将安全重新定义为战略优势

Clarke (00:05)：
Merritt，非常感谢您今天能够光临。

Merritt (00:08)：
感谢您的邀请。

Clarke (00:09)：
能简单讲讲您的背景吗？ 是什么让您加入了 AWS，您目前的职位是做什么的？

Merritt (00:15)：
是。我在 AWS 已经快四年了。我来自美国政府，代表美国人民执行安全任务。我曾经在三个分支机构工作过。我之所以加入安全部门，是因为我觉得这些大问题就在我们眼前，但我们却没有强有力的方法来解决它们。我获得了法律学位，部分原因是因为我知道这有很重要的利害关系。我也感觉到，在这个时候，这些宏观问题比找出一个威胁或一个参与者或其他什么更重要。结果，我最终在我认为不那么有趣的安全领域工作。基础设施层的员工在幕后非常重要。我想这是驱使我来到这里的真正原因。

Clarke (01:08)：
很棒的故事。您能告诉我更多关于首席信息安全官办公室的信息和它在 AWS 计划中的目的吗？

Merritt (01:17)：
是。我是首席信息安全官办公室的负责人。AWS 的首席信息安全官（CISO）办公室与其他企业的办公室很像，对吗？ 我的老板 Steve Schmidt 不仅关注 AWS 如何保护自己的内部安全，还关注我们如何确保我们作为一家公司所交付的一切都是安全的。这是一组非常有趣的交付内容，因为您正在考虑如何实施防护机制，让您的员工产生最小的摩擦，并成为开发团队的一员。您还想让您的开发团队以最简单和最安全的方式，做最安全的事情。这是我的角色真正帮助我在与客户交谈时有一些同理心和可信度的地方，因为我大约一半的工作时间花在努力改善我们 AWS 的安全性上，另一半时间花在与客户交谈上。有时是公开演讲，但更多时候是 CISO 与 CISO 的对话，与安全组交谈，找出如何实现他们的企业成熟度。很多时候，安全是允许他们以更大、更快、更成熟的步伐前进的关键因素之一。我猜事情的另一方面是，安全通常会被认为是一个障碍。我认为这还不够好。不仅仅是因为安全团队需要成长，不再说不，还因为现在，特别是在云环境中，如您所知，从开始开发任何东西的那一刻起，您就在围绕您的身份和权限以及构建方式与您的架构和互联网的其余部分相关联。您构建的一切都有内在的安全属性。这意味着我们需要将安全融入我们的对话中，我们需要向客户介绍我们是如何做到这一点的。

Clarke (03:23)：
明白了。在您与客户 CISO 的谈话中，我想这可能会影响到您的其他职责，因为我想 CISO 可能会说，“我喜欢产品 X 或 Y，但我希望它能这样。” 这属于您也要负责的安全堆栈。通过这样的对话，客户如何要求安全服务产品团队真正实现一项功能？

Merritt (03:51)：
如您所知，服务团队一直在构建、实施和部署新功能。因此，跟上他们已经决定或能够投资的产品的步伐并不是真正的挑战。实际上更多的是关于我们如何解决问题，如果我们没有以正确的方式解决问题，很显然，这次对话后，我会将问题带回到我们这边并继续努力。但是我做的很多事情是，首先弄清楚客户真正想要的是什么，如何帮助他们进入下一个成熟阶段，或者如何让他们变得更好。另一件事是，我们怎么做？ 我认为客户真正期望从与我的对话中获得的价值是，“您的团队如何协调这一点？” 因为我不相信零和博弈，但我确实认为拥有真正的同理心是有价值的。 

Clarke (04:51)：
说得好。有时客户会问，“AWS 是如何做 X 的？” 更常见的问题是，“AWS 是如何……” 从安全角度来看，您从客户那里收到哪些类型的问题？

Merritt (05:07)：
到目前为止，被问到最多的是创新。“您的开发团队如何创新，您的安全团队如何与您的开发团队保持不冲突的关系？” 我认为这是我们做的非常出色的一个方面，因为，我们毫不掩饰对快速创新的追求，这有时意味着我们以非常快的速度发布产品，但人们很难理解新事物的含义。但就像两个披萨团队一样，最终我们所做的是，根据这些机制的本质产生安全共鸣，对吗？ 在两个披萨团队中，为了快速做出业务决策，您可能会被故意孤立，在两个披萨团队中，您需要围绕安全性做出一些业务决策。只有少数人知道零部件在引擎盖下是如何工作的。有关于我们如何运作的安全元素。我们真正谈论的是我们将安全融入我们交付的产品中的方式。作为一个安全团队，与其说这与他们有关，不如说他们的任务是改造这艘船。实际上他们一直在说，“您如何把您的企业变成一个将安全视为生命的企业，作为您正在销售的可交付产品的一部分？”

Clarke (06:38)：
这很有道理。当我与客户交谈时，他们往往会提出一个问题，我想您也面临着同样的问题：“我了解 DevSecOps 的价值。我了解将资源投入工程和运营安全以及所有其他安全元素的价值。但是，我该如何像 AWS 一样建立一个世界级的安全组织呢？”

Merritt (07:05)：
是的。我觉得这个问题有很多种形式，对吧？ 可能是，“我不知道我们是否曾经演练过我们的事故响应计划”，或者“我不知道我们是否有事故响应计划”。 同样，我认为这很大程度上取决于贯穿资产生命周期的那些控制措施。我想说的是基础设施，但那是您通过这个过程构建的东西，对吗？ 源自您的保护性、发现性和补救性控制措施。很明显，其中一个元素就是我们一直在说的自动化。例如，在我们的团队，我们的 AWS 安全团队中，我们从来不关闭故障工单，除非我们已经编写了修复脚本（如果可以编写脚本的话）。因此，在您以可观察的方式实施之前，自动化之类的东西听起来像是口头敷衍。但现在，我们最终寻求的是真正扩大运营规模的方法。由于这些保护性、发现性和补救性的控制措施，我们的 24 小时监控室负责照看所有自动化设备。拥抱下一代安全运营中心可以带来很多自由。不要误解我，我知道那是我们要实现的目标，但有很多方法可以从某个地方开始。您会有收获的。我们通过解决大问题和小问题建立了一个安全团队。从某个地方开始，对吗？ 雇佣热爱自动化的人，雇佣多元化的安全团队，他们有不同的想法，用不同的代码和不同的自动化方法来解决问题，然后在您的领导的支持下达成目标。这对这一过程非常重要，我们实际上是在谈论企业或实体的投资，因为公共部门的运营方式与他们在安全过程中的投资非常相似。同样，这需要通过具体的方法和行为来实现。人们有时会来问我，“我如何建立一支世界级的安全团队？” 或者“我如何打造一种创新文化？” 这是您反复做的事情。有些事情我们可以联系起来，我们可以用一些挂钩。例如，在 DevSecOps 中，我们在团队中引入了一定比例的安全工程师，现在是八分之一，但也可能是……这个数字是上下波动的，我们会评估是否是正确数字。每次发生不该发生的事情或者事情没有完全按照计划进行，都会导致错误。顺便说一句，副总裁必须参加关于错误原因的会议。我们不会派一名初级工程师去承担责任。有了这种问责制的生态系统，让学习的弧线随着时间的推移而增长才是我们真正的目标，这不是为了首当其冲的个人，而是为了组织。我认为这不是偶然发生的。您必须加入这些机制。

Clarke (10:22)：
我想诀窍在于开发一种机制来强化您正在寻求的行为。

Merritt (10:28)：
完全正确。例如，如果您选择让员工权限非常开放，我们在 Amazon 就是这样做的，顺便说一下，这也是一个深思熟虑的业务决策。然后，您需要，或者至少我们会选择对发生的事情进行非常精细的记录和监控。您有阈值，有按计划发生的无指责上报，同样，这意味着您的领导需要付出，因为他们必须知道他们会为了安全而接听电话。100% 的高管会说他们关心安全，但实际上他们将不得不为此努力，他们必须明白他们需要为此接听电话，这很重要。这也意味着安全团队将在业务中扮演某种角色。

Clarke (11:26)：
明白了。您之前在回答中提到了投资，对吗？ 我们的许多客户 CISO 和客户主管来找我们，他们说，“嗯，我们需要对我们的能力进行一定的投资。” 从安全角度来看，AWS 多年来一直非常清楚最低安全基准的五个核心概念。即身份验证、发现性控制措施、基础设施安全、数据保护和事故响应。有时，客户 CISO 会说，“我的预算有限，员工有限，但这五件事我都要做。我从哪里开始投资，在这五个领域中，哪个对投资最有利？”

Merritt (12:09)：
很多 CISO 问我，“我是从一个工作负载开始，还是从一百个工作负载开始？” 对吗？ 我认为答案是从某个地方开始，让它变得有意义。无论从多少工作负载开始，不要秘密进行。将它们放在安全显微镜下进行，因为我确实相信，从平台的角度来看，您将拥有实际上为您的企业或实体带来业务优势的安全继承。我要回想从前，这听起来可能有点傻，但我们要提醒自己云到底是什么，对吗？ 20 年前，人们只是通过检查办公桌下的恶意服务器来完成这五个阶段。我们不再这样做了，或者至少如果在云中，您不会这样做。我们知道成为安全继承的其中一个原因是 AWS 负责堆栈的底层。利用云来实现安全云规模，我认为这是客户没有利用的其中一个紧迫问题。如果他们的预算有限，那就更有理由让他们达到可以利用这种规模的状态。我的意思是，尽管如此，如果我必须选择一个，我会说身份验证真的很难。我还没有遇到过这样的客户：“太喜欢我的身份提供商了。我认为我们做得很好。”

Clarke (13:40)：
如果您资金紧张，投资于身份验证，可以这么说吗？

Merritt (13:45)：
我认为，如果您资金紧张，您应该与业务部门讨论他们的目标是什么，然后您应该与他们讨论为什么安全是一项业务优势。我说的不仅仅是您生产的产品的安全，而是作为您产品一部分的安全。如果您是零售商，如果您是石油和天然气公司，如果您是……无论是汽车、制药、媒体和娱乐还是兼并和收购，如今人们关心的是如何安全地开展业务，这也是他们应该关心的。因此，不仅仅是那些提供安全产品的人，也不仅仅是“哦，您让您的人力资源部门在内部处理我们的数据吗？” 实际上是关于如何将安全作为产品固有的一部分。我认为这没办法捏造。必须从您建立实际企业的方式和您正在实现的目标开始。对您来说，您所追求的预算必须考虑到这一点。我认为我们不应该再将安全视为成本中心。我真的很讨厌这一点，因为实际上，它是业务的推动力和业务的驱动因素，如果不安全，没有人愿意做任何事情，如果不安全，没有人愿意购买任何东西，如果不安全，没有人愿意与公司或政府打交道。坦率地说，如果您不参加，就不可能取得成功。我知道目标是不断变化的，因为这是一个过程，我们正在努力，但您必须与我们一起努力。

Clarke (15:24)：
在安全作为业务推动力这个方面，在一个将 CISO 的组织视为成本中心的组织，该 CISO 如何站出来或向董事会或组织中的其他决策者传达这一信息？

Merritt (15:42)：
这里有几个要素，对吧？ 一个只是企业选择成长时发生的一般转型。实际上，我认为企业普遍过于关注迁移成本。相反，他们不考虑维持现状的成本。这时，您应该看看维持现状的代价是什么，您现在为不迁移和不做您知道本来可以做的事情付出了什么。坦率地说，我明白这需要一些勇气或一些积极的能量才能实现，但它几乎立即就可以产生回报。这也是您的组织真正成长为企业的其中一种方式。我认为最终任何拖延都只是浪费时间。同样，就您的问题来说，我认为将此视为成本中心的人已经过时了。 

Clarke (16:53)：
是的。我认为您提出了一个很好的观点，不做某事的风险与公司正在关注的其他风险是一样的。

Merritt (17:01)：
我认为不是一样，而是更贵。当您和董事会谈话时，这是要考虑的一件事情。我发现，当人们谈论安全指标时，他们经常引入博弈的观点。他们会说，“我们已经说过，上周我们观察到 100 次敲门，而本周只有 70 次。” 就好像说，不敲这扇门就敲那扇门。显然这些数字是假的。这些是我编的。但关键是，您的安全指标应该划出一条真实的弧线，表明您是否在不断改进。如果没有改进，那么它们就是错误的指标。您到底在与谁博弈？ 这是您自己的战斗。

Clarke (17:50)：
勒索软件是这些天的一个热门话题。这是客户非常关心的问题。我知道您在这方面有些专长。您可以给客户的安全组织一些建议，让他们做好应对勒索软件事件的准备。

Merritt (18:07)：
是的。很明显最近新闻报道很多。虽然勒索软件不是什么新鲜事。至少可以追溯到 1989 年。在一次健康会议上，一些不法分子在分发贴有“艾滋病”标签的光盘，因为这是一次健康会议。因此，它被称为“艾滋病勒索软件”，因为当您将它插入您的光盘驱动器时，它会加密您的文件，要求您将一张 89 美元的支票邮寄到巴拿马的一个邮政信箱。我想重点是，勒索软件本身在理论上并不是什么新鲜事，但在实践中，随着加密货币的兴起，人们能够利用它们侵入您的网络而获利。

Clarke (18:58)：
勒索软件是一种服务，对吗？

Merritt (19:01)：
是。它的商品化肯定是一个因素。坦白地说，有了数据隐私制度，发现公司有违规行为的代价变得非常昂贵。有一种勒索软件，它们只是锁定您的数据，还有一种，它们填充您的数据。即使您有备份，他们也会威胁说他们已经获得了访问权限。这本身就可以归类为违规，尤其是当您处理受监管的数据时，而我们所有人都是如此。所以我认为正在发生的情况与此有关。对于您的问题来说，勒索软件没有灵丹妙药。勒索软件要求您把房子收拾好。从最大限度地降低人们进门的可能性开始。比如身份验证和修补、最低特权和分段。还有不可变的备份。因此，像 AWS Backup 或 Cloud 和 Door 这样的产品，允许您有一个新的备份时间点，恢复备份功能。 

Clarke (20:23)：
接着说热门话题，来自客户的另一个热门话题是零信任的概念。零信任对您意味着什么？您如何向客户阐明这一点？如果事实上这是客户需要做的事情，AWS 如何帮助客户实现零信任？

Merritt (20:42)：
当然可以！我认为零信任可以成为您考虑安全控制的一个有用的概念透镜。对吗？ 我认为……首先，问任何人零信任是什么意思，您都会得到不同的定义。但对我来说，零信任的意思，不是这个咖啡杯没有连接到互联网的想法，而是意味着您应该根据网络中的参与者在网络中的位置，降低他们的信任级别，可能需要降到零。基本上不管是软件还是人，我们都应该减少对传统边界这一概念的依赖。当然，边界是死的，边界永远存在，对吗？ 我认为，在我们的 Cloud 中，坦率地说，在 AWS，我们的方法不是在传统的以边界为中心的控制（如 VPN 或 VPC），和细粒度的以身份为中心的控制（在安全组、Naples 等内运行）之间进行二元选择。而是让它们真正地相互合作、相互增强、相互了解。一个例子是 VPC 端点策略，其中既有边界权限又有细粒度权限。它们知道如何相互增强，并且能够通过我们的一些工具进行推理，这些工具是 Cloud 所固有的，因为我们采用基础设施即代码的方法。您可以采用安全即代码的方法。例如，像访问分析器或检查器这样的工具，可以在不通过网络发送数据包的情况下实现网络可访问性。我想，您应该把这些东西结合起来，拥抱深度防御，但这听起来已经过时了。这就像说，“把门窗锁好。” 不，这些有不同的用途。事实上，它们也是我们围绕安全进行基本原理分析时使用的同一逻辑的一部分。

Clarke (22:57)：
Merritt，感谢您今天能够光临。有什么要总结的吗？

Merritt (22:59)：
我认为，人们经常带着他们认为深刻的技术性 CISO 问题来找我。他们真正想要的是，‘我如何让我的组织拥有做出改变所需的动力和必要的手段？’ 我认为这可以归结为一个实体在将安全放在首位方面所做的投资，无论是字面上还是隐喻。当我们说安全是 Job Zero，或者我们说任何格言时，这不仅仅是一句座右铭。我们的意思是将它嵌入我们所做的一切的文化中。我们这样做的其中一个方法是让 Steve Schmidt 直接向首席执行官汇报，并确保安全永远不会被其他业务利益超越。我认为，对于那些希望效仿我们展示的优先级的人们来说，做到这一点的方法就是去做。实现目标的方法就是开始。开始的方法是让您的业务符合这些目标。实现目标的另一个方法，或者使您的组织更接近目标的方法之一是建立世界级的团队。我认为这是一个比喻，现在人才难觅，我希望我们雇佣的人能够采用不同的想法、不同的风格和不同的代码，因为这对行业和整个生态系统来说绝对是正确的事情。安全与易受攻击的社区、我们与技术互动的方式、我们解决问题并使企业和实体更强大的方式有很多接触点。如果不是这里，那是哪里。所以我想说，这是对我们所有人的行动呼吁，让您的工作场所变得包容，让您的实体变得更强大。

Clarke (25:02)：
Merritt。非常感谢您的真知灼见和今天的参与。