身份作为新的边界：National Oilwell Varco 阻止 79% 无恶意软件攻击的方法

快速阅读: 据《VentureBeat 公司》最新报道，国民油井华高公司（NOV）在CIO亚历克斯·菲利普斯领导下，通过零信任架构、强化身份保护及引入AI提升安全运营，显著降低安全事件并节省成本。NOV采用基于云的解决方案，减少恶意软件事件，优化网络性能，同时通过AI增强SOC效率，董事会亦积极参与网络安全风险管理。

加入我们的每日和每周新闻通讯，获取有关行业领先的人工智能报道的最新动态和独家内容。国民油井华高公司（NOV）正在首席信息官亚历克斯·菲利普斯的带领下进行全面的网络信息安全转型，采用零信任架构，强化身份保护，并将人工智能引入安全运营。尽管旅程尚未完成，但成效显著——安全事件减少了35倍之多，消除了与恶意软件相关的电脑重装，并通过淘汰遗留的“设备地狱”硬件节省了数百万美元。VentureBeat最近进行了这次深入访谈，菲利普斯详细介绍了NOV如何借助Zscaler的零信任平台、积极的身份保护措施以及为安全团队配备生成式人工智能“同事”来实现这些成果。他还分享了在面对全球威胁环境时，如何让NOV董事会参与网络安全风险的讨论，其中79%的初始访问攻击是无恶意软件的，而对手可以在短短51秒内从入侵发展到突破。

以下是菲利普斯最近接受VentureBeat采访的部分摘录：

**VentureBeat：** 亚历克斯，NOV多年前就全面投入零信任模式——有哪些突出的收获？

**亚历克斯·菲利普斯：** 当我们开始的时候，我们采用的是传统的城堡与护城河模式，这已经跟不上时代了。我们不知道什么是零信任，只知道我们需要身份验证和条件访问作为一切的核心。我们的旅程始于采用基于身份的架构在Zscaler的零信任交换平台上，这彻底改变了局面。我们的可见度和保护范围大幅提高，同时安全事件减少了35倍。之前，我们的团队在追捕成千上万的恶意软件事件；现在，这只是很小的一部分。我们还从每月重新安装大约100台受恶意软件感染的机器减少到现在几乎为零。这节省了大量时间和资金。而且由于解决方案是基于云的，“设备地狱”已不复存在，正如我所说的那样。零信任方法现在为27,500名NOV用户和第三方提供了基于策略的访问权限，可以访问数千个内部应用程序，而不会直接暴露给互联网。然后我们能够采取中间步骤，重新设计我们的网络以利用基于互联网的连接而不是昂贵的传统MPLS。“平均而言，我们的速度提高了10到20倍，降低了对关键SaaS应用的延迟，并且成本减少了四倍以上……网络变更带来的年度化节约已经超过650万美元，”菲利普斯提到该项目时指出。

**VB：** 转向零信任是如何将安全噪音大幅降低的？

**菲利普斯：** 一个很大的原因是我们的互联网流量现在通过了一个具有完整SSL检查、沙箱和数据丢失防护的安全服务边缘（SSE）。Zscaler直接与微软对接，因此Office 365流量变得更快更安全——用户不再尝试绕过控制，因为性能得到了改善。在被拒绝使用本地设备进行SSL检查后，我们最终获得了法律批准来解密SSL流量，因为云代理不会给予NOV访问数据本身的权利。这意味着隐藏在加密流中的恶意软件开始在到达终端之前就被捕获。简而言之，我们缩小了攻击面，让良好的流量自由流动。威胁减少了，整体警报也少了。NOV的首席信息安全官约翰·麦克劳德同意“旧的网络边界模型在混合世界中不起作用”，并且需要一个以身份为中心的云安全堆栈。通过将所有企业流量路由通过云安全层（甚至通过工具如Zscaler的零信任浏览器隔离高风险的网页会话），NOV大大减少了入侵尝试。这种全面的检查能力使NOV能够发现并阻止以前溜过去的威胁，将事件数量减少了35倍。

**VB：** 采用零信任是否有任何未预见的好处是你最初没有预料到的？

**亚历克斯·菲利普斯：** 是的，用户实际上更倾向于基于云的零信任体验而不是传统的VPN客户端，所以采用起来很简单，并为我们带来了前所未有的灵活性和适应性，无论是移动性、并购还是我们所谓的“黑天鹅事件”（指意外的重大事件）。例如，当新冠疫情来袭时，NOV已经准备好了！我告诉我的领导团队，如果我们的27,500名用户都需要远程办公，我们的IT系统能够应对。我的领导团队感到震惊，而我们的公司则继续前进，没有错过任何一步。

**VB：** 基于身份的攻击正在上升——你提到了令人震惊的关于凭据盗窃的统计数据。NOV是如何强化身份和访问管理的？

**菲利普斯：** 攻击者知道使用被盗凭据登录通常比部署恶意软件更容易。事实上，根据最近的威胁报告，在2024年获得初始访问权限的79%的攻击是无恶意软件的，依赖于被盗凭据、AI驱动的网络钓鱼和深度伪造骗局。去年三分之一的云入侵涉及有效凭据。我们已经收紧了身份策略，使这些手段更加困难。例如，我们将我们的Zscaler平台与Okta集成，用于身份和条件访问检查。我们的条件访问策略在授予访问权限之前验证设备是否运行我们的SentinelOne杀毒软件代理，增加了一项额外的状态检查。我们也极大地限制了谁可以执行密码或MFA重置。不应有任何单一管理员能够单独绕过身份验证控制。这种职责划分防止了内部人员或被攻陷账户轻易关闭我们的防护措施。

**VB：** 你提到即使禁用了用户的账户，仍然存在漏洞。你能解释一下吗？

**菲利普斯：** 我们发现，如果检测到并禁用了被攻陷的用户账户，攻击者的会话令牌可能仍然有效。仅仅重置密码是远远不够的，你必须撤销会话令牌才能真正将入侵者踢出系统。我们正与一家初创企业合作，为我们的常用资源创建近乎实时的令牌撤销解决方案。本质上，我们希望在几秒内使被盗令牌失效。零信任架构对此有所帮助，因为所有内容都通过代理或身份提供商重新进行身份验证，这为我们提供了一个全局取消令牌的单一节点。这样，即使攻击者获取了VPN cookie或云会话，他们也无法横向移动，因为我们会在短时间内终止该令牌。

**VB：** NOV在其他方面是如何保护身份的？

**菲利普斯：** 我们在几乎所有地方都实施了多因素认证（MFA），并监控异常访问模式。Okta、Zscaler和SentinelOne共同构成了一个以身份为中心的安全边界，在这里每个登录和设备状态都会持续得到验证。即使有人窃取了用户的密码，他们仍需面对设备检查、MFA挑战、条件访问规则，并且如果出现任何异常情况，还面临即时会话终止的风险。仅重置密码已不再足够——我们必须立即撤销会话令牌以阻止横向移动。这一理念构成了NOV身份威胁防御策略的核心。

**VB：** 您也是网络安全领域早期采用AI的先驱之一。NOV在SOC中如何利用AI和生成式模型？

**菲利普斯：** 由于我们的全球足迹相对较小，因此我们必须更聪明地工作。一种方法是在安全运营中心（SOC）引入生成式AI工具。我们与SentinelOne合作，开始使用他们的AI安全分析师工具——一种能够以机器速度在我们的日志中编写和运行查询的AI。这是一项变革性的技术，允许分析师用普通英语提问并在几秒钟内获得答案。分析师不再需要手动编写SQL查询，AI会建议下一个查询甚至自动生成报表，这大大缩短了我们的平均响应时间。我们看到了一些成功案例，其中使用生成式AI工具进行威胁搜索的速度提升了高达80%。微软自己的数据显示，添加生成式AI可以将事件平均解决时间减少30%。除了供应商工具外，我们还在尝试使用内部AI机器人进行操作分析，利用OpenAI基础AI模型帮助非技术人员快速查询数据。当然，我们已经设置了数据泄露防护护栏，以确保这些AI解决方案不会泄露敏感信息。

**VB：** 网络安全不再仅仅是IT问题。您如何让NOV的董事会和高管参与网络安全风险？

**菲利普斯：** 我优先考虑让董事会成员参与我们的网络安全之旅。他们不需要深入了解技术细节，但他们确实需要了解我们的风险状况。例如，随着生成式AI的爆炸式发展，我提前向他们介绍了其优势和风险。这种教育在提出防止数据泄露的控制措施时非常有用——大家已经达成一致，知道这是必要的。董事会现在将网络安全视为核心业务风险。他们在每次会议上都会听取相关汇报，而不仅仅是每年一次。我们甚至与他们一起进行了桌面演习，展示攻击如何展开，将抽象的威胁转化为具体的决策点。这带来了更强有力的自上而下的支持力度。

**菲利普斯：** 我优先考虑让董事会成员参与我们的网络安全之旅。他们不需要深入了解技术细节，但他们确实需要了解我们的风险状况。例如，随着生成式AI的爆炸式发展，我提前向他们介绍了其优势和风险。这种教育在提出防止数据泄露的控制措施时非常有用——大家已经达成一致，知道这是必要的。我特别强调不断强化网络安全风险的意识。即使在我们的网络安全项目上投入了数百万美元，风险也从未完全消除。不是会不会发生事件的问题，而是何时发生。

**VB：** 基于NOV的经历，您对其他CIO和CISO有什么最后的建议吗？

**菲利普斯：** 首先，认识到安全转型和数字化转型是相辅相成的。没有零信任，我们就无法如此有效地迁移到云端或启用远程办公，而业务成本节省也有助于资助安全改进。这确实是“三赢”。其次，关注权限分离。任何人都不应能够削弱您的安全控制——包括我自己。像要求两人更改高管或多特权IT人员的MFA这样的小流程变更，可以阻止恶意内部人员行为、错误和攻击者。最后，谨慎但积极地拥抱AI。AI在攻击者一方已经是现实。一个良好实施的AI工具可以增强团队的防御能力，但您必须管理数据泄露或不准确模型的风险。确保将AI输出与团队技能相结合，创造出一个AI驱动的智能辅助。我们知道威胁一直在演变，但有了零信任、强大的身份安全以及现在的AI作为我们的助力，这给了我们一个战斗的机会。

(以上内容均由Ai生成)