生成式人工智能将如何改变安全运营？

Clarke Rodgers：
成功扩大全球安全运营规模绝非易事。这需要做出一定的承诺，具备有效的所有权管理文化，将客户信任放在首位，同时为满足业务需求做出调整。

大家好，我是亚马逊云科技企业战略总监 Clarke Rodgers，也是在“Executive Insights”上与亚马逊云科技安全领导者进行的一系列对话的主持人。

在本集中，我邀请到了亚马逊云科技响应和弹性业务总监 Tom Avant。我们将谈论构建、维护和发展安全运营以确保业务弹性的关键因素，敬请收听。感谢您加入我们。

Clarke Rodgers：
Tom，非常感谢您今天能够光临。

Tom Avant：
非常感谢您的邀请。我真的很荣幸。非常感谢。

Clarke Rodgers：
首先，我想简单介绍一下您的背景。我知道您曾在军队工作过一段时间，之后是什么吸引您加入了亚马逊云科技？

Tom Avant：
参军后，我最初学习了语言学，然后担任情报分析师，而在蒙特雷国防语言学院（Defense Language Institute in Monterey）时，我才有机会接触到各种不同的文化。我对世界的认识也更加深刻，这对我日后管理全球组织和全球团队大有裨益。

情报行业是...电视和电影中展示了很多情节，所以观众认为事实也是如此，可开始从事这项工作之后，才会意识到事实并非如此。但对我来说，这是很棒的体验，我可以学到很多关于数据、工作方式和方法论的知识，从而能够有条不紊地思考和看待事物。我的确获益良多，我曾在国家安全局（NSA）工作过几年，做了一些从情报角度来看不同的事情。

最终，我成为一名空战指挥官，负责情报行动的指挥和控制，我现在在为总统的工作提供支持，在世界各地执行人道主义任务，做出关键决策，并就全球重大事件的响应采取相关行动。

Clarke Rodgers：
当然。

Tom Avant：
对于亚马逊云科技来说，这简直是天作之合。我一生都在从事安全工作。我以前曾玩笑说，我从 19 岁起就获得了安全许可。亚马逊是一个拥有价值观的组织，它之所以具有吸引力，是因为企业的领导力原则。在了解了亚马逊云科技的业务后，在真正地深入研究这家企业后，你就会发出惊叹：“天啊，世界上竟然有如此多的工作是建立在我们的成就之上。” 我也是其中一份子。

Clarke Rodgers：
接下来，我们谈谈您目前在亚马逊云科技担任的职位。您目前担任什么职位？您的职责是什么？

Tom Avant：
我主要负责管理亚马逊云科技安全运营中心，并确保亚马逊云科技的业务连续性。这两项工作截然不同，但对企业来说都至关重要。亚马逊云科技安全运营中心负责整个企业的一级物理和逻辑事件响应。我们负责从数据中心到 S3 存储桶的各种一线工作，监管各种检测项目，然后对这些项目进行鉴别归类，或者在我们自己无法解决的情况下，将这些项目转交给其他团队来解决。

也就是说，我们针对工作人员的身份，运行操作系统，结合各种信息后采取不同工作方式，确保大家根据日常需要获得访问权限。当然，工作人员无法获得不必要的空间访问权限。

Clarke Rodgers：
当然。

Tom Avant：
对吗？ 因此，访问控制工作非常重要。业务连续性是指我们所有业务和服务的弹性。经过验证后，我们会发出通知：“我们已具备冗余系统，这些系统值得信赖。” 然后，我们会告知客户：“这会取得非常好的效果。” 我们要确保，他们在收到这些信息时，理解我们这样说并不是逞口舌之快。我们之所以这样说，是因为我们已经做过测试，我们的后台人员经过不断努力，重新测试并已试用所有产品，以满足运营风险审查、COE、ISO 等各种要求，确保我们的服务真正具有弹性。

Clarke Rodgers：
那么，我猜像 Red Teaming（红蓝对抗）这类事情都属于您的职责范围吧？

Tom Avant：
实际上不是。那属于另一个业务范围。我们的工作更倾向于 TTX 或演练，在这个过程中，我们的工作是全方位的，其中涉及不同业务部门的人员。实质上，这就像我们说：“如果事情不顺利，会发生什么？ 我们将如何应对？ 我们会作何反应？ 我们如何确保诸事顺利？” 事情不会一帆风顺，我们学到了很多东西。我们将这些事项纳入运行手册，与团队共享，然后继续尝试和实践。

Clarke Rodgers：
从商业角度来看，运营 SOC 是一笔巨大的投资。根据我们从事的工作类型，如何证明这笔开支是合理的，甚至是必须的？ 因为当客户...我曾与客户交谈，他们说：“我们需要 SOC，但是费用太昂贵了，而且还需要员工、工具和各种资源。” 我该如何向领导层提出商业论证，也就是说，我们需要 SOC，甚至可能是一项 SOC 服务，假设他们决定订阅其中一项服务？

Tom Avant：
这个问题非常复杂。答案包括多个方面。第一是因为我们很棒，事实如此。但并不是这样，这是通过关键绩效指标和数据证实的。而且我们会与领导层做季度业务审查（QBR）。因此，我们始终采取机械化方法进行评估：“我们是否能够为企业和客户提供价值和回报？”

Clarke Rodgers：
您能分享一下所使用的评估指标吗？

Tom Avant：
我们针对不同业务渠道所监测的项目非常多，以此确保为企业带来回报。对于我们的访问控制系统，我们要确保了解系统的正常运行时间和停机时间，对吧？ 而且我们还要确保，对于我们应用和调整的各种配置，这些变化能带来多少净收益？

我们的检测项目不仅要着眼于检测，同时还要能够解决问题。我们负责正在进行的各种检测，同时还要了解它们会给企业带来多少回报。而在业务连续性方面，我们同样需要获得不同服务的各种指标数据，这包括我们现在提供的服务，需要扩大范围的服务，经过 ISO 认证的服务，以及我们能够确定已经过测试的服务。

但是，从另一方面来讲，也许这只是因为我自小养成了节俭的习惯，而且我真的相信第一个租户，“在万不得已的情况下，通过人员进行扩展。” 你找到我，说：“我有个好主意！ 我认为这非常适合采用 SOC。”

人们为什么这么说？ 因为我们全天候工作，而且很多人需要将工作转移到 SOC，他们是发自肺腑的。我会回答：“确实如此， 我们可以谈谈这会给企业带来的净收益。” 因为你所要求的帮助是给企业带来净收益，那绝对没问题。而如果你让我们做这项工作是因为你不想做，认为这是其他人的工作，我会回答：“也许我们应该回到最初的选择，找到让自己摆脱这种状况的方法。”

Clarke Rodgers：
当然。

Tom Avant：
直到现在，我依然告诉自己的团队，我们的工作要做到最终置身事外。我们要想方设法采用自动化，或者确保我们的检测工作达到这样一种状态，在你问道“我们为何不需要 SOC？”时， 我能够这样回答，“我们曾经设立有 SOC。” 而且在 SOC 采用并了解各种不同的方法后，能够回答，“我们不需要这样做”，“这可以自动化作业”，“这样的效果可能会更好”，或者“我们可以使上游的工作达到不再需要 SOC 的状态。” 这就是我的目标。我不确定我们能否实现这个目标，但无疑继续朝着这个目标前进肯定是一个的目标。

Clarke Rodgers：
对此，我想问您一个问题。您能否假设一下，未来的 SOC 会如何？ 用另一种方式来提问就是，如果您面前有一张白纸，那么眼下您会如何构建 SOC 的能力？

Tom Avant：
我想说我正在研究这个问题，因为这才是真正的问题所在。或者您通过 SOC 获得了哪些能力？ 如果没有 SOC 或者将 SOC 外包，您会失去哪些能力？ 这是为了公司的利益选择外包，以及在能够承担费用的情况下，需要构建内部 SOC 的区别。

Clarke Rodgers：
我认为从内部来讲，您对企业有一定的了解，这是外部各方做不到的。

Tom Avant：
当然。你要了解工作的负责人。而在公司内部工作，就具备这种能力，对吧？ 回到能力方面。确保将注意力集中在正在为企业负责的工作。而且我认为可以不断做出调整，因为你正在参加其他会议，比如战略规划会议。因此，在执行工作时，我的意思是，“这就是我们新的目标。这就是做出改变的地方。” 如果这时选择外包，就无法达到目的。

企业发展非常迅速，要确保后面执行的人员与决策人员的步调一致，他们就要快速做出调整。这是选择内部构建的好处之一。我会全盘考虑，包括能力、战略目标、选择的保护方式？ 如果没有实现目标，会遇到哪些风险？

在考虑这个问题时，我会... 如果发生这种情况，我会直视并告诉客户：“我已经尽力确保避免发生这种情况”，还是信誓旦旦地将责任推给其他人？

Clarke Rodgers：
讲解得太棒了。随着技术的进步，当然借助现有的生成式人工智能工具，您认为未来的 SOC 会如何？ 我不确定您正在使用生成式人工智能工具，还是打算尝试或者正在了解情况，您能否告诉我们这对 SOC 分析师和其他职位有何帮助？ 从攻击者的角度来看，他们会如何使用，你们会据此检测到他们的活动，还是对此做出反应？

Tom Avant：
我们已经开始使用它来为一些客户创建自动响应。我们正在研究自动化工作流程，希望能够实现以下目标，“我们知道这些是常见的工作流程（这些都是基于我们正在研究的指标，也是客户通常希望实现的目标）我们整合数据意在明确他们所需要的解决方案，以及什么情况下无需人工判断，为什么我们没有从这个过程中取消人工呢？” 这就是我们现在正在研究的问题。

Clarke Rodgers：
太棒了。那么对手所带来的影响有哪些？

Tom Avant：
从威胁来讲，这非常有意思。这是一个全新的竞争环境。所以，你会听到各种新鲜事物...人们希望参与这项技术，他们只需要访问各种网站然后下载即可。他们甚至有一半时间都不知道自己在下载什么。你不希望让人直奔火海。要先评估火势，然后寻找最佳的灭火点。

因此，当我们谈论生成式人工智能时，也是如此。哪里安全？ 在使用之前，如何确保能够确认使用率？ 我们可以在后台进行哪些不同的检查，并确保在大范围使用之前明确：“我们认为工作效果非常好”。因为一旦使用，就会开始扩散，这已经不是刚发现抱怨的时候，错误已经发生，因为清理工作已经开始，扩散不会停止。对于我们这些以前曾经遭遇过的人来说，这并不是有趣的事情。所以，一定要预先检查，避免产生麻烦。

我认为与之相关的另一种威胁是监管，这种威胁可能并不常见。这可能是我已经预见的一个最大的趋势，因为随着越来越多的客户选择云端，云端会承载越来越多的工作负载。应用的环境在增加，应用的国家也在增加。越来越多的地域出现主权云。现实情况要求必须考虑监管。过去，这可以事后解决，如今，则需要提前商讨解决。在我们考虑其他问题之前，如何采用和遵守规定，同时为客户实现和维护最大价值，而又保持合规还能够沟通？

Clarke Rodgers：
我认为对我来说，这种趋势不可思议。过去我们可以围绕设计中的安全性进行对话，对吧？ 在构思阶段，甚至是在原型设计阶段，建立安全性。而现在则是，“还有隐私、合规和监管义务”。

Tom Avant：
当然。

Clarke Rodgers：
我很高兴大家明白这一点，在发布之后的上市过程中，大家已经齐头并进。

Tom Avant：
当然。

Clarke Rodgers：
太精彩了，Tom。感谢您今天抽空莅临。非常感谢！

Tom Avant：
非常感谢您的邀请。我对此心存感激。