Como a IA generativa mudará as operações de segurança?

Clarke Rodgers:
Escalar uma operação de segurança global bem-sucedida não é uma tarefa fácil. É necessário um nível de comprometimento e uma cultura de propriedade que priorize a confiança dos clientes e, ao mesmo tempo, possa se adaptar para atender às necessidades dos negócios.

Sou Clarke Rodgers, diretor de estratégia empresarial da AWS e seu guia para uma série de conversas com líderes de segurança da AWS aqui no Executive Insights.

Neste episódio, conto com a presença de Tom Avant, diretor de resposta e resiliência da AWS. Ouça enquanto falamos sobre os segredos para criar, manter e desenvolver operações de segurança para garantir a resiliência dos negócios. Agradeço pela sua participação.

Clarke Rodgers:
Tom, muito obrigado pela sua participação hoje.

Tom Avant:
Muito obrigado por me receber. Sinto-me muito honrado. Muito obrigado.

Clarke Rodgers:
Adoraria começar falando um pouco sobre sua experiência. Sei que você passou algum tempo no exército, então o que te atraiu para a AWS?

Tom Avant:
Ao entrar no exército, comecei a estudar linguística. Trabalhei como analista de inteligência e tive uma grande exposição a todas as culturas diferentes quando estive no Defense Language Institute em Monterey. Aprendi muito sobre o mundo, o que acabou me beneficiando muito melhor mais tarde na vida ao administrar organizações e equipes globais.

E o setor de inteligência é simplesmente... Há tanta coisa que você vê na televisão e no cinema e acha que é de um jeito, mas depois entra e percebe que não é nada disso. Mas foi um ótimo lugar em que estive e aprendi muito sobre dados, processamento e metodologias, como ser metódico na maneira de pensar e encarar as coisas. Foi o que eu fiz. Trabalhei na NSA por alguns anos fazendo coisas diferentes do ponto de vista da inteligência.

E, por fim, quando me tornei gerente de batalhas aéreas e oficial de comando e controle dirigindo operações de inteligência, passei a fornecer apoio presidencial, realizar missões humanitárias em todas as partes do mundo, tomar decisões críticas e fazer várias coisas em nome da resposta a incidentes em nível global.

Clarke Rodgers:
Claro.

Tom Avant:
Então, para a AWS, foi uma escolha natural. Trabalhei com segurança durante toda a minha vida. Costumo dizer de brincadeira que tenho autorização de segurança desde os 19 anos. Mas, ao ingressar em uma organização que tinha valores, achei a Amazon interessante por causa desses princípios de liderança. E, quando você começa a entender o que acontece na AWS, quando você realmente se aprofunda, você pensa: “Meu Deus, grande parte do mundo funciona por causa das coisas que fazemos”. E eu faço parte disso.

Clarke Rodgers:
Vamos falar um pouco sobre sua função atual na AWS. Qual é essa função atual e quais são suas responsabilidades?

Tom Avant:
O principal é que eu administro o AWS Security Operations Center e também sou responsável pela continuidade dos negócios da AWS. Duas coisas muito diferentes, mas extremamente importantes para a empresa em ambos os aspectos. O AWS Security Operations Center é responsável pela resposta a incidentes físicos e lógicos de nível um em toda a empresa. Ou seja, desde um data center até buckets do S3, somos a linha de frente, garantindo o monitoramento das detecções e, em seguida, a triagem dessas detecções ou seu encaminhamento para outras pessoas que possam corrigi-las, caso não possamos fazer isso sozinhos.

Para quem está curioso sobre seus crachás, nós operamos esse sistema e fazemos todas as diferentes integrações para garantir que as pessoas entrem e saiam dos locais necessários todos os dias. E também para garantir que você não tenha acesso aos espaços onde não tem permissão.

Clarke Rodgers:
Claro.

Tom Avant:
Certo? O controle do acesso é muito importante. A peça-chave para a continuidade dos negócios é a resiliência de todas as nossas operações e serviços. Nós certificamos e dizemos: “Temos sistemas redundantes e confiamos nesses sistemas”. E dizemos aos clientes: “Sabemos que isso vai ser bom”. E queremos ter certeza de que, quando dizemos isso, eles saibam que não estamos dizendo isso apenas porque parece legal. Dizemos isso porque testamos e temos pessoas nos bastidores trabalhando incansavelmente para voltar, testar novamente e usar todas as nossas diferentes coisas, desde análises de riscos operacionais até COEs e diferentes requisitos de ISO, a fim de garantir que nossos serviços sejam realmente resilientes.

Clarke Rodgers:
Então, suponho que coisas como red teaming e coisas do tipo estão sob a sua responsabilidade?

Tom Avant:
Na verdade, não. É uma parte diferente dos negócios. Nossa atuação é mais parecida com os TTXs ou os exercícios em que fazemos uma simulação em grande escala e reunimos pessoas de diferentes setores da empresa. E é essencialmente uma simulação para dizer: “OK, o que acontece se tivermos um dia ruim? Como respondemos? Como reagimos? Como podemos garantir que as coisas certas aconteçam?” Nunca é perfeito, aprendemos muitas coisas. Implementamos isso nos manuais de operação, compartilhamos com as equipes e repetimos o processo.

Clarke Rodgers:
Administrar um SOC é um grande investimento do ponto de vista comercial. Como você justifica as despesas considerando o tipo de trabalho que fazemos? Ou você nem precisa justificar essas despesas? Porque quando os clientes... Eu converso com clientes. Eles dizem: “Bem, adoraria ter um SOC, mas é tão caro: a equipe, as ferramentas e todas essas coisas”. Como faço para apresentar o caso de negócios à liderança de que realmente precisamos de um SOC ou talvez apenas de um serviço de SOC, se optarem por contratar um?

Tom Avant:
É uma pergunta complexa. Há algumas respostas para ela. A primeira parte é porque somos incríveis, é assim que você justifica isso. Mas não, a justificativa se baseia em KPIs e dados. E realizamos QBRs com nossa liderança. Procuramos consistentemente formas mecanicistas de avaliar: “Estamos fornecendo e retornando valor aos negócios e aos clientes?”

Clarke Rodgers:
Você poderia compartilhar alguma das métricas que usa?

Tom Avant:
Há muitas coisas que analisamos em todas as diferentes linhas de negócios para garantir que estamos retornando esse valor aos negócios. No caso do nosso sistema de controle de acesso, é importante falarmos sobre o tempo de atividade do sistema e o tempo de inatividade do sistema, certo? E também nos certificamos de que, para as diferentes configurações que aplicamos e coordenamos, qual é o ganho líquido dessas mudanças que implementamos?

Para detecções, observamos o tempo médio de detecção e o tempo médio de resolução. Analisamos os diferentes tipos de detecções que recebemos e analisamos o valor que é retornado aos negócios nesses espaços. Até mesmo para a continuidade dos negócios, analisamos diferentes métricas sobre os diferentes serviços que temos, o escopo ampliado, aqueles que tenham certificação ISO e os que conseguimos garantir que tenham sido testados.

No entanto, a outra parte dessa questão é que, ao mesmo tempo, e talvez isso seja apenas porque cresci sendo uma pessoa econômica, mas ao mesmo tempo, realmente acredito neste primeiro princípio: “Escalar com intervenção humana apenas em último caso”. Você vem até mim e diz: “Tenho uma ótima ideia para você! Acho que seria um ótimo trabalho para o SOC.”

Por que as pessoas dizem isso? Porque trabalhamos 24 horas por dia, 7 dias por semana, e muitas pessoas querem transferir responsabilidades para o SOC e vêm nos dizer isso. E eu digo: “Quer saber? Vamos conversar sobre os benefícios gerais que isso proporciona para os negócios.” Porque, se você está nos pedindo ajuda porque isso é um benefício geral para a empresa, então com certeza. Se você está nos pedindo para fazer isso porque é um trabalho que você não quer fazer e acha que outras pessoas deveriam fazer, então eu diria: “Talvez devêssemos voltar ao OP1 e encontrar uma maneira de automatizar essa situação.”

Clarke Rodgers:
Claro.

Tom Avant:
Vivo dizendo para minha equipe que nosso trabalho é nos deixar sem emprego. Nosso trabalho é buscar continuamente maneiras de usar automação ou garantir que estamos diminuindo as detecções a tal ponto que, um dia, você se pergunte: “Por que não temos um SOC?” E eu vou poder te dizer: “Era uma vez um SOC”. E esse SOC analisava todas essas diferentes maneiras de poder dizer: “Não precisamos fazer isso”, ou “Isso pode ser automatizado”, ou “Isso pode ser melhorado”, ou “Podemos empurrar isso para um estágio em que o SOC não seja mais necessário”. Esse é o meu objetivo. Não sei se algum dia chegaremos lá, mas certamente é uma meta a ser alcançada.

Clarke Rodgers:
Bem, na verdade, eu tinha uma pergunta para você sobre isso. Se você olhasse para sua bola de cristal, como seria o SOC do futuro? Acho que uma maneira diferente de fazer essa pergunta é: se você tivesse uma folha em branco, como desenvolveria uma capacidade de SOC hoje?

Tom Avant:
Eu diria que estou avaliando a capacidade, porque é isso que realmente importa no final. Ou qual é a capacidade que você ganha com um SOC? Qual é a capacidade que você perde por não ter um SOC ou por terceirizar um SOC? A diferença entre a parte de terceirização é que você coloca os interesses da empresa em primeiro lugar, e por isso quer um SOC interno, se puder pagar por isso.

Clarke Rodgers:
E acho que, internamente, você também terá um conhecimento dos negócios que uma parte externa não teria.

Tom Avant:
Com certeza. Você vai saber a quem recorrer. A outra parte disso, de trabalhar internamente, é a sua capacidade, certo? De volta à capacidade. Certifique-se de que seu foco esteja no que você está oferecendo especificamente para os negócios. E acho que você pode sempre ajustar isso porque participa de outras reuniões, como as de planejamento estratégico. Conforme elas se desenrolam, você pode compreender que, “Tudo bem, esta é nossa nova direção. É aqui que mudamos de rumo”. Não dá para fazer isso no mesmo ritmo se você é terceirizado.

E, como os negócios estão avançando tão rápido, você quer ter certeza de que as pessoas que estão realizando essas ações posteriores estejam conectadas às pessoas que estão tomando essas decisões estratégicas e, portanto, possam agir rapidamente. E esse é um dos benefícios de ter um serviço interno. Eu analisaria todas essas coisas e diria: “A capacidade, a estrela guia estratégica que defini, que tipo de postura de proteção estou buscando? E, então, quais são os meus riscos se eu errar?”

E quando penso nisso, eu vou… se isso acontecer, poderei olhar meu cliente nos olhos e dizer: “Fiz tudo o possível para garantir que isso não acontecesse”, ou vou transferir a responsabilidade e dizer que foi culpa de outra pessoa?

Clarke Rodgers:
Adoro isso. Com a velocidade com que a tecnologia está avançando e, é claro, com as ferramentas de IA generativa que existem por aí, como você imagina o SOC do futuro? Não sei se você pode comentar se está usando ferramentas de IA generativa atualmente, ou se tem planos de usá-las ou investigá-las, mas como você acha que elas podem beneficiar seus analistas de SOC e outras funções também? E, do ponto de vista dos atacantes, como você acha que eles podem estar usando essas ferramentas, para que você possa detectar suas atividades ou reagir a elas?

Tom Avant:
Estamos começando a usar a IA generativa para criar respostas automatizadas para alguns de nossos clientes. Além disso, também analisamos fluxos de trabalho automatizados para poder dizer: “OK, sabemos que esses são fluxos de trabalho comuns que surgem, são coisas baseadas em nossas métricas que estamos analisando, que os clientes estão procurando muito. Como podemos incorporar o que nossos dados estão nos dizendo com um roteamento mais direto para as soluções que eles buscam e, quando não é necessário julgamento humano, por que não removemos completamente o humano dessa cadeia?” E é nisso que estamos trabalhando agora.

Clarke Rodgers:
Fantástico! E do lado do adversário?

Tom Avant:
O lado da ameaça é realmente interessante. É um campo de jogo muito novo. Você ouve tantas coisas novas diferentes sobre injeções em... As pessoas querem experimentar a tecnologia e estão correndo para todos os sites e fazendo downloads. Na metade das vezes, elas nem sabem o que estão baixando. Você não quer que as pessoas se lancem no meio de um incêndio. Primeiro, você deve avaliar esse incêndio e encontrar o melhor ponto de entrada.

É a mesma coisa quando falamos sobre a IA generativa. Quais são os lugares seguros para ir? Como podemos garantir a validação desse uso antes de o incorporar? Quais são as diferentes verificações que podemos realizar em segundo plano para garantir que possamos dizer: “Sim, estamos realmente seguros sobre o que estamos fazendo”, antes de espalhar isso. Porque, quando isso já está em ação e começa a se espalhar, não é o momento de perceber que, opa, você errou, pois agora você está fazendo a limpeza e tentando conter a propagação. E isso não é divertido para aqueles de nós que já fizeram isso antes por outras coisas. Então, é fundamental que você veja isso do ponto de vista de realizar essas pré-verificações antes mesmo de começar a implementar as coisas.

E acho que outra ameaça relacionada a isso que estamos começando a perceber, e que provavelmente é incomum, é a regulamentação. É provavelmente uma das maiores tendências que estou começando a perceber à medida que começamos a adotar mais e mais workloads na nuvem, conforme mais e mais clientes estão chegando à nuvem. Vamos a ambientes cada vez mais diferentes, a países diferentes. Estamos começando a ver a nuvem soberana aparecer em mais e mais locais. O regulamento é algo em que é realmente preciso pensar. Antes, era uma reflexão tardia e agora está na vanguarda de muitas das nossas discussões. Antes de entrarmos e pensarmos em qualquer outra coisa, é preciso saber como podemos adotar e estar em conformidade e ainda operar e manter o máximo de valor para o cliente, ao mesmo tempo em que estamos em conformidade e somos capazes de comunicar isso.

Clarke Rodgers:
Também acho que essa é uma tendência incrível que tenho visto. Antigamente, podíamos conversar sobre segurança desde a concepção, certo? Integrar a segurança, talvez até nas etapas de prototipagem e concepção das ideias. E agora estamos no ponto em que: “Ah, sim, e privacidade, conformidade e obrigações regulatórias também”.

Tom Avant:
Com certeza.

Clarke Rodgers:
Fico contente que você esteja percebendo isso, que as pessoas estão empurrando isso mais para baixo na cadeia, de modo que, na hora do lançamento, você esteja realmente alinhado com tudo.

Tom Avant:
Com certeza.

Clarke Rodgers:
Foi fantástico, Tom. Agradeço muito pelo seu tempo hoje. Foi um prazer.

Tom Avant:
Muito obrigado por me receber. Foi um prazer para mim também.