生成式 AI 將如何改變安全操作?
與 AWS 安全操作總監 Tom Avant 對話安全營運是關鍵
無論您是購買還是建置,安全操作都是企業安全策略中重要的一環。在與 AWS 安全操作總監 Tom Avant 的這次對話中,我們討論了建置成功的安全操作中心 (SOC) 的關鍵。
建置成功 SOC 的關鍵因素是什麼?
加入 AWS 企業策略總監 Clarke Rodgers 的行列,他將詢問 Tom 關於 AWS SOC 在組織內的運作方式、團隊如何衡量成功,以及他們如何採用自動化來推動持續改進。我們還會探索新興技術 (例如生成式 AI) 對於安全操作的未來有什麼影響。
請在下方參閱該對話的詳細資訊:
對話的轉寫
主角是 AWS 安全營運總監 Tom Avant 和 AWS 企業策略總監 Clarke Rodgers
從軍事行動到安全行動:Tom Avant 的 AWS 旅程
Clarke Rodgers:
擴展成功的全球安全操作是不小的壯舉。這需要一定程度的承諾和擁有權文化,藉此優先考量客戶信任,同時適應業務需求。
您好,我是 AWS 的企業策略總監 Clarke Rodgers,也是您在 Executive Insights 的嚮導,帶您一同與 AWS 的安全領導者進行一系列對話。
在本集中,我請來了 AWS 回應和恢復能力總監 Tom Avant。聽聽我們談論建置、維護和發展安全操作的關鍵,以確保企業恢復能力。感謝您觀看和聆聽。
Clarke Rodgers:
Tom,非常感謝您參加我們今天的訪談。
Tom Avant:
非常感謝您的邀請。我真的感到很榮幸。不勝感激。
Clarke Rodgers:
我想先從您的背景開始聊聊。我知道您在軍隊服役過一段時間,是什麼吸引您加入 AWS?
Tom Avant:
從軍之後,我最初就從事語言學工作,所以我是一名情報分析師,當我在蒙特雷的國防語言學院時,就有機會接觸各種不同的文化。學習到很多關於世界的知識,這對於後續從事全球組織和全球團隊的工作提供很好的養分。
而情報行業就是……您在電視和電影上看過很多,您會以為就是那個樣子,然而實際踏入這個領域,才會發覺全然不同。但對於我來說,這是一個很好的地方,能夠學習有關資料以及處理和獲得方法,以有條理的方式來思考和看待事情。所以,我曾經在 NSA 服務過幾年的時間,從情報的角度處理過不同的工作。
最後,我擔任空戰指揮官,這是執行情報行動的指揮和控制官職務,有時候我會是總統的幕僚,在世界各地執行人道主義任務,並做出重要的決定,以及進行都是以全球等級事件回應為名的事務。
Clarke Rodgers:
確實如此。
Tom Avant:
因此對於 AWS 來說,這就像天作之合。我一生都在處理安全事務。我以前開玩笑,我從 19 歲起就獲得了安全許可。但是進入一個具有價值觀的組織,Amazon 因為這些領導原則而吸引人。當您了解 AWS 發生的事情時,在您真正深入時,您就會像:「天哪,世界上很多事情都是因為我們所做的事情而運作著。」 我要身入其中。
AWS 的安全操作和業務持續性
Clarke Rodgers:
讓我們來談談您目前在 AWS 的角色。目前擔任什麼角色,有哪些責任?
Tom Avant:
主要事項是執行 AWS 安全操作中心,然後我也負責 AWS 業務持續性。截然不同的兩件事情,但對於企業都非常重要。AWS 安全操作中心負責整個企業的一級實體和邏輯事件回應。從資料中心到 S3 儲存貯體,我們都是前線,確保我們監控偵測,然後對這些偵測進行分類,如果我們自己無法完成,就將其發送給可以進行修正的其他人。
因此,對於好奇自己識別證的所有人來說,我們執行該作業系統,並進行所有不同的整合,以確保大家每天都能進出自己需要進出的空間。而且,您無法進入我們不希望您進入的空間。
Clarke Rodgers:
確實如此。
Tom Avant:
對吧? 因此,存取控制非常重要。業務持續性部分是我們所有操作和服務的恢復能力。我們證明並確認:「我們有備援系統而且能信任這些系統。」 我們告訴客戶:「我們知道事情會很順利。」 我們希望確保當我們告訴他們這一點時,他們知道我們不是因為聽起來很酷,只是說說而已。我們會這麼說是因為我們已經測試過,而且我們在後台的人員勤奮地努力,重複測試並使用我們所有不同的項目,從營運風險評估到 COE 到不同的 ISO 要求的所有事項,以確保我們的服務真正具有彈性。
Clarke Rodgers:
所以,我猜想紅軍測試之類的事情也屬於您的責任?
Tom Avant:
實際上不是。這是業務的不同部分。但是,我們的工作更像是 TTX 或練習,我們會進行全面的練習,並帶入來自企業各個不同部門的人員。這基本上是一種模擬,「好吧,如果我們今天不順利該怎麼辦? 我們如何回應? 我們如何反應? 我們如何確保正確的事情發生?」 事情永遠不會完美,我們學到了很多東西。我們將所學到的東西放進執行手冊中,並與團隊分享,然後再試一次。
衡量 SOC 的價值:如何向領導階層證明投資
Clarke Rodgers:
從企業角度來看,執行 SOC 是一項巨大的投資。您如何根據我們所處的工作類型證明費用,甚至是是否必須這樣做? 因為當客戶……我和客戶進行對話,他們說:「我很想擁有 SOC,但員工和工具這些東西都非常昂貴。」 我要如何與領導階層一起制訂商業案例,我們實際上需要 SOC 或甚至只是 SOC 服務,如果他們決定訂閱這樣的服務?
Tom Avant:
這是一個複雜的問題。有幾個答案。第一個部分是因為我們很棒,所以這是您證明的方式。但事實並非如此,我們必須善用 KPI 和資料。而我們會與領導階層進行 QBR。因此,我們始終如一地尋找機械方法來評估:「我們是否能為企業和客戶提供和回報價值?」
Clarke Rodgers:
您可以分享您使用的任何指標嗎?
Tom Avant:
我們在所有不同的業務領域都研究大量的東西,以確保我們將這種價值回饋給企業。對於我們的門禁系統,我們確保討論系統正常執行時間以及系統停機時間,對吧? 我們也針對我們應用、進行協調的不同組態進行確認,我們實施的這些變更的淨收益是多少?
對於偵測,我們一邊偵測,一邊解決。我們著眼於不同類型的偵測,並著眼於這些空間為企業帶來的價值。甚至為了業務持續性,我們正在研究有關我們擁有的不同服務、擴大範圍、那些經過 ISO 認證的服務,那些我們能夠確保已經通過測試的服務的不同指標。
自動化 SOC:透過人類進行擴展做為最後手段
現在,這個問題的另一個部分,也許這只是因為我從小就是一個節儉的人,但同時我真的相信第一個租用戶,「透過人類進行擴展做為最後手段。」 您來找我,說道:「嘿,我有個好主意! 我認為這對 SOC 來說是一項很好的工作。」
為什麼人們這麼說? 因為我們 24 小時全天候服務,很多人正在尋求將某些東西卸載到 SOC,他們想來討論這一點。我說:「您知道嗎? 讓我們來談談這對企業的淨利益。」 如果您要求我們提供幫助,是因為這對企業有淨利益,那麼絕對沒問題。如果您要求我們這樣做,因為這是您不想做的工作,而您認為其他人應該做,那麼我會說,「也許我們應該回到 OP1,找出一種自動化自己擺脫這種情況的方法。」
Clarke Rodgers:
確實如此。
Tom Avant:
我仍然總是告訴我的團隊,我們的工作是讓自己失去工作。我們的工作是不斷找到使用自動化的方法,或確保我們將偵測降低到某個狀態,有一天您會說:「為什麼我們不擁有 SOC?」 我可以告訴您,「曾經我們確實有 SOC。」 SOC 經歷並研究了所有這些不同的方式,以便能夠說:「我們不需要這樣做」,或者「這可以自動化」,或者「這可能會更好」,或者「我們可以將這個問題推向上游到不再需要 SOC 的狀態。」 這就是我的目標。我不知道我們是否會到達目標,但這當然是繼續向前邁進的目標。
如何建置內部安全操作中心
Clarke Rodgers:
我實際上有一個問題想問您。如果要請您預測一下未來,未來的 SOC 會是什麼樣子? 我猜這個問題的另一種問法是,如果您有一張白紙,您今天會如何建置 SOC 功能?
Tom Avant:
我會把重點擺在功能上,因為這才是真正的問題。或者您可以從 SOC 獲得什麼功能? 由於沒有 SOC 或外包 SOC,您會失去什麼功能? 外包部分的差異在於,您首先要考慮公司的利益,這就是您想要內部 SOC 的原因,前提是您負擔得起。
Clarke Rodgers:
我猜想在內部,您還能夠具備外部機構所不具備的業務知識。
Tom Avant:
當然。您會知道該去找誰。另一方面,在內部,是您的能力,對吧? 回到功能。確保您專注於專門為企業提供的服務。我認為您可以不斷地調整這一點,因為您正在參加其他會議,例如策略規劃會議。所以,當它們流下來時,您可以理解,「好吧,這是我們的新北極星。這就是我們改變路線的地方。」 如果您以同樣的速度外包,您就無法做到這一點。
由於業務發展如此之快,您需要確保那些進行下游行動的人員與制定這些策略決策的人員保持聯繫,因此他們能夠真正快速地進行調整。這就是擁有內部中心的好處之一。我會審視所有這些事項,就我概述的能力、戰略上的北極星而言,我正在尋找什麼類型的保護態勢? 如果我錯過了,我的風險是什麼?
當我想到這一點時,我會……如果發生這種情況,我可以看著我的客戶的眼睛並說:「我已盡一切可能確保這不會發生」,或者我會說是另一個人?
生成式 AI 與安全操作的未來
Clarke Rodgers:
非常有趣。隨著技術進步的速度,當然還有現有的生成式 AI 工具,您認為未來的 SOC 會是什麼樣子? 您能不能談談,您現在是否有使用任何生成式 AI 工具,或者您計劃這樣做或調查任何可能的情況,而您如何看待這對您的 SOC 分析師和其他角色的幫助? 然後從攻擊者的角度來看,您認為他們會如何使用它,讓您可以偵測他們的活動或對他們做出反應?
Tom Avant:
我們開始使用它為一些客戶建立自動回應。然後我們也在研究自動化工作流程,以便能夠說:「好吧,我們知道這些是常見的工作流程──這些是基於我們正在考慮、客戶正在尋找的指標的事項──我們如何將資料告訴我們的資訊與更直接的路由結合起來,找到他們正在尋找的解決方案,而且它們不需要人為判斷的情況,我們為什麼不將人類從該流程中完全移除呢?」 這就是我們現在正在努力的事情。
Clarke Rodgers:
這太妙了。然後從對手那邊呢?
Tom Avant:
威脅方面確實很有趣。這是一個全新的競爭環境。所以,您聽到了很多關於注入的不同新事物……人們想要使用這項技術,他們只是跑到所有網站上面去下載。他們甚至有一半時間都不知道自己在下載什麼。您不想要會直接衝進火場的人。您想要先評估火勢並尋找最佳的進入點。
所以,談到生成式 AI,這也是一樣的。有哪些安全的地方可以去? 我們如何確保在合併之前驗證該用法? 我們可以在後台執行哪些不同的檢查,並確保:「是的,我們對正在做的事情有信心」,然後再進行擴展。因為一旦它進入並開始傳播,就不是發現您做錯了什麼的時候,因為現在您正在進行清理並試圖趕上傳播。我們以前在其他事情上這麼做過,這對我們來說並不有趣。因此,您肯定希望在突破之前從進行預先檢查的角度來看待它。
我認為與我們開始看到的威脅相關的另一個威脅是法規,這可能是不常見的威脅。隨著越來越多的客戶轉向雲端,我們開始將越來越多的工作負載轉移到雲端中,這可能是我開始看到的最大趨勢之一。我們前往越來越多不同的環境、不同的國家/地區。我們開始看到主權雲端在越來越多的地方出現。法規是真正需要考慮的事情。以前這是事後才想到的,而現在它已成為我們許多討論的首要內容。在我們思考其他問題之前,我們如何能夠採用和遵守並仍然為客戶操作和維護最大價值,同時遵守並能夠傳達這一點?
Clarke Rodgers:
我認為這也是我看到的趨勢,實在令人難以置信。過去我們可以圍繞設計安全進行對話,對吧? 甚至在事物的原型設計階段、構思階段就建置安全。現在我們正處於這樣的階段:「哦,是的,還有隱私權、合規和法規義務。」
Tom Avant:
當然。
Clarke Rodgers:
我很高興您看到這一點,人們正在將其進一步推入堆疊,以便在發佈時,可以實際地與事物保持一致。
Tom Avant:
當然。
Clarke Rodgers:
嗯,這真是太棒了,Tom。我非常感謝您今天的寶貴時間。感謝您!
Tom Avant:
非常感謝您的邀請。我也非常感謝。