Rejoignez nos newsletters quotidiennes et hebdomadaires pour les dernières mises à jour et le contenu exclusif sur la couverture de l’IA. Apprendre encore plus
National Oilwell Varco (Nov) subit une transformation de cybersécurité radicale sous le CIO Alex Philips, adoptant une architecture de fiducie zéro, renforçant les défenses de l’identité et infusant l’IA en opérations de sécurité. Bien que le voyage ne soit pas complet, les résultats, selon tous les comptes, sont dramatiques – un 35 fois une baisse des événements de sécuritéL’élimination de la réimagerie PC liée aux logiciels malveillants et des millions enregistrés en supprimant le matériel «Hell» de l’héritage ».
VentureBeat s’est récemment assis (pratiquement) pour cette interview approfondie où Philips détaille comment Nov a obtenu ces résultats avec ZscalerLa plate-forme Zero Trust, les protections d’identité agressives et un «collègue» générateur de l’IA pour son équipe de sécurité.
Il partage également la façon dont il maintient le conseil d’administration de Nov.
Vous trouverez ci-dessous des extraits de l’interview récente de Philips avec VentureBeat:
VentureBeat: Alex, nov. Je suis allé «All In» sur Zero Trust il y a plusieurs années – quels étaient les gains hors concours?
Alex Philips: Quand nous avons commencé, nous étions un modèle traditionnel du château et de la manche qui ne se tenait pas. Nous ne savions pas ce qu’était Zero Trust, nous savions juste que nous avions besoin d’identité et d’accès conditionnel au cœur de tout. Notre voyage a commencé par adopter une architecture axée sur l’identité sur l’échange de confiance zéro de Zscaler et cela a tout changé. Notre couverture de visibilité et de protection a considérablement augmenté tout en subissant une réduction de 35X du nombre d’incidents de sécurité. Avant, notre équipe poursuivait des milliers d’incidents de logiciels malveillants; Maintenant, c’est une petite fraction de cela. Nous sommes également passés de la réimagerie de 100 machines infectées par les logiciels malveillants chaque mois à pratiquement zéro maintenant. Cela a économisé une quantité considérable de temps et d’argent. Et puisque la solution est basée sur le cloud, Appareil Hell est parti, comme j’aime à le dire.
L’approche Zero Trust donne désormais à 27 500 utilisateurs de nov.
Nous avons ensuite pu faire une étape provisoire et réarchitecter notre réseau pour profiter de la connectivité sur Internet par rapport aux MPL coûteux. «En moyenne, nous avons augmenté la vitesse de 10 à 20 fois, réduit la latence aux applications SaaS critiques et réduit le coût de plus de 4x… Économies annualisées [from network changes] ont déjà atteint plus de 6,5 millions de dollars », a noté Philips à propos du projet.
VB: Comment le passage à une confiance zéro a-t-il réellement réduit le bruit de sécurité par un facteur aussi énorme?
Philips: Une grande raison est que notre trafic Internet passe maintenant par un bord de service de sécurité (SSE) avec une inspection complète de SSL, un sable et une prévention des pertes de données. Zscaler regarde directement avec Microsoftdonc le trafic Office 365 est devenu plus rapide et plus sûr – les utilisateurs ont cessé d’essayer de contourner les contrôles car les performances se sont améliorées. Après avoir été refusé l’inspection des SSL avec l’équipement sur prémètre, nous avons finalement obtenu l’approbation légale de décrypter le trafic SSL car le proxy cloud ne donne pas à Nov accès à l’espion sur les données elle-même. Cela signifie que les logiciels malveillants se cachent dans des flux cryptés ont commencé à se faire prendre avant frapper les points de terminaison. En bref, nous avons rétréci la surface d’attaque et laissé un bon trafic couler librement. Moins de menaces signifiaient moins d’alertes dans l’ensemble.
John McLeod, le CISO de nov “Le modèle de périmètre du vieux réseau ne fonctionne pas dans un monde hybride” et qu’une pile de sécurité cloud centrée sur l’identité était nécessaire. En acheminant tous les trafics d’entreprise via des couches de sécurité cloud (et même en isolant des sessions Web risquées via des outils comme le navigateur Zero Trust de Zscaler), Nov réduit considérablement les tentatives d’intrusion. Cette capacité d’inspection complète est ce qui a permis à Nov de repérer et d’arrêter les menaces qui ont précédemment glissé, réduisant les volumes d’incident de 35x.
VB: Y avait-il des avantages imprévus à adopter une confiance zéro que vous ne vous attendiez pas initialement?
Alex Philips: Oui, nos utilisateurs ont en fait préféré l’expérience de la confiance Zero basée sur le cloud par rapport aux clients VPN hérités, donc l’adoption était simple et nous a donné une agilité sans précédent pour la mobilité, les acquisitions et même ce que nous aimons appeler des «événements de cygne noir». Par exemple, lorsque Covid-19 a frappé, nov, nov était déjà préparé! J’ai dit à mon équipe de direction si les 27 500 de nos utilisateurs devaient travailler à distance, nos systèmes informatiques pouvaient le gérer. Mon leadership a été stupéfait et notre entreprise a continué à avancer sans manquer un battement.
VB: Les attaques basées sur l’identité sont en augmentation – vous avez mentionné des statistiques stupéfiantes sur le vol d’identification. Comment NOV Fortifiant-t-il l’identité et la gestion de l’accès?
Philips: Les attaquants savent qu’il est souvent plus facile de se connecter avec des informations d’identification volées que de supprimer les logiciels malveillants. En fait, 79% des attaques pour obtenir un accès initial en 2024 étaient sans logiciels malveillants, en s’appuyant sur des informations d’identification volées, un phishing basé sur l’IA et des escroqueries en profondeur, selon des rapports de menace récents. L’année dernière, une intrusion sur le cloud a impliqué des références valides. Nous avons resserré les politiques d’identité pour rendre ces tactiques plus difficiles.
Par exemple, nous avons intégré notre plate-forme Zscaler avec Okta pour les vérifications d’accès à l’identité et conditionnelles. Nos politiques d’accès conditionnel vérifient que les appareils ont notre Sentinelle Agent antivirus en cours d’exécution avant d’accorder l’accès, en ajoutant un chèque de posture supplémentaire. Nous avons également radicalement limité qui peut effectuer des réinitialisations de mot de passe ou de MFA. Aucun administrateur ne devrait être en mesure de contourner les contrôles d’authentification seuls. Cette séparation des tâches empêche un initié ou un compte compromis de simplement désactiver nos protections.
VB: Vous avez mentionné trouver un écart même après avoir désactivé le compte d’un utilisateur. Pouvez-vous expliquer?
Philips: Nous avons découvert que si vous détectez et désactivez le compte d’un utilisateur compromis, les jetons de session de l’attaquant pourraient toujours être actifs. Il ne suffit pas de réinitialiser les mots de passe; Vous devez révoquer les jetons de session pour vraiment expulser un intrus. Nous nous associons à une startup pour créer des solutions d’invalidation de jetons presque en temps réel pour nos ressources les plus couramment utilisées. Essentiellement, nous voulons rendre un jeton volé inutile en quelques secondes. Une architecture Zero Trust aide car tout est réauthentifié par le biais d’un proxy ou d’un fournisseur d’identité, nous donnant un seul point d’étranglement pour annuler les jetons à l’échelle mondiale. De cette façon, même si un attaquant saisit un cookie VPN ou une session de cloud, il ne peut pas se déplacer latéralement parce que nous tuerons ce jeton rapidement.
VB: Comment obtenez-vous autrement des identités en novembre?
Philips: Nous appliquons l’authentification multi-facteurs (MFA) presque partout et surveillons les modèles d’accès anormaux. Okta, Zscaler et Sentineone forment ensemble un périmètre de sécurité axé sur l’identité où chaque connexion et posture de dispositif est vérifiée en continu. Même si quelqu’un vole un mot de passe utilisateur, il est toujours confronté à des vérifications d’appareils, aux défis MFA, aux règles d’accès conditionnel et au risque de révocation de session instantanée si quelque chose semble éteint. La réinitialisation d’un mot de passe ne suffit plus – nous devons révoquer instantanément les jetons de session pour arrêter le mouvement latéral. Cette philosophie sous-tend la stratégie de défense des menaces d’identité de Nov.
VB: Vous avez également été un adoptant précoce de l’IA en cybersécurité. Comment les modèles IA et génératifs de nov. Dans le SOC?
Philips: Nous avons une équipe de sécurité relativement petite pour notre empreinte mondiale, nous devons donc travailler plus intelligemment. Une approche consiste à amener les «collègues» d’IA dans notre centre d’opérations de sécurité (SOC). Nous nous sommes associés à Sentinelone et avons commencé à utiliser leur outil d’analyste de sécurité AI – une IA qui peut écrire et exécuter des requêtes sur nos journaux à la vitesse de la machine. Cela a changé la donne, permettant aux analystes de poser des questions en anglais simple et d’obtenir des réponses en quelques secondes. Au lieu de fabriquer manuellement les requêtes SQL, l’IA suggère la prochaine requête ou même génére automatiquement un rapport, qui a abandonné notre temps moyen pour répondre.
Nous avons vu des histoires de réussite où les chasses sur les menaces sont effectuées jusqu’à 80% plus rapidement en utilisant des assistants en IA. Les propres données de Microsoft montrent que l’ajout d’une IA générative peut réduire le temps de résolution moyen des incidents de 30%. Au-delà des outils des fournisseurs, nous expérimentons également des robots d’intermédiaire interne pour l’analyse opérationnelle, en utilisant Openai Modèles d’IA fondamentaux pour aider le personnel non technique à interroger rapidement les données. Bien sûr, nous avons des garde-corps de protection des données en place afin que ces solutions d’IA ne divulguent pas d’informations sensibles.
VB: La cybersécurité n’est plus seulement un problème informatique. Comment engagez-vous le conseil d’administration et les dirigeants de Nov. Sur le cyber-risque?
Philips: J’ai fait de la priorité de faire avancer notre conseil d’administration dans notre cyber voyage. Ils n’ont pas besoin des minuties techniques profondes, mais ils doivent comprendre notre posture de risque. Avec l’explosion de l’IA générative, par exemple, je les ai informés des avantages et des risques dès le début. Cette éducation aide lorsque je propose des contrôles pour éviter les fuites de données – il y a déjà un alignement sur la raison pour laquelle il est nécessaire.
Le conseil d’administration considère maintenant la cybersécurité comme un risque commercial de base. Ils sont informés à chaque réunion, pas seulement une fois par an. Nous avons même organisé des exercices de table avec eux pour montrer comment une attaque se déroulerait, transformant les menaces abstraites en points de décision tangibles. Cela conduit à un soutien descendant plus fort.
Je me fais un devoir de renforcer constamment la réalité du cyber-risque. Même avec des millions investis dans notre programme de cybersécurité, le risque n’est jamais entièrement éliminé. Ce n’est pas si nous aurons un incident, mais quand.
VB: Des conseils finaux, basés sur le voyage de Nov, pour les autres DSI et CISO là-bas?
Philips: Tout d’abord, reconnaissez que la transformation de la sécurité et la transformation numérique vont de pair. Nous n’aurions pas pu passer au cloud ou permettre un travail à distance si efficace sans zéro confiance, et les économies de coûts de l’entreprise ont contribué à financer les améliorations de la sécurité. C’était vraiment une «victoire, gagner, gagner».
Deuxièmement, concentrez-vous sur la séparation des tâches dans l’identité et l’accès. Personne ne devrait être en mesure de saper vos contrôles de sécurité, inclus. Les petits changements de processus comme exiger que deux personnes changent de MFA pour un exécutif ou un personnel informatique très privilégié, peuvent contrecarrer des initiés, des erreurs et des attaquants malveillants.
Enfin, adoptez l’IA soigneusement mais proactive. L’IA est déjà une réalité du côté de l’attaquant. Un assistant AI bien impliqué peut multiplier la défense de votre équipe, mais vous devez gérer les risques de fuite de données ou de modèles inexacts. Assurez-vous de fusionner la production d’IA avec les compétences de votre équipe pour créer un «cerveau» infusé de l’IA.
Nous savons que les menaces continuent d’évoluer, mais avec une confiance zéro, une forte sécurité d’identité et maintenant l’IA de notre côté, cela nous aide à nous donner une chance de combattre.
