曾担任Pete Buttigieg总统竞选活动首席信息安全官的Mick Baccio,现任Splunk SURGe全球安全顾问及思科Foundation AI专家,近日分享了他为美国总统竞选活动建立网络安全防护的独特经历。
从政治竞选到企业安全的跨界经验
Baccio曾是美国海军预备役情报官员,在奥巴马和特朗普政府期间担任总统执行办公室威胁情报专家。当他收到Buttigieg竞选团队CISO职位邀请时,最初是拒绝的。"当你参与美国政治竞选活动时,无论输赢,11月份你都会失业,"他坦率地说。
然而,这次经历让他对网络安全有了全新的认识。政治竞选活动是一个非常独特的组织形态——完全依靠捐款运营的非营利组织,唯一目标就是让候选人当选。在这种环境下,CISO的角色发生了根本性改变。
大多数竞选工作人员都是志愿者或刚毕业的年轻人,很多人甚至不知道CISO是什么。"我必须向他们解释我的工作内容,教他们如何进行网络安全防护,"Baccio回忆道。
竞选活动面临着与大型企业截然不同的挑战。每一美元的网络安全支出都意味着减少了用于赢得选票的资金,因此必须以最低成本实现最有效的安全防护。
真实威胁环境超越想象
尽管外界普遍关注俄罗斯间谍活动和选举干预,但Baccio发现竞选活动面临的威胁环境与普通企业基本相同。"我认为最被低估的威胁载体就是普通的欺诈和商业邮件入侵,"他说。
"这是一个年产值1000亿美元的产业。我们总是谈论智能体AI威胁、多态恶意软件、高级持续性威胁等等,但实际上主要问题还是欺诈。欺诈问题比任何APT或AI攻击都更严重,只是它不够性感,无法登上新闻头条。"
网络安全基础的重要性
基于多年经验,Baccio强调了"网络安全蔬菜"的重要性——即掌握基础防护措施。他将这些基础措施比作网络安全食物金字塔的底层三分之一。
"你知道应该多喝水、多吃绿色蔬菜,如果不这样做,你的身体会有所反映,"Baccio比喻道。"同样,你知道应该对所有系统启用多因素认证,应该进行网络分段,应该及时打补丁——如果不这样做,你的网络就会被攻破。"
他特别指出:"黑客不会攻击云服务,他们直接登录。他们已经从访问代理那里购买了凭据,根本不需要攻击任何东西。但如果我启用了抗钓鱼的多因素认证,他们可能就无法登录,账户接管就不会发生,整个网络攻击的后续过程都会改变。"
Splunk SURGe的实用主义方法
Splunk SURGe成立的目标是帮助防御者解决当今面临的实际问题,提供可操作的指导、深度分析和快速安全响应的实用解决方案。
该部门的成立源于SolarWinds妥协事件期间的"无头鸡"时刻,创始人Ryan Kovar意识到Splunk在数据科学应用于安全方面技术过硬,但在人性化方面还有不足。
Kovar不想成为"又一个安全厂商研究团队",因此将SURGe定位为"蓝队的蓝领服务"——为用户提供实用资源。Baccio参与了该部门的创建,并提出了"蓝领"这一概念。
向AI基础领域的战略转移
自2025年7月以来,SURGe的核心使命发生了重大变化,转入思科Foundation AI工作。这是Splunk网络中心母公司推出的新举措,专门开发开放权重、安全专用的AI模型。
2025年4月,Foundation AI推出了Foundation-sec-8b,这是一个拥有80亿参数的大语言模型,专门设计用于帮助安全团队提高工作效率、行动精确度,并在不妥协的情况下扩展运营规模。
Baccio对这一转变最初感到震惊,但现在认为这可能是思科收购Splunk以来做出的最明智决策。这种合作将SURGe作为威胁情报管家和客户信任顾问的集体经验带入高技术领域,构建真正帮助安全团队的AI工具。
智能体AI的实际应用
过去12至18个月智能体AI的出现让AI的承诺变得更加真实。"如果我将通用AI应用于网络安全问题,效果不会很好。但如果我构建一个非常具体的模型来完成非常具体的任务,那就是我一年前购买AI宣传时想要的,"Baccio说。"智能体专注于一项任务,并且会做得非常好,但不要要求它做其他事情。"
他举例说明了同事Shannon Davis的工作。Davis是Foundation AI的首席AI研究员,创建了一个名为PLoB(登录后行为)的工具,用于即时检测入侵。
"回到我说的不需要攻击云服务,直接登录的观点,在你登录后,PLoB会检测你的所有活动,并能够判断'这是恶意行为者'还是'这只是来自研究部门的Mick',"他解释道。
"能够以机器速度完成这项工作是我们必须更多依赖的能力,特别是考虑到API调用、非人类身份以及我们在互联网这个复杂系统中引入的所有新元素。"
展望未来,Baccio表示:"学习如何应用智能体变得至关重要。我们在后台正在进行一些我无法透露的项目,但我们正在积极合作,集思广益并构建这些工具,帮助将安全防护这块西西弗斯之石推得更远。我对此感到兴奋。我们将帮助让某些人的安全程序变得更加安全。"
Q&A
Q1:政治竞选活动的网络安全防护有什么特殊挑战?
A:政治竞选活动是完全依靠捐款运营的非营利组织,每一美元的安全支出都意味着减少用于赢得选票的资金。大多数工作人员都是志愿者或刚毕业的年轻人,很多人不了解网络安全基础知识,需要从头开始培训。
Q2:企业网络安全面临的最大威胁是什么?
A:最被低估的威胁是普通的欺诈和商业邮件入侵。这是一个年产值1000亿美元的产业,比任何高级持续性威胁或AI攻击都更严重。黑客通常不会攻击云服务,而是直接使用从访问代理那里购买的凭据登录系统。
Q3:Splunk SURGe如何帮助企业提升安全防护能力?
A:SURGe提供实用的安全指导和解决方案,强调"网络安全蔬菜"——即基础防护措施的重要性,如多因素认证、网络分段、及时打补丁等。现在还结合AI技术开发专门的安全模型,如PLoB工具可以即时检测登录后的恶意行为。
热门跟贴