運營分析,使用 OpenAI 的基礎 AI 模型幫助非技術人員快速查詢數據。當然,我們也設置了數據保護防護措施,以確保這些 AI 解決方案不會導致敏感信息泄露。
VentureBeat: 網絡安全不再僅僅是 IT 問題。你如何讓 NOV 的董事會和高層管理者了解網絡風險?
Philips: 我始終把讓董事會參與我們的網絡安全轉型放在首位。他們無需了解技術的細節,但必須理解我們的風險態勢。以生成式 AI 為例,我早已向他們簡要說明了其優勢和潛在風險。這種教育在我提出防止數據泄露的管控措施時,能迅速獲得一致認可。
現在,董事會將網絡安全視為核心業務風險。他們在每次會議上都會收到相關簡報,而不僅僅是一年一次。我們甚至與他們共同參與桌面演練,展示假想攻擊的全過程,將抽象的威脅轉化為具體的決策情景,從而強化了自上而下的支持力度。
我始終強調網絡風險的現實存在。即便我們在網絡安全項目上投入了數百萬資金,風險也永遠無法完全消除。問題不在于是否會發生安全事件,而在于何時會發生。
VentureBeat: 基于 NOV 的轉型經驗,你對其他 CIO 與 CISO 有什么最后建議嗎?
Philips: 首先,要認識到安全轉型與數字轉型是密不可分的。沒有 Zero Trust,我們無法如此高效地向云端遷移或支持遠程辦公,而業務成本的節省又為安全改進提供了資金支持,這真的是一種“三贏”的局面。
其次,務必注重身份和訪問的職責分離。任何單一個人都不應有能力破壞你的安全控制——包括我自己。即使是小的流程變更,例如要求兩人共同更改高管或高權限 IT 員工的 MFA,也能有效防止惡意內部人員、錯誤行為及外部攻擊。
最后,要謹慎而積極地擁抱 AI。攻擊者方面已開始大規模應用 AI。一個落實良好的 AI 助手能成倍提升你的團隊防御能力,但必須控制數據泄露或模型不準確的風險。務必確保將 AI 輸出與團隊技能相結合,從而打造出融合 AI 的“大腦”。
我們深知威脅在不斷演化,但借助 Zero Trust、強大的身份安全防護以及現在 AI 的助力,我們總算擁有了一線生機。