將安全重新定義為策略性優勢

Clarke (00:05)：
Merritt，非常感謝您參加我們今天的討論。

Merritt (00:08)：
感謝您邀請我。

Clarke (00:09)：
您能說說您的相關背景嗎？ 您加入 AWS 的契機和您目前負責的工作內容？

Merritt (00:15)：
是的。我已經在 AWS 工作了將近四年。我曾在美國政府任職，代表美國人民負責安全工作。我在政府的所有三個分支機構都工作過。我之所以來安全部門，是因為我覺得對於這些迫在眉梢的大問題，我們沒有強有力的方法來解決。我取得了法律學位，部分原因是我知道這對於此處的工作有助益。而且我也有這樣的感覺，這些環境問題將比在此時找出一項威脅，或找出一個執行者或其他什麼更重要。因此，我最終選擇了安全領域中較不吸引人的工作。基礎設施層方面在幕後非常重要。我想，這才是真正驅使我來到這裡的原因。

Clarke (01:08)：
這是一個精彩的故事。能否說說資安長辦公室，以及在更大的 AWS 計畫中的作用？

Merritt (01:17)：
是的。我是資安長辦公室負責人。AWS 的資安長 (CISO) 辦公室很像企業中的任何其他辦公室，對吧？ 我的老闆 Steve Schmidt 不僅關注 AWS 如何保護自身的內部安全，還關注我們作為一間公司如何確保安全地交付所有內容。這是極具吸引力的交付項目集，需要深思熟慮，因為你要考慮如何設定防護機制，才能讓員工面臨最小的阻力，以及讓員工本身成為開發團隊。然後，還要嘗試讓開發團隊以最簡單和最安全的方式，做最安全的事情。因此，這正是我在與客戶交談時，我的角色真正讓我產生同理心和可信度之處，因為我的工作內容中，大約一半用於在 AWS 提升我們的安全性，而另一半則用於與客戶交談。有時是公開演講，但很多時候是資安長與資安長之間的對話，與安全小組交談，以及找出方法促使他們的企業走向成長。很多時候，安全是讓他們能夠以更廣泛、更快捷、更成熟的步伐前進的關鍵因素之一。相反地，安全有時候會被視為一個障礙。我認為這不該是一種妥協。不僅因為安全團隊需要停止用藉口裹足不前，也因為現在雲端的發展，當您開始進行開發的那一刻，您就在將自己的身分和許可，以及您建構的方式，與您的架構的其餘部分和網際網路的其餘部分聯繫起來。因此，您建置的所有內容都具有固有的安全屬性。這意味著，我們需要將安全融入我們的對話，還意味著我們需要與客戶討論我們如何實現。

Clarke (03:23)：
原來如此。在您與客戶資安長的對話中，我想可能會滲透到您的其他職責，因為資安長可能會說，「我喜歡產品 X 或 Y，但我希望這樣做。」 這也屬於您負責的安全堆疊。客戶如何透過這樣的對話，要求安全服務產品團隊實際實作一項功能？

Merritt (03:51)：
如您所知，服務團隊一直在建置、實作和部署新功能。因此，與他們已經決定或能夠投資的產品保持同步，這並非真正的挑戰。實際上，重點在於我們如何解決問題，如果我們沒有以正確的方式解決問題，很顯然，我們進行的對話可能效果不彰。但我所做的很多事情都是，弄清楚客戶真正的要求，以及如何協助他們進入下一個成熟階段，或者如何讓他們做出改善。另一件事是，我們該怎麼做？ 我認為，客戶在與我交談時真正期望獲得有很大價值的是，「您的團隊如何協調？」 因為我不相信零和遊戲，但我確實認為，擁有真正的同理心是非常有價值的。 

Clarke (04:51)：
說的好。因此，當客戶問「AWS 是如何做 X 的？」時， 哪些是客戶最常問到的「AWS 是如何做的…」 從安全的角度來看，您會從客戶聽到哪類問題？

Merritt (05:07)：
到目前為止，最常見的問題是創新方面。「您的開發團隊如何創新，您的安全團隊如何與您的開發團隊建立不衝突的關係？」 而且我認為，這正是我們工作最出色的部分，您可以對我們不加掩飾追求的那種快速創新持相反意見，有時這意味著我們正在以非常快的速度發佈版本，或者人們很難理解新事物意味著什麼。但最終我們要做的是，從某些機制的本質上講，例如「兩個披薩原則」 ，在安全方面產生共鳴，對吧？ 假設在兩個披薩原則下，您故意被孤立，以便快速做出商業決定，而如果是兩個披薩原則下，則您需要考量安全性做出商業決定。只有少數人會知道這些要素在幕後如何運作。我們的運作方式中涉及安全要素。我們真正要談論的是，將安全融入交付產品的方式。因此，與其說是與安全團隊有關，不如說是讓安全團隊負責改造這艘船。他們真正要說的是，「您如何將企業變成一個生活和呼吸安全的企業，來作為銷售交付項目的一部分？」

Clarke (06:38)：
這很有意義。我與客戶交談時，他們往往會提出一件事，我想大家也會面臨同樣的問題，「我了解 DevSecOps 的價值。我了解將資源投入工程與營運安全，以及所有其他安全要素的價值。但是，我該如何真正建立像 AWS 這樣的世界級安全組織呢？」

Merritt (07:05)：
是的。我認為這個問題有很多種形式，對吧？ 可能是「我不知道我們是否曾實施事件回應計畫」，或者「我不知道我們是否有事件回應計畫」。 同樣，我認為這其中很大一部分源於貫穿資產生命週期的那些控制。例如基礎設施，但這是您透過該程序建置的，對嗎？ 源於保護性、偵測性和補救性控制。顯然，我們總是會回到這裡的其中一個要素，即自動化。例如，在我們的團隊中，我們的 AWS 安全團隊，在編寫修復指令碼 (如果可以) 之前，我們絕不會關閉故障單。因此，在以可觀察的方式實作之前，自動化之類的內容聽起來像是口說無憑。但最終，我們現在尋找的是真正擴展營運規模的方法。並且由於這些保護性、偵測性和補救性控制，我們的 24 小時值班人員可以照看所有自動化狀況。因此，採用新一代安全營運中心會帶來很多自由。不要誤會我的意思，我知道這並非易事，但萬丈高樓平地起，就會有所收穫。我們透過解決大小問題，逐步建立了安全團隊。萬丈高樓平地起，對吧？ 雇用熱愛自動化的人，雇用多元化的安全團隊，他們會有不同的想法，使用不同的程式碼，透過不同程度的自動化來解決問題，然後在您的領導層的支援下到達這個階段。這對於我們認真談論企業 (或者應該說是實體) 的投資程序非常重要，因為公共部門投資於安全程序的運作方式大致相同。同樣，這需要以特定的方式和行為來實作。當人們來找我說，「如何建立一個世界級的安全團隊？」 或者「如何建立創新文化？」 嗯，這需要持之以恆。有些事情可以聯繫起來，我們可以提供一些支援。例如，在 DevSecOps 中，我們按比例在團隊中安排一名安全工程師，現在是八分之一，這可能會…上下波動，我們會評估最恰當的比例。當有意外狀況或是進展偏離計畫時，我們都會探究錯誤原因。而且，副總裁必須參加那些關於錯誤原因的會議。我們不會派初級工程師來承擔責任。設定這種問責制的生態系統，不是問責個人，而是面向組織，讓學習弧線隨時間的推移而增長，這是我們真正要實現的目標。我認為這種文化無法自然形成。而是靠我們後天的導入。

Clarke (10:22)：
我想訣竅是開發一種機制，來強化您正在尋求的行為。

Merritt (10:28)：
完全正確。例如，如果您選擇讓員工許可非常開放，我們在 Amazon 就是這樣做的，順便說一下，這也是一個深思熟慮的商業決定。對於發生的事件，您需要有或者至少選擇非常精細的日誌記錄和監控。你需要設定閾值，以及完善的向上回報排程機制，同樣，這意味著領導層需要投入，因為他們了解必須對安全問題有所回應。每一位主管都會說他們非常重視安全，但最重要的是他們必須理解需要為此付出實際努力，必須了解這會需要他們投入處理。這也意味著，安全團隊將在業務本身中扮演某種角色。

Clarke (11:26)：
原來如此。您早些時候在關於投資的回答中提到了一點，對吧？ 我們的許多客戶資安長和客戶主管來找我們，他們說，「好吧，我們需要進行某些投資來增強我們的能力。」 從安全的角度來看，多年來，AWS 對五個核心最低安全基準的概念非常清楚。即身分、偵測控制、基礎設施安全、資料保護和事件回應。當客戶資安長說：「我的預算有限，我的員工有限，但我需要做足這五件事。需要從哪裡開始投資，在這五個方面，哪個最重要？」

Merritt (12:09)：
非常多資安長會說：「是從一個工作負載還是一百個工作負載開始？」 對嗎？ 我認為答案是從某個有實際意義的地方開始著手。無論從多少工作負載開始，進行時都不要過於隱蔽。以鉅細靡遺的方式進行，我相信您將擁有安全性繼承，從平台的角度來看，這些繼承實際上會為您的企業或您的實體帶來優勢。我要重新提一下雲端對我們代表什麼意義，這聽起來可能像是老生常談。 20 年前，人們只是透過檢查辦公桌下的流氓伺服器來完成這五個階段。我們不再這樣做了，或者至少如果在雲端，您不會這樣做。我們知道，成為安全性繼承的原因之一是 AWS 負責堆疊的底層。善用雲端來實現安全雲端規模，這是我真正看到客戶目前未充分利用，且急需處理的事件之一。如果他們的預算有限，就更有必要讓他們達到可以善用這種規模的狀態。話雖如此，如果必須選擇一個，我會說在身分方面難度最高。我還沒有聽過客戶說：「我很喜歡我們的身分提供者。而且我認為我們做得很好。」

Clarke (13:40)：
對於身分投資，要看是否手頭拮据，可以這麼說嗎？

Merritt (13:45)：
我認為，如果資金有限，您應當與企業討論其目標是什麼，然後討論為什麼安全是業務差異化因素。我說的不僅僅是圍繞生產的產品安全性，更要將安全性作為產品一部分。假設您是零售商、石油和天然氣公司，等等...無論哪個行業，汽車、製藥、媒體和娛樂、兼併和收購，最近人們關心的部分內容應該是，經營業務的安全性如何。所以不僅僅是那些提供安全產品的人，也不僅僅是說「噢，您擔任人力資源職務，是否在內部關注我們的資料？」 實際上，這關乎如何將安全性作為產品的固有部分來提供。而且我認為沒有辦法捏造這一點。必須透過您建立實際企業的方式，以及您正在實現的目標來完成。就您而言，您所爭取的預算必須考慮到這一點。而且，我們不應再將安全視為成本中心。我真的厭倦這種觀點，因為實際上，這是一個商業推動因素，以及商業驅動力，如果不安全，沒有人願意做任何事情，如果不安全，也沒有人願意購買任何東西，如果公司不安全，沒有人願意與公司互動，政府亦是如此。坦率地說，如果您沒有這種概念，則不可能獲得成功。我知道目標是變化的，因為這是一個程序，並且我們正在朝著目標邁進，但您必須與最優秀的人一起努力。

Clarke (15:24)：
那麼，關於作為業務推動因素的安全系列產品，資安長及組織如何看待將資安長的組織視為成本中心，如何提供支援或將這一訊息傳達給董事會或組織中的其他決策者？

Merritt (15:42)：
這有幾個要素，對吧？ 一是企業在選擇成長的過程中發生的一般性轉型。實際上，我認為總體而言，企業過於關注遷移成本。而沒有研究保持原樣會付出的成本。在這一點上，您應看看保持原樣的成本是多少，現在不遷移以及不做可能要做的事情需要付出多少成本。坦率地說，我理解這需要一些勇氣或一些積極的能量才能做到，但它幾乎會立即開始產生回報。這也將成為您的組織真正成長為企業的方式之一。而且，我認為最終任何延遲都只是浪費時間。同樣，回答您提出的問題，我想將這視為成本中心的人已經不復存在。 

Clarke (16:53)：
是的。我認為您提出了一個很好的觀點，即什麼都不做與公司考慮向前邁進一樣具有風險。

Merritt (17:01)：
我不是說風險一樣，什麼都不做往往代價更昂貴。在您與董事會交談時，這是要考慮的其中一件事。當人們談論安全指標時，我發現他們經常不當一回事。例如，他們會說，「上週我們觀察到 100 次攻擊，而本週只有 70 次。」 感覺就像攻擊無關緊要似的。顯然這些數字是人造數字。這是我胡謅的數字。但我想表達的重點是，您的安全指標應當是一個能顯示您是否與時俱進的弧線。如果不是，那麼就是錯誤的指標。因為這不是可以等閒視之的問題。 這是你必須全心投入的戰鬥。

Clarke (17:50)：
如今，勒索軟體是一個重要議題。這對客戶來說是一個大問題。我知道您具備一些專業知識。您有哪些可以給客戶安全組織的建議，讓他們了解為應對勒索軟體事件而需要做的事情。

Merritt (18:07)：
是的。顯然，最近有很多這類的新聞。雖然勒索軟體並不是什麼新鮮事。至少可以追溯到 1989 年。當時在召開健康會議，其中一些惡意人士在分發標記有「愛滋病」的光碟，因為這是一個醫療保健會議。如果您使用，就會安裝「愛滋病勒索軟體」，當將其插入光碟機時，就會加密您的檔案，並要求您將 89 美元的支票郵寄給巴拿馬的郵箱。我想重點是，勒索軟體本身在理論上並不是什麼新鮮事，但在實際情況中，顯然是因為加密貨幣的興起，以及有的人能夠透過進入您的網路來獲利而發生。

Clarke (18:58)：
勒索軟體是一種服務，對吧？

Merritt (19:01)：
是的。其商品化無疑是一個因素。坦率地說，資料隱私權機制使得公司被揭露存在違規行為的代價非常高昂。有一種形式的勒索軟體，只是真正地鎖定您的資料，還有一種形式是 xFill。即使您有備份，他們也威脅說會暴露他們已經獲得存取權。這本身就可以歸類為違規行為，尤其是當您處理的是受監管資料時，而我們其實全都在處理這樣的資料。所以，發生的情況與這裡討論的緊密相關。回答您提出的問題，我認為應對勒索軟體沒有靈丹妙藥。勒索軟體需要您整理好您的房子。所以，從一開始就盡量減少有人進門的可能性。設定身分驗證和修補，以及最低權限和區隔等。還有那些不可變的備份。因此，AWS Backup 或 Cloud and Door 等服務可以讓您及時獲得新的備份點，還原備份功能。 

Clarke (20:23)：
伴隨著目前的一些熱門主題，客戶提出的另一個熱門主題是零信任概念。那麼，零信任對您意味著什麼？如何向客戶闡明這一點，以及 AWS 如何協助客戶實現零信任，如果這實際上是他們需要做的事情呢？

Merritt (20:42)：
當然。零信任可能是您考慮安全控制的實用概念聚焦。對嗎？ 我認為...首先，如果問任何人零信任是什麼意思，您會得到不同的定義。但對我來說，零信任並非是指這個咖啡杯沒有連線至網際網路，而是意味著我們應根據執行者在網路中的位置，來對其降低信任，可能降低到零。基本上，無論是軟體還是人類，我們都應減少對這種傳統邊界概念的依賴。當然，周邊已死，周邊萬歲，對吧？ 雲端是我們的其中一項服務，坦率地說，在 AWS，我們的方法並非在以下控制之間進行二元選擇︰傳統的、以周邊為中心的控制 (如 VPN 或 VPC)，以及在安全群組、Naples 等內部運作的精細、以身分為中心的控制。而實際上是要讓這些控制相互配合，彼此增強和了解。一個範例是 VPC 端點政策，其中包含周邊許可和精細許可。兩者能彼此增強，並且透過我們的一些工具進行推理，這些工具是雲端固有的，因為我們正在實作基礎設施即程式碼。您可以實作安全即程式碼。例如，存取分析器或檢查器等工具，可以進行網路連線而不透過網路傳送封包。您應結合這種深度防禦的想法，但這聽起來很老套。這就像，「在門窗上裝鎖。」 不，其實目的是不同的。實際上，這也屬於我們安全相關邏輯的一部分。

Clarke (22:57)：
Merritt，謝謝您抽空參加今天的討論。在結束之前還有什麼想法嗎？

Merritt (22:59)：
人們經常來找我，向我提出關於資安長，他們認為很深的技術性問題。他們真正想要問的是，「我如何讓組織充滿動力並擁有必要的資金來做出改變？」 我認為，無論是字面上的還是隱喻的，這歸結為一個實體在將安全作為首要考量所做的投資。當我們說安全是零工作，或者我們使用的任何格言時，我們並不是說這是一句座右銘。我們的意思是將自己融入我們所做工作的文化中。我們要這樣做，其中一個方法是讓 Steve Schmidt 直接向執行長報告，並確保安全絕不會被其他商業利益超越或者超越人性。我認為，對於那些希望模仿我們已經能夠展示的一些優先順序的人來說，方法就是這樣付諸行動。實現這個目標就是開始。開始的方法是讓您的業務與這些目標保持一致。實現目標的其他方法之一，或者使您的組織更接近目標的方法之一是建立世界級團隊。而且我認為，現在這樣很難找到人才，我希望我們雇用那些想法不同、看起來不同、編碼不同的人，因為這對產業來說絕對是正確的事情，對整個生態系統來說也是如此。在易受攻擊的社群、我們與技術互動的方式、我們解決問題並使企業和實體更強大的方式等，安全在這些方面都有很多接觸點。我們有捨我其誰的自信。我想說，這是對我們所有人的行動呼籲，讓您的工作場所具有包容性，讓您的實體變得更強大。

Clarke (25:02)：
Merritt。非常感謝您的洞察並在今天參加我們的討論。