Lenovo 首席安全官 Doug Fisher 身兼双职。他不仅负责公司的整体安全态势,还主导公司的人工智能 (AI) 治理计划,将安全协议的严谨性应用到这一快速发展的领域。
在最近接受 Computer Weekly 采访时,他分享了 Lenovo 的安全和 AI 治理策略,阐述了公司如何在瞬息万变的数字环境中与客户建立并维护信任关系。
Fisher 表示:"我更适合被称为公司的信任官",这体现了他双重角色的总体目标。这种对信任的重视贯穿于 Lenovo 安全运营的方方面面,从基本政策和员工文化,到渗透测试和红队演练等技术措施。
Lenovo 战略的一个关键要素是 Fisher 所称的安全"万神殿"观,包括政策、文化、基础设施安全、平台和产品服务安全、供应链安全以及物理安全。所有这些领域都汇聚在一起,保护数据隐私和安全,这是客户的最高优先事项。
在 AI 治理方面,Lenovo 建立了一个集中的开发项目审查流程,严格审查道德考量、数据隐私、知识产权问题、数据传输合规性,以及最近的数据主权问题。Fisher 说:"已有近 600 个项目通过了我们的审查流程。"
最初,约 30% 的项目未能达到严格标准,但通过持续培训和反馈,这一比例已大幅降至 19%。他将这个过程比作 F1 赛车的严格规则,指出即使是微小的疏忽也可能导致重大挫折和声誉损害。
Fisher 的团队采用多种安全措施,包括基于 Microsoft 等行业巨头最佳实践的安全软件开发生命周期、内部和外部渗透测试,以及模拟真实攻击的红队演练。公司还通过漏洞赏金计划积极与安全研究社区合作,激励道德黑客识别和报告漏洞。
Fisher 承认威胁情报的关键作用,表示 Lenovo 与威胁情报供应商合作监控新兴威胁并相应调整防御策略。此外,公司为部分产品和服务运营自己的安全运营中心 (SOC),同时也利用外部 SOC 能力。
针对网络安全行业持续面临的人才短缺挑战,他强调了在 Lenovo 内部培养强大安全文化的重要性。Fisher 说:"你最大的资产可能成为最大的漏洞",指的是员工疏忽可能造成安全漏洞。
为降低这一风险,Lenovo 要求所有员工(包括 CEO 和高管)参加年度安全培训,并严格执行合规要求。这延伸到网络访问管理,采用零信任政策,严格控制设备接入网络。Fisher 的团队还基于风险评估框架对漏洞修复进行优先级排序,将资源集中在最可能发生和影响最大的威胁上。
生成式 AI 的兴起和员工可能使用未经批准的第三方工具带来了所谓"影子 AI"的新挑战。Lenovo 通过创建已获批准的 AI 工具"白名单"作出响应,简化安全审查、法律合规和许可协议。这些工具的访问权限进一步限制于授权员工,以防止滥用并确保符合许可条款。
作为全球最大公司使用的服务器、设备和系统的主要供应商,Lenovo 实施了"透明、可信的供应链"计划,包括对所有供应商和组件进行安全审查。
公司还控制其制造设施的物理安全,采用防篡改包装和产品追踪机制,有效建立从工厂到客户的监管链。Fisher 说:"我们认为供应链的每一步都存在风险,我们努力消除尽可能多的风险。"
当被问及最令他担忧的问题时,他指出了 AI 推动的复杂攻击加速发展。Fisher 强调了深度伪造和社会工程策略的日益普及,强调了建立强大安全文化以应对这些新兴威胁的重要性。他说:"AI 的加速发展让我最为担忧",并补充说他采用了英特尔前 CEO Andy Grove 倡导的"偏执"安全方法,认为只有偏执狂才能生存。
