- Exponential growth in the number of public breaches and the size of breaches.
- Historical shifts in the cybersecurity industry from minimal measures in 1995 to today's overwhelmed DevSecOps.
- The rise of AI-driven threats and deepfake campaigns.
Shownotes Transcript
是时候把网络安全交给计算机了。
熵在增加。每年都有更多应用程序、更多授权和更多参与者。
公共漏洞的数量、漏洞的规模、漏洞造成的损害都在呈指数级增长,供应商仍在激增。
他们如何防范由深度伪造活动策划的银行挤兑?
如果这确实是反馈,这可能不是他们在那个时期做的唯一的事情。
在2022年,仅消费者就损失了88亿美元。
美国。我们如何才能从第一天起就建立复合型企业?你如何才能从第一天起就建立平台?即使你……
开始谁负责安全?
没有人负责安全。这场人工智能生成的快速信息宣传活动的成本接近于零。
如今,网络安全行业拥有数百亿美元的市场规模,很容易忘记这个行业是如何开始存在的。在几十年的快速发展中,情况发生了巨大的变化。因此,在今天的节目中,我们将带您回顾安全的历史,这与互联网和文化的历史是密不可分的。
这集节目实际上是在a16z的Campfire Sessions活动上录制的,时间是4月份。我们的基础设施团队邀请了一些业内顶尖的安全专家。就像任何一场精彩的篝火晚会一样,今天您将听到四个人坦诚地谈论他们真正关注的问题,从XZ Utils攻击的真实情况,到已经影响到公司的新的AI威胁向量,再到赋能过度工作的开发人员以及对安全社区内外人士的许多启示。
我希望这集节目能让人们记住,多年来,无论是网络犯罪分子还是网络安全防御者,都发生了多么大的变化。因此,我们将从Travis McPeak开始,他是Resourcely的联合创始人兼首席执行官。他将带我们回顾我们是如何走到今天的。让我们从1995年开始。
提醒一下,此处的內容仅供參考,不应被视为法律、商业、税务或投资建议,也不应被用于评估任何投资或证券,并且并非针对a16z基金的任何投资者或潜在投资者。请注意,a16z及其关联公司可能会对本文讨论的公司进行投资。有关更多详细信息,包括我们投资的链接,请访问a16z.com/disclosures。
好的,第一阶段,黑暗时代,1995年,Billboard榜单冠军歌曲是《Gangsta's Paradise》,票房冠军是《蝙蝠侠永远》。怀旧啊,对于在座的老人们来说,谁负责安全?没有人负责安全。
那是一个完全不同的世界。你必须意识到,我们那时没有多少互联网连接。修补程序并不是什么重要的事情。
供应商基本上就像早期的杀毒软件和防火墙。这个黑暗时代的里程碑事件。我们迎来了第一次死亡康。
我们迎来了第一个Soso Stephen Cats在花旗集团。那一年,他们实际上发生了一起有人偷钱的漏洞事件。他们说,如果我们没有人在IT事件发生时负责,这种情况绝不能再次发生。
所以这是第一个安全事件。因此,我们得到了第一个宏病毒,第一个缓冲区溢出。我来自Netscape,正如您将了解到的那样,Netscape做了很多推动安全发展的事情。
当然,电影《黑客》上映了。那是Web 1.0时代。它不是一个你与之互动的应用程序。它是一个你访问的网站。所以这是1997年的苹果网站,黑客就像这些不务正业的人,这不像一份实际的工作。
真正推动从这个阶段到下一个阶段发展的一件事是,网络浏览器从我刚才向您展示的苹果那样东西发展到一个您开展业务的地方,Netscape使许多这些事情成为可能。所以他们推出了SSL。
SSL。他们有了第一个安全套接字层。他们正在制定一个关于如何在互联网上构建应用程序的标准。这个标准是JavaScript。
与此同时,我们有了J2EE,这是从一家名为Sun的老公司(如今被称为甲骨文)构建互联网应用程序的早期方法之一。Checkpoint于1993年由一位直接来自国防部的人员创立,他利用所学知识开发了Web应用防火墙。好的,第二阶段,安全是一件实际的事情,但它是IT的职能。2001年,Billboard榜单冠军是《Hanging by a Moment》。
票房冠军是《哈利·波特与魔法石》,谁负责安全?IT部门负责安全。所以,这里的背景是,这是我们开始出现大型黑客攻击的开始。
所以这不仅仅是偶尔发生的事情。企业要么已经迁移到网上,要么正在快速迁移到网上。供应商现在包括杀毒软件、防火墙、系统管理。里程碑事件。
在这里,微软工程师在1998年创造了“SQL注入”一词。第一个让IT对企业造成严重损害的大型互联网蠕虫是Code Red。第一个补丁星期二是在2003年。
我不知道有多少人像我一样老,我们经历了千禧年问题,实际上什么也没发生。但有趣的是,我们足够关心计算机及其功能,以至于我们认为这可能是一件事。所以这里的一个变化是漏洞跟踪和完全披露。
在过去,我们有邮件列表漏洞跟踪,人们会发送安全漏洞报告,而供应商基本上对此置之不理。他们只是永远地搁置这些报告。因此,当时出现了一个重要的时刻,即完全披露,也就是说,好吧,我们将把这件事的全部细节公之于众,迫使供应商采取行动,然后这导致了定期的修补周期。
因此,微软迅速注册了版权。我们还拥有了第一个Web应用程序安全工具。这是来自2001年的Nico和Old One,这是一种开放式故事。但这是这些工具广泛可用之初。这是我所说的关于供应商和安全的“狗尾续貂”的开始。
根据我与一些人的交谈,我们基本上有这些新的攻击者,而买家,在这种情况下是IT部门,对它的运作方式知之甚少。所以这就像你需要打开你的网络端口,需要打开git,我就可以通过它进入并入侵你。
IT部门对此并不十分了解。那么,供应商是如何尽其所能来教育IT买家,让他们知道这是可能的?这看起来就像我完全入侵了你的所有系统。
他们问,你是怎么做到的?然后你解释为什么Web应用程序安全是一件实际的事情,以及为什么他们需要供应商的解决方案。好的,第二阶段是风险签字功能。
2004年,Billboard榜单冠军是亚瑟小子演唱的《Yeah!》,票房冠军是《速度与激情2》。顺便说一下,这些手机的寿命比你长。
这些东西基本上是不可破坏的。谁负责安全?现在我们有一个安全团队来负责。
所以这不仅仅是IT部门做的事情。这是其他时间。所以这是我们开始进行传统安全活动的时候。
微软基本上受到了打击,他们需要做一些不同的工作。科技公司开始招聘被称为安全人员的人,供应商现在正在激增。所以我们有杀毒软件、防火墙、电子邮件安全、Web应用防火墙、DDoS和SaaS。里程碑事件。
在这里,我们第一次使用了微软工程师再次使用的术语“跨站点脚本”。Oasis成立于2001年,第一次使用了“左移”一词。我实际上认为它要近得多,但这是一个非常古老的术语。
然后,萨班斯-奥克斯利法案我认为是第一个强制执行某些安全活动的合规性标准。有一个不断壮大的群体,他们对网络安全以及这里的所有可能性都非常感兴趣。Mark Curphey启动了一个名为OWASP的组织,基本上是为了使这些知识更社会化,以便人们了解它。
OWASP的第一个项目之一是OWASP Top 10。这立即变成了,我该如何让我的供应商产品成为人们购买的十大产品之一?所以这并不是更多地“狗尾续貂”。
这就像,哦,我的产品肯定应该排名前五,因为它将帮助我们销售更多产品。现在我们迎来了大型互联网武器的开始。当时,Windows基本上没有自带任何防火墙。
你启动后,就会立即受到各种东西的入侵。这里的蠕虫造成了巨大的经济损失。所以我们有像Slammer这样的攻击,在2003年,超过一百万台美国服务器受到影响,估计损失达26亿美元。
因此,部分原因是微软的大客户说,嘿,我们使用Windows后损失惨重,这部分导致了可信赖计算的出现。基本上,我们需要看到光明。我们不能继续照常营业。
比尔·盖茨看到了微软员工正在撰写的一本关于安全实践的书的早期版本,这基本上导致他说,我们需要彻底改变我们的做法。我们正在失去客户的信任。然后,这就是我们认为的传统安全活动的开始。
今天,我们有了威胁建模、渗透测试。所有这些东西都是在这个时期诞生的。我们也得到了更多合规性。
所以,PCI DSS版本1是在2004年编写的。这强制执行安全活动。
同样,供应商试图让自己进入这些标准,以便他们可以销售更多产品,对吧?这就像,好吧,如果你要处理支付卡数据,那么你需要进行Web扫描,例如。Proofpoint是这里的一个公司示例。
这家公司成立于2002年,至今仍在运营,非常成功,从事电子邮件安全,对吧?所以,一旦电子邮件像今天一样广泛使用,我们也有电子邮件病毒,好吧,我们需要一些东西来过滤垃圾邮件和病毒。所以Proofpoint开始了这项工作,然后还改进了AA。大型Web应用防火墙至今仍在使用。
好的?第三阶段是DevSecOps,时间是2013年。Billboard榜单冠军是《Thrift Shop》,票房冠军是《钢铁侠3》。关于安全,这是每个人的工作。
我们共同决定,安全无法像我们一直以来那样进行签字功能,在发布产品之前,你必须进行安全评估。现在我们正在迁移到云端,并且正在进行持续部署,而安全就像我不知道我什么时候再进行这些评估了。所以我们所做的是,我们基本上让每个开发人员都知道,好消息是,你现在是安全人员了。
我们也越来越多的特大漏洞事件。如果你看看这个时期的数字,每年公共漏洞的数量、漏洞的规模、漏洞造成的损害都在呈指数级增长,供应商仍在激增,所以EDR、额外防火墙检测、所有姿态管理、DevSecOps培训、Bug Bounty。里程碑事件,第一次使用“DevSecOps”一词实际上是在2013年。我们有了第一个CSPM,它催生了我们今天拥有的庞大的姿态管理行业。
我们开始看到No Before,对吧?这就像我们要培训开发人员。持续地,开发人员将学习所有类型的跨站点脚本和SQL注入,每天一次,每年一次培训,他们学习它,然后第二天就忘记了。
我们也有大型漏洞赏金计划。所以越来越多的众包漏洞,希望攻击者不会利用这些漏洞对我们造成巨大的损失。如此多的姿态管理。
第一个被称为安全姿态管理。Evident是这里的第一家公司。Netflix还创建了Security Monkey,它基本上是开源姿态管理。
从那时起,姿态管理就在到处激增。我们有云姿态数据安全姿态管理。我不明白姿态管理SSPM,无论底层姿态管理是什么,到处都是姿态管理。
这些东西真正擅长的是在部署后发现问题,对吧?然后你必须做些什么,因为仅仅知道风险,你只能告诉你的老板,嘿,好吧,这是我们面临的所有风险。他们会希望你以某种方式降低风险。
所以,既然现在开发人员负责安全,我们所做的是,当我们今天称之为IT时,我们会为他们提供大量培训票据。所以,在这个时候,我们也面临着人才短缺。关于人才短缺的第一篇新闻报道是在2015年和2016年初。
到2016年,我们已经短缺一百万个工作岗位,而且这种情况还在不断恶化。我们没有足够的安全人员来完成我们需要他们完成的工作。那么,这将把我们带向何方?
我认为我们正在进入安全的新阶段,第四阶段,基本上告诉开发人员这是你的工作,你一直要解决安全问题,这并没有特别好的扩展性。我认为,这在今天变得非常明显。2020年,Billboard榜单冠军是《Blinding Lights》。
票房冠军是《坏男孩疾速追击》。谁负责安全?我认为系统负责安全。我们正在做的事情无法扩展。我们已经开发疲劳。
我经常听到人们告诉我,我们采用姿态管理,然后我们只过滤掉所有非高危级别的问题。然后我们将这些问题报告给开发人员,反复进行培训。显然,无论我们多少次培训开发人员关于所有SQL注入类型,他们仍然不记得。
而且,他们真的不应该这样做。所以里程碑,其中一个项目。它们确实影响了我如何看待利莫尔,nef lex 于 2015 年发布。谷歌于 2017 年推出了他们的身份代理,Chrome 在 2018 年默认情况下使用密码管理器。
我的朋友克林特·古伯勒 (Clint Gubler) 在这个领域做了很多工作,他在 2021 年做了一个名为“如何根除漏洞利用类”的演讲。所以利莫尔,当我来到 Ethnic IT 时,是在 2017 年。我还记得当时我被彻底震撼了。
对于我们的开发人员来说,获取证书变得多么容易,而无需选择网络套件并选择 YPO 参数和旋转以及存储您的私钥,安全 IT 只是让它变得非常简单。这样做的好处是,助手们永远不必学习剪辑或任何东西。他们免费获得它。
谷歌可能比这里任何人都做了更多工作。因此,我们将自动将人们升级到 HD DPS,Chrome 会自动更新,这已成为许多其他软件的标准。我们基本上拥有这些不可能弄错的东西。
Go 语言库可以处理许多安全问题。事实上,我妈妈最近给我发了一篇文章。妈妈,真有趣。
他知道我在从事安全工作,并向我发送了华尔街日报上所有与安全相关的文章。通常情况下,要么是三个月前发生的事情,要么就是与我无关。但这篇文章是拉里·埃里森写的,而且不算太旧。
他的观点是,现在是时候将网络安全交给计算机了,基本上只是释放 lesly,纠缠用户,并试图让用户变得更聪明。就像它不再起作用了。我们想要的是让开发人员回到编写代码,专注于业务。
我不必一直扮演安全人员的角色。因此,如果您今天考虑 IT,开发人员必须处理这个永无止境的补丁、错误票证。这导致与安全团队的冲突。
如果你有一个朋友,他们想让你做什么事时就会出现,你可能会开始回避那个朋友。我们正在得到很多这样的情况。如果他们只是使用系统,他们代表自己做出了良好的安全选择,并且忘记了所有这些,例如不断进行培训,那该怎么办?
所以结论是,我参与了从瀑布式到持续集成/持续交付的转变,然后看到了这一点,我们只是不断地将事情强加给我们的开发人员,然后看到开发人员越来越擅长发现并避免安全问题。我认为我们应该做的是帮助他们,就像那些非常忙碌的人一样。
我们应该构建一个系统,使他们能够快速轻松地完成他们想做的事情,并将安全问题作为副作用。这就像你想让你的狗服用维生素一样,你不会只是把维生素放在你的手里给狗。你把维生素放在花生酱里,狗想要花生酱。狗也会吃维生素。我认为我们应该为我们的开发人员用户做同样的事情。
说到需要为开发人员简化工作,让我们了解一下这些攻击可能是什么样子。
现在先说说 2020 年,通常在演讲中,我喜欢谈论 SolarWinds,但我们实际上得到了一个更好的例子,那就是 XZ Utils 攻击,所以大家现在都听说过这个。但这很可能是一个受国家支持的组织渗透了一个开源压缩项目,名为 XZ Utils。
这是 Socket 的创始人兼首席执行官 Feross Aboukhadijeh。因此,XZ Utils 自从通过 openssl 引入后门以来,就席卷了安全行业,openssl 是全球数百万台服务器使用的关键基础设施。让我们听听 Feross 关于那里究竟发生了什么,以了解 2024 年我们正在处理的安全攻击者。这可能涉及多年时间、多位贡献者、社会工程、潜在的国家行为者等等。
他们这样做的方法非常有趣,而且我认为,好吧,我很遗憾这件事发生了,但我同时也很满意。终于有一个例子真正抓住了人们的想象力。所以这里发生的事情是,我们有一个群体,就像我可能已经说过的那样,在多年的工作中赢得了该项目贡献者的信任。
所以这是一个时间尺度,对这种投资我们以前在其他类似尝试中从未见过。然后他们引入了一个复杂的,虽然不是完全的,后门,旨在破坏目标服务器。所以这是一个相当多层的漏洞。
有多个参与者,身份以前从未在互联网上出现过。所以这又是一个迹象,表明这很可能是一个相对老练的参与者。这不仅仅是某人为了蝇头小利而做的事情。
所以这很可能表明是国家行为者。然后,时间线以及他们所做的一些事情也似乎表明,这可能是与 SolarWinds 背后的人相同的人,但再次强调,这都只是猜测。
我想深入探讨一下。您可以看到这种攻击的特征是什么样的。所以这是最终提交并发布恶意代码的个人。
这是他第一次向主要邮件列表发送补丁,该邮件列表用于此项目 XZ Utils 的开发。这很有趣。这完全是一个毫无意义的补丁,对吧?这就像维护人员经常遇到的那种情况,有人只是顺便添加了一个编辑器配置文件,它基本上什么也没做,对吧?
就项目的功能而言,它没有任何作用,而且通常来自那些只想能够说自己是某个项目贡献者的人,而不需要了解该项目。这只是噪音,但您可以看到他们第一次尝试参与该项目。然后一个月后,他们发送了另一个补丁,修复了一些构建问题。
此后,他们还发送了几个补丁,所有这些都被维护人员忽略了,而维护人员此时已经维护这个项目大约十五年,也许二十年了。这是一个长期项目。而负责维护的人此时已经处于一种维护模式。
基本上,他有点倦怠了,他只是偶尔检查一下邮件列表,但实际上不再积极参与这个项目了。所以这是很多维护人员都会经历的事情。然后,三个月后,我们看到维护人员随机出现并合并了对该项目的几行更改。
这是来自这个 G1 个人的第一段代码实际上被包含在项目中。我认为这很有趣的一点是,所有其他补丁都被忽略了。合并的补丁是一个微不足道的两行补丁,您可以查看它,并且作为一个超负荷的维护人员,您可以查看它并弄清楚它在做什么以及它修复了什么错误。
好的。让我合并并继续。更大的几百行代码被忽略了,对吧?典型的,也是超负荷维护人员的典型行为,对吧?
然后又过了一段时间。现在我们看到一个新角色出现了,这个人是 Giga Kur,他发了几封邮件抱怨一些 G1 的补丁没有被合并。
这通常用于向维护人员施压,要求他们在项目中包含代码。补丁已经在这个邮件列表中待了好几年了。
没有理由认为很快就会有什么进展。所以很激进,对吧?此时,请记住,他的补丁已经合并了一些,但压力正在增加。
然后是插入项目名称,没有维护。这是维护人员存在的噩梦。这是一个混乱的问题。
你可以在我的一个项目中打开一个问题。这种情况我遇到过很多次。我这里有一些截图。
这个项目还在开发吗?因为他们的 PR 没有被及时查看?这是我另一个项目中的一个。这个项目死了吗?这不好。不要这样做,伙计们。我认为关于整个情况中有趣的一点是,这是我在开源方式中看到变化的另一件事,传统上,我们认为像 Linux 或 WordPress 这样的项目,或者这些大型基金会支持的项目,它们在顶部有结构,您有一个项目,一个实体,许多维护人员参与该项目。
很多时候,他们甚至是由他们的雇主付费来参与该项目并作为他们日常工作的一部分来审查补丁,对吧?但是我们看到越来越多的是,随着我们转向这个拥有许多、许多、许多依赖项的世界,许多微小的依赖项,更多的是像这样的结构,您有一个个人负责一百个甚至可能数百个项目。
而这里的情况也是如此,Lacy Collin 负责管理多个项目作为个人维护人员。好的。所以让我们继续,三个月过去了,他回复了,他为速度慢道歉,他还补充说,与 XZ Utils 的脱机交流帮助了他。
所以我们可能现在有一些脱机聊天对话,他们更紧密地合作,建立信任。他说他将来可能会扮演更大的角色,至少在 XZ Utils 中是这样。很明显,我的资源太有限了,长期来看必须有所改变。
所以这个想法现在已经植入他的脑海中,他可能应该授予其他人访问权限来帮助维护该项目。再说一次,这听起来很奇怪,因为我正在做演讲,我这里有幻灯片。但这也是开源的正常工作方式。
这是在想,哦,也许我不是最好的维护人员。你应该把它交给其他人,这也是很正常的。此时,实际上还没有发生任何恶意的事情。
顺便说一句,还没有包含任何恶意代码。这只是在奠定基础,他看到几周过去了。所以现在我们有了这个角色,Giga Kur,这个人更具侵略性,并且开始施加更大的压力。
所以一个月过去了,离合并还差得很远。不足为奇。所以就像在讨论中插入内容,只是为了否定维护人员,并让他们感觉自己做得不好。
除非有新的维护人员,否则不会取得进展。然后维护人员友好地回复并反驳说,我完全失去了兴趣,但我有一些心理健康问题,我的生活中有很多事情。但同样,也许 G1 应该在项目中扮演更大的角色。
几个月后,Lacy Collin 合并了第一个提交,G1 作为作者,你可以在这里看到,他们实际上被列为作者。这是一个相当无害的更改。然后,来自 Degar 和 Denis 以及另一个角色的压力仍在继续。
他们实际上只是支持 G1 应该成为维护人员的想法。你可以在这里看到,你忽略了现在在这个邮件列表中堆积的补丁。你扼杀了你的仓库。
为什么等到 5.4 版本才更换维护人员?为什么拖延你的仓库需要的改变?对吧?所以施加压力。然后,最后一个很好。
就像,你能自己提交这个吗?是的,我看到你最近有提交,所以只是不断地施加压力。然后最后,Lacy 说,是的,G1 真的帮了很大的忙。
他实际上已经是一个贡献者了。然后最后,这是第一次邮件,大约在与邮件列表进行第一次互动两年后,G1 实际上正在为该项目编写发行说明。他已经被任命为维护人员。这是第一次发布。所以这里花了大约两年的时间。
如果这确实是国家行为者,这可能不是他们在两年内做的唯一的事情,对吧?可能同时还有其他事情在进行,对吧?所以真相可能介于两者之间。
复杂的社会工程攻击并不是我们在 2024 年面临的唯一攻击。事实上,XZ Utils 攻击是在没有 AI 的情况下进行的,所以让我们听听 Doppel 的首席执行官 Kevin Tian 的说法,关于 AI 如何引入新的威胁参与者并已经影响现实世界。
2022 年,仅美国消费者就损失了 82.8 亿美元。同年,不良行为者窃取了 390 亿个凭据。而发起 AI 生成的虚假信息宣传活动的成本正在迅速接近于零。所以,如果你看到目前正在宣传如何制作 AI 生成的视频或 AI 语音的广告,那么同样的技术也会被坏人利用。
那么,我们在现实世界中,真实的企业和人身上是如何看到这种现象的呢?在过去几个月里,迅速发展的一个常见现象是出现了大量的深度伪造视频,特别是针对个人形象的深度伪造视频。可能是泰勒·斯威夫特,可能是旅游健康公司,也可能是你的CEO,或者你的金融机构首席技术官。因此,我们在景观方面迅速看到的,就是越来越多的深度伪造视频。
伪造视频的制作方式相同,模型的训练方式非常相似,语音的生成方式也极其相似,攻击意图的操作方式也极其相似,所有这些都发生在不同的平台上,无论是YouTube、TikTok还是任何现有的视频平台,我们都已经看到深度伪造视频的出现。这会影响很多不同类型的人,无论是企业、名人,还是政治运动。当然,今年的大型联邦选举,是每个人都非常关注的事情。
好消息是,这种情况已经在很多不同的平台上发生了。我认为这里最重要的一点是,这并非完全是新颖的攻击、表面攻击者或全新的威胁,对吧?我们一直都有社交媒体,我们一直都有视频平台,我们一直都有坏人试图创建内容来达到某些目的。
我认为,就我们所看到的情况而言,主要教训是,这样做变得容易多了,这表明围绕着钓鱼工具包的整个市场,以及围绕网络犯罪的整个市场。我们将开始看到,而且我们已经看到,同样的情况也发生在深度伪造技术和模仿技术上。你如何才能更个性化地针对你的目标受害者进行攻击?我认为最重要的一点是,我们看到这不仅用于进行诈骗,而且最终会对大型企业产生影响。
实际上,今天早上我刚和一些大型银行进行了交谈。他们最担心的问题之一是如何防范由深度伪造活动策划的银行挤兑。我们甚至已经看到了这种影响。
一些非金融行业的公司,例如一家制药公司,就曾谈论过深度伪造视频如何迅速影响其股价。这再次是以前发生过的事情。但我们在2024年所看到的情况,以及我们在2025年及以后所预期的,是这种情况会越来越容易发生。它会达到让人很难分辨网上真假的地步。
而且不仅仅是深度伪造。这是一个完全不同的方法。
这是一个ASCO中毒案例。具体来说,我们在航空业、金融业以及任何拥有客户支持电话号码的行业都看到了很多这样的情况,对吧?我们有传统的ASCO中毒攻击,人们设法获取任何特定公司的登录凭证。
有趣的是,人们能够做到这一点的程度。在2024年,我们看到今天发生的事情,他们把这些内容放在那些拥有良好域名排名、例如微软或领英的第三方网站上。我们也看到很多与HubSpot、当然还有Webflow以及其他类似平台相关的案例。因此,他们利用了这样一个事实,即这些是具有良好域名健康状况的合法第三方网站,谷歌会迅速提升其排名,或者任何其他搜索引擎都会迅速提升其排名,并且他们正在这些表单上生成内容和对话。
例如,“如何与联合航空的客服代表通话?”“如何与优步的客服代表通话?”对吧?我们在这里看到的情况是,他们会在这些不同的第三方表单上生成大量垃圾内容,让它们全部排名靠前,并让它们全部占据搜索结果的第一页。同样,这只是一个经典案例,以前他们需要手动完成这些操作,现在他们可以使用AI动态生成内容,特别是AI生成的内容。
当然,并非所有事情都那么悲观。防御方面也有同样的机会。让我们请Lumos的联合创始人兼CEO Andrej Safundzic带我们回顾一下本集开始时我们讨论的历史轨迹,带我们进入自主数字时代。那么,在这个新时代,我们该怎么做呢?如果你碰巧是一家拥有高级安全专业人员的公司,你是否应该以不同的方式思考问题?
我只想带你进行一段简短的历史旅程。好吧。有趣的是,如果你回顾六年,我们都是创意工厂。所以有两种类型的工厂。有一种是产品工厂,还有一种是创意工厂。
产品工厂通常是汽车诞生的地方,对吧,或者窗户制造的地方,而创意工厂是创造和设计这些汽车的地方,对吧?特别是创意工厂在最近几年发生了变化,大约两年前又发生了变化。所以创意工厂看起来更像办公室,或者更像,你知道,在60年代,50年代,没有电脑,所以这非常有趣。
我们主要使用打字机和笔和纸。然后电脑出现了,我们使办公室数字化。这是第一步。IBM、SAP、Oracle、微软,这些老牌大公司出现了,并使办公室数字化。所以这是第一步。
第二步是,我们使办公室云化了?我想是Salesforce,他们启动了它,还有Workday和Atlassian,这些是最早的云公司,所以我们突然进入了云时代。我认为AWS诞生于2004年或2005年,那时我们使IT云化了。
然后发生了一些有趣的事情,因为我们让它协作起来,对吧,Workday并不是真正意义上的协作,Salesforce也不是,但随后Zoom、Slack、Figma、Airtable等各种伟大的公司在2010年代出现,突然之间,它变得非常具有协作性。所以这是软件中发生的第三个变化,这非常酷。现在,在过去几年里,随着我们从仅仅数字化IT到云计算再到协作,再到自主性,发生了什么变化,对吧?所以我们正在创建越来越多的自主软件。
老实说,它最初是从像Grammarly这样的东西开始的。它们更像是副驾驶,可以帮助你更好地完成工作。甚至GitHub Copilot也在其中。它们并非完全自主,但它们可以帮助你更好地完成工作。
我们现在看到的最大趋势,尤其是在年底发布的OpenAI模型,是大型语言模型,它们可以自己进行对话。有些事情确实很可怕。我们也看到了这一点,比如DevOps,这是一种新型的软件工程师,AI软件工程师基本上是自己编写代码的。
所以我们正在从像Grammarly、GitHub Copilot这样的副驾驶转向实际构建事物本身的系统和服务。这实际上是一个正在发生巨大变化的全新领域。我们想,好吧,我们该如何为此做好准备呢?总而言之,我称这三种浪潮为:第一波是数字化。
第二波是协作。第三波是自主性。现在我们迎来了第三波。有趣的是,我每天都在思考的是应用程序和访问权限。
因为你考虑一下你正在使用的所有东西,这些都是应用程序。我们在Zoom和Slack上,然后我们通过SSH进入服务器,这或多或少也是一个应用程序。我们使用GitHub。所以一切都是应用程序,绝对是我们生存的命脉。没有应用程序,我们就无法做任何事情。
问题是,我认为我们安全专业人员需要越来越多地问自己的是,我们该如何管理所有这些应用程序,随着越来越多的服务帐户出现,对吧,以及软件自己完成工作。我们该如何处理这个问题?我非常喜欢地铁框架。我真的很喜欢它。
如果你考虑身份,它们在不同的部门有不同的身份,对吧?营销运营需要内容,客户成功部门有其吸引力,每个部门或多或少都是一个应用程序或一个授权,对吧?有些是重叠的,对吧?例如,客户成功和销售部门可能在Salesforce上重叠,然后设计和营销部门在Figma上重叠。
然后特别是工程部门,如果我们放大,他们可能有许多工程部门,当涉及到授权级别、他们可以访问的不同权限时,它们就会重叠。所以现在有趣的是,人们,也就是那些车厢,他们从一个部门跳到另一个部门,每个部门都是一个应用程序或授权。我认为这之所以有趣,是因为我们现在看待世界的方式是RBAC的世界。
这里快速插播一下。对于不熟悉的人来说,RBAC代表基于角色的访问控制。因此,你并不是单独分配权限,而是根据角色授予权限。
我们的包并不是在移动车站,RBAC基本上意味着,你是否有一个营销人员,并且可以访问营销团队中的所有内容,即使你可能从未使用过其中的很多东西?销售或工程部门尤其令人毛骨悚然,工程部门。你开发了它,你可以访问所有客户数据,因为可能会发生事故,你需要访问它。
现在,最重要的是,我们还有所有这些服务帐户即将出现,很快还会有自主的参与者和代理即将出现,如果我们仍然使用我们的包,他们也将能够访问所有这些东西,即使他们不需要它。所以这个概念是,我是一个地铁站,我只需要每个促销活动和塔利班很短的时间。我认为,尤其是在复杂性增加的情况下。
我们从大约一百个参与者增加到一千个,再到一万个。而且随着应用程序变得越来越复杂,因此,我将拥有数千个地铁站,因为我可以轻松地访问成千上万个实例。云中的雪花颗粒度将变得越来越精细。
问题是,你如何管理它?管理它的新方法是什么?所以我认为我们需要重新思考问题的方式是,安全通常被视为分析师的工作,对吧?实际上,安全最初是黑客的工作。
安全人员是那些入侵网络的人。他们是那些精通Linux和SysAdmin的人。实际上,大多数安全人员以前都是SysAdmin,因为三十年前没有统一性。
有黑客,突然之间,所有这些伟大的解决方案都出现了,他们说,“这里有一个警报。这里有一个警报。这里有一个警报。”
我们将学习所有这些事情,你可以很容易地修复它。所以我感觉安全越来越成为一个运营部门。
IT也发生了一些事情。IT曾经是黑客。
慢慢地,但突然之间,他们变成了工单解决者。安全变成了警报-解决。IT变成了工单解决者。我认为新的方法,需要考虑的是,当我们考虑授权和访问权限作为地铁站时,安全需要将自己视为这些地铁站的架构师,或多或少,以及开发和基础设施团队。我认为我们需要以同样的方式思考IT和安全。
IT和安全需要成为各个部门的基础设施团队,对吧?这让我们回到了安全,实际上是招聘工程师而不是分析师,尤其是在AI可能会自动化大多数分析师工作的情况下。我认为这是一个非常重要的见解,当涉及到职业发展时,当涉及到你需要招聘哪种类型的员工时,特别是工程师和分析师,以及在购买的解决方案之上进行构建非常重要。
所以基本上,第一幕的前提是软件正在变得自主。它使我们能够创建越来越多的东西。正因为如此,熵在增加。
有更多的应用程序、更多的授权和更多的参与者。因此,需要改变的是,安全需要使用某种类型的技术运营、某种类型的技术基础设施来处理这个基础设施。我认为这是我们需要看到的市场变化的一个重要方面。
现在是第二点。关于初创公司方面,这有点像对所有企业家的呼吁。我相信我们需要从第一天起就建立复合型企业。
这是什么意思?安全CEO可能面临这样的问题,他们需要使用50种不同的工具。实际上,在过去两年里,尤其是在经济状况有所下降的情况下,他们问自己很多关于如何整合的问题,这对初创公司来说很糟糕。
一开始,我会说一些类似的话,比如,“好吧,我们开始解决这个独特的痛点”,但随后他们会说,“是的,但是你知道我需要管理80个供应商。”所以我经常问自己的问题是,我们如何才能从第一天起就建立复合型企业?那么,你如何才能从第一天起就建立一个平台,即使你刚开始创业,而实际上很多人说我需要整合,你实际上可以整合。
在2023年,CEO的三大优先事项是供应商整合、优化SaaS许可,因为当然,你不想裁员,对吧?你想增加你的软件支出。
这对企业家意味着什么?企业家的问题是,他们如何才能从第一天起就建立复合型企业?我们实际上已经看到许多公司做得很好。
我认为这家公司很棒,它在开发领域已经存在很长时间了,对吧?他们曾经只有一个产品,然后实际上他们转变了,成为了一种适用于任何可观察事物的分层产品。凭借其安全可观察性、基础设施服务能力和应用程序服务能力,他们能够构建一个复合产品。Figma 重新思考了整个流程,在此之前,Sketch 是计划。
Figma 基本上说的是,所有这些的根本概念是什么?我该如何构建一个解决方案来涵盖所有这些?顺便说一句,我认为我们在这里看到的整个情况是,我们首先经历了一个笨拙的时代,顺便说一句,微软、甲骨文和 SAP,人们并没有使用很多应用程序,比如甲骨文正在做的事情。
那是开始的时候。然后随着云的出现,特别是 AWS 和 Azure 的出现,这种情况慢慢发生了变化。云变得如此容易被每个人使用,以至于突然之间,你知道,我们有了所有这些协作工具。我认为我们正在转向一个重新捆绑的行业,尤其是在我们……
即将迎来这波自主浪潮之际,我相信,我的意思是,这实际上就是一个很好的例子,他们是从某种点解决方案开始的,但发展非常迅速,并迅速建立了一个综合体。那么你如何应对复杂性?然后是诸如他们如何在某种程度上保护我的内部威胁之类的问题?为什么?因为回到地铁站,如果他们可以访问所有东西,那么这个入侵者就可以像从一个站点跳到另一个站点一样,造成损害。
那么我们如何确保这种准时访问,只有当你在车站时,你才能实际访问 IT?现在,对于数百万个权限来说,这变得非常困难。所以我相信将会发生的事情,而这正是我们现在正在使用从推理中产生的模型进行研究的事情。
基本上,我认为模型将能够比我们的安全分析师更好地判断某个角色应该访问什么,对吧?因此,基本上,您身份访问管理系统中的一个代理将查看,好的,我们有两个新票证,这些工程师需要访问位于北美的这种类型的数据库。人们会自动更新您的路线和角色,或者至少在开始时,充当您的协同驾驶员,并建议,嘿,这个角色应该以这种方式更新,或者这两个角色应该以这种方式合并。
所以这只是一个案例研究,代理将产生巨大影响。我认为关于安全性的更大的故事是,它具有巨大的复杂性和风险。你永远无法将风险降至零。
很酷的是,如果你更倾向于工程思维,当你实际上在你的基础设施之上微调你的代理和模型时,你将能够解决以前从未能够解决的某些问题。代理会查看,好的?这是特权访问吗?因此,基本上,AI 将能够考虑,您有数百万个权限,您将如何标记权限是否敏感。
它并不总是说只读。它并不总是说管理员访问。因此,AI 将能够理解,它可以理解该权限是否敏感,对吧?
因此,您可以判断,好的,这个人是否有特权访问,然后这个人还可以判断角色和权限,哦,伙计,你知道,你在销售部门,并且可以访问这个,对吧?访问。啊,是的。
而且你的团队中没有其他人有这种访问权限。因此,基本上,你知道,一个普通的分析师会问,这个权限有多敏感,对吧?你在该权限中使用它做什么?还有其他人有类似的 H...
R...S 特征吗?是六个。他们有这种访问权限吗?你现在已经可以很容易地做到这一点,对吧?这更像是一种……它本身并不是推理,但你可以引导它逐步进行。
这就是“思维链”的含义。最后我想说的是,访问权限很酷的一点是,它可以预防。所以这是我们已经在做的事情之一。
如果您在 Jira 中创建工单,或者如果您创建 Slack 消息并说,嘿,请允许我访问这个公共频道?哦,我可以检测到你正在请求访问。通常,最糟糕的情况是通过后门访问。
这意味着有人在未遵循流程的情况下授予您访问权限。现在您可以提醒自己发生了这种情况,哦,这个人未经批准就获得了访问权限。但是,最好方法是从一开始就防止这种情况发生,我认为主要要点是分析师会减少,因为代理会接管,你需要将他们提升为工程师,甚至是提示工程师。
这是一件大事。第二件大事是,想想现在世界变化如此之快,你可以做什么,你可以向供应商索取什么,或者作为企业家,你可以在系统能够自行推理时实施什么。这是第二件事。第三件事是,我相信,因为我对这个行业充满热情,那就是范围平衡身份……
将在未来几年越来越大。
在接下来的几年里,越来越多。
好了,现在就到这里。显然,安全始终是一个移动目标,一场猫捉老鼠的游戏,双方都使用越来越复杂的工具。现在,如果您对未来要涵盖的主题有任何建议,请随时通过 pop pitches at a16z sense at cop 联系我们,如果您喜欢这些关于 a16z NE Campfire 会话活动的独家摘录,请给我们评分并评价这个播客点 com flash intense。下次再见。