Bagaimana AI Generatif Akan Mengubah Operasi Keamanan?

Clarke Rodgers:
Menskalakan operasi keamanan global bukanlah tugas yang mudah. Untuk melakukannya, diperlukan tingkat komitmen dan budaya kepemilikan yang memprioritaskan kepercayaan pelanggan, sambil beradaptasi untuk memenuhi kebutuhan bisnis.

Hai, saya Clarke Rodgers, Direktur Enterprise Strategy di AWS dan pemandu Anda untuk serangkaian perbincangan dengan para pemimpin keamanan AWS di sini, di Executive Insights.

Di episode ini, saya ditemani oleh Tom Avant, Direktur AWS Response and Resiliency. Simak pembahasan kami tentang kunci dalam membangun, memelihara, dan mengembangkan operasi keamanan guna memastikan ketahanan bisnis. Terima kasih telah bergabung dengan kami.

Clarke Rodgers:
Tom, terima kasih banyak telah bergabung dengan saya hari ini.

Tom Avant:
Terima kasih banyak telah mengundang saya. Saya merasa sangat terhormat. Saya sangat menghargai ini.

Clarke Rodgers:
Saya ingin memulai dengan sedikit latar belakang Anda. Saya tahu Anda pernah bertugas di militer, lalu apa yang menarik Anda ke AWS?

Tom Avant:
Saat masuk militer, saya awalnya masuk ke bidang linguistik, jadi saya menjadi analis intelijen, lalu bekerja dan baru mendapatkan paparan yang luar biasa dari berbagai budaya saat saya berada di Defense Language Institute di Monterey. Belajar banyak tentang dunia, yang akan sangat membantu saya di kemudia hari dalam menjalankan organisasi global serta tim global.

Lantas, industri intelijen itu sendiri... Ada begitu banyak yang Anda lihat di TV dan film, dan Anda berpikir itulah yang terjadi, tetapi ketika Anda masuk, Anda akan menyadari bahwa kenyataannya tidak seperti itu. Namun, itu adalah tempat yang sangat baik bagi saya untuk belajar banyak tentang data, proses, dan penerapan metodologi, yaitu berpikir dan melihat sesuatu secara metodis. Jadi, saya menjalaninya, saya bekerja di NSA selama beberapa tahun melakukan berbagai hal dari perspektif intelijen.

Akhirnya, ketika menjadi perwira saya bertugas sebagai manajer pertempuran udara, yaitu perwira komando dan kontrol yang menjalankan operasi intelijen. Saya kini memberi dukungan kepada Presiden, melakukan misi kemanusiaan di seluruh dunia dan membuat keputusan penting, serta melakukan segala hal dalam upaya merespons insiden tingkat global yang signifikan.

► Tonton lainnya: Temukan keuntungan mempekerjakan veteran untuk peran keamanan

Clarke Rodgers:
Tentu saja.

Tom Avant:
Jadi, bagi AWS, itu cocok sekali. Saya berkecimpung di bidang keamanan sepanjang hidup saya. Saya pernah bercanda sebelumnya, saya sudah memiliki izin keamanan sejak usia 19 tahun. Namun, bergabung dengan organisasi yang memiliki nilai-nilai, Amazon menarik karena prinsip-prinsip kepemimpinannya. Lalu, ketika Anda memahami apa yang terjadi di AWS, ketika Anda benar-benar mendalaminya, Anda akan berkata, "Ya ampun, banyak sekali hal di dunia yang bergantung pada apa yang kami lakukan." Saya bersyukur bisa menjadi bagian dari itu.

Clarke Rodgers:
Mari kita bicara sedikit tentang peran Anda saat ini di AWS. Apa peran Anda saat ini dan apa tanggung jawab Anda?

Tom Avant:
Utamanya saya menjalankan Pusat Operasi Keamanan AWS, kemudian saya juga bertanggung jawab atas keberlanjutan bisnis AWS. Jadi, dua hal tersebut sangat berbeda, tetapi keduanya sangat penting bagi bisnis. Jadi, Pusat Operasi Keamanan AWS bertanggung jawab atas respons insiden fisik dan logis tingkat satu di seluruh bisnis. Jadi, apa pun yang terjadi dari pusat data hingga bucket S3, kami berada di garis depan untuk memastikan bahwa kami memantau deteksi kemudian melakukan triase atas hasil deteksi tersebut atau mengarahkannya ke orang lain yang dapat memperbaikinya jika kami tidak dapat melakukannya sendiri.

Jadi, untuk semua orang yang bertanya-tanya tentang lencana mereka, kami menjalankan sistem operasi tersebut dan kami melakukan semua integrasi yang berbeda dengan hal tersebut untuk memastikan orang masuk dan keluar dari ruang yang mereka butuhkan setiap hari. Selain itu, kami juga memastikan bahwa Anda tidak masuk ke ruang yang tidak boleh Anda masuki.

Clarke Rodgers:
Tentu saja.

Tom Avant:
Benar, kan? Jadi, kontrol akses sangat penting. Bagian keberlanjutan bisnis adalah ketahanan dari semua operasi dan layanan kami. Kami menguji dan kami berkata, “Hei, kami memiliki sistem yang redundan dan kami mempercayai sistem ini.” Dan, kami memberi tahu pelanggan, “Hei, kami tahu bahwa sistem ini akan jadi sistem yang bagus.” Kami juga ingin memastikan bahwa ketika kami memberi tahu mereka hal tersebut, mereka tahu bahwa kami tidak mengatakannya hanya karena terdengar keren. Kami mengatakannya karena kami telah mengujinya dan kami memiliki orang-orang di belakang layar yang bekerja tanpa lelah untuk kembali dan menguji ulang serta menggunakan semua hal yang kami miliki, mulai dari tinjauan risiko operasional hingga COE hingga berbagai persyaratan ISO untuk memastikan bahwa layanan kami benar-benar tangguh.

Clarke Rodgers:
Jadi, saya asumsikan hal-hal seperti tim merah dan semacamnya termasuk tanggung jawab Anda?

Tom Avant:
Sebenarnya tidak. Hal tersebut berada di bagian bisnis yang berbeda. Namun, yang kami lakukan lebih seperti TTX atau latihan di mana kami akan melakukan latihan skala penuh dan mendatangkan orang-orang dari semua bagian bisnis yang berbeda. Pada dasarnya hal ini adalah simulasi untuk mengatakan, “Oke, apa yang terjadi jika kita mengalami hari yang buruk? Bagaimana kita merespons? Bagaimana kita bereaksi? Bagaimana kita memastikan telah melakukan hal yang benar?” Tidak ada yang sempurna, kami belajar banyak hal. Kami menyatukannya, kami memasukkannya ke dalam panduan, kami membagikannya dengan tim, dan kami melakukannya lagi dan lagi.

Clarke Rodgers:
Menjalankan SOC adalah investasi besar dari perspektif bisnis. Bagaimana justifikasi Anda tentang biaya, atau apakah Anda bahkan harus menjelaskannya, karena tipe pekerjaan yang kita lakukan? Karena ketika pelanggan... Saya berbincang dengan pelanggan, mereka seperti, "Ya, saya ingin memiliki SOC, tetapi harganya sangat mahal, staf dan peralatan serta semua hal ini." Bagaimana saya memberikan penjelasan bisnis untuk hal itu kepada pimpinan saya bahwa kami memang membutuhkan SOC atau bahkan mungkin hanya butuh layanan SOC jika mereka putuskan untuk berlangganan?

Tom Avant:
Itu adalah pertanyaan yang kompleks. Ada beberapa jawaban untuk itu. Bagian pertama adalah karena kami luar biasa, jadi itulah justifikasi Anda. Tapi tidak, justifikasi itu melalui KPI dan data. Dan, kami mengadakan QBR dengan para pimpinan. Jadi, kami secara konsisten menggunakan cara mekanistik untuk menilai, "Apakah kami memberikan dan mengembalikan nilai ke bisnis dan ke pelanggan?"

Clarke Rodgers:
Bisakah Anda membagikan salah satu metrik yang Anda gunakan?

Tom Avant:
Jadi, ada banyak hal yang kami lihat di semua jalur bisnis yang berbeda untuk memastikan bahwa kami mengembalikan nilai tersebut ke bisnis. Untuk sistem kontrol akses kami, kami memastikan bahwa kami membahas waktu aktif sistem dan waktu henti sistem, bukan? Dan, kami memastikan juga bahwa untuk konfigurasi berbeda yang telah kami terapkan, yang kami koordinasikan, berapa keuntungan bersih dari perubahan yang telah kami lakukan?

Untuk deteksi, kami melihat waktu rata-rata untuk mendeteksi, dan waktu rata-rata untuk menyelesaikannya. Kami melihat berbagai tipe deteksi yang kami terima dan kami melihat nilai yang dikembalikan ke bisnis di bidang tersebut. Bahkan untuk keberlanjutan bisnis, kami melihat metrik yang berbeda untuk layanan kami yang berbeda, memperluas cakupan, yang bersertifikat ISO, yang dapat kami pastikan telah melalui pengujian.

Namun, sekarang, bagian lain dari pertanyaan tersebut adalah pada saat yang sama, dan mungkin ini hanya karena saya tumbuh sebagai orang yang hemat, tetapi pada saat yang sama, saya benar-benar percaya pada prinsip pertama, yaitu "Menggunakan manusia sebagai pilihan terakhir." Anda datang kepada saya dan berkata, "Hei, ini adalah ide bagus! Saya pikir ini akan menjadi pekerjaan yang bagus untuk SOC."

Mengapa orang-orang mengatakan hal tersebut? Karena kami bekerja 24/7, dan banyak orang ingin memindahkan sesuatu ke SOC, mereka ingin datang dan mengatakannya. Dan saya berkata, "Apakah Anda tahu? Mari bicara tentang keuntungan bersih dari hal ini untuk bisnis." Karena jika Anda meminta kami untuk membantu karena ini adalah keuntungan bersih bagi bisnis, maka tentu saja kami mau. Jika Anda meminta kami untuk melakukan ini karena ini adalah pekerjaan yang tidak ingin Anda lakukan dan Anda pikir orang lain harus melakukannya, maka saya akan mengatakan, "Mungkin kita harus kembali ke OP1 dan mencari cara untuk mengotomatisasi agar kita dapat keluar dari situasi ini."

Clarke Rodgers:
Tentu saja.

Tom Avant:
Saya masih selalu memberi tahu tim saya bahwa tugas kami adalah meninggalkan suatu pekerjaan. Tugas kami adalah terus mencari cara untuk menggunakan otomatisasi atau untuk memastikan bahwa kami menurunkan deteksi ke status yang membuat suatu hari Anda berkata, “Nah, mengapa kita tidak memiliki SOC?" Dan, saya akan dapat mengatakan pada Anda, "Dulu kita pernah memiliki SOC." Dan SOC tersebut memeriksa semua cara yang berbeda ini untuk dapat mengatakan, "Kita tidak perlu melakukan ini," atau, "Ini bisa diotomatisasi," atau "Ini bisa lebih baik," atau "Kita bisa mendorongnya kembali ke keadaan di mana SOC tidak lagi diperlukan." Itulah tujuan saya. Saya tidak tahu apakah kami akan sampai di sana, tetapi tentu saja itu menjadi motivasi untuk terus melaju.

Clarke Rodgers:
Ya, saya sebenarnya ingin menanyakan hal itu kepada Anda. Jika Anda membayangkan masa depan, seperti apa masa depan SOC? Dan saya kira cara lain untuk mengajukan pertanyaan tersebut adalah, jika Anda memiliki lembaran yang masih kosong, bagaimana Anda akan membangun kemampuan SOC saat ini?

Tom Avant:
Menurut saya, saya akan mempertimbangkan kemampuan, karena itulah yang benar-benar penting. Atau, apa kemampuan yang Anda peroleh dari SOC? Kemampuan apa yang hilang jika Anda tidak memiliki SOC atau dengan mengalihdayakan SOC? Bedanya dari mengalihdayakan hal tersebut adalah Anda mengutamakan kepentingan perusahaan terlebih dahulu, dan itulah alasan Anda menginginkan SOC internal—jika Anda mampu mengusahakannya.

Clarke Rodgers:
Dan saya kira secara internal, Anda juga akan memiliki pengetahuan tentang bisnis yang tidak dimiliki oleh pihak eksternal.

Tom Avant:
Tentu saja. Anda akan tahu harus siapa yang harus dituju. Bagian lain dari hal tersebut, dari tim internal, adalah kemampuan Anda, bukan? Kembali ke kemampuan. Pastikan Anda fokus pada apa yang Anda hasilkan khususnya untuk bisnis. Dan saya pikir Anda dapat terus mengubahnya karena Anda berada di pertemuan lain, seperti pertemuan perencanaan strategis. Jadi, saat pertemuan berlangsung, Anda dapat memahami bahwa, “Oke, ini adalah panduan baru kami. Di sinilah kita telah mengubah arah." Anda tidak dapat melakukan hal tersebut jika Anda mengalihdayakan dengan kecepatan yang sama.

Dan karena bisnis bergerak begitu cepat, Anda ingin memastikan bahwa orang-orang yang melakukan tindakan tersebut di lapangan terhubung dengan orang-orang yang membuat keputusan strategis, dan oleh karena itu mereka dapat beradaptasi dengan sangat cepat. Dan itulah salah satu keuntungan dari memiliki tim internal. Saya akan mempertimbangkan semua hal tersebut dan saya akan mengatakan kemampuan, panduan strategis yang telah saya uraikan, tipe postur perlindungan apa yang saya cari? Lalu, apa risikonya jika saya melewatkannya?

Dan ketika saya berpikir tentang hal tersebut, saya akan berkata... jika itu terjadi, dapatkah saya menatap pelanggan saya dan berkata, "Saya telah melakukan segala hal yang mungkin dilakukan untuk memastikan hal ini tidak terjadi," atau apakah saya akan menghindari tanggung jawab dan mengatakan itu adalah kesalahan orang lain?

Clarke Rodgers:
Saya menyukainya. Dengan kecepatan kemajuan teknologi, dan tentu saja dengan alat AI generatif yang ada di luar sana, bagaimana Anda melihat SOC di masa depan? Saya tidak tahu apakah Anda dapat berbicara tentang apakah Anda sudah menggunakan alat AI generatif, atau Anda berencana untuk melakukannya atau menyelidikinya, bagaimanapun situasinya, tetapi bagaimana Anda melihat hal itu dapat membantu analis SOC Anda dan peran lainnya juga? Lantas, dari sisi penyerang, bagaimana menurut Anda tentang cara yang mungkin mereka gunakan sehingga Anda dapat mendeteksi aktivitas mereka atau menanggapinya?

Tom Avant:
Kami mulai menggunakannya dengan cara membuat respons otomatis untuk sejumlah pelanggan kami. Lalu, kami juga mempertimbangkan alur kerja otomatis untuk dapat mengatakan, "Baiklah, kita tahu bahwa ini adalah alur kerja yang umumnya masuk—hal ini berdasarkan metrik kami yang kami pantau, yang banyak dicari pelanggan—bagaimana kami mengintegrasikan apa yang dikatakan data kami secara langsung dengan solusi yang mereka cari dan di mana mereka tidak memerlukan penilaian manusia, mengapa tidak kita hilangkan manusia sepenuhnya dari rantai tersebut?" Itulah yang sedang kami kerjakan sekarang.

Clarke Rodgers:
Luar biasa. Lantas, dari sisi yang berlawanan?

Tom Avant:
Sisi ancaman adalah hal yang sangat menarik. Ini adalah bidang permainan yang baru. Jadi, Anda mendengar begitu banyak hal baru tentang injeksi ke dalam... Orang-orang ingin bermain-main dengan teknologi, dan mereka mengunjungi begitu saja berbagai situs web dan langsung mengunduhnya. Mereka bahkan sering kali tidak tahu apa yang sedang mereka unduh. Anda tidak ingin orang masuk ke dalam bahaya. Anda perlu menilai situasi terlebih dahulu dan mencari titik masuk terbaik.

Jadi, begitu juga saat kita berbicara tentang AI generatif. Apa saja tempat aman yang bisa dikunjungi? Bagaimana kita memastikan bahwa kita telah memvalidasi penggunaan tersebut sebelum mengintegrasikannya? Apa saja berbagai pemeriksaan yang dapat kita jalankan di latar belakang dan pastikan kita berkata, "Ya, kami sangat yakin dengan apa yang kami lakukan," sebelum kita menyebarkannya. Karena begitu sudah masuk dan dipropagasi, itu bukan lagi saat yang tepat untuk mengetahui bahwa Anda melakukan suatu kesalahan, karena sekarang Anda harus membersihkan dan mencoba mengejar propagasinya. Itu sama sekali tidak menyenangkan, bagi yang pernah melakukannya sebelumnya untuk hal-hal lain. Jadi, Anda pasti ingin melihatnya dari perspektif melakukan pemeriksaan awal sebelum Anda benar-benar melakukan sesuatu.

► Baca laporan penelitian: Securing Generative AI: What Matters Now

Selain itu, saya pikir ancaman lain yang terkait dengan itu, yang mulai kita lihat, yang mungkin tidak umum, adalah regulasi. Mungkin ini adalah salah satu tren terbesar yang mulai saya lihat saat kita makin banyak mengadopsi beban kerja ke cloud, saat makin banyak pelanggan yang beralih ke cloud. Kita masuk ke lingkungan yang makin beragam, dan beragam negara. Kami mulai melihat cloud berdaulat muncul di makin banyak lokasi. Regulasi adalah sesuatu yang benar-benar harus Anda pikirkan. Dulu, hal itu dipikir belakangan, tetapi sekarang menjadi fokus utama dari banyak diskusi kita. Sebelum kita lanjut dan memikirkan hal lain, bagaimana kita mampu mengadopsi dan mematuhi serta tetap beroperasi serta mempertahankan nilai maksimum bagi pelanggan sembari tetap mematuhi serta mampu mengomunikasikannya?

Clarke Rodgers:
Saya pikir itu juga merupakan tren luar biasa yang pernah saya lihat. Dahulu kita berbincang seputar keamanan dengan desain, kan? Membangun keamanan, bahkan mungkin hanya dalam tahap pembuatan prototipe, tahap pengembangan ide dari segala hal. Dan sekarang kita berada pada titik di mana, "Oh, ya, dan kewajiban privasi serta kepatuhan dan peraturan juga."

Tom Avant:
Tentu saja.

Clarke Rodgers:
Saya senang Anda melihatnya, bahwa orang-orang mendorongnya lebih jauh ke dalam tumpukan sehingga ketika datang ke waktu rilis, Anda benar-benar selaras dengan berbagai hal.

Tom Avant:
Tentu saja.

Clarke Rodgers:
Ya, ini fantastis, Tom. Saya sangat menghargai waktu Anda hari ini. Terima kasih.

Tom Avant:
Terima kasih banyak telah mengundang saya. Saya sangat menghargainya juga.