Splunk CISO分享政治竞选活动网络安全实践经验

曾担任Pete Buttigieg总统竞选活动首席信息安全官的Mick Baccio，现任Splunk SURGe全球安全顾问及思科Foundation AI专家，近日分享了他为美国总统竞选活动建立网络安全防护的独特经历。

从政治竞选到企业安全的跨界经验

Baccio曾是美国海军预备役情报官员，在奥巴马和特朗普政府期间担任总统执行办公室威胁情报专家。当他收到Buttigieg竞选团队CISO职位邀请时，最初是拒绝的。"当你参与美国政治竞选活动时，无论输赢，11月份你都会失业，"他坦率地说。

然而，这次经历让他对网络安全有了全新的认识。政治竞选活动是一个非常独特的组织形态——完全依靠捐款运营的非营利组织，唯一目标就是让候选人当选。在这种环境下，CISO的角色发生了根本性改变。

大多数竞选工作人员都是志愿者或刚毕业的年轻人，很多人甚至不知道CISO是什么。"我必须向他们解释我的工作内容，教他们如何进行网络安全防护，"Baccio回忆道。

竞选活动面临着与大型企业截然不同的挑战。每一美元的网络安全支出都意味着减少了用于赢得选票的资金，因此必须以最低成本实现最有效的安全防护。

真实威胁环境超越想象

尽管外界普遍关注俄罗斯间谍活动和选举干预，但Baccio发现竞选活动面临的威胁环境与普通企业基本相同。"我认为最被低估的威胁载体就是普通的欺诈和商业邮件入侵，"他说。

"这是一个年产值1000亿美元的产业。我们总是谈论智能体AI威胁、多态恶意软件、高级持续性威胁等等，但实际上主要问题还是欺诈。欺诈问题比任何APT或AI攻击都更严重，只是它不够性感，无法登上新闻头条。"

网络安全基础的重要性

基于多年经验，Baccio强调了"网络安全蔬菜"的重要性——即掌握基础防护措施。他将这些基础措施比作网络安全食物金字塔的底层三分之一。

"你知道应该多喝水、多吃绿色蔬菜，如果不这样做，你的身体会有所反映，"Baccio比喻道。"同样，你知道应该对所有系统启用多因素认证，应该进行网络分段，应该及时打补丁——如果不这样做，你的网络就会被攻破。"

他特别指出："黑客不会攻击云服务，他们直接登录。他们已经从访问代理那里购买了凭据，根本不需要攻击任何东西。但如果我启用了抗钓鱼的多因素认证，他们可能就无法登录，账户接管就不会发生，整个网络攻击的后续过程都会改变。"

Splunk SURGe的实用主义方法

Splunk SURGe成立的目标是帮助防御者解决当今面临的实际问题，提供可操作的指导、深度分析和快速安全响应的实用解决方案。

该部门的成立源于SolarWinds妥协事件期间的"无头鸡"时刻，创始人Ryan Kovar意识到Splunk在数据科学应用于安全方面技术过硬，但在人性化方面还有不足。

Kovar不想成为"又一个安全厂商研究团队"，因此将SURGe定位为"蓝队的蓝领服务"——为用户提供实用资源。Baccio参与了该部门的创建，并提出了"蓝领"这一概念。

向AI基础领域的战略转移

自2025年7月以来，SURGe的核心使命发生了重大变化，转入思科Foundation AI工作。这是Splunk网络中心母公司推出的新举措，专门开发开放权重、安全专用的AI模型。

2025年4月，Foundation AI推出了Foundation-sec-8b，这是一个拥有80亿参数的大语言模型，专门设计用于帮助安全团队提高工作效率、行动精确度，并在不妥协的情况下扩展运营规模。

Baccio对这一转变最初感到震惊，但现在认为这可能是思科收购Splunk以来做出的最明智决策。这种合作将SURGe作为威胁情报管家和客户信任顾问的集体经验带入高技术领域，构建真正帮助安全团队的AI工具。

智能体AI的实际应用

过去12至18个月智能体AI的出现让AI的承诺变得更加真实。"如果我将通用AI应用于网络安全问题，效果不会很好。但如果我构建一个非常具体的模型来完成非常具体的任务，那就是我一年前购买AI宣传时想要的，"Baccio说。"智能体专注于一项任务，并且会做得非常好，但不要要求它做其他事情。"

他举例说明了同事Shannon Davis的工作。Davis是Foundation AI的首席AI研究员，创建了一个名为PLoB（登录后行为）的工具，用于即时检测入侵。

"回到我说的不需要攻击云服务，直接登录的观点，在你登录后，PLoB会检测你的所有活动，并能够判断'这是恶意行为者'还是'这只是来自研究部门的Mick'，"他解释道。

"能够以机器速度完成这项工作是我们必须更多依赖的能力，特别是考虑到API调用、非人类身份以及我们在互联网这个复杂系统中引入的所有新元素。"

展望未来，Baccio表示："学习如何应用智能体变得至关重要。我们在后台正在进行一些我无法透露的项目，但我们正在积极合作，集思广益并构建这些工具，帮助将安全防护这块西西弗斯之石推得更远。我对此感到兴奋。我们将帮助让某些人的安全程序变得更加安全。"

Q&A

Q1：政治竞选活动的网络安全防护有什么特殊挑战？

A：政治竞选活动是完全依靠捐款运营的非营利组织，每一美元的安全支出都意味着减少用于赢得选票的资金。大多数工作人员都是志愿者或刚毕业的年轻人，很多人不了解网络安全基础知识，需要从头开始培训。

Q2：企业网络安全面临的最大威胁是什么？

A：最被低估的威胁是普通的欺诈和商业邮件入侵。这是一个年产值1000亿美元的产业，比任何高级持续性威胁或AI攻击都更严重。黑客通常不会攻击云服务，而是直接使用从访问代理那里购买的凭据登录系统。

Q3：Splunk SURGe如何帮助企业提升安全防护能力？

A：SURGe提供实用的安全指导和解决方案，强调"网络安全蔬菜"——即基础防护措施的重要性，如多因素认证、网络分段、及时打补丁等。现在还结合AI技术开发专门的安全模型，如PLoB工具可以即时检测登录后的恶意行为。