使用实时数据和数字孪生提升安全性

MICHAEL KRIGSMAN：我们正在与西门子美国公司的首席网络安全官 Kurt John 交谈。本次对话将涵盖在海量规模的网络安全中使用实时数据。在开始之前，我要特别感谢 Redis 使本次对话成为可能，Redis，非常感谢你们。嘿，Kurt。今天过得怎么样？

KURT JOHN：挺好的，Michael，很高兴和你在一起。你好吗？

MICHAEL KRIGSMAN：我挺好的。Kurt，给我们讲讲西门子美国公司吧。

KURT JOHN：西门子美国公司——我会说，它是全球最大的工业软件公司。它是一家科技公司。如果仅看软件销量，我们实际上总体排名第八，而且我们无处不在。我们在智能基础设施、边缘电网、楼宇自动化、流程自动化领域。我们在数字化工业领域，也就是自动化流程、自动化，我们也在交通运输领域，对吧？我们不仅制造火车和运行在火车上的软件，我们还协助进行与火车相关的基础设施管理。所以我们称之为出行管理——以及介于两者之间的一切。

MICHAEL KRIGSMAN：您现在是首席网络安全官，能跟我们谈谈这个职位以及您的职责和活动范围吗？

KURT JOHN：好的，没问题。特别是在美国，我们的业务规模约为 250 亿美元，拥有约 50,000 名员工，我和我的团队负责所有这些。这包括我们的基础设施、我们的产品以及我们交付给客户的服务。因此，我们努力保障西门子内部的安全，并确保我们交付给客户的产品尽可能安全。

MICHAEL KRIGSMAN：如今，网络安全贯穿业务的每个环节。我们今天重点讨论数据的作用。数据在网络安全中是如何发挥作用的？

KURT JOHN：很好的问题。大多数情况下，人们通常了解的是遥测数据（telemetry）。换句话说，就是从系统和用户使用的设备（笔记本电脑、手机、服务器，这些设备帮助业务实现其目标）中收集的数据量。我们可以收集多少这类数据，如何关联、分析，然后在出现异常情况时做出响应？因此，数据主要用于网络安全领域。

但还有其他领域，我猜我们稍后会更详细地探讨。对于西门子这样一家为客户提供这些非常有趣技术的非常大的公司来说，实际上很大一部分数据也在研究和开发领域。例如，用于网络安全的数字孪生——我们实际上是在网络空间中创建一个物理对象的数字表示或重现，不仅仅是它的模型，而是实际的——从螺栓到应该包含在该物理表示中的任何小部件，都在网络空间中得到复制。

其中一个很酷也很有趣的事情是，你可以进行异常分析，对吧？你可以确定某个东西表现不正常是因为工程问题，还是因为它所复制的数字世界中的任何东西受到了实际威胁。因此，对网络安全而言重要的数据，当然是用于实时操作和保护我们的基础设施，但它在保护我们的产品以及提前思考我们未来可能面临的问题方面也具有重要的作用。

MICHAEL KRIGSMAN：所以你们在收集数据，在运营中使用的遥测数据，并且你们也用这些数据来构建数字孪生。我们先来谈谈遥测数据，然后再转向数字孪生。那么，当您说“遥测数据”时，您指的是什么？

KURT JOHN：我们从最边缘开始，用网络安全术语来说。所以我们来谈谈移动设备和笔记本电脑，这是大多数用户在工作中与所需资源互动的主要方式，以完成他们的工作。从设备的补丁状态到正在打开的电子邮件（记录所有正在打开的电子邮件）、被点击的链接，如果我们有——而且我们确实在这些设备上部署了有助于阻止恶意软件运行的软件。如果它确实阻止了恶意软件运行——它就会向我们的网络防御中心发送消息，说，嘿，在这台笔记本电脑上，在某个时间，有人试图打开一个我们认为 90% 确定是恶意的链接。我们已经阻止了它。这里有更多信息供进一步调查。

所以从那里一直到用户可能访问的服务器——换句话说，如果在我们的常规扫描过程中发现了漏洞，这些信息就会发送回我们的网络防御中心或我们的漏洞管理团队，以便他们了解该机器上存在的威胁，以及，比如说，应用程序的奇怪行为。所以，如果我们已经对一个应用程序或一组应用程序的行为方式进行了“指纹识别”，它们在大多数情况下日复一日地以某种方式运行，然后突然间，它的行为与平时显著偏离，这也就是我们所说的遥测数据，对吧？“遥测数据”只是一个用来描述数据的花哨词语，这些数据会传回给我们，供我们分析并判断，这是一种奇怪的行为。让我们深入探究一下。

MICHAEL KRIGSMAN：如果我说错了请纠正。看起来你们正在处理两种不同类型的数据。一种是当机器或设备遇到威胁时实时传入的数据。

KURT JOHN：对。

MICHAEL KRIGSMAN：然后你们还有分析数据，用于事后进行评估和判断。

KURT JOHN：没错，是的。这是个很好的角度，实际上，如果让我现场快速分类这两种数据的主要区别，我会说实时数据更多是为了尽快对异常或不正常的情况发出警报，以便我们的团队知晓。而我称之为的被动数据，则用于更深入地探究、分析和进一步调查，以确定这个警报是否应该升级为事件，还是一个误报。

MICHAEL KRIGSMAN：既然您问了这个问题，如何发出警报，那我就问您，您如何在实时情况下发出警报？

KURT JOHN：又是一个很好的问题。所以我们在服务器上——我一直使用这个词是因为我认为这与用户最相关。在我们的服务器和终端设备上，我们有 24/7 全天候运行的软件，大部分情况下无法禁用，它会持续监控用户的行为。

现在，不要误解我。在解决隐私问题方面，我们不会关注用户具体在做什么。我们只关注是否存在一种活动，触发了我们所说的“入侵指标”（Indicator Of Compromise），简称 IOC。然后，软件就会介入，立即将这些数据流式传输到网络防御中心，并说，嘿，看起来我们有一个入侵指标，你们可能需要更深入地调查一下。

MICHAEL KRIGSMAN：所以数据收集是在设备上进行的。它收集 IOC，也就是入侵事件（Incident Of Compromise），但数据分析会立即发送到服务器进行检查。然后服务器会返回一些响应。这个流程顺序正确吗？

KURT JOHN：我喜欢你的思路和你提的问题。所以说是，也不是，说是也不是是因为我漏掉了一些细节。你可以将设备上的软件理解为在功能上更轻量级。别误解我。它有入侵指标的日志，如果出现模式匹配，它会迅速说，嘿，这里可能有个问题。

但除此之外，在更广泛的关联分析方面，因为特别是在网络安全和网络防御领域，力量在于你能收集的数据量。所以还有一个基于云的解决方案，那个应用程序也会与其通信。这是实时数据和被动数据的结合，对吧？它将实时数据流式传输到我们的网络防御中心，然后将其与被动数据结合，尝试追踪这是否是一个已知的对手，或者这可能是一个新情况。但是，因为我们发现了，比如说，A、B 和 C，我们以前从未见过这个入侵指标，但它足够接近，我们会发出警报。

因此，实时数据直接发送到我们的网络防御中心，以便尽快发出警报。但同时，在云端，结合来自终端设备的其它数据，也存在被动数据，这样分析师就可以去查看并判断，“好的，这是一个警报。” 让我们去查看日志，看看这个人——电脑当时可能在进行的活动类型，或者点击了什么类型的链接？或者链接被点击时，他们访问了什么类型的网址？这是否是我们以前见过存在威胁活动的已知网址？

下载的是什么类型的文件？让我们去分析那个文件，文件的结构。嗯，这是我们以前见过的。这肯定是一个入侵。

或者也许不是。让我们再深入一点，看看这个文件是否试图联系某人。因此，有不同层次或深度，取决于我们对潜在发生情况的确定程度，你可以选择停止分析，或者继续利用越来越多的被动数据，直到得出结论。

MICHAEL KRIGSMAN：所以实时数据用于进行非常快速的分析，我猜想是为了获得极快的响应速度，以中断潜在的进行中的攻击。然后，被动数据分析结合人工分析师可能会稍后查看，以便更全面地了解正在发生的事情，并追查他们需要追查的一切。这正确吗？

KURT JOHN：说得太好了。说得太好了。

MICHAEL KRIGSMAN：你们处理的数据量有多大？你们是一家庞大的公司。

KURT JOHN：是的，如果你想一下，全球有 300 名员工，美国有 50,000 名——这意味着无论白天黑夜，总有人在工作，而如果有人在机器上、服务器上、笔记本电脑上、手机上工作，它就会持续传输数据。因此，涉及到这类遥测数据时，我们的数据量达到了 PB 级别。

MICHAEL KRIGSMAN：所以所有这些数据都会像您之前描述的那样，结合支持性的被动数据分析进行实时分析。

KURT JOHN：是的，完全正确。

MICHAEL KRIGSMAN：不提供应商或具体产品名称，你们使用什么样的基础设施来管理这种范围的数据、这种数据量以及你们必须处理的速度？

KURT JOHN：这是一个组合，从分析和维护数据的角度来看，我们结合使用了开源和自研应用程序，因为——人们可能不知道，西门子的第一个网络安全组织成立于 1984 年。所以我们做这方面的工作已经很长时间了，甚至在市场变得如此成熟之前——或者也许如果有人不同意“成熟”这个词，也许是现在有如此多的选择——我们必须找到满足我们需求的方法，因此有很多开源和自研应用程序，当然也有一些您会期望的供应商的支持。所以这就是我们建立起来的架构，以管理数据的速度——实际上数据的流动速度非常快——然后也管理数据量，并且由于数据量大，还能尽可能快地对数据进行分析。因此，我们发现自己不得不进行一些非常有趣的创新，并开发出一些很酷的自研应用程序来管理速度和数据量。

MICHAEL KRIGSMAN：听起来利用数据解决业务问题，例如网络安全问题，已经深深植根于西门子美国公司的文化 DNA 中。

KURT JOHN：当然，百分之百。有一件非常有趣的事情——我们处理数据的方式，从业务到 IT 再到网络安全，以及贯穿始终，我们尽量在文化上保持这种“线程化”的方法，即我们理解不同类型的数据在不同的时间点和不同的领域，对特定的用户具有不同的价值，对吧？举例来说，有些数据对时间非常敏感，比如我们提到的实时数据。我们需要立即发出警报。

但还有一些数据对时间不敏感，但提供了很多分析价值，比如被动数据。而且根据数据的新旧、位置、何时被访问、谁访问它以及他们访问的方式，数据的价值确实会潮涨潮落，这是一个引人入胜的概念。所以我认为这当然始于我们交付给客户的技术，但自从 1984 年我们开始网络安全之旅——顺便说一句，现在我们在全球拥有超过 1,200 名网络专家——我们确实采用了这种多维度的方法来看待数据，并理解它所带来的价值。

MICHAEL KRIGSMAN：随着时间的推移，西门子对数据的思考方式是否发生了转变？

KURT JOHN：是的，确实发生了转变，而且我认为这不仅是西门子的转变，也是行业内部的转变。我认为当人们开始进行自动化时，无论是在微观层面——例如，有人试图自动化他们正在进行的某个特定过程，比如打开电子邮件并将其保存到本地驱动器——还是在宏观层面，试图自动化整个会计流程或某个特定的网络安全流程时，最初的重点都放在效率上，时间的效率，成本方面的效率。

随着西门子已经并正在进行一段时间的数字化转型之旅，数据的价值已经从效率的副产品转变为对我们的运营、产品、市场反馈等的绝对宝库。非常酷的是，我们观察到随着我们继续向科技公司转型，数据正在以某种方式被重新利用，或者被置于我们工作的中心，因为通过数据，我们才能真正获得一些有趣的洞见，帮助我们更有效地交付客户所寻求的东西。

MICHAEL KRIGSMAN：所以数据的角色已经从效率之外，也就是您说的节省时间、节省金钱，转移到了创新，如果我能这么说的话，这意味着做得更好，为我们的客户提供更好的服务、产品和结果。

KURT JOHN：同意，顺便说一句，不仅仅是交付更好的产品，我百分之百同意。更是努力用更少的资源或以更有效的方式交付更好的产品，从而创建反馈循环，数据是支撑性的资源，帮助我们进行这些洞察和分析，这样我们就能在更短的时间内、用更少的资源、更有目的性地交付改进后的产品。

MICHAEL KRIGSMAN：啊，首席信息官（CIO）的口号或命令或要求——还是说要求吧。不，还是说口号。用更少的资源做更多的事。

KURT JOHN：是的，没错，没错。

MICHAEL KRIGSMAN：这种推动创新的理念——您之前提到的数字孪生是否也属于其中？

KURT JOHN：哦，当然。今天早些时候我与我们的研究主管就数字孪生进行了交谈，我们讨论了安全与数字孪生。我会尽量让我的例子与此相关，为此，听众应该知道——我之前提到过——数字孪生是物理对象在数字世界中的表现，尽可能地接近该物理对象。事实上，它应该是一个完全精确的数字复制品。模拟（Simulation）则是将该对象置于一系列场景中，或模拟特定的变量或活动，以便您能看到该对象如何表现。

数字孪生在两个方面带来了绝对的变革。首先是工程效率。所以你可以想象，不必建造、重建，然后再多次重建多个原型来测试它如何与——比如说一个涡轮机——空气的流动方式或发电方式相互作用，你只需要构建该涡轮机的数字孪生。你可以在上面运行所有的测试，模拟所有的测试，从而显著降低你的工程成本或生产成本。

现在，当我们将其更进一步引入网络世界时，这意味着什么？这意味着——我们再用涡轮机为例。如果数字孪生说，基于这 10 个变量，您的发动机应该以 3,000 转/分钟的速度运行。它应该输出多少热量，等等。

顺便说一句，在这种场景下，我们在工程流程中已经走得更远，我们已经实际制造了一个物理复制品，因此我们拥有了数字孪生。当您查看物理复制品时，如果温度不是 300 度，而是 500 度，如果转速不是 2,500 转/分钟，而是 6,000 转/分钟。有了数字孪生，在安全和执行异常分析方面，我们可以有一定程度的信心确定这是否受到了网络安全影响。

现在，在我的例子中，我将其用作一个生产前（pre-production）的例子，但您能想象如果我们已经完成了生产吗？我们正在销售这些设备。它们安装在客户现场，并且有一个物理设备仍在运行。而在操作员使用的房间里，实际上也有一个数字孪生。

有了这个数字孪生，在正常的运营日里，理想情况是数字孪生与物理设备相符，但突然间，您的物理设备开始表现得非常奇怪。现在，如果您查看数字孪生，它说应该是一种状态，但实际不是，那么有了用于网络安全的数字孪生，您就可以——再次使用我之前用过的词——实时进行分析，并查明是否有人正在实际入侵此设备，或者是否存在某种机械故障的可能性。如果属于前者，即有人试图入侵该设备，这就能真正让操作员尽快进入响应模式。我解释得可能有些冗长，但我希望我能够阐明数字孪生不仅从成本和效率角度来看至关重要，从监控和网络安全角度来看也同样重要。

MICHAEL KRIGSMAN：回答得非常清楚。我曾与西门子的 Norbert Gaus 博士进行过一次视频对话，他当然是这个主题的世界级专家，他曾说过，物理学和数据是结合在一起的。但我不太清楚当您谈论网络安全的数字孪生时，这是如何运作的。

KURT JOHN：很好的问题，所以我在那里提到的可能是数字孪生在网络安全方面最实际的应用方式。但还有另一种方法——那种网络安全可以看作是二级监控，或者说是一种分析方法，用于比较数字孪生和物理设备。但如果你把它们移到一个网络靶场（cyber range）中，并且能够在网络靶场中部署一个数字孪生，然后你能够，比如说，模拟一个智能建筑——假设屋顶上可能有太阳能电池板，有数字断路器，有楼宇自动化，有自动化的 HVAC 系统和可以根据是否发生紧急情况自动开关的门。所以假设这是一个在智能建筑内运行良好的生态系统。

数字孪生在网络安全方面，可以模拟整个生态系统，然后能够判断是否出现了问题。比如，攻击者是否入侵了我们的建筑？我之前给您的例子是只分析一个物理对象及其数字孪生，看它是否受到入侵。如果做得好，有足够的处理能力等，我们实际上可以模拟一个生态系统，这样如果建筑的这一侧发生了什么，那么，如果数字孪生能够判断出，嘿，那些门没有正常工作，响应时间就会显著缩短。

MICHAEL KRIGSMAN：那么，您描述的数字孪生中数据的这种使用方式会产生什么样的业务成果？它为您的客户以及您的内部人员带来了什么好处？

KURT JOHN：我喜欢这些问题，Michael。很好的问题。所以从西门子的角度来看——我们能做的和客户能做的非常相似，因为记住我们是企业对企业（B2B）业务。所以我们的很多客户，他们实际上是在生产线上制造产品，然后交付给他们的客户，他们可能会交付给另一个企业或最终消费者，这有待确定（TBD）。

但在西门子内部，如果我们在开发过程中能够利用数字孪生，这意味着我们不必——我们的上市时间缩短了，因为如果我们需要测试某个特定对象的新变量，我们可以在数字世界中进行，而不是在物理世界中。因此，上市时间减少了。成本降低了，因为我们不需要获取大量原材料来不断地建造、测试、建造、测试。这个周期缩短了。

因此，我们的客户就能得到一个设备或产品，希望它不会像原来那样昂贵，并且工作得非常好。现在，当我们的客户收到它，然后将该设备以及其他多个设备部署到他们的制造流程中时，完全相同的事情会发生。如果他们能够利用我们的软件创建这些数字孪生，同样可以帮助缩短上市时间、降低成本。

它有助于工程师的培训，因此不必再次建造那个物理设备，然后比如说你需要——假设你是一家汽车制造商。然后你需要查看这个引擎的内部结构。在过去几年里，你实际上必须把那个引擎拆开，然后可能把你感兴趣的部分组装起来，以便培训某个特定的员工。

但现在你只需戴上——无论你是坐在笔记本电脑前，还是戴上你的 VR 眼镜。你的数字孪生就在你眼前，通过简单的手部动作，你可以放大正在查看的部分。你可以将其拆开再重新组装起来，所以它也有助于培训。

第三种帮助方式实际上是在现场，所以再次强调，你能想象一下如果你派了一名现场技术人员到现场，他们可能需要拆开某个东西吗？同样，在过去，你必须翻阅这本几百页的书，试图找到正确的零件，然后希望页面仍然顺序正确，没有被弄乱。

但现在，同样，无论是使用 iPad、笔记本电脑、VR 眼镜，你都可以通过实时增强现实获得分步说明，同样是使用数字孪生来了解如何拆开或修复某个东西。你可以指出问题是什么，然后得到关于如何解决该问题的分步指导。这样的例子不胜枚举。我们总能找到新的方法，数字孪生在这方面是完全具有变革性的。

MICHAEL KRIGSMAN：想必，这一切都依赖于拥有大量高质量的数据，以及非常精确的算法和计算，这些算法和计算能恰当地反映这类系统在现实世界中的行为。

KURT JOHN：完全正确。

MICHAEL KRIGSMAN: 您多次提到了西门子网络防御中心。那是什么？

KURT JOHN: 西门子网络防御中心——我们在全球有多个地点，包括美国也有一个。这是一群非常出色的人，他们昼夜不停地跨越两大洲监控我们的基础设施。他们不仅能发现异常、跟踪异常，并尽快进行补救。他们还做我们称之为“威胁搜寻”的工作。因此，他们不是坐等异常出现，而是主动搜查我们的基础设施，寻找可能存在的特定威胁。

MICHAEL KRIGSMAN: 这些都是您一直在收集和监控的数据生态系统的一部分。

KURT JOHN: 同意，他们是我们处理数据量的一个绝佳例子。西门子网络防御中心在全球每天处理大约30亿个事件。当然，并非所有这些事件都会成为事故，但这让您大致了解数据进入的巨大体量，这些数据将被归类为事件，换句话说，是需要进一步分析的内容。这也让您了解我们背后的基础设施，因为如果没有非常复杂和自动化的基础设施，无论规模多大，都不可能有任何团队能够实时接收、分析并确定这些事件的性质。

MICHAEL KRIGSMAN: 我想这确实需要非常快速的基础设施和大量的计算能力。

KURT JOHN: 是的，没错。

MICHAEL KRIGSMAN: 让我们稍微换个话题。供应链中的网络安全呢？像西门子这么大的公司，其供应链必然非常庞大、复杂，并且可能充满威胁。

KURT JOHN: 是的，我们的供应链是庞大的。全球大约有24万家供应商。在美国大约有2.4万家，大约占10%，而且这个名单还在增加，对吧？我们的供应链范围很广，从某个特定产品上市所需的关键小部件，到送花的供应商，中间的一切都包含在内。

维护这个供应链并非易事，但我不得不说，我们的团队在这方面做得非常出色。我们处理供应链的方法有点像三管齐下或四管齐下。通常我脑子里会跳出一个数字，我就把它说出来。可能会差一点。我们来看看。

首先，这是一个非常非技术性的话题，那就是合同，对吧？所以我们希望在与供应商的合同中明确说明我们对网络安全的重视程度，以及他们在网络安全方面的责任，因此我们在与供应商的合同中包含了非常标准的网络安全条款。其次是对供应商进行评估，评估的方面有很多，从道德规范到财务可行性等等。但从我的角度来看，我们将讨论网络安全，因此需要对他们的运营、他们处理和管理数据的方式、他们处理通信的方式进行实际审查，所有这些都使我们能够对这些供应商形成一个看法或风险等级，以及他们如何能够很好地融入我们的生态系统，是需要在被纳入供应商之前进行更改，还是我们在安全方面对他们的运营模式感到足够放心。

这方面的另一部分是我们的第三道防线，业内人士知道那就是审计。所以我们有一个审计部门，他们会随机对我们的供应商进行审查，有些则是根据特定主题进行。他们会去审查我们称之为“业务伙伴”的供应商，以确保他们满足我们为他们设定的期望，再次包括道德规范、财务可行性等等。

第四点非常有趣，由于西门子的规模和复杂性以及我们在基础运营中必须做的事情，我们发现自己处于一个非常有利的位置，我们在如何处理网络安全方面拥有丰富的知识，从零开始一直到非常复杂。我们尽可能地尝试与我们的供应商分享这些信息和知识。因此，虽然这不是一个官方项目，但当我们对供应商进行审查或某个供应商发生了某些事情时，我们会尽力保持强有力的沟通，采取开放政策，并与供应商分享尽可能多的最佳实践。

MICHAEL KRIGSMAN: 很明显，您在与供应商的安全关系方面拥有很大的控制权。但是如果您的供应商受到攻击，并对西门子产生了下游影响，您是否会参与其中呢？

KURT JOHN: 如果是美国/太平洋地区，或者万一不幸在全球发生了什么事，我们会介入——我们一直非常幸运——也许“幸运”不是正确的词——但在与供应商合作以防止这种情况发生方面，我们一直非常刻意。最好的说法是——回到我上一点，那就是开放式沟通，并努力确保我们的供应商与我们合作。我们很幸运没有发生任何重大中断，但我告诉您，迈克尔。这是整个行业面临的最大挑战之一。

如您所知，特别是对于像西门子这样拥有众多供应商的公司来说，困难之处在于您需要防范整个供应链中从第三方、第四方、第五方一直到最终方的所有环节。同时，坏人只需要找到一个入口。从今年和去年年末的近期新闻中，我们已经看到了这些类型活动的影响，因此这是我们一直关注的问题。例如，在那些合同条款中，我们根据供应商的性质，规定他们需要对他们的供应商采取同等程度的尽职调查和谨慎，并尽可能地将这一点向下传递到供应链。所以回答您问题的最好方式是，这是我们与供应商合作处理的问题，然后我们还会进行根本原因分析，以便避免不愉快的事件再次发生。

MICHAEL KRIGSMAN: 正如您所说，您必须担心这个庞大的足迹，它延伸到n个供应商，以及他们的供应商，以及他们的供应商，而坏人只需要找到一个点。

KURT JOHN: 只需要一个点。

MICHAEL KRIGSMAN: 您现在是一个云优先组织。我以前听您这样描述过。在西门子，这意味着什么？

KURT JOHN: 这意味着我们理解超大规模供应商带来的价值，我使用“超大规模供应商”这个词来指代典型的——无论是亚马逊、微软，等等。在合适的时机与这些超大规模供应商建立伙伴关系，可以帮助我们缩短上市时间，降低成本，等等。所以这意味着，只要有可能，如果我们能够利用云来实现这些目标——创新、降低成本、事半功倍等等——那么我们就会抓住这个机会这样做。

从网络安全的角度来看，这很有趣，因为这意味着从我们的角度来看，我们不仅需要关注本地系统并制定行动计划。还需要关注云中存在的那些系统，甚至是一个混合生态系统，对吧？您如何尽可能地拓宽我们的工作范围，以便——再说一次，不能太宽，否则我们会被不必要的数据淹没——而是拓宽范围，确保我们从本地系统、从基于云的系统中获得适量的遥测数据，以便我们能够保持所需的响应水平？

MICHAEL KRIGSMAN: 因此，您正在收集所有这些系统——本地、云、混合，无论它们在哪里——的数据，以便在安全分析方面尽可能全面。

KURT JOHN: 完全正确。

MICHAEL KRIGSMAN: 在我们结束之前，对于正在听讲并希望更有效地利用数据的业务领导者，无论是用于网络安全还是通用商业目的，您有什么建议？

KURT JOHN: 告诉您，迈克尔。这是一个非常有趣的问题。我认为新公司、小公司可能更容易一些。

没有任何数据支持这一点，但这只是我的普遍感觉，因为新公司或小公司不会有那些常年累月，甚至数十年的系统不断馈送的庞大数据。因此，对于新公司和小公司来说，您真正需要有意识地对待您采取的每一个技术步骤。事实上，我建议您在您的技术路线图和战略中明确指出您想要收集什么类型的数据，并将这些数据与特定的业务目标或业务成果联系起来。

对于像西门子这样的大公司——西门子已经有170多年的历史，接近200年——那么我们的挑战正如我之前提到的，对吧？我们拥有海量的数据。在某些情况下，从头开始建立一个新系统或者直接清除数据实际上更容易一些，这通常适用于那些更依赖实时数据而非历史数据的系统。

例如，网络安全——如果我们被数十年的遥测数据淹没，那么清除这些数据并从头开始可能是有意义的，因为网络安全是当下。它是实时。它关乎我们如何尽快响应，并在几天或几个月（取决于情况）内保持足够的遥测数据，以便我们能够很好地掌握发生的事情。

但业务中还有其他部分需要历史数据，对吧？例如，如果是金融领域，您想做市场趋势或市场分析，追溯到10年前，看看这10年间产品发布通常是如何被接受的，以便您可以确定如何改变将新产品推向市场的策略。这时，历史数据比实时数据重要得多。

所以我想对那些业务领导者说，您必须弄清楚您处于旅程的哪个阶段，属于哪个类别，是需要实时数据还是历史数据。也许两者都需要。然后，您需要回到技术路线图和战略，真正有意识地将数据需求纳入战略，并思考它将如何帮助您的业务成功。

MICHAEL KRIGSMAN: 所以就是要非常清楚您尝试解决的数据问题，有哪些类型的数据可以解决这个问题——然后我还要强调这些数据的准确性。

KURT JOHN: 完全正确。说得好。

MICHAEL KRIGSMAN: 最后，您认为未来几年数据在网络安全中的作用将走向何方？

KURT JOHN: 很好的问题。我认为将发生两件事，请允许我稍微谈一下创新。创新大致有两种类型，对吧？一种是颠覆性创新，比如您的Uber和Lyft以及其他类似的公司，它们实际上只是重新利用现有技术，然后颠覆了整个行业。然后是增量创新，对吧？我想西门子在这两类中都占有一席之地。

这一点之所以重要是因为，在网络安全方面，我认为我们将看到更多专用型人工智能。对于我的网络安全同事们，请不要抱怨，好吗？人工智能是网络安全行业的祸根，因为每个人都在随意使用它，而它并没有真正达到预期。

但我确实认为，由于系统互联程度越来越高，数据在系统间移动的速度越来越快，数据在系统间移动的体量越来越大，以及编程越来越多地用于决策点——人类并非完全从流程中移除，而只是从决策点移除，因为您确实需要速度。我想最好的例子可能是资本市场，那些机器人正在进行微观买卖，这是向听众概念化它的最好方式。我看到数据进入的地方——越来越多的坏人将试图破坏这一点，因为破坏这些以光速移动的微观流程，不仅在整体上，而且回到我们讨论的话题，在供应链内部，都具有更大的影响潜力。

因此，我看到数据在网络安全中被更多地利用，以继续进行趋势分析，看看坏人是如何试图破坏这些微观流程的，并保护那些帮助我们日常生活运转的决策点。所以，我能对其分类的最好方式是将其视为一种专用型人工智能，不是那种会说“早上好，库尔特。让我送您去上班”的东西，而是真正专注于保护这个特定微观流程的东西。

我认为这是我们未来三到四年将看到的情况。我认为这将导致一些结果，希望是更好的保护，但我也认为您将在更技术层面看到更多的工作完成，更少的人员参与，更多的数据、机器学习和人工智能出现在网络安全的技术层面。而这将带来我非常期待的结果，那就是释放出非常宝贵的资源，让这些资源能够专注于我们今天面临的越来越复杂的问题。

MICHAEL KRIGSMAN: 听起来您是说，除了数据之外，我们将拥有更复杂的算法和机器学习，以及非常专业的机器学习模型，以便在许多狭窄的用例中利用这些数据。这样概括您的说法是否正确？

KURT JOHN: 告诉您，迈克尔。您有写高层总结的才能。说得太好了。

MICHAEL KRIGSMAN: 好的，那我得出去找一份整天写高层总结的工作了。好的，就到这里，我要感谢西门子美国公司的首席网络安全官库尔特·约翰。非常感谢您与我们分享您的知识，库尔特。真是太棒了。

KURT JOHN: 谢谢您，迈克尔。