In che modo l'IA generativa cambierà le operazioni di sicurezza?

Una conversazione con Tom Avant, Direttore di AWS Security Operations

Sec Ops è fondamentale

A prescindere che le si acquisti o le si sviluppi, le operazioni di sicurezza sono un elemento importante di una strategia della sicurezza aziendale. In questa conversazione con Tom Avant, Direttore di AWS Security Operations, discutiamo i punti chiave per la creazione di un Security Operations Center (SOC) efficace.

 

Quali sono le chiavi per costruire un SOC di successo?

Unisciti a Clarke Rodgers, Direttore di AWS Enterprise Strategy, mentre intervista Tom sul funzionamento del SOC di AWS all'interno dell'organizzazione, su come il team misura il successo e su come sta adottando l'automazione per promuovere il miglioramento continuo. Ci soffermeremo inoltre sull'impatto che tecnologie emergenti come l'IA generativa avranno sul futuro delle operazioni di sicurezza.

Vedi i dettagli della conversazione qui di seguito:

Trascrizione della conversazione

Con Tom Avant, Director di AWS Security Operations e Clarke Rodgers, Director di Enterprise Strategy presso AWS

Dalle operazioni militari alle operazioni di sicurezza: il percorso verso AWS di Tom Avant

Clarke Rodgers:
Il dimensionamento di un'operazione di sicurezza globale efficace non è un'impresa da poco. Richiede un certo impegno e una cultura della responsabilità che metta al primo posto la fiducia dei clienti, adattandosi al contempo alle esigenze aziendali.

Buongiorno, sono Clarke Rodgers, Direttore di Enterprise Strategy presso AWS, e ti accompagnerò in una serie di conversazioni con i leader di AWS che si occupano di sicurezza, qui su Executive Insights.

Con me in questo episodio c'è Tom Avant, Direttore di AWS Response and Resiliency. Ascoltaci mentre parliamo degli aspetti chiave della creazione, della manutenzione e dell'evoluzione delle operazioni di sicurezza per garantire la resilienza aziendale. Grazie per essere qui con noi.

Clarke Rodgers:
Tom, grazie mille per essere qui con me oggi.

Tom Avant:
Grazie a te per l'invito. È davvero un onore. Ne sono grato.

Clarke Rodgers:
Mi piacerebbe cominciare con qualche informazione sul tuo background. So che hai passato un po' di tempo nell'esercito. Cos'è stato a portarti in AWS?

Tom Avant:
Quando sono entrato nell'esercito, inizialmente mi sono dedicato alla linguistica come analista di intelligence e, lavorando presso il Defense Language Institute di Monterey, sono entrato in contatto con molte culture diverse. Ho imparato molto sul mondo, il che mi sarebbe servito molto di più in seguito nella gestione di organizzazioni e team globali.

E poi il settore dell'intelligence è semplicemente… Ci sono così tante cose che si vedono in TV e nei film e pensi che siano vere, ma poi entri in quel settore e scopri che la realtà è del tutto diversa. Comunque sia, per me è stato un ottimo posto per imparare molto sui dati, sull'elaborazione e sulla necessità della metodologia, sull'essere metodico nel modo di pensare e di vedere le cose. Quindi ho lavorato per un paio d'anni all'NSA, dove mi sono occupato di cose diverse dal punto di vista dell'intelligence.

E poi, alla fine, quando sono diventato ufficiale in qualità di Air Battle Manager, un ruolo di comando e controllo che si occupa di operazioni di intelligence, lavoravo a sostegno del Presidente, svolgevo missioni umanitarie in tutto il mondo, prendevo decisioni critiche e mi occupavo di tutta una serie di cose legate alla risposta ai grandi incidenti a livello globale.

Altro da guardare: scopri i vantaggi di assumere veterani per ruoli di sicurezza

Clarke Rodgers:
Certo.

Tom Avant:
Quindi, per ciò che riguarda AWS, è stata una scelta naturale. Ho lavorato nella sicurezza per tutta la vita. Prima scherzavo, ho il nulla osta di sicurezza da quando avevo 19 anni. Ma entrando in un'organizzazione con dei valori, Amazon mi attirava per i principi di leadership. Quando capisci che cosa succede in AWS, quando vai davvero a fondo, ti rendi conto che molte cose nel mondo funzionano grazie al lavoro che facciamo. Posso entrare a farne parte.

Operazioni di sicurezza e continuità aziendale in AWS

Clarke Rodgers:
Parliamo un po' di che cosa fai adesso in AWS. Qual è il ruolo attuale e quali sono le tue responsabilità?

Tom Avant:
L'attività principale di cui mi occupo è la gestione dell'AWS Security Operations Center e quindi sono anche responsabile della continuità aziendale di AWS. Si tratta di due cose molto diverse, ma di fondamentale importanza per l'azienda in entrambi i casi. AWS Security Operations Center è responsabile della risposta agli incidenti fisici e logici di primo livello in tutta l'azienda. Quindi, per quanto riguarda tutto ciò che va da un data center ai bucket S3, siamo in prima linea per assicurarci di monitorare i rilevamenti e classificarli o indirizzarli ad altre persone in grado di correggerli se non possiamo farlo noi personalmente.

Se qualcuno si fa domande sul proprio badge, eseguiamo quel sistema operativo e provvediamo a tutte le varie integrazioni relative per assicurarci che le persone possano entrare e uscire ogni giorno dagli spazi necessari. E inoltre che non possano accedere agli spazi in cui non vogliamo che accedano.

Clarke Rodgers:
Certo.

Tom Avant:
Vero? Il controllo degli accessi è molto importante. La chiave della continuità aziendale è la resilienza di tutti i nostri servizi e le nostre operazioni. Possiamo constatare che disponiamo di sistemi ridondanti di cui ci fidiamo. E ai clienti diciamo: “Sappiamo che andrà tutto bene”. Ma quando diciamo così, vogliamo essere sicuri che sappiano che non lo diciamo soltanto perché suona bene. Lo diciamo perché l'abbiamo testato e abbiamo persone in seconda linea che lavorano instancabilmente per tornare indietro, ripetere i test e utilizzare tutti gli strumenti a disposizione, dalle revisioni dei rischi operativi ai COE ai diversi requisiti ISO per verificare che i nostri servizi siano davvero resilienti.

Clarke Rodgers:
Quindi, presumo che cose come i red team e simili siano sotto la tua responsabilità?

Tom Avant:
In realtà no. Se ne occupa un'altra area aziendale. Ciò che facciamo noi è più simile ai TTX o alle esercitazioni in cui viene eseguita una simulazione su vasta scala e coinvolgiamo persone da tutte le aree aziendali. Essenzialmente è una simulazione per dire: “Che cosa succede se la giornata va male? Come rispondiamo? Come reagiamo? Come possiamo assicurarci che accadano le cose giuste?” Non è mai tutto perfetto, impariamo un sacco di cose. Incorporiamo le nuove informazioni, le inseriamo nei registri, le condividiamo con i team e ripetiamo l'operazione.

Misurare il valore di un SOC: come giustificare l'investimento alla leadership

Clarke Rodgers:
La gestione di un SOC è un investimento enorme dal punto di vista aziendale. Come si giustifica la spesa oppure è davvero necessario in base al tipo di lavoro che svolgiamo? Perché quando i clienti… Mi capita di parlare con clienti che dicono: “Beh, mi piacerebbe avere un SOC, ma è molto costoso, tra personale, strumenti e tutto il resto”. Come posso dimostrare ai dirigenti che, in effetti, abbiamo bisogno di un SOC o forse anche solo di un servizio SOC, se preferiscono abbonarsi?

Tom Avant:
È una domanda complessa. Ci sono un paio di risposte. La prima è che siamo straordinari, ecco come lo giustifichi. Scherzi a parte, il lavoro si fonda su KPI e dati. Inoltre disponiamo di QBR con la leadership. Esaminiamo in continuazione i sistemi meccanicistici per valutare se stiamo fornendo e restituendo valore all'azienda e al cliente.

Clarke Rodgers:
Potresti parlarci di qualche metrica che utilizzi?

Tom Avant:
Ci sono un sacco di cose che esaminiamo in tutte le diverse divisioni aziendali per assicurarci di restituire quel valore all'azienda. Per il nostro sistema di controllo degli accessi, ci assicuriamo di parlare dei tempi di attività del sistema e dei tempi di inattività del sistema. Inoltre, per le diverse configurazioni che abbiamo applicato e che coordiniamo, provvediamo a definire il guadagno netto derivante dalle modifiche apportate.

Quanto ai rilevamenti, esaminiamo il tempo medio di rilevamento e risoluzione. Esaminiamo i diversi tipi di rilevamenti che riceviamo e il valore restituito all'azienda in quegli spazi. Persino per quanto riguarda la continuità aziendale esaminiamo diverse metriche sui diversi servizi di cui disponiamo, ampliamo l'ambito, i servizi certificati ISO, quelli di cui ci siamo assicurati che siano stati sottoposti a test.

Automatizzazione del SOC: dimensionamento gestito dall'uomo come ultima risorsa

Per quanto riguarda l'altra parte della domanda, tuttavia, credo allo stesso tempo nel primo principio, ovvero “Il dimensionamento gestito dall'uomo è l'ultima risorsa”, forse perché sono cresciuto come persona frugale. Una persona viene da me e mi dice: “Ho una grande idea per te! Penso che sarebbe un ottimo lavoro per il SOC”.

Perché la gente dice così? Perché lavoriamo 24 ore su 24, 7 giorni su 7, e molte persone cercano di scaricare qualcosa al SOC e ci tengono a dirlo. E io rispondo: Parliamo del vantaggio netto che questo ha per l'azienda”. Perché se ci chiedi aiuto perché ciò comporta un vantaggio netto per l'azienda, allora va benissimo. Se ce lo chiedi perché è un lavoro che vuoi evitare e pensi che dovrebbero occuparsene altri, allora rispondo: “Forse è il caso di tornare a OP1 e trovare un modo per uscire da questa situazione attraverso l'automazione”.

Clarke Rodgers:
Certo.

Tom Avant:
Al team ripeto sempre che il nostro lavoro è farci da parte. Il nostro compito è trovare continuamente modi per utilizzare l'automazione o assicurarci di ridurre i rilevamenti fino al punto in cui, se qualcuno mi chiede perché non disponiamo di un SOC, posso rispondere che una volta ce l'avevamo e quel SOC ha esaminato un sacco di modi diversi per poter dire: “Non ne abbiamo bisogno”, “Si potrebbe automatizzare”, “Si potrebbe migliorare” o “Potremmo trasferire questa cosa a monte in uno stato in cui l'SOC non è più necessario”. Questo è il mio obiettivo. Non so se ci arriveremo mai, ma è sicuramente un obiettivo verso cui puntare.

Come costruire un Security Operations Center interno

Clarke Rodgers:
Avevo proprio una domanda per te a riguardo. Se dovessi guardare nella sfera di cristallo, che aspetto avrebbe il SOC del futuro? Immagino che un modo alternativo di porre questa domanda sia: se potessi fare tabula rasa, come svilupperesti una funzionalità SOC oggi?

Tom Avant:
Direi che sarebbe importante valutare la capacità, perché è questo il punto chiave. Oppure qual è la capacità che si ottiene da un SOC. Qual è la capacità che si perde se non si dispone di un SOC o si esternalizza un SOC? La differenza con l'outsourcing è che l'interesse dell'azienda viene prima di tutto, per questo è preferibile avere un SOC interno, se te lo puoi permettere.

Clarke Rodgers:
Immagino che internamente avresti una conoscenza dell'azienda che nessun soggetto esterno avrebbe.

Tom Avant:
Esattamente. Saprai a chi rivolgerti. L'altra parte della gestione interna è la capacità, no? Torniamo alla capacità. È fondamentale concentrarti su ciò che offri specificamente per l'azienda. Penso che sia possibile correggerlo costantemente, perché partecipi ad altre riunioni, come quelle di pianificazione strategica. Man mano puoi capire qual è il nuovo obiettivo, dove l'azienda ha cambiato rotta. In caso di esternalizzazione, invece, non puoi farlo allo stesso ritmo.

E poiché il mondo aziendale si muove a gran velocità, è importante assicurarsi che le persone che si occupano delle operazioni a valle siano in contatto con le persone che prendono le decisioni strategiche e siano quindi in grado di correggere il tiro rapidamente. Questo è uno dei vantaggi di avere un servizio interno. Considererei tutte queste cose e direi la capacità, l'obiettivo strategico che ho delineato: che assetto di sicurezza desidero? Quali rischi corro se sbaglio?

Se dovesse succedere, sarei capace di guardare negli occhi il cliente e dire che ho fatto tutto il possibile per evitarlo o darei la colpa a qualcun altro?

L'IA generativa e il futuro delle operazioni di sicurezza

Clarke Rodgers:
Straordinario. Con la velocità di avanzamento della tecnologia e, naturalmente, con gli strumenti di IA generativa a disposizione, come sarà secondo te il SOC del futuro? Non so se puoi parlare di eventuali strumenti di IA generativa che utilizzi oggi o se progetti di farlo o lo stai valutando. In ogni caso, come credi che aiuteranno gli analisti di SOC e anche gli altri ruoli? Inoltre, dal punto di vista degli aggressori, come pensi che si possano utilizzare per rilevare le loro attività o reagire?

Tom Avant:
Abbiamo cominciato a utilizzarli per creare risposte automatiche per alcuni dei nostri clienti. Stiamo inoltre esaminando i flussi di lavoro automatizzati per poter dire: “Sappiamo che si tratta di flussi di lavoro comuni, stiamo osservando cose basate sui nostri parametri, che i clienti cercano molto. Come possiamo incorporare ciò che i dati ci dicono con un indirizzamento più diretto verso le soluzioni che cercano e che non richiedono il giudizio umano? Perché non rimuoviamo completamente l'uomo dalla catena?” È su questo che stiamo lavorando attualmente.

Clarke Rodgers:
Fantastico. E per quanto riguarda il lato avversario?

Tom Avant:
Il lato delle minacce è davvero interessante. È un campo di gioco molto nuovo. Si sente parlare di tante novità relative alle iniezioni… Le persone vogliono giocare con questa tecnologia e non fanno altro che accedere a mille siti Web per scaricare. La metà delle volte non sanno nemmeno che cosa scaricano. È importante che le persone non corrano rischi. Prima bisogna valutare il rischio e cercare il punto di ingresso migliore.

La situazione è la stessa quando si parla di IA generativa. Quali sono i luoghi sicuri dove andare? Come si può convalidare l'utilizzo prima di incorporare uno strumento? Quali sono i diversi controlli che possiamo eseguire in background e assicurarci che tutto vada bene prima di passare alla propagazione? Perché una volta che è entrato e comincia a propagarsi, è troppo tardi per capire che hai fatto qualcosa di sbagliato, perché bisogna provvedere a ripulire e a cercare di stare al passo con la propagazione. Non è divertente, per chi di noi lo ha già fatto per altre cose. Quindi è importante ragionare in termini di controlli preliminari ancor prima di intervenire.

► Leggi il rapporto di ricerca: Securing Generative AI: What Matters Now

Penso che un'altra minaccia legata a ciò che cominciamo a vedere, e che probabilmente è rara, sia la regolamentazione. È probabilmente una delle principali tendenze che noto man mano che adottiamo sempre più carichi di lavoro nel cloud, dal momento che sempre più clienti passano al cloud. Ci muoviamo in ambienti sempre più diversi, in paesi diversi. Cominciamo a vedere sovereign cloud sbucare in sempre più posizioni. La regolamentazione è un fattore a cui bisogna pensare sul serio. Prima era un pensiero secondario, mentre ora è in cima alla lista di molte nostre discussioni. Prima di pensare a qualsiasi altra cosa, è necessario capire come possiamo adottare una soluzione in piena conformità, continuare a operare e mantenere il massimo valore per il cliente e, allo stesso tempo, osservare la conformità e comunicare tutto ciò.

Clarke Rodgers:
È una tendenza incredibile che ho notato anche io. Una volta potevamo parlare di sicurezza fin dalla progettazione, giusto? Integrare la sicurezza, magari anche solo nelle fasi di prototipazione e ideazione. Ora ci ritroviamo al punto in cui è necessario pensare anche a privacy, conformità e obblighi normativi”.

Tom Avant:
Esattamente.

Clarke Rodgers:
Mi fa piacere che tu noti questa tendenza, che le persone spostino queste operazioni lungo lo stack, in modo che al momento del rilascio tutto sia allineato.

Tom Avant:
Esattamente.

Clarke Rodgers:
È stato un vero piacere Tom. Sono molto contento del tempo che ci hai dedicato. Grazie!

Tom Avant:
Grazie a te per l'invito. Sono molto contento anche io.