Black Duck 的 Ishpreet Singh 表示,唯一强大的网络安全战略是整体网络安全战略
快速阅读: 据《技术监视器》称,Black Duck新任CIO Ishpreet Singh强调,网络安全公司需全面了解安全态势,利用人工智能提升效率与防护。他关注合规、零信任架构及网络恢复策略,同时警惕AI带来的新风险,助力公司应对供应链与监管挑战。
在Tech Monitor采访的所有人中,没有一人比Ishpreet Singh更符合“推动者”的称号。Singh的职业履历本质上是一份在网络安全领域最具活力的公司工作的清单,包括在Splunk、Imperva和Qualys的高级职位,以及CNBC著名执行技术委员会的一个珍贵席位。最近,这位网络安全资深人士被任命为Black Duck的新任首席信息官(CIO),他渴望在这个重新启动和焕然一新的公司里再次留下自己的印记,该公司现已完全脱离其前母公司Synopsys。
“作为一家独立公司,我们有许多机会来应对潜在的网络安全挑战,”Singh告诉Tech Monitor。“例如,软件诞生的漏洞带来的安全挑战只会增加。同样,由于主流采用人工智能而产生的风险也在增加。”
在以下经过编辑的对话中,Singh解释了他对Black Duck作为新旧玩家的雄心壮志——以及其他网络安全CIO应避免的陷阱。
**Black Duck的Ishpreet Singh认为,成功的网络安全公司的CIO必须对公司各个层面的安全态势有所了解:“你曾在Qualys、Splunk和Imperva担任过重要职位。为什么你想加入Black Duck?”**
Ishpreet Singh:首先,我想加入一个获奖团队,他们有一个简单但明确的使命:在不减缓开发人员速度的情况下保护客户的软件。为了实现这一目标,我有这么多工具和团队可以依赖,从我们的全面漏洞管理解决方案到我们的客户咨询计划和人工智能驱动的安全解决方案。更重要的是,运行这些产品的团队得到了我们在创新实验室和网络安全研究中心的一支小规模研究团队的支持。他们一直在寻找新的挑战——例如,为像C/C++这样的编译语言创建上下文准确的SBOM(软件物料清单),其中SBOM可能会根据目标的CPU架构而有所不同。
简而言之,他们的出色工作使我能够帮助将Black Duck定位为安全领域的强者!
**“作为CIO,你的主要优先事项是什么?”**
长期来看,我的主要优先事项必须是增强Black Duck的安全态势,以更好地保护客户和公司本身。这意味着确保符合关键法规——考虑SBOM指令、ISO 27001、SOC 2——并增强零信任架构以保护敏感的客户数据。我还致力于为公司制定强大的网络恢复策略,确保对任何突发事件都能迅速响应,并确保灾难恢复机制到位。
更广泛地说,我始终在寻求扩展Black Duck的IT基础设施,在内部系统中实施人工智能驱动的自动化,尽可能提高公司的运营效率。这也意味着让我们的系统更加精简高效,服务于销售、营销和G&A职能,并定期与政府和监管机构合作,确保我们的安全合规解决方案始终保持市场所需和要求的前沿。
**“这些优先事项是如何受到你在Qualys、Imperva和Splunk之前经验的影响的?”**
我在企业安全、云计算转型、人工智能采用和技术革新方面的经验使我能够解决业务战略、网络安全韧性和技术革新之间的差距。随着软件供应链安全、开源风险和DevSecOps成熟度成为企业优先事项,我的专业知识将帮助Black Duck转变为提供人工智能驱动的商业解决方案的供应商。
在更深的层面上,我在这些公司的经验教会我要以整体的方式追求作为CIO的目标。网络安全公司必须将安全视为一项基本的业务战略,而不仅仅是一项合规要求。将安全视为增长机会和使能功能至关重要,从最初的客户互动开始。
在Black Duck,我很幸运,CISO直接向我报告,但我建议那些不在这种情况下工作的同行们要尽一切可能了解自己公司的网络安全态势——毕竟,只有你知道的东西才能得到保护。从那里开始,应在各个方面加强这个态势,通过总体目标向下传递给团队,建立能够应对任何挑战的能力。我经常发现许多公司试图通过解决核心合规要求来解决这个问题,但如果一开始就着眼于更广泛的总体目标,你会自动满足所有这些监管要求。
**“那么你是如何在外部和内部利用人工智能的呢?”**
人工智能已经嵌入到我们的产品中,以利用新兴技术,从而保持我们的竞争优势。如果没有人工智能,我发现应用程序安全(AppSec)会变得缓慢且低效,增加风险,延迟修复,并使安全团队不堪重负。
人工智能在多个方面对我们非常有用。例如,我们的基于人工智能的应用程序安全助手工具可以分析应用程序代码的上下文,通过理解实际执行行为而非仅进行模式匹配来减少误报。我们还大量依赖基于机器学习的优先级排序,其中我们的专有模型根据可利用性、业务影响和风险严重程度对漏洞进行排名,确保团队优先处理关键威胁。同时,我们的软件组成分析(SCA)生成并更新SBOM,确保对开源风险和AI生成代码的片段分析具有实时可见性。
我们一直渴望采用人工智能的新进展,特别是LLMs,一旦它们发布就立即采用。我们将此作为首要任务,确保控制措施到位。此外,我们与客户路线图的一部分是,我们希望根据客户需求和舒适度提供灵活性,为客户提供LLM或允许他们提供LLM,当涉及源代码时也是如此。
人工智能为创新和速度提供了巨大的优势。然而,随着新技术的进步,威胁形势中也引入了新的风险。对我来说,谨慎和安全地推出新技术非常重要,确保有机制和控制措施到位,以在策略中将安全性作为一个方面加以利用。
**“你看到网络安全公司在哪些方面面临的主要挑战?你如何定位Black Duck来应对这些挑战?”**
太多了。人工智能的影响是一个很大的问题,尤其是在它有可能快速改变开发流程和带来所有安全和知识产权风险方面。软件供应链的风险格局是另一个让我夜不能寐的领域。随着监管机构对IT供应链透明度的要求越来越高,这对我们的客户来说只会变得更加复杂。应用安全的日益复杂化是另一个新兴挑战。毕竟,应用安全测试领域在开发流程中的集成和自动化程度比以往任何时候都高。这是一件好事:从根本上说,它帮助团队更早地检测和处理软件中的安全缺陷,最小化它们进入最终产品影响客户的可能性。但是,随着软件开发本身变得更加复杂,确保软件安全的工作也随之变得更加复杂。公司总是试图减少由安全测试引起的“噪音”,以便专注于对组织、用户和客户构成最高风险的问题。
然后是监管环境,特别是在涉及软件供应链时。拜登政府关于网络安全的行政命令警告各机构、供应商及其供应商需要更加透明和对应用安全实践负责。同样,欧盟网络安全韧性法案(CRA)将推动在欧盟销售产品的任何公司在安全实践上的变化。组织总是在实时理解和应对这些事件,并寻求像我们这样的供应商的指导和全面合规解决方案。
阅读更多:
Cato Networks的Shlomo Kramer表示,网络安全公司已经开发出很好的解决方案,但未能有效实施。
订阅我们的定期新闻摘要!
借助我们的领先Tech Monitor为您的业务赢得优势!
订阅
(以上内容均由Ai生成)
