تكييف ممارسات الأمان مع مشهد التهديدات الجديد

يناير/ كانون الثاني 2025

قمة Executive Summit في AWS re:Invent

استمع إلى Steve Schmidt، مسئول الأمن (CSO) في شركة Amazon، وChris Betz، مسئول أمن المعلومات (CISO) في AWS وSara Duffer؛ نائبة رئيس AWS لشؤون ضمان الأمن في حلقة نقاش ثاقبة حول تطور أفضل الممارسات الأمنية في العصر الحديث. تعرف على كيفية قيام التقنيات الناشئة بإعادة تشكيل مشهد المخاطر، وكيفية الإعداد للوائح الامتثال الجديدة، وكيفية تفعيل استراتيجيات الحوكمة الصحيحة للحفاظ على أمان مؤسستك على كل المستويات. (يناير/ كانون الثاني 2025)

نسخة من المحادثة

تضم المحادثة Sara Duffer، نائبة الرئيس لشؤون ضمان الأمن في AWS، وChris Betz، مدير أمن المعلومات (CISO) في AWS، وSteve Schmidt، مدير الأمن في Amazon

الرغبة في المخاطرة المختلفة للشركات المختلفة

Sara Duffer:
لذلك سأمضي قدمًا وأتعمق مباشرة. كلاكما مسؤول عن الأمن في Amazon وAWS على الترتيب. هل يمكن أن تخبرني قليلاً عن الآليات التي تستخدمها للبقاء متماسكًا؟

Steve Schmidt:
بالتأكيد. أعتقد أن أحد الأشياء التي يجب أن نبدأ بها هو أن جميع الشركات ليست هي نفسها، وهذا واضح للناس هنا. ولكن عندما تدير مؤسسة كبيرة مثل Amazon، فمن المفاجئ أحيانًا الفرق في العمليات التجارية داخل شركة واحدة. لدينا بعض المنظمات التي لا تتحمل المخاطر بشكل كبير، وبعضها أكثر استعدادًا لتخطي الحدود في ظروف معينة. يعتمد ذلك إلى حد كبير على النشاط التجاري الذي يعملون فيه، والبيانات التي يتعاملون معها، وما إلى ذلك. ووجدنا أنه من الضروري وجود مجموعة مشتركة من المقاييس عبر الشركة بأكملها تعطينا فحصًا أساسيًا لكيفية أداء الأشخاص من منظور الأمان. ثم إعداد تقارير خاصة بالأعمال أو مصممة خصيصًا لكل مؤسسة تتحدث عن المخاطر التي تواجهها وما تفضل القيام به فيما يتعلق بإدارة البيانات التي عهد بها عملاؤها إليهم، والمعلومات التي لديهم، وما إلى ذلك.

على الرغم من ذلك، فإن التقارير الشائعة هي أهم شيء لإعطائنا وجهة نظر موحدة. لذلك عندما نذهب ونجري محادثة مع أي شخص، من الرئيس التنفيذي للشركة، Andy Jassy، وصولاً إلى ذلك، يمكننا التحدث بلغة مشتركة. من السهل جدًا أن نفهم كيف يعمل جزء من المؤسسة مقارنة بآخر، والأهم من ذلك أنه يشير إلى الفجوات في الأماكن التي لا ندرس فيها الأشياء بالطريقة التي نحتاج إليها لأننا تعلمنا مجموعة معينة من الفرص للتحسين في جزء من المؤسسة مقابل جزء آخر. ودعونا نواجه الأمر، جميع قادتنا في الشركة قادرون على المنافسة. لذلك عندما تستخدم التقارير الشائعة التي تسردهم مقابل أقرانهم، فإنها تحفز السلوكيات التي نهتم بها حقًا. إنه يجعل الناس يركزون في الاتجاه الصحيح.

Chris Betz:
انظروا، بقدر ما أكره وصف نفسي بعدم التسامح، فإننا لا نتحمل المخاطر في AWS. ولذا فنحن إحدى المنظمات التي تقضي بالفعل الكثير من الوقت على مقاييسنا الخاصة بالأعمال. حتى داخليًا بالنسبة لـ AWS، أجد أن هذه الأساليب نفسها تميل إلى العمل من أجلنا، وأن الطبيعة التنافسية والاستفادة من ذلك عبر المؤسسات قوية للغاية. ولكي نكون منسجمين جدًا مع الأعمال التجارية، لفهم أن AWS لا تتمتع بنفس درجة التسامح التي قد تتحلى بها الأماكن الأخرى تجاه المخاطر. لفهم ما يهمنا والتأكد من أن مقاييس الأعمال هذه تظل متوافقة تمامًا مع الأعمال وتظهر كجزء من عمليات مراجعة الأعمال لدينا.

تحديثات الأمان الخاصة بالرئيس التنفيذي ومجلس الإدارة

Sara Duffer:
لذا، Steve، ذكرت التحدث مع الرئيس التنفيذي، Andy Jassy. كيف تتواصل مع الرئيس التنفيذي والتحديثات الأمنية لمجلس الإدارة؟

Steve Schmidt:
لذا فإن التواصل مع الرئيس التنفيذي، ويجب أن يكون، من وجهة نظري، التواصل مع الرؤساء التنفيذيين نظرًا لأن لدينا العديد من الرؤساء التنفيذيين في أمازون، مرة أخرى، مصمم وفقًا للطريقة التي تعمل بها مؤسستهم. على سبيل المثال، يدير Chris اجتماعًا أسبوعيًا مع الرئيس التنفيذي لشركة AWS لأن الإيقاع الأمني هناك يميل إلى أن يكون سريعًا للغاية. إنه شيء يجب أن نتفاعل معه مع التهديدات بسرعة كبيرة، وعلينا أن نفهم التغييرات في البيئة المحيطة بنا. يجب أن نكون قادرين على تكييف استجاباتنا بشكل مناسب بالنظر إلى الطريقة التي يعمل بها العالم من حولنا. نحن نعمل أيضًا مع Doug Herrington، وهو الرئيس التنفيذي لأعمال المتاجر، ولكن في شيء يركز بشكل أكبر على عمله، حيث تميل فترة التناوب إلى أن تكون مختلفة قليلاً، سواء كانت مراجعة شهرية أو أشياء من هذا القبيل.

يختار Andy Jassy أن يكون في اجتماع خاص بالمراجعة الأمنية على أساس ربع سنوي. لذلك نذهب إليه كل ثلاثة أشهر بمجموعة من المقاييس الشائعة والتقارير المتسقة عبر الزمن، ولكن أيضًا قسم من تقريرنا، والذي يتغير دائمًا. نسميها الأحداث الجارية، وهي شيء نركز فيه على التغيير في البيئة التي نعمل فيها والأكثر أهمية بالنسبة لنا. كيف يفكر الروسيون في الأشياء الآن مقارنة بالصينيين؟ ما الأساليب التي يتبعونها لملاحقة الشركات؟ ما الأساليب الجديدة التي يستخدمها الناس للتسبب في المشاكل وكيف نستجيب لذلك أو نُعدُّ أنفسنا لها؟

لقد ذكرت مجلس الإدارة أيضًا. مجلسنا فريد نسبيًا. تختار الكثير من مجالس الإدارة وضع الإشراف على مؤسستها الأمنية إما في لجنة التدقيق أو في لجنة المخاطر عادةً في مؤسسة مالية. اختارت Amazon إنشاء لجنة فرعية محددة للأمن فقط، وبالتالي لدينا ثلاثة أعضاء في مجلس إدارتنا يركزون فقط على الأمن. نلتقي بهم على أساس منتظم. يحصلون على تقرير ربع سنوي حول ما يحدث مع Amazon ويتصفحون جميع أعمالنا. يخبرنا أعضاء مجلس الإدارة أنهم يرغبون في التركيز على شركتين في وقت واحد، لذلك يختارون. إنه نوع من تدوير القرص وتحديد الأعمال التجارية التي ستظهر في المرة القادمة.

ومرة أخرى، لدينا القسم الخاص بالأحداث الجارية في الأسفل، لأنه يمثل المصالح المشتركة في أين نحن الآن، وإلى أين نتجه، وما الذي يتغير من حولنا، وكيف نحتاج إلى التطور. وأعتقد أن الفترة الزمنية القصيرة جدًا بين شيء متغير في العالم، وإبلاغ مجلس الإدارة بكيفية إدارتنا لهذا التغيير أمر مهم لقدرتنا المستمرة على ضمان حصولنا على الحماية المناسبة للعملاء.

Sara Duffer:
Chris، هل تريد إضافة أي شيء؟

Chris Betz:
لدي ثلاث أفكار إضافية. أولاً، أحد الأشياء التي أقدرها بشأن المحادثات مع Andy والمديرين التنفيذيين، ولكن أيضًا داخل AWS هو أننا لا نجري تلك المحادثات بمعزل عن غيرها. إنها ليست مجرد مجموعة صغيرة جدًا مع الرئيس التنفيذي. هذا هو الحال مع الرئيس التنفيذي وفريق قيادته لأنه لا يحدث شيء بمعزل عن الآخرين. لذا فإن التأكد من أن النشاط التجاري يأتي مع المحادثة، وأننا منخرطون بعمق في الأعمال التي تسبق هذه المحادثات وكجزء منها أمر مهم للغاية. الشيء الثاني هو أننا في AWS، لدينا مجلس إدارة بالإضافة إلى مجلس إدارة Amazon. وهذا يسمح لنا كآلية بالتعمق على أساس ربع سنوي في الأمن والموضوعات ذات الصلة بالمخاطر حتى نتمكن من الاستمرار في إجراء هذه المحادثات والتأكد من أننا نضع الحوكمة الصحيحة في مكانها الصحيح.

والفكرة الثالثة، بعد أن رأيت عدة مجالس إدارة مختلفة، كل مجلس إدارة تفاعلت معه مختلفة جدًا عن الآخر. أعتقد أن الكثير من ذلك مدفوع بجانب الأشخاص والشخصيات، وبعضًا منه مدفوع بطبيعة العمل. ولذا أعتقد أن أحد الأشياء بصفتي مدير أمن المعلومات (CISO) أو كشركة رائدة في مجال التكنولوجيا في مشاركة مجلس الإدارة، من المهم، كما وجدت، فهم كيفية عمل مجلس الإدارة في المجالات الأخرى. كيف تفكر الشركة في نفسها وتتحدث عن نفسها؟ ما هي اللغة التي يجب أن تستخدمها؟ ما هو السياق لأن الحديث عن الأمان بمعزل عن الآخرين لا يساعد. إن الأمان في سياق النشاط التجاري هو المهم جدًا. وثالثًا، التأكد من أنك تفهم الجمهور. يتمتع الأشخاص المختلفون في المجالس بمهارات مختلفة جدًا. يجب أن تكون قادرًا على التحدث إليهم جميعًا.

لذا، سواء كنا من قادة التكنولوجيا المشاركين في محادثة أمنية أو مدراء أمن المعلومات (CISO) بأنفسنا، فإن التأكد من أننا نفهم هذا الجمهور، وطبيعة مجلس الإدارة، وكيف تفكر الشركة في نفسها، ومدى ملاءمة الأمن والتكنولوجيا لذلك، يجعل المحادثة ناجحة حقًا.

Steve Schmidt:
أود أن أُبرز شيئًا قاله Chris للتو. أكبر خطأ نراه من القادة الجدد عندما يتحدثون إلى الإدارة العليا أو القيادة العليا في الشركة، مثل مجلس الإدارة، هو التركيز المفرط على الأمور الفنية، وخاصة في المجال الأمني. إنه أمر قاتل لقدرتك على إيصال وجهة نظرك إلى عميلك الذي هو عضو مجلس الإدارة هذا. نحن بحاجة إلى التحدث، كما قال Chris، في سياق الأعمال التجارية. لا يهم أن تكون هذه ثغرة خطيرة بدرجة CVSS تبلغ 9.86 أو أنها لا تهتم. هذه فرصة للخصم للوصول إلى هذا النوع من المعلومات التي تخص عملائنا، والتي تؤدي إلى هذه النتيجة، ولديها احتمالية معقولة لحدوثها في غضون الستين يومًا القادمة. أن يتمكن أحد أعضاء مجلس الإدارة من الحصول على يديه بدلاً من القول: «هذا أمر مخيف.» أعتقد أن هذا هو السياق، مهم للغاية.

حل تحديات أمان العملاء

Sara Duffer:
أنتما تتحدثان مع العملاء بشكل منتظم للغاية. ما هي التحديات أو المشكلات الأمنية الحالية التي تسمعها من العملاء؟ وما الذي تفعله AWS لمساعدة عملائنا في هذا المجال؟

Steve Schmidt:
يجب أن يكون الذكاء الاصطناعي رقم واحد. الكثير من الناس، بالطبع، مهتمون حقًا بكيفية استخدام هذا بأمان؟ كيف يمكنني استخدام الذكاء الاصطناعي بمسؤولية؟ كيف يمكنني الحصول على المعلومات والتأكد من حصولي على الوصول الصحيح إلى تلك البيانات عندما أحتاج إليها، مما يمنع الوصول عندما لا أفعل ذلك؟ عندما نتحدث إلى العملاء، فإن أول شيء أسأله هو، «كم عدد التطبيقات التي لديك في شركتك والتي تستخدم الذكاء الاصطناعي المولّد؟ هل تعرف الآن؟ هل يمكنك قياس ذلك على أساس منتظم؟» يقول معظم الناس، «نعم، قمنا بحساب الشهر الماضي أو الربع الأخير أو أي شيء آخر. حسنا، خمن؟» المطورون لديك يتحركون بسرعة أكبر من ذلك بكثير. كان علينا بناء العمليات داخليًا، مما يسمح لنا برؤية كل مرة يقوم فيها المطور باستدعاء محرك الذكاء الاصطناعي المولّد من الكمبيوتر المحمول الخاص بالشركة أو من أحد أصول الإنتاج التي نمتلكها في جميع أنحاء الشركة.

وهذا يتيح لنا الرؤية بعد ذلك حتى نتمكن من تغذية فرق أمان التطبيقات لدينا لمساعدتهم على فهم ما يحدث مع هذه الخدمة المعينة. عندما قمنا بهذا العد لأول مرة وبدأنا في القيام بذلك منذ فترة قصيرة، جئنا وأبلغنا أندي بالأمر وقلنا: «نعم، هناك أكثر من ألف تطبيق يعمل بالذكاء الاصطناعي المُولِّد قيد التشغيل أو التطوير حاليًا في جميع أنحاء الشركة.» وقد صُدمنا بتلك النظرة التي جعلتنا نقول: "ماذا؟ هل تمزح؟» كلا. وبالمناسبة، إنها ترتفع بمعدل سريع للغاية، وهو أمر رائع لأنه يعني أن مطورينا يتجهون إلى الأمام ويمضون قدمًا بالفعل، ولكنه يعني أيضًا أن على فرقنا أن تسارع وتواصل متابعة هؤلاء الأشخاص للتأكد من أنهم يقومون بالأمور بطريقة معقولة ومناسبة وما إلى ذلك. لكن كل شيء بدأ بهذه الرؤية وبناء محرك الرؤية هذا في الأسفل هناك.

Chris Betz:
أعتقد أن المحادثة الأخرى التي انتهى بي الأمر إلى الخوض فيها كثيرًا هي، ما هي القدرات الموجودة بالفعل داخل AWS حيث يفكر الناس في كيفية كونها آمنة ولكن أيضًا فعالة من حيث التكلفة؟ لا يريد الناس تخصيص الوقت والطاقة في الأماكن التي توجد فيها الحلول بالفعل أو حيث تحدث الأشياء بالفعل. أحد الأماكن التي نتحدث فيها كثيرًا عن ذلك هو البنى وعناصر التحكم، والتأكد من أن الأشخاص معماريون جيدًا، وإلقاء نظرة على كيفية تنفيذ عناصر تحكم بسيطة وسهلة على نطاق واسع. ولذا أعتقد أنها تحولت بالنسبة لنا إلى واحدة من المحادثات المتكررة التي نجريها داخليًا حول كيفية التأكد من أننا ننتج أمانًا بسيطًا على نطاق واسع لهؤلاء العملاء. مكان آخر ينتهي فيه هذا الأمر، وقد تحدثنا عنه كثيرًا مؤخرًا، هو معلومات التهديدات. تتعامل الشركات المختلفة وموفرو السحابة المختلفون مع معلومات التهديدات بشكل مختلف.

يتمحور نهجنا حول جعل معلومات التهديدات هذه جزءًا سلسًا من كيفية عمل الأنظمة. ولذا فقد أمضينا بالفعل مجموعة من الوقت في الحديث عن هذا لأننا لم نضطر إلى التحدث عنه في الماضي، ولكن من المهم للعملاء معرفة ما يمكن توقعه. أن لدينا سلسلة من مزودي معلومات التهديدات والمصائد وأجهزة الاستشعار التي تجمع البيانات كل يوم، وأكثر من 100 مليون تفاعل يوميًا في مصائدنا فقط. وهذه التقنيات، يتم دمج هذه البيانات مع بيانات الاستشعار الأخرى لدينا من أنظمة مثل Sonaris وتمكننا من العمل. يحدث هذا الإجراء دون الحاجة إلى أن يكون العملاء على دراية.

يمكننا الحماية من الهجمات المختلفة بمجرد تحديد عنوان ضار. وحركة المرور هذه لا تصل أبدًا إلى أنظمتك. وهكذا، على سبيل المثال، في العام الماضي، رفضنا أكثر من 24 مليار محاولة لتعداد حاويات S3، وأكثر من 2.6 تريليون محاولة لاكتشاف الخدمات الضعيفة في EC2. وعندما لا نتمكن من توفير ذلك تلقائيًا لك، حيث لا نتمتع بهذه الدرجة من الإخلاص، يمكننا إدخال ذلك مباشرة في أدوات مثل GuardDuty، وما إلى ذلك. وبالتالي فإن المحادثات التي أجريها مع أفراد الأمن هي كيف يستفيدون من التكنولوجيا المضمنة بالفعل، سواء الأجزاء السلسة أو الأجزاء التي نقدم فيها معلومات إضافية لفرق الأمن للعمل؟

Steve Schmidt:
هناك بعض البيانات المثيرة للاهتمام حقًا، أعتقد أنها لتضخيم النقطة التي أشرت إليها هناك حول معلومات التهديدات. وذكاء التهديدات هو شيء هش للغاية. ما لا يدركه معظم الناس هو أنه من خلال ما نراه على الإنترنت، يتم تحويل حوالي 23% من مساحة IP للإنترنت في حوالي ثلاث دقائق. بمعنى أنه إذا كان عمر موجز معلومات التهديد الخاص بك أسبوعًا أو شهرًا أو أيًا كان، فأنت قديم جدًا. وبعض الأشياء الأخرى التي تتحدث عن فورية العمل، بمجرد حصولك على معلومات استخباراتية عن التهديد. عندما نكشف عن نقطة جذب للإنترنت، يستغرق الأمر أقل من 90 ثانية، 90 ثانية، حتى يكتشفها الخصم، وأقل من ثلاث دقائق حتى يحاول هذا الخصم استغلالها. هذه هي الحالات التي يقول فيها المطور الخاص بك، «أوه، سأقوم فقط بفتح هذه المجموعة على الإنترنت، سيكون الأمر على ما يرام. لا أحد يعرف أنه موجود.» ثلاث دقائق، هذا ما لديك قبل أن تواجه مشكلة حقيقية. لذا، تعرف على ما يحدث من خلال تغذية استخباراتية قوية، وكن قادرًا على التصرف بناءً عليه بسرعة. والأهم من ذلك، لا تطلب وجود إنسان في الحلقة للعمل بناءً على ذلك. تأكد من أن الأتمتة تفعل ذلك.

Chris Betz:
أحسنت القول.

توسيع الأمان والامتثال

Sara Duffer:
أود أن أتطرق إلى موضوع أعتبره شخصيًا من أهم المواضيع، وهو أن مواكبة الامتثال في ظل التغير المستمر للوائح والشهادات يعد تحديًا حقيقيًا. Chris، هل يمكنك التحدث قليلاً عن كيفية تفكير AWS في الامتثال على نطاق واسع؟

Chris Betz:
نتحدث عن هذا كثيرًا.

Sara Duffer:
نعم.

Chris Betz:
قبل أي شيء، أحد الأشياء التي أعتقد أنها قوية للغاية من حيث كيفية الامتثال على نطاق واسع هو أن تبدأ بأساس آمن. إن التفكير في الأمان من حيث الأمان حسب التصميم، والتأكد من دمج الأمان في عملية التطوير، يمنحك نقطة انطلاق رائعة قبل أن تضطر حتى إلى التفكير في التنظيم أو الامتثال. عندما نقوم بالأشياء بشكل أفضل، يكون الامتثال أحد الآثار الجانبية المتعمدة لهذا العمل الأمني. ولكي نكون صادقين، فإن معظم الهيئات التنظيمية تريد ذلك أيضًا.

سبب امتثالهم هو التأكد من أنك آمن. ولذا من المهم حقًا تصميم برنامج أمان يركز على الأمان مع التركيز على إثبات الامتثال عن قصد. النقطة الثالثة هي أن مجرد تضمين الامتثال في تصميم العمليات الأمنية لا يكفي؛ لا بد من القدرة على إثباته وتقديمه بشكل واضح. وبالتالي فإن القدرة على جمع هذه البيانات معًا، وجعلها مرئية، وتسهيل فهمها على الآخرين أمر مهم للغاية. وهناك هندسة مستخدمة في ذلك أيضًا. أود أن أقول ذلك إنه استثمار مفيد، لكنك تقضي وقتًا في هذا العالم أكثر مني، لذلك أشعر بالفضول بشأن وجهة نظرك أيضًا.

Sara Duffer:
حسنًا، أسمع الكثير من العملاء في الوقت الحالي، خاصة فيما يتعلق ببرامج الذكاء الاصطناعي المسؤولة وكيفية تشغيلها بسرعة كبيرة. الحديث هنا يتمحور حول كيفية مواكبة هذا التطور المتسارع والانتقال من مفهوم الامتثال التقليدي—الذي يُنظر إليه كنقطة زمنية محددة وثنائية التقييم—إلى ما هو أعمق من مجرد الالتزام بالقوانين كقانون الذكاء الاصطناعي الأوروبي (EU AI Act). وتتمثل الخطوة التالية في تسريع تطوّر البرنامج باتجاه نهج الضمان المؤسسي، والذي يركّز على تقديم مستوى موثوق من الثقة في جودة، وموثوقية، وفعالية ممارسات الامتثال التي تم إثباتها عمليًا. فكيف يمكننا أن نفعل ذلك؟

وفي كثير من الأحيان، يتم الاستفادة من ذلك عادةً من خلال المعايير الفنية. مثل معيار ISO 42001، الذي يسمح للمؤسسات بإثبات أنها تعتمد ممارسات مسؤولة في تطوير ونشر أنظمة الذكاء الاصطناعي، ويتم ذلك ضمن إطار شامل للحوكمة. إذن كيف يمكنك التأكد من أن المؤسسة تقوم بما تتوقعه بالفعل وكيف يمكنك تقديم التقارير إلى كبار القادة ومجلس الإدارة بشأن ما تفعله بشأن الذكاء الاصطناعي المسؤول. والأهم من ذلك، القيام بكل ذلك بطريقة تجعلك تقابل البنائين أينما كانوا ولا تبطئ الابتكار. حتى تتمكن من تلبية هذا المستوى العالي وفي نفس الوقت تكون قادرًا على القيام بذلك بسرعة.

الثقافة الأمنية للقوى العاملة

Sara Duffer:
لذا بتبديل المواضيع قليلاً، Steve، سأذهب إليك. في كثير من الأحيان وفي كثير من الأحيان عندما نتحدث عن الأمن، فإننا ندخل كثيرًا في التكنولوجيا الجديدة والعوالم المتطورة التي أمامنا. ولكن في نهاية المطاف، الجهة التهديدية معروفة وهي إنسان. وأود أن أسمع المزيد حول كيفية تفكيرك في البعد الإنساني المرتبط بالأمن السيبراني.

Steve Schmidt:
بالتأكيد. لذا فإن الأخبار العاجلة، وأمن الكمبيوتر، وأمن المعلومات، والأمن السيبراني، أيًا كان ما تريد تسميته، ليست مشكلة فنية. إنها مشكلة الناس. أحد الأشياء التي تعلمتها منذ وقت طويل عندما كنت في مكتب التحقيقات الفيدرالي أركز على أعمال مكافحة التجسس هو أنه بينما نعم، مطاردة الجواسيس هي الوظيفة، وهي مثيرة للاهتمام، فهم موجودون هناك لسبب ما. إنهم مدفوعون بشيء ما. تقليديًا في عالم التجسس، كان المال أو الأيديولوجية أو الإكراه أو الأنا. نفس الشيء صحيح في عالم الأمن السيبراني. الناس مهتمون بالمال. هذا هو ممثل برامج الفدية. الأيديولوجيا. إنه الممثل التقليدي للدولة القومية الذي يجمع المعلومات الاستخباراتية أو يعد ساحة المعركة. التأثير، وهو أمر جديد في هذا الفضاء، هو جعل السكان يفكرون بطريقة معينة، ويغيرون آرائهم، ويتسببون في حدوث أشياء في العالم. أو الأنا. هذه هي قطة السيناريو، التي تريد حقًا أن تكون أكبر وأسوأ مخترق على الإطلاق وتتسبب في هجوم DDoS كجزء من ذلك.

ولماذا نهتم بمعرفة سبب قيام هؤلاء الأشخاص بذلك أو دوافعهم؟ لأنها تساعدنا على فهم أنواع الأدوات، وأنواع القدرات التي ستمتلكها، والأماكن التي من المحتمل أن تلاحقنا فيها، وتحملها للمخاطر أو التعرض. كما هو الحال، هل هذه مشكلة كبيرة إذا تم القبض عليهم وجاء مكتب التحقيقات الفيدرالي يطرق الباب، أم أن هذا شيء لا يهم حقًا لأنهم يجلسون حاليًا في قبو في بيلاروسيا أو شيء من هذا القبيل؟ وهي أنواع الطيف التي يتعين علينا العمل معها لفهم ما يتعين علينا القيام به كمدافعين وكيف نبني أنظمة تساعد على منع هؤلاء الأشخاص من الوصول.

الشيء المثير للاهتمام هو أنه يجب تطبيق نفس العقلية على موظفينا. يتمتع موظفونا بنوايا حسنة عالميًا. إنهم يريدون أن يفعلوا الشيء الصحيح، ويريدون المساعدة، وما إلى ذلك. لكن دعونا نواجه الأمر، إنهم بشر أيضًا. لذلك في بعض الأحيان يقعون في مشاكل مالية. في بعض الأحيان لا يحبون الاتجاه الذي يسير فيه شيء ما. في بعض الأحيان يكون لديهم يوم سيء. ونتيجة لذلك، نحن كمدافعين بحاجة إلى أن نكون قادرين على أن نكون مستعدين لفهم ما يفعلونه، ولماذا يفعلون ذلك، وكيف سنتأكد من أنهم لا يفعلون شيئًا لا ينبغي عليهم فعله.

لكن الكثير من المكون المهم حقًا للأمن السيبراني والأشخاص داخل الشركة هو ثقافة الشركة. الثقافة الأمنية للشركة هي الشيء الذي سيصنعها أو يكسرها. لقد رأينا جميعًا ما يحدث في الأخبار العامة عندما تكون لديك ثقافة أمنية ناقصة. ينتهي بك الأمر مع قيام الجهات الفاعلة باقتحام مؤسسة بشكل متكرر واستغلالها لمصلحتها الخاصة. لماذا؟ لأن الأشخاص في الشركة لم يتم قياسهم أو تحفيزهم بالشيء الصحيح.

لم يكن لديهم الدافع لحماية بياناتك أو معلوماتك. لقد تم هدفهم في شيء آخر. وهكذا فإن بناء ثقافتك، التي تقول، أهم شيء بالنسبة لك كشخص، كمطور في شركتي، هو، أولاً، أن تكون آمنًا جسديًا بنفسك، والثاني، حماية بيانات عميلك. لأن ذلك يسمح لهم باتخاذ قرارات جيدة في كل مرة خلال اليوم عندما يفكرون في شيء ما. «هل يجب أن أذهب يسارًا؟ هل يجب أن أذهب إلى اليمين؟ هل يجب أن أفعل شيئًا؟ هل يجب أن أفعل شيئًا آخر؟ هل يجب أن أطلب المساعدة لأنني لا أعرف حقًا؟ دعني أبحث عن خبير في هذا المجال.»

وأعتقد أن الحافز هناك للتأكد من أن لديك الثقافة الصحيحة هو أنها تقودك إلى خفض التكلفة في المستقبل لأنك لست مضطرًا إلى تنظيف الفوضى التي أحدثها شخص ما لأنه كان يتحرك بسرعة لتحقيق هدف الربح أو هدف الهامش أو هدف التسليم بدلاً من الحصول على الأمان المناسب لعملائك النهائيين في الشركات.

Sara Duffer:
كما أنه يجعل حياتي أسهل في عالم ضمان الأمن أيضًا. إنها نتيجة لطيفة. كريس، مع أخذ هذه النقطة حول الثقافة، نتحدث كثيرًا في AWS عن الأمن باعتباره أولوية قصوى. تحدث معي قليلاً عن كيفية قيامنا بذلك بالفعل. كيف تبني هذه الثقافة؟

Chris Betz:
أحد الأسباب التي تجعلني أعتقد أن الثقافة مهمة جدًا ليس فقط أنها تؤدي إلى الاستثمار الطويل، ولكن أعتقد أن كل شركة أعرفها تعمل على التدريب وتوفير الأدوات وتوفير القدرات حول الأمن السيبراني. والثقافة هي واحدة من عوامل التمييز الرئيسية. لأن الأمان يتغير باستمرار. إلى محادثتك السابقة، لا أستطيع أن أخبرك كم مرة انتهى بنا الأمر بالحديث عن الذكاء الاصطناعي مؤخرًا، أليس كذلك؟ الذكاء الاصطناعي يتغير باستمرار. وهذه القدرة على التكيف. تلك القدرة على رفع يدك والقول، «هل تعرف ماذا؟ أرى صراعًا هنا، أو أرى طريقة أفضل للقيام بالأمن.» دعونا نفكر في هذا. هل يمكننا القيام بذلك بشكل أفضل؟ ليس فقط اتباع العملية والأدوات بشكل أعمى، ولكن في الواقع اذهب لطرح السؤال.

أو «أعتقد أن هذه العمليات والأدوات تفتقد شيئًا ما. أرى هذا الخطر، أرى هذه المشكلة. كيف يمكنني طرح ذلك؟» هذه الأشياء مهمة للغاية. وكما قلت، فإن الثقافة تؤتي ثمارها بمرور الوقت بطريقة مذهلة. يتطلب بناء هذه الثقافة وقتًا وطاقة مدروسة. يبدأ من الأعلى. يبدأ الأمر بمواءمة الثقافة مع الطريقة التي تعمل بها المؤسسة. جزء من ذلك هو إخبار نفسك من نحن. إن سماع Matt يقول: «كل شيء يبدأ بالأمان داخليًا بقدر ما هو خارجي.»

وعلاوة على ذلك، إنها الطريقة التي يقضي بها الناس وقتهم. تحدثنا أنا وSteve عن الاجتماعات الأسبوعية التي تحدث بقيادة الرئيس التنفيذي لدينا. مرة أخرى، التأكد من أن هذا جزء من كيفية عمل المؤسسة أمر مهم للغاية. بمجرد دمج الأمان في ثقافة المؤسسة، من المهم التأكيد على أن الأمان هو وظيفة الجميع. يحصل كل شخص على دور محدد. هذه هي الفرصة لرفع يدك والقول، «علينا أن نفعل شيئًا مختلفًا. نعتقد أننا نفتقد شيئًا ما. أنا في حيرة من أمري. لست متأكدًا.» الأمن، يحتاج الجميع إلى فهم أن الأمن هو وظيفتهم وأن مهمتنا كقادة أمنيين هي جعل هذه المهمة سهلة قدر الإمكان. لأنه إذا كان الناس يقضون وقتهم في التركيز على الأمن في كل خطوة على الطريق، فسيؤدي ذلك إلى زيادة الاحتكاك في المؤسسة. ما يسير جنبًا إلى جنب مع جعل الأوراق المالية وظيفة الجميع هو العمل الأمني لجعل الأمر سهلاً وطبيعيًا للناس للقيام بالأمن. وهذا يعني أنه يجب توزيع الأمان في جميع أنحاء الشركة. نحن بحاجة إلى التأكد من أن التدريب والمعرفة والقدرات مصممة جيدًا للتأكد من حدوث ذلك في جميع أنحاء المؤسسة.

ثم أخيرًا، نحتاج إلى أن نكون مستعدين للاستثمار. نحن بحاجة إلى أن نكون مستعدين للاستثمار في الابتكار الذي يحسن الأمن. نحن بحاجة إلى أن نكون مستعدين للاستثمار في الابتكار الذي يجعل من السهل أن نكون آمنين. لأنه إذا لم تفعل ذلك، فسينتهي بك الأمر إلى الوقوع في الماضي ولن تتمكن أبدًا من المضي قدمًا كمؤسسة. إحدى الطرق للقيام ببعض هذا هي من خلال أشياء مثل برنامج حراس الأمن، حيث نعتمد على موظفينا، ونقوم بتدريبهم على المسائل الأمنية العميقة داخل فرق الخدمة، وداخل الفرق الهندسية، حتى يتمكنوا من التأكد من أن الناس يفكرون في الأمن في وقت مبكر جدًا أثناء عمليات التطوير وبشكل مستمر ولديهم تلك المعرفة الصحيحة. ويساعد على جعل الأشياء قابلة للتوسُّع للغاية. لذلك هناك شيء واحد يمكنك القيام به جميعًا مع فرقك، وهو النظر بعمق في هل يمكننا إنشاء برنامج حراس الأمن، وكيف يمكننا إنشاء ثقافة الأمن داخل شركتنا؟

Sara Duffer:
حسنا. إذن ما هي الأسئلة الثلاثة التي يمكن لقادة الأعمال في الغرفة إعادتها إلى برامج الأمان والامتثال الخاصة بهم؟

Chris Betz:
سأقدم لك واحدة أحب دائمًا أن أسألها. بالنسبة لنا جميعًا من قادة التكنولوجيا، لا أعرف كم منكم لديه ما نسميه أدوات البناء أو مؤسسة أدوات المطور. كقائد أمني، هذه المنظمات هي المؤسسات المفضلة لدي في المؤسسة بأكملها. إذا لم يكن لديك واحدة، فهذه هي الفرق التي تبني الأدوات التي تجعل حياة مطوريك سهلة. هناك نفوذ هائل هناك. إذا كان هناك مكان أحب أن أرى فيه الشركات تضع أفضل مواهبها، فهو منظمة أدوات البناء، لأنه في مؤسسة واحدة، يمكنك جعل جميع عمليات التطوير أفضل بكثير. من وجهة نظر أمنية، هذا هو المكان الذي توجد فيه الرافعة المالية. لأنه يمكنك الاستفادة من معرفتك الأمنية وقدراتك الأمنية ودمجها في تلك الأدوات والحصول على قابلية تطوير هائلة وجعل الأمان حركة طبيعية.

وبالتالي فإن السؤال الذي كنت سأستعيده لو كنت مكانك جميعًا هو أن أسأل قادة الأمن وقادة أدوات البناء عن علاقتهم، ومدى جودة عملهم معًا، ومدى جودة جميع النتائج الأمنية التي تبحث عنها في قدرة أدوات البناء.

Sara Duffer:
Steve؟

Steve Schmidt:
لذلك هذا نوعًا ما لتكرار شيء قلته من قبل وهو سؤال فرقك، «أين نبني تطبيقات الجيل الثاني من الذكاء الاصطناعي في الوقت الحالي؟» ثم اسأل فرقك، «ما هي الآلية التي لدينا حتى نعرف غدًا أين نبني تطبيقات الذكاء الاصطناعي المُولِّد (GenAI)، وما هو وقت الاستجابة بين شخص يقوم ببناء تطبيق جديد ومعرفتنا به؟» ستكتشف أن الرد المتكرر في العديد من المواقف يكون ببساطة: «تحرك بسرعة، ارتجل، عالج الموقف. بسرعة، ابحث عن بعض البيانات. إليك الجواب.» رائع. إنه الآن في اليوم التالي. حسنا.

لذا فأنت بحاجة إلى طريقة أو آلية أو أداة تسمح لك بالقيام بذلك على أساس منتظم، ومواكبة ذلك، والتأكد من أنك مشغّل مسؤول ومشرف على تلك البنية التحتية، وأنه يمكنك أن تكون مالكًا مسؤولًا للبيانات التي تجمعها نيابة عن عملائك.

الجزء الثاني هو ما هي حواجز الحماية الموجودة لديك، وهل هناك آلية لتحديث تلك الحواجز مع تغير العالم حول الذكاء الاصطناعي المولّد؟ في الوقت الذي كنا نجلس فيه على خشبة المسرح هنا، تقدم عالم الذكاء الاصطناعي المولّد بشكل لا يصدق. هناك شيء جديد يحدث. هناك طريقة جديدة للتسبب في مشكلة في نموذج التأسيس الذي فكر فيه شخص ذكي، وعلينا أن نكون قادرين على الدفاع ضده. إذن ما هي طريقة التكرار السريع لتتمكن من التأثير على حواجز الحماية التي لديك حول تطبيقات الذكاء الاصطناعي المُولِّد (Gen AI)؟

Sara Duffer:
أعتقد أنك خدعت. أعتقد أن هذه كانت الثانية. أنا أيضًا سأقوم بالغش قليلاً. وأود أن أقول إنها تسأل الفرق كثيرًا عن كيفية ضمان الامتثال فعليًا. المقصود هنا ليس فقط معرفة مدى التزامنا بالمعايير أو القوانين لحظة بلحظة، بل الأهم هو فهم كيف نحصل على ضمان مستمر بمرور الوقت لنتمكن من تقييم التكلفة الحقيقية للمطورين.

يمكن تلخيص التحدي في سؤالين رئيسيين: هل أنت ملتزم بالمعايير الداخلية أو القوانين؟ وكم تكلّف هذه العملية على فرق التطوير؟ لأنه من المهم الابتكار بسرعة دون التضحية بالامتثال أو تجاوز التكاليف.

وختامًا، ما هي أفضل نصيحة يمكن أن تقدمها للعملاء لتحسين وضعهم الأمني بشكل فوري، استنادًا إلى خبرتك في التواصل المستمر معهم؟

Chris Betz:
بالنسبة لشركتك الداخلية ولعملائك، ابحث عن طرق لتنفيذ مفاتيح المرور. الابتعاد عن كلمات المرور هو مجرد تغيير لقواعد اللعبة لموظفيك وعملائك. استفد من هذه التكنولوجيا. إنها قفزة كبيرة إلى الأمام. قم بتنفيذها اليوم.

Steve Schmidt:
ومن ثم فهي ليست أكثر أمانًا فحسب، بل إنها تجربة مستخدم أفضل. إنها سلسة للغاية. لذا اجعل موظفيك التقنيين يركزون على هذا واكتشف سبب عدم قيامهم بذلك الآن.

الخيار الثاني أقل حماسًا بكثير من مفاتيح المرور، ويمثل ما يمكن تسميته «أساسيات الأمان الضرورية وإن كانت مملة». إدارة الثغرات الأمانية. التصحيح. إنه أفضل دفاع لديك ضد المهاجمين.

Chris Betz:
أو اجعلنا نقوم بالتصحيح نيابة عنك.

Steve Schmidt:
بالضبط.

Chris Betz:
استخدم Lambdas وأشياء أخرى.

Steve Schmidt:
نعم.

Sara Duffer:
حسنًا، شكرًا جزيلاً لانضمامك إلينا اليوم وشكرًا لك مرة أخرى على الوقت.