利用实时数据和数字孪生提升安全

迈克尔·克里格斯曼：我们正在与西门子美国公司的首席网络安全官库尔特·约翰交谈。我们的对话将涵盖大规模网络安全中实时数据的应用。在开始之前，我要对 Redis 为使这场对话成为可能表示衷心感谢，所以 Redis，非常感谢你。库尔特，你好吗？

库尔特·约翰：很好，迈克尔，很高兴和你在一起。你呢？

迈克尔·克里格斯曼：我很好。库尔特，跟我们说说西门子美国公司吧。

库尔特·约翰：西门子美国公司是全球最大的工业软件公司。它是一家科技公司。如果你只看软件规模，我们实际上是全球第八大公司，我们无处不在。我们涉及智能基础设施、电网边缘、楼宇自动化、过程自动化。我们涉及数字工业、自动化流程，我们也涉及交通运输，对吧？我们不仅制造火车以及火车上的软件，还帮助管理火车基础设施。我们称之为移动性管理——以及所有这些之间的内容。

迈克尔·克里格斯曼：现在，你是首席网络安全官，你能跟我们说说你的角色、责任范围和活动吗？

库尔特·约翰：当然可以。在美国，我们大约有 250 亿美元的业务，约 50,000 名员工，因此我和我的团队负责所有这些。这包括我们的基础设施、产品、我们向客户提供的服务，因此我们努力确保西门子内部的安全，并确保我们交付给客户的产品尽可能安全。

迈克尔·克里格斯曼：如今，网络安全涉及业务的各个方面。我们今天重点讨论数据的角色。数据如何在网络安全中发挥作用？

库尔特·约翰：这是一个好问题。大多数人所知道的通常是遥测。换句话说，它来自系统的数据量，来自我们的用户使用的设备——笔记本电脑、手机、帮助企业实现其目标的服务器。我们能收集多少这样的数据，我们能关联多少、分析多少，以及在出现异常情况时如何做出响应？因此，数据在网络安全中的主要应用领域就在这里。

但也有一些其他领域，我想我们稍后会详细讨论，对于西门子来说，我们是一家规模庞大的公司，向客户交付这些真正有趣的技术，实际上，数据在研发方面也发挥着重要作用。例如，用于网络安全的数字孪生——我们实际上是在网络空间中创建了一个物理对象的数字表示或再现，不仅仅是模型，而是真正的——从螺栓到该物理表示中应该包含的任何小部件都被复制到网络空间中。

而关于数字孪生的一件很酷有趣的事情是，你可以进行异常分析，对吧？你可以判断某个东西的行为是否不正常是因为工程问题，还是因为对我们在数字世界中复制的任何东西都存在实际威胁。因此，对网络安全至关重要的数据当然是实时操作，保护我们的基础设施，但它在保护我们的产品以及展望未来可能面临的威胁方面也发挥着重要作用。

迈克尔·克里格斯曼：所以你收集数据，你用于操作的遥测数据，你还用这些数据来构建数字孪生。让我们先谈谈遥测，然后转向数字孪生。当你提到“遥测”时，你的意思是什么？

库尔特·约翰：让我们从最边缘开始，就像我们在网络安全中所说的那样。所以，让我们谈谈移动设备和笔记本电脑，这是大多数用户与工作中所需资源进行交互的主要方式，以便完成他们的工作。从该设备的补丁状态到正在打开的电子邮件，因此记录正在打开的任何电子邮件、点击的链接，如果我们有——而且我们确实在这些设备上部署了软件，这些软件可以帮助阻止恶意软件运行，如果它确实阻止了恶意软件运行——向我们的网络防御中心发送一条消息，说，嘿，在这个时间点的这台笔记本电脑上，有人试图打开一个我们认为有 90% 可能是恶意的链接。我们阻止了它。这里有一些更多信息，供进一步调查。

从那里一直到用户可能访问的服务器——换句话说，如果在我们定期扫描过程中发现了漏洞，就会将其发送回我们的网络防御中心或我们的漏洞管理团队，以便他们可以了解存在于该机器上的哪些威胁，以及奇怪的应用程序行为。因此，如果我们识别了某个应用程序或一组应用程序的行为方式，在大多数情况下，日复一日地执行相同的操作，然后突然，它的行为偏离了这种行为，这也会被我们称为遥测，对吧？而“遥测”只是数据的代名词，这些数据会传回给我们，我们可以分析并说，这是奇怪的行为。让我们深入研究一下。

迈克尔·克里格斯曼：所以，如果我理解正确，你似乎在处理两种不同类型的数据。你拥有机器遇到威胁时或设备遇到威胁时传入的实时数据。

库尔特·约翰：是的。

迈克尔·克里格斯曼：然后你还有用于评估和事后评估的分析数据，也就是事后进行的评估。

库尔特·约翰：没错，是的。这是一个很好的理解方式，实际上，如果我要在现场对两者进行分类，我会说实时数据更多地是关于如何尽快发出异常信号或某个东西不对劲的信号，以便我们的团队知道。然后，我称之为更被动的数据，其目的是深入研究、分析、进一步调查，以确定此信号是否应成为事件，还是误报。

迈克尔·克里格斯曼：既然你提到了这个问题，你是如何发出信号的，那么让我问你，你如何实时发出信号？

库尔特·约翰：这又是一个很好的问题。所以，我们的服务器上——我一直使用服务器，因为我认为这对用户来说最容易理解。在我们的服务器和端点上，我们有 24/7 运行的软件，大多数情况下无法禁用，它一直在监控用户的行为。

现在，别误会我的意思。在处理隐私问题方面，我们不会关注用户在做什么。我们只是关注是否有活动触发了我们所谓的入侵指标 (IOC)。然后，该软件就会介入，立即将这些数据流式传输到网络防御中心，并说，嘿，看起来我们可能有一个入侵指标，你可能需要更深入地研究一下。

迈克尔·克里格斯曼：所以，数据收集发生在设备上。它收集该 IOC，也就是入侵指标，但数据分析会立即发送到服务器进行检查。然后，服务器会返回一些响应。这个顺序正确吗？

库尔特·约翰：我喜欢你的思考和提出的问题。所以，是也不是，但这是因为我省略了一些细节。你可以将实际设备上的软件视为轻量级，就其功能而言。别误会我的意思。它记录了入侵指标，如果有模式匹配，它会很快说，嘿，我们可能有问题。

但除此之外，从更广泛的相关性来看，尤其是在网络安全方面，对于网络防御而言，实力体现在可以收集的数据量。因此，该应用程序也与基于云的解决方案进行通信。这是实时数据和被动数据的结合，对吧？因此，它将实时数据流式传输到我们的网络防御中心，但随后将其与被动数据结合起来，以试图追踪这是否是一个已知的攻击者，或者这是否可能是新事物。但由于我们发现，假设，A、B 和 C，我们以前从未见过此入侵指标，但它足够接近，我们会提高警惕。

因此，实时数据直接传输到我们的网络防御中心，以便尽快提高警惕，但随后在云中以及从该端点设备传入的其他数据中，也有被动数据，以便分析师可以进行说，好吧，这是一个警报。让我们看看日志，看看这个人——计算机当时可能正在执行的活动类型，或者点击了哪种类型的链接？或者在点击链接时，他们访问了哪种类型的网址？那是否是我们以前见过威胁活动的已知网址？

下载了哪种类型的文件？让我们去分析一下文件，文件的结构。嗯，这是我们以前见过的。这绝对是一个入侵。

或者可能不是。让我们深入研究一下，看看这个文件是否试图联系某人。因此，存在不同的级别，或者存在深度，具体取决于我们对某事是否可能发生的信心，在这种情况下，您可以停止分析，或者您可以利用越来越多的被动数据，直到得出结论。

迈克尔·克里格斯曼：所以我认为实时数据用于进行非常快速的分析，以便能够快速周转，以中断正在进行的潜在攻击。然后，被动数据分析结合人类分析师可能会稍后查看它，以更全面地了解正在发生的事情并追踪他们需要追踪的任何内容。对吗？

库尔特·约翰：说得太对了。说得太对了。

迈克尔·克里格斯曼：你们处理多少数据？你们是一个大公司。

库尔特·约翰：是的，你想想，全球 300 名员工，美国 50,000 名员工，不同的时区——这意味着一天中的任何时间，都会有人工作，如果有人在机器上、服务器上、笔记本电脑上、手机上工作，就会流式传输数据。因此，在那种类型的遥测数据方面，我们处于 PB 级别的范围内。

迈克尔·克里格斯曼：所以所有这些数据都是实时分析的，并辅以您之前描述的被动数据分析。

库尔特·约翰：是的，完全正确。

迈克尔·克里格斯曼：在不提及供应商或谈论特定产品的情况下，您使用哪种基础架构来管理这种范围的数据、这种数据量以及您必须处理数据的速度？

库尔特·约翰：这是一个组合，所以从维护数据的分析角度来看，我们使用开源和内部应用程序的组合，因为——人们可能不知道这一点，但西门子的第一个网络安全组织成立于 1984 年。因此，我们已经做了一段时间了，甚至在市场变得成熟之前——或者如果有人不同意“成熟”，也许它与现在一样多的选择——我们必须找到一种方法来满足我们自己的需求，因此许多开源和内部应用程序，当然，也得到了您所期望的一些供应商的支持。因此，这就是我们构建的结构，以便管理数据的速度——实际上，事物移动的速度非常快——然后也管理数据的体积，但也能够，因为数据的体积，对数据进行尽可能快的分析。因此，我们发现自己不得不做一些非常有趣的创新和一些很酷的内部应用程序来管理速度和体积。

迈克尔·克里格斯曼：听起来，使用数据来解决网络安全等业务问题深深地嵌入在西门子美国的文化 DNA 中。

库尔特·约翰：当然，100%。有一件事非常有趣——我们处理数据的方式，从业务到 IT 到网络安全，然后贯穿始终，我们试图尽可能地保持这种线程化方法，在这种方法中，我们了解不同类型的不同数据点在不同领域对特定用户具有不同的价值，对吧？例如，有一些数据具有超级时间敏感性，例如我们提到的实时数据。我们需要提高警惕。

但随后还有其他数据，这些数据不具有时间敏感性，但可以提供大量分析价值，例如被动数据。根据数据的年龄、位置、访问时间、访问人员、访问方式，数据的价值会真正发生变化，起伏不定，这是一个引人入胜的概念。所以我想这开始于我们交付给客户的技术，但自 1984 年我们开始网络安全之旅以来——顺便说一句，现在有 1,200 多名专家，全球网络安全专家——我们确实采取了这种多方面的方法来处理数据，并了解它带来的价值。

迈克尔·克里格斯曼：随着时间的推移，西门子对数据的看法是否发生了变化？

库尔特·约翰：是的，确实发生了变化，我认为这不仅是西门子的变化。但这是整个行业的变化。我认为当人们开始在微观层面上进行自动化时——比如假设有人试图自动化他们正在进行的特定流程，例如，比如打开电子邮件并将其保存到本地驱动器——或者如果它更多地在宏观层面上，试图自动化整个会计流程或自动化特定的网络安全流程，最初的重点是效率，时间效率，成本效率。

随着西门子开始的数字化转型之旅，我们已经进行了一段时间，这些数据的价值已从效率的副产品转变为对我们运营、产品、市场反馈等的绝对宝库。所以观察和看到我们如何继续转型成为一家科技公司，数据如何被重新利用或放在我们所做工作的中心，这真的很酷，因为正是通过这种方式，我们才能获得一些有趣的见解，帮助我们更高效地交付客户想要的。

迈克尔·克里格斯曼：所以数据的角色已经超越了效率，正如您所说，节省时间，节省资金，转向创新，如果可以这么说，这意味着做得更好，为我们的客户提供更好的服务、产品、成果。

库尔特·约翰：同意，顺便说一句，不仅提供更好的产品，这一点我 100% 同意。它试图用更少的资源以更有效的方式交付更好的产品，从而创建反馈循环，数据成为帮助我们执行这些见解和分析的基础资源，以便我们能够在更短的时间内以更少的资源和更有针对性地交付改进的产品。

迈克尔·克里格斯曼：啊，CIO 的口号或命令或要求——让我们说要求。不，让我们说口号。用更少的资源做更多的事情。

库尔特·约翰：是的，完全正确，完全正确。

迈克尔·克里格斯曼：这种推动创新的概念——您之前谈论的数字孪生是否与之相关？

库尔特·约翰：哦，绝对的。我今天早些时候与我们的研究主管讨论了数字孪生，我们谈到了安全和数字孪生。我将尝试使我的示例与之相关，为此，观众应该知道——正如我之前提到的——数字孪生是对物理对象的数字表示，尽可能地接近该物理对象。事实上，它应该是该物理对象的精确数字复制品。模拟是指将该对象置于一组场景中，或模拟某些变量或活动，以便您可以看到该对象的性能。

数字孪生在两个方面绝对是变革性的。第一个是工程效率。因此，您可以将其视为不必构建、重建，然后重建多个原型来测试它与——假设它是一个涡轮机——它在空气中移动的方式或它发电的方式，您只需构建该涡轮机的数字孪生。您可以运行所有测试，模拟所有测试，从而显着降低工程成本或生产成本。

现在，当我们将它更进一步地融入网络世界时，这意味着什么？这意味着——让我们再次以涡轮机为例。如果数字孪生说，基于这 10 个变量，您的发动机应以 3,000 RPM 的速度运行。它应该输出这么多的热量，等等。

顺便说一句，在这种情况下，我们在工程流程中已经走得更远，我们实际上已经构建了一个物理副本，因此我们有了我们的数字孪生。当您查看物理副本时，假设温度不是 300 度，而是 500 度，假设 RPM 不是 2,500，而是 6,000。对于数字孪生，在涉及安全和执行异常分析时，我们可以有把握地确定这是否是或不是网络安全影响。

现在，在我的示例中，我将其用作生产前示例，但您能想象如果我们已经完成了生产？我们在销售这些设备。它们安装在客户地点，并且仍然有一个物理设备正在运行。并且在操作员使用的房间内，实际上也存在一个数字孪生。

有了这个数字孪生，在正常运行日，想法是数字孪生等于物理设备，但突然，您的物理设备开始表现得很奇怪。现在，如果您查看数字孪生，它表示它应该是这样，但实际上并非如此，那么对于网络安全的数字孪生，您又可以，再次使用我之前用过的术语，实时执行分析，找出是否有人正在入侵此设备，或者是否有可能存在某种机械故障。这确实让操作员能够尽快进入响应模式，如果前者是有人试图入侵该设备。非常冗长，但我希望我能够解释数字孪生不仅从成本和效率的角度，而且从监控和网络安全的角度来看都非常重要。

迈克尔·克里格斯曼：非常清晰的答案。我曾经与西门子的诺伯特·高斯博士进行过视频对话，他当然是一位世界级的专家，他在这方面是专家，他说的一件事是，您将物理学和数据结合在一起。当您谈论网络安全的数字孪生时，我不清楚它是如何运作的。

库尔特·约翰：好问题，我提到的可能是数字孪生在网络安全方面的最实际方法。但是另一种方法——所以这种网络安全是一种辅助监控，比方说，或者将数字孪生与物理设备进行比较的分析方法。但如果您将它们移入网络靶场，并且您能够在网络靶场内部署一个数字孪生，然后您能够，比方说，模拟一个智能建筑——比如假设屋顶上有太阳能电池板。它们是数字断路器。存在建筑自动化。存在自动 HVAC 和自动门，可以根据是否存在紧急情况而打开或关闭。假设这是一个在智能建筑内运作良好的生态系统。

数字孪生在网络安全方面，可以模拟整个生态系统，然后确定是否出现问题。例如，攻击者是否入侵了我们的建筑？之前我举的例子是使用数字孪生分析单个物理对象，然后查看它是否被入侵。如果处理能力足够，并且方法得当，我们可以模拟整个生态系统，这样一来，如果建筑物的某一侧发生问题，数字孪生就能识别出来，比如，那些门没有正常工作，这样一来，响应时间会大幅缩短。

迈克尔·克里格斯曼：那么，您在数字孪生中描述的这种数据使用方式会产生什么样的业务成果？对您的客户以及您内部的员工来说，有什么好处呢？

库尔特·约翰：迈克尔，我喜欢这些问题。好问题。从西门子的角度来说，我们能做的事情和客户能做的事情非常相似，因为我们要记住，我们是一家面向企业的公司。我们很多客户实际上是在生产线上制造产品，然后将产品交付给他们的客户，他们可能会将产品交付给另一家企业，也可能交付给消费者，具体情况视情况而定。

但是，在西门子内部，如果我们能够在开发过程中利用数字孪生，就意味着我们不需要做那么多事情。我们的上市时间会缩短，因为如果我们需要测试某个特定对象上的新变量，我们可以在数字世界中进行测试，而不是在物理世界中。因此，上市时间会缩短。成本也会降低，因为我们不需要获取大量的原材料来不断地构建、测试、构建、测试。这样一来，循环次数就会减少。

因此，我们的客户最终得到的产品或设备的价格应该会比之前低，而且工作效果也很好。现在，当我们的客户收到这些产品或设备，并将它们与其他设备一起实施到他们的生产流程中时，也会发生同样的事情。如果他们能够利用我们的软件来创建这些数字孪生，就能帮助他们再次缩短上市时间，降低成本。

它还可以帮助工程师进行培训，这样一来，他们就不用再构建物理设备了，比如，假设这是一家汽车制造商。然后你需要查看发动机的内部结构。在过去，你实际上需要拆卸发动机，然后可能还要组装你要培训某个特定员工的零件。

但是现在，你只需要戴上 VR 眼镜，无论是坐在笔记本电脑前，还是戴上 VR 眼镜。你面前就会出现数字孪生，你可以通过简单的挥手动作放大你正在查看的部件。你可以拆卸它并重新组装它，因此它也有助于培训。

第三个方面是现场帮助。同样，你能想象一下，如果你是现场的技术人员，需要拆卸某些东西？在过去，你必须翻阅这本厚厚的百页书，才能找到正确的零件，然后希望这些页面仍然是完整的，没有被弄乱。

但是现在，无论是使用 iPad、笔记本电脑还是 VR 眼镜，你都可以获得逐步的说明，以及使用数字孪生的实时增强现实技术，来指导你如何拆卸或修复某个东西。你可以指出问题所在，然后就可以获得逐步的解决问题方法。这只是众多好处中的一部分。我们一直在寻找新的方法，数字孪生在这方面完全是革命性的。

迈克尔·克里格斯曼：我想，所有这些都依赖于拥有大量高质量数据，以及能够准确反映这些系统在现实世界中的行为的精确算法和计算。

库尔特·约翰：完全正确。

迈克尔·克里格斯曼：您多次提到西门子网络防御中心。它是什么？

库尔特·约翰：西门子网络防御中心是我们遍布全球的多个地点之一，在美国也设有一个。这是一群很棒的员工，他们全天候工作，跨越两大洲，监控我们的基础设施。他们不仅能够发现异常，跟踪异常，并尽快进行修复，还能够进行我们所说的“威胁狩猎”。因此，他们不仅被动地等待异常出现，还会主动扫描我们的基础设施，寻找可能存在的威胁。

迈克尔·克里格斯曼：所有这些都是您一直在收集和监控的数据生态系统的一部分。

库尔特·约翰：同意。他们实际上是我们处理的数据量的一个极好的例子。全球西门子网络防御中心每天处理大约 30 亿个事件。现在，并非所有这些事件都会成为事件，但这可以让你了解我们接收到的数据的数量，这些数据可以被归类为事件，换句话说，就是需要进一步分析的内容。这也让你了解我们背后的基础设施，因为如果他们没有一个非常复杂和自动化的基础设施，可能没有哪一群人，无论规模有多大，能够实时接收、分析并确定这些事件的性质。

迈克尔·克里格斯曼：我想，这需要非常快的基础设施和大量的计算能力。

库尔特·约翰：是的，没错。

迈克尔·克里格斯曼：让我们稍微改变一下话题。供应链中的网络安全怎么样？像西门子这样规模的公司肯定拥有一个庞大而复杂的供应链，而且可能存在威胁。

库尔特·约翰：是的，我们的供应链规模很大。在全球范围内，我们大约有 240,000 家供应商。在美国，我们大约有 24,000 家供应商，约占 10%。而且，这个数字还在不断增长，对吧？我们的供应链从非常重要的部件——比如某个特定产品无法上市的部件——到送花的人，以及所有介于两者之间的供应商，应有尽有。

维护这样的供应链绝非易事，但我必须说，这个团队在处理这方面绝对很出色。我们处理供应链的方式几乎就像一个三或四管齐下的方法。我的脑海里通常会跳出一个数字，我会把它说出来。它可能会有 1 的误差。我们来看一下。

首先是——这是一个非常不技术性的主题，那就是合同，对吧？因此，我们希望在与供应商的合同中明确表明，我们对网络安全的重视程度，以及他们在网络安全方面的责任。因此，我们会在与供应商的合同中加入非常标准的网络安全条款。第二是评估我们的供应商，评估内容很多，包括道德、财务可行性等等。但从我的角度来看，我们会谈论网络安全，因此我们会对他们的运营方式，以及他们处理数据的方式、处理通信的方式进行实际审查，所有这些都会让我们对这些供应商形成意见或风险级别，以及他们是否适合我们的生态系统，以及他们是否需要在成为供应商之前进行改进，或者我们是否对他们的安全运营模式感到满意。

这方面的另一个部分是我们的第三道防线，对于业内人士来说，他们会知道那是审计。因此，我们实际上有一个审计部门，他们会对我们的供应商进行随机审查，有些审查是针对特定主题的。但他们会去检查我们所谓的业务合作伙伴，以确保——道德、财务可行性等等——我们的供应商是否达到了我们对他们的预期。

第四个方面非常有趣，因为西门子规模庞大、结构复杂，我们只是在基本运营中就需要做很多事情，因此，我们发现自己处于一个非常有利的位置，我们拥有很多关于如何处理网络安全的知识，从最开始的阶段一直到非常复杂的阶段。我们尽力与供应商分享这些信息和知识，尽可能多地进行分享。因此，虽然这不是一个正式的计划，但无论何时，当我们对供应商进行审查，或者供应商出现问题时，我们都会尽力保持沟通畅通，并提供开放式政策，尽可能多地与供应商分享最佳实践。

迈克尔·克里格斯曼：因此，很明显，在与供应商的安全合作关系方面，您对他们的控制程度很高。但是，如果您的供应商受到攻击，并且对西门子造成了下游影响，您会参与其中吗？

库尔特·约翰：如果发生在美国/太平洋地区，或者更糟糕的是，在全球范围内发生，我们就会参与其中，我们一直都很幸运——也许“幸运”不是一个合适的词——而是我们与供应商之间的伙伴关系非常刻意地预防了这种情况。我能说的最好的方法是——回到我之前的那一点，那就是保持沟通畅通，并真正确保我们的供应商与我们一起努力。我们很幸运，还没有发生过任何重大干扰，但我要告诉你，迈克尔，这是整个行业面临的最大挑战之一。

如你所知，尤其对于像西门子这样拥有众多供应商的公司来说，最难的部分是需要在整个供应链中，从第三方、第四方、第五方一直到最终方，对所有环节进行防护。同时，坏人只需要找到一个突破口。在今年和去年年底的新闻中，我们已经看到了这些活动的危害。因此，我们一直在密切关注。例如，在这些合同条款中，我们会根据供应商的性质，要求他们对自己的供应商进行同样程度的尽职调查和合理注意，并将这种做法尽可能多地传递下去，一直到整个供应链。因此，回答你问题的最佳方式是，我们与供应商一起努力，并且还会进行根本原因分析，这样我们就能避免类似事件再次发生。

迈克尔·克里格斯曼：正如您所说，您需要关注这个庞大的业务版图，它延伸到无数的供应商，以及他们的供应商，以及他们的供应商，而坏人只需要找到一个突破口。

库尔特·约翰：只需要一个突破口。

迈克尔·克里格斯曼：现在，您是一个云优先的组织。我之前听说您这样描述过。在西门子，这意味着什么呢？

库尔特·约翰：这意味着我们了解超大规模云提供商为这个方程式带来的价值。我使用“超大规模云提供商”一词来指代那些典型的——无论是亚马逊、微软，以及其他公司。与这些超大规模云提供商的合作，只要有意义，就能帮助我们缩短上市时间，降低成本，等等。因此，这意味着，只要有可能，如果我们能够利用云来实现这些目标——创新、降低成本、用更少的人做更多的事情，等等——我们就会抓住这个机会。

从网络安全的角度来看，这很有趣，因为这意味着从我们的角度来看，我们不仅需要关注本地系统并制定行动计划。 我们还需要关注云中的系统，甚至需要关注混合的生态系统，对吧？ 我们如何尽可能扩大我们所做事情的范围，这样——再次强调，范围不能太广。 否则，我们会淹没在不必要的数据中——但要扩大范围，以便我们从本地系统和基于云的系统中获得正确数量的遥测数据，这样我们才能保持所需的响应能力？

MICHAEL KRIGSMAN：所以你正在收集所有这些系统的数据——本地、云、混合，无论它们存在于哪里——为了尽可能全面地进行安全分析。

KURT JOHN：没错。

MICHAEL KRIGSMAN：在我们结束之前，您对正在听取并希望更有效地利用数据来开展业务的商业领袖有什么建议？ 无论是网络安全还是一般的商业目的。

KURT JOHN：迈克尔，我告诉你，这是一个非常有趣的问题。 我认为新公司、小型公司可能更容易一些。

没有数据支持这一点，但这是我的总体感觉，因为新公司或小型公司不会出现这些大量的数据泄漏，这些泄漏不断地由多年，甚至几十年来一直存在的系统提供。 因此，对于新公司和小型公司来说，您真的需要对您所采取的每个技术步骤都具有目的性。 事实上，我建议在您的技术路线图和战略中构建实际的要点，说明您想要收集哪些类型的数据，并将这些数据与特定的业务目标或业务成果联系起来。

对于像西门子这样的规模更大的公司——西门子已经成立了 170 多年，快要 200 年了——我们面临的挑战正如我之前提到的那样，对吧？ 我们拥有海量的数据。 在某些情况下，实际上更容易从头开始构建一个新系统，或者干脆清除数据，这些通常适用于那些对实时数据比对历史数据更依赖的系统。

例如，网络安全——如果我们被几十年的遥测数据淹没，那么从头开始进行清理可能是有意义的，因为网络安全是当下的问题。 这关系到我们如何尽快做出反应，并保持几天或几个月（具体取决于情况）的足够遥测数据，以便我们可以很好地掌握发生了什么。

但业务的其他部分则需要历史数据，对吧？ 所以如果你想做——比如财务，你想做市场趋势或市场分析，回顾 10 年，看看这 10 年来产品发布的典型反响，以便你确定如何改变新产品的市场发布策略。 那么历史数据比实时数据重要得多。

因此，我想说，对于那些商业领袖来说，你必须弄清楚你在旅程中的哪个阶段，你属于哪个类别，是需要实时数据还是历史数据。 也许两者都需要。 然后你需要回到技术路线图和战略中，真正有目的地构建关于数据的要点，以及数据如何帮助你的业务取得成功。

MICHAEL KRIGSMAN：所以要非常清楚地了解你试图解决的数据问题，以及哪些类型的数据可以用来解决这个问题——然后我会叠加数据的准确性。

KURT JOHN：没错。 说得好。

MICHAEL KRIGSMAN：最后，您认为未来几年网络安全中的数据作用将如何发展？

KURT JOHN：好问题。 我认为将会发生两件事，请允许我谈谈创新。 大致来说，创新分为两种类型，对吧？ 一种是颠覆性创新，比如 Uber、Lyft 和其他类似的公司，它们只是重新利用现有的技术，并颠覆了整个行业。 然后是渐进式创新，对吧？ 我认为西门子在这两种类型中都占有一席之地。

现在，之所以这很重要，是因为在网络安全方面，我认为我们将看到更多特定用途的人工智能。 对于正在收听的网络安全同事，请不要呻吟，对吧？ 人工智能是网络安全行业的祸害，因为每个人都在毫无节制地使用它，而它并没有真正达到预期。

但我确实认为，由于系统之间的相互关联程度越来越高，数据在系统之间移动的速度越来越快，在系统之间移动的数据量越来越大，以及越来越多的编程被用于决策点，以便——人类不一定完全脱离流程，但只是脱离决策点，因为你真的需要速度。 我想，最好的例子可能是资本市场，那些机器人进行着微观交易和销售，对于我们的听众来说，这可能是最好的概念化方式。 而且我认为，数据将会不断涌入——越来越多的坏人会试图破坏这种模式，因为破坏这种以光速移动的微观流程，可能会产生更大的影响，不仅是一般性的影响，而且正如我们之前所说，会影响供应链。

因此，我认为数据将在网络安全领域得到更多利用，以继续进行趋势分析，观察坏人如何试图破坏这些类型的微观流程，并保护有助于我们日常生活运行的那些决策点。 因此，我所能想到的最好的分类方式是特定用途的人工智能，而不是那些会说“早上好，科特，我来开车送你去上班”的人工智能，而是真正专注于保护这种微观流程的特定用途的人工智能。

我认为这是我们在未来三到四年内将会看到的。 我认为这将导致一些事情，希望能够提供更好的保护，但我同时认为，我们将看到更多的事情发生在更技术性的层面上，更少的人员，更多的数据以及机器学习和人工智能应用于网络安全的技术层面上。 这将释放非常宝贵的资源，以便这些资源可以专注于解决我们今天面临的越来越复杂的问题。

MICHAEL KRIGSMAN：听起来你是在说，除了数据之外，我们还将拥有更复杂的算法和机器学习，以及非常专业的机器学习模型，来利用这些数据解决非常狭窄的用例。 这是对您所说的内容进行总结的正确方式吗？

KURT JOHN：我告诉你，迈克尔，你有一套做执行摘要的天赋。 这就是完美的描述。

MICHAEL KRIGSMAN：好的，所以我需要去找一份整天做执行摘要的工作。 好的，有了这些，我想感谢西门子美国公司的首席网络安全官科特·约翰。 科特，非常感谢您与我们分享您的知识。 真的很棒。

KURT JOHN：谢谢，迈克尔。