Wie wird generative KI den Sicherheitsbetrieb verändern?
Ein Gespräch mit Tom Avant, Direktor von AWS Security OperationsSec Ops ist der Schlüssel
Unabhängig davon, ob Sie kaufen oder entwickeln, der Sicherheitsbetrieb ist ein zentraler Bestandteil einer Unternehmenssicherheitsstrategie. In diesem Gespräch mit Tom Avant, Direktor von AWS Security Operations, besprechen wir die Schlüssel zum Aufbau eines erfolgreichen Security Operations Center (SOC).
Was sind die Schlüssel zum Aufbau eines erfolgreichen SOC?
Begleiten Sie Clarke Rodgers, Direktor von AWS Enterprise Strategy, während er Tom dazu befragt, wie das AWS SOC innerhalb der Organisation funktioniert, wie das Team den Erfolg misst und wie es Automatisierung einsetzt, um kontinuierliche Verbesserungen voranzutreiben. Wir werden auch die Auswirkungen neuer Technologien wie generativer KI auf die Zukunft des Sicherheitsbetriebs untersuchen.
Nachfolgend finden Sie die Details des Gesprächs:
Transkript des Gesprächs
Mit Tom Avant, Director of AWS Security Operations, und Clarke Rodgers, Director of Enterprise Strategy bei AWS
Von Military Ops zu Security Ops: Tom Avants Reise zu AWS
Clarke Rodgers:
Die Skalierung eines erfolgreichen globalen Sicherheitsbetriebs ist keine leichte Aufgabe. Es erfordert ein gewisses Maß an Engagement und eine Kultur der Eigenverantwortung, die das Vertrauen der Kunden in den Vordergrund stellt und sich gleichzeitig an die Geschäftsanforderungen anpasst.
Ich bin Clarke Rodgers, Director of Enterprise Strategy bei AWS, und führe Sie durch eine Reihe von Gesprächen mit AWS-Sicherheitsverantwortlichen hier auf Executive Insights.
In dieser Folge gesellt sich Tom Avant, Director of AWS Response and Resiliency, zu mir. Hören Sie zu, wenn wir über die Schlüssel zum Aufbau, zur Wartung und Weiterentwicklung des Sicherheitsbetriebs sprechen, um die Resilienz von Unternehmen zu gewährleisten. Danke, dass Sie zu uns gekommen sind.
Clarke Rodgers:
Vielen Dank, dass Sie heute bei mir sind.
Tom Avant:
Vielen Dank, dass Sie mich eingeladen haben. Ich fühle mich wirklich geehrt. Ich weiß es zu schätzen.
Clarke Rodgers:
Ich würde mich zu Beginn gerne ein wenig über Ihren Hintergrund unterhalten. Ich weiß, dass Sie einige Zeit beim Militär verbracht haben. Was hat Sie dann zu AWS gebracht?
Tom Avant:
Beim Militär war ich zunächst in der Linguistik tätig. Ich habe als Geheimdienstanalyst gearbeitet und am Defense Language Institute in Monterey viele verschiedene Kulturen kennengelernt. Ich habe viel über die Welt gelernt. Das hat mir später bei der Leitung globaler Organisationen und Teams gute Dienste geleistet.
Und dann ist die Geheimdienstbranche einfach ... Man sieht so viel im Fernsehen und in Filmen und denkt, dass es genauso ist, und dann ist man mittendrin und stellt fest, dass es nicht annähernd so ist. Aber es war eine großartige Möglichkeit für mich, viel über Daten und deren Verarbeitung zu lernen und methodisch vorzugehen, methodisch zu denken und die Dinge zu betrachten. Ich habe einige Jahre bei der NSA gearbeitet und mich mit verschiedenen Aspekten geheimdienstlicher Tätigkeiten beschäftigt.
Und schließlich, nachdem ich Offizier geworden bin, als Air Battle Manager, als Führungsoffizier, der nachrichtendienstliche Operationen leitet, habe ich den Präsidenten unterstützt, humanitäre Missionen auf der ganzen Welt durchgeführt und kritische Entscheidungen getroffen und Dinge getan, die alle im Namen der Reaktion auf größere globale Zwischenfälle stehen.
Clarke Rodgers:
Auf jeden Fall.
Tom Avant:
AWS war also ein perfektes Match. Ich bin schon mein ganzes Leben lang im Sicherheitsbereich tätig. Ich habe einmal gescherzt, dass ich seit meinem 19. Lebensjahr eine Sicherheitsfreigabe habe. Aber Amazon war attraktiv für mich, weil ich in ein Unternehmen kam, das Werte hatte, und zwar aufgrund dieser Führungsprinzipien. Und wenn Sie verstehen, was bei AWS passiert, wenn Sie sich wirklich damit beschäftigen, denken Sie: „Oh mein Gott, so viel auf der Welt tickt aufgrund der Dinge, die wir tun.“ Ich bin ein Teil davon.
Sicherheitsbetrieb und Geschäftskontinuität bei AWS
Clarke Rodgers:
Lassen Sie uns ein wenig über Ihre aktuelle Rolle bei AWS sprechen. Was ist diese aktuelle Rolle und was sind Ihre Aufgaben?
Tom Avant:
In erster Linie leite ich das AWS Security Operations Center und bin daneben auch für die AWS-Geschäftskontinuität verantwortlich. Also, zwei sehr unterschiedliche Dinge, die für das Unternehmen in beiden Bereichen von entscheidender Bedeutung sind. Das AWS Security Operations Center ist also für die physische und logische Reaktion auf physische und logische Vorfälle im gesamten Unternehmen verantwortlich. Also, von einem Rechenzentrum bis hin zu S3-Buckets, wir stehen an vorderster Front und stellen sicher, dass wir Erkennungen überwachen und diese dann entweder selektieren oder sie an andere Personen weiterleiten, die sie beheben können, wenn wir es nicht selbst tun können.
Für alle, die sich über ihren Ausweis wundern: Wir betreiben dieses Betriebssystem und integrieren es, um sicherzustellen, dass die Menschen die Räume betreten und verlassen können, in denen sie jeden Tag arbeiten müssen. Und auch, dass Sie nicht in die Bereiche gelangen, von denen wir nicht wollen, dass Sie sie betreten.
Clarke Rodgers:
Auf jeden Fall.
Tom Avant:
Richtig? Die Zutrittskontrolle ist also sehr wichtig. Der Aspekt der Geschäftskontinuität ist die Resilienz all unserer Abläufe und Services. Wir bestätigen und sagen: „Hey, wir haben redundante Systeme und wir vertrauen diesen Systemen.“ Und wir sagen den Kunden: „Hey, wir wissen, dass das gut werden wird.“ Und wir wollen sicherstellen, dass sie, wenn wir ihnen das sagen, wissen, dass wir das nicht nur sagen, weil es cool klingt. Wir sagen es, weil wir es getestet haben und die Leute im Hintergrund unermüdlich daran arbeiten, all unsere verschiedenen Dinge erneut zu testen und zu verwenden, von Bewertungen betrieblicher Risiken über COEs bis hin zu verschiedenen ISO-Anforderungen, um sicherzustellen, dass unsere Dienste wirklich resilient sind.
Clarke Rodgers:
Also, ich nehme an, Dinge wie Red Teaming und solche Sachen in deine Zuständigkeit fallen?
Tom Avant:
Das tun sie eigentlich nicht. Diese Dinge sind in einem anderen Teil des Geschäfts angesiedelt. Wir führen eher Tabletop-Übungen oder großangelegte Übungen, bei denen wir Leute aus allen Bereichen des Unternehmens mit einbeziehen, durch. Und es ist im Grunde eine Simulation, um zu sagen: „Okay, was passiert, wenn wir einen schlechten Tag haben? Wie können wir darauf reagieren? Wie verhalten wir uns? Wie stellen wir sicher, dass die richtigen Dinge passieren?“ Es wird nie perfekt, wir lernen so viel. Wir nehmen das auf, wir schreiben das in die Runbooks, teilen das mit den Teams und wir wiederholen es.
Den Wert eines SOC messen: So rechtfertigen Sie die Investition gegenüber der Unternehmensleitung
Clarke Rodgers:
Der Betrieb eines SOC ist aus geschäftlicher Sicht eine enorme Investition. Wie rechtfertigen Sie die Kosten, oder müssen Sie das überhaupt, wenn man bedenkt, womit wir uns hier beschäftigen? Denn wenn Kunden ... Ich führe Gespräche mit Kunden und sie sagen: „Nun, ich hätte gerne ein SOC, aber es ist so teuer, das Personal und die Werkzeuge und all das Zeug.“ Wie kann ich mit meiner Führung das Geschäftsszenario darlegen, dass wir tatsächlich ein SOC oder vielleicht sogar nur einen SOC-Service benötigen, falls sie beschließen, einen zu abonnieren?
Tom Avant:
Das ist eine komplexe Frage. Darauf gibt es ein paar Antworten. Der erste Teil ist, weil wir großartig sind, also rechtfertigst du es so. Aber nein, es geht um KPIs und Daten. Und wir haben QBRs unter unserer Führung. Deshalb schauen wir uns immer wieder mechanistische Methoden an, um zu beurteilen: „Bieten wir dem Unternehmen und dem Kunden einen Mehrwert und geben ihn zurück?“
Clarke Rodgers:
Könnten Sie eine der von Ihnen verwendeten Metriken teilen?
Tom Avant:
Es gibt Unmengen von Dingen, die wir uns in den verschiedenen Geschäftsbereichen ansehen, um sicherzustellen, dass wir diesen Wert dem Unternehmen zurückgeben. Bei unserem System der Zugriffssteuerung stellen wir sicher, dass wir über die Systemverfügbarkeit und die Systemausfallzeit sprechen, oder? Und wir stellen auch sicher, dass für verschiedene Konfigurationen, die wir angewendet haben und die wir koordinieren, der Nettogewinn dieser Änderungen ist, die wir vorgenommen haben?
Bei Erkennungen schauen wir uns die Zwischenzeit an, um sie zu erkennen, die Zwischenzeit um die Lösung. Wir schauen uns die verschiedenen Arten von Erkennungen an, mit denen wir uns befassen, und wir schauen uns an, welchen Nutzen das Unternehmen in diesen Bereichen hat. Selbst im Hinblick auf die Geschäftskontinuität betrachten wir verschiedene Kennzahlen zu den verschiedenen Services, die wir anbieten, erweitern den Umfang, diejenigen, die ISO-zertifiziert sind, diejenigen, von denen wir sicherstellen konnten, dass sie getestet wurden.
Automatisierung des SOC: Skalierung durch Menschen als letztes Mittel
Nun, der andere Teil dieser Frage ist jedoch gleichzeitig, und vielleicht liegt das nur daran, dass ich als sparsame Person aufgewachsen bin, aber gleichzeitig glaube ich wirklich an diesen ersten Grundsatz: „Skalieren durch Menschen als letztes Mittel“. Sie kommen zu mir und sagen: „Hey, habe ich eine tolle Idee für dich! Ich denke, das wäre eine großartige Aufgabe für das SOC. “
Warum sagen die Leute das? Weil wir rund um die Uhr da sind und viele Leute versuchen, etwas an das SOC auszulagern, und sie wollen rüberkommen und das sagen. Und ich sage: „Wissen Sie was? Lassen Sie uns über den Nettonutzen sprechen, den es für das Unternehmen hat.“ Denn wenn Sie uns um Hilfe bitten, weil das ein Nettogewinn für das Unternehmen ist, dann absolut. Wenn Sie uns darum bittest, weil das Arbeit ist, die Sie nicht machen wollen und Sie denken, dass andere Menschen das tun sollten, dann würde ich sagen: „Vielleicht sollten wir zu OP1 zurückkehren und einen Weg finden, wie wir uns aus dieser Situation automatisieren können.“
Clarke Rodgers:
Auf jeden Fall.
Tom Avant:
Ich sage meinem Team immer noch, dass es unsere Aufgabe ist, uns arbeitslos zu machen. Unsere Aufgabe ist es, kontinuierlich Wege zu finden, um entweder Automatisierung zu nutzen oder sicherzustellen, dass wir Erkennungen so weit herunterfahren, dass Sie eines Tages sagen: „Nun, warum haben wir kein SOC?“ Und ich kann Ihnen sagen: „Es war einmal ein SOC.“ Und das SOC ging all diese verschiedenen Möglichkeiten durch und prüfte sie, um sagen zu können: „Das müssen wir nicht tun“ oder „Das könnte automatisiert werden“ oder „Das könnte besser sein“ oder „Wir könnten das Upstream in einen Zustand bringen, in dem das SOC nicht mehr benötigt wird.“ Das ist mein Ziel. Ich weiß nicht, ob wir jemals dort ankommen werden, aber es ist sicherlich ein Ziel, auf das wir weiter hinarbeiten müssen.
So bauen Sie ein internes Security Operations Center auf
Clarke Rodgers:
Nun, dazu hatte ich tatsächlich eine Frage an Sie. Wenn Sie in Ihre Kristallkugel schauen würden, wie sieht das SOC der Zukunft aus? Und ich denke, eine andere Art, diese Frage zu stellen, ist, wenn Sie ein unbeschriebenes Blatt hätten, wie würden Sie heute eine SOC-Fähigkeit aufbauen?
Tom Avant:
Ich würde sagen, ich schaue mir Fähigkeiten an, denn darauf kommt es wirklich an. Oder was ist die Fähigkeit, die Sie durch ein SOC erhalten? Welche Fähigkeit verlieren Sie, wenn Sie kein SOC haben oder ein SOC auslagern? Der Unterschied zwischen dem Outsourcing-Teil besteht darin, dass Sie zuerst das Interesse des Unternehmens haben, und das ist der Grund, warum Sie ein internes SOC benötigen – sofern Sie es sich leisten können.
Clarke Rodgers:
Und ich schätze, intern werden Sie auch ein Wissen über das Geschäft haben, das eine externe Partei nicht haben würde.
Tom Avant:
Auf jeden Fall. Sie werden wissen, zu wem Sie gehen müssen. Der andere Teil davon, intern zu sein, ist Ihre Fähigkeit, oder? Zurück zur Fähigkeit. Stellen Sie sicher, dass Sie sich auf das konzentrieren, was Sie speziell für das Unternehmen bereitstellen. Und ich denke, dass Sie in der Lage sein können, das ständig zu optimieren, weil Sie an diesen anderen Besprechungen teilnehmen, wie z. B. strategischen Planungsbesprechungen. Im weiteren Verlauf verstehen Sie also: „Okay, das ist unser neuer Polarstern. Hier haben wir den Kurs geändert.“ Das können Sie nicht in diesem Tempo tun, wenn Sie ausgelagert sind.
Und weil das Geschäft so schnell voranschreitet, sollten Sie sicherstellen, dass die Personen, die diese nachgelagerten Maßnahmen treffen, mit den Personen verbunden sind, die diese strategischen Entscheidungen treffen, und daher in der Lage sind, sehr schnell Änderungen vorzunehmen. Und das ist einer der Vorteile einer internen Lösung. Ich würde mir all diese Dinge ansehen und ich würde sagen, die Fähigkeit, den Polarstern strategisch, die ich skizziert habe, nach welcher Art von Schutzposition suche ich? Und was ist dann mein Risiko, wenn ich dieses Ziel nicht erreiche?
Und wenn ich darüber nachdenke, werde ich sagen ... wenn das passiert, kann ich meinem Kunden in die Augen schauen und sagen: „Ich habe alles Mögliche getan, um sicherzustellen, dass das nicht passiert“, oder werde ich einen Punt machen und sagen, dass es der andere Typ war?
Generative KI und die Zukunft des Sicherheitsbetriebs
Clarke Rodgers:
Ich liebe es. Angesichts der Geschwindigkeit, mit der sich die Technologie weiterentwickelt, und natürlich angesichts der Tools für generative KI, die es gibt, wie sieht Ihrer Meinung nach das SOC der Zukunft aus? Ich weiß nicht, ob Sie dazu etwas sagen können, ob Sie schon heute Tools für generative KI einsetzen, ob Sie dies planen oder ob Sie es überhaupt prüfen, aber wie kann das Ihrer Meinung nach Ihren SOC-Analysten und auch den anderen Rollen helfen? Und, aus der Warte eines Angreifers, was denken Sie darüber, wie er es nutzen könnte, sodass Sie entweder seine Aktivitäten erkennen oder darauf reagieren können?
Tom Avant:
Wir beginnen, es zu verwenden, um automatisierte Antworten für einige unserer Kunden zu erstellen. Und dann schauen wir uns auch automatisierte Workflows an, um sagen zu können: „Okay, wir wissen, dass dies gängige Workflows sind – das sind Dinge, die auf unseren Kennzahlen basieren, die wir uns ansehen, nach denen Kunden viel suchen – wie integrieren wir das, was uns unsere Daten sagen, mit einer direkteren Weiterleitung zu den Lösungen, nach denen sie suchen, und wo sie kein menschliches Urteilsvermögen erfordern, warum entfernen wir den Menschen nicht vollständig aus dieser Kette?“ Und daran arbeiten wir gerade.
Clarke Rodgers:
Das klingt hervorragend. Und dann von der gegnerischen Seite?
Tom Avant:
Die Bedrohungsseite ist wirklich interessant. Es ist so ein neues Spielfeld. Sie hören also so viele verschiedene neue Dinge über Injektionen in ... Die Leute wollen mit der Technologie spielen, und sie rennen einfach zu allen Websites und laden sie herunter. Während der Hälfte der Zeit wissen sie nicht einmal, was sie herunterladen. Niemand will Leute, die ins Feuer rennen. Sie sollten zuerst das Feuer beurteilen und nach dem besten Eintrittspunkt suchen.
Es ist also dasselbe, wenn wir über generative KI sprechen. Was sind die sicheren Orte, an die man gehen kann? Wie stellen wir sicher, dass wir diese Nutzung validieren, bevor wir sie integrieren? Was sind die verschiedenen Checks, die wir im Hintergrund durchführen können, um sicherzustellen, dass wir sagen: „Ja, wir fühlen uns wirklich gut bei dem, was wir tun“, bevor wir das verbreiten. Denn wenn es einmal drin ist und sich ausbreitet, ist das nicht der richtige Zeitpunkt, um herauszufinden, dass uh-oh, du etwas falsch gemacht hast, weil du jetzt eine Bereinigung durchführst und versuchst, mit der Ausbreitung Schritt zu halten. Und das macht einfach keinen Spaß, für diejenigen von uns, die es schon einmal für andere Dinge getan haben. Sie sollten es also auf jeden Fall aus der Perspektive betrachten, diese Vorabprüfungen durchzuführen, bevor Sie die Dinge überhaupt einteilen.
► Lesen Sie den Forschungsbericht: „Securing Generative AI: What Matters Now“
Und ich denke, eine weitere Bedrohung, die damit zusammenhängt und die wir allmählich sehen und die wahrscheinlich ungewöhnlich ist, ist die Regulierung. Das ist wahrscheinlich einer der größten Trends, die ich zu erkennen beginne, da wir beginnen, immer mehr Workloads in die Cloud zu verlagern, da immer mehr Kunden in die Cloud kommen. Wir gehen in immer mehr verschiedene Umgebungen, verschiedene Länder. Wir beobachten langsam, dass Sovereign Cloud an immer mehr Standorten auftaucht. Die Regulierung ist etwas, über das Sie tatsächlich nachdenken müssen. Früher war es ein Randthema, jetzt steht es bei vielen unserer Diskussionen im Vordergrund. Bevor wir über etwas anderes nachdenken, stellt sich die Frage, wie wir in der Lage sind, die Vorschriften zu übernehmen und einzuhalten und trotzdem zu arbeiten und den maximalen Nutzen für den Kunden aufrechtzuerhalten, während wir gleichzeitig die Vorschriften einhalten und in der Lage sind, dies zu kommunizieren?
Clarke Rodgers:
Ich denke, das ist ein unglaublicher Trend, den ich auch gesehen habe. Früher konnten wir uns über Sicherheit durch Design unterhalten, oder? Sicherheit integrieren, vielleicht sogar schon in der Prototyping-Phase, in der Phase der Ideenfindung. Und jetzt sind wir an einem Punkt angelangt, an dem: „Oh ja, und auch Datenschutz, Compliance und regulatorische Verpflichtungen.“
Tom Avant:
Auf jeden Fall.
Clarke Rodgers:
Ich freue mich, dass Sie das sehen, dass die Leute es immer weiter nach unten in den Stack schieben, sodass Sie sich, wenn es um die Veröffentlichungszeit geht, tatsächlich an den Dingen ausrichten.
Tom Avant:
Auf jeden Fall.
Clarke Rodgers:
Nun, das war fantastisch, Tom. Ich bin Ihnen wirklich dankbar, dass Sie sich heute Zeit genommen haben. Vielen Dank.
Tom Avant:
Vielen Dank, dass ich hier sein durfte. Ich weiß das auch wirklich zu schätzen.