以新的數位體驗吸引客戶

將安全重新定義為策略性優勢

與 AWS 資安長辦公室負責人 Merritt Baer 的對話

雖然有些人可能將安全視為數位轉型的絆腳石,但 Merritt Baer 卻將其視為業務推動力。作為 AWS 資安長辦公室負責人,Merritt 知道安全不僅關乎組織如何保護自身,還關乎其如何為客戶提供安全的產品與服務。她協助領導者了解其組織中的安全價值,並幫助 AWS 強化自身的安全文化。

在這次訪談中,AWS 企業策略師 Clarke Rodgers 與 Merritt 談到了安全對業務增長的重要性。觀看影片,了解她對適當的安全投資如何協助組織提高成熟度、敏捷性和客戶滿意度的想法。

建立客戶信心的數位體驗

對話詳情

Clarke (00:05):
Merritt,非常感謝您參加我們今天的討論。

Merritt (00:08):
感謝您邀請我。

Clarke (00:09):
您能說說您的相關背景嗎? 您加入 AWS 的契機和您目前負責的工作內容?

Merritt (00:15):
是的。我已經在 AWS 工作了將近四年。我曾在美國政府任職,代表美國人民負責安全工作。我在政府的所有三個分支機構都工作過。我之所以來安全部門,是因為我覺得對於這些迫在眉梢的大問題,我們沒有強有力的方法來解決。我取得了法律學位,部分原因是我知道這對於此處的工作有助益。而且我也有這樣的感覺,這些環境問題將比在此時找出一項威脅,或找出一個執行者或其他什麼更重要。因此,我最終選擇了安全領域中較不吸引人的工作。基礎設施層方面在幕後非常重要。我想,這才是真正驅使我來到這裡的原因。

Clarke (01:08):
這是一個精彩的故事。能否說說資安長辦公室,以及在更大的 AWS 計畫中的作用?

Merritt (01:17):
是的。我是資安長辦公室負責人。AWS 的資安長 (CISO) 辦公室很像企業中的任何其他辦公室,對吧? 我的老闆 Steve Schmidt 不僅關注 AWS 如何保護自身的內部安全,還關注我們作為一間公司如何確保安全地交付所有內容。這是極具吸引力的交付項目集,需要深思熟慮,因為你要考慮如何設定防護機制,才能讓員工面臨最小的阻力,以及讓員工本身成為開發團隊。然後,還要嘗試讓開發團隊以最簡單和最安全的方式,做最安全的事情。因此,這正是我在與客戶交談時,我的角色真正讓我產生同理心和可信度之處,因為我的工作內容中,大約一半用於在 AWS 提升我們的安全性,而另一半則用於與客戶交談。有時是公開演講,但很多時候是資安長與資安長之間的對話,與安全小組交談,以及找出方法促使他們的企業走向成長。很多時候,安全是讓他們能夠以更廣泛、更快捷、更成熟的步伐前進的關鍵因素之一。相反地,安全有時候會被視為一個障礙。我認為這不該是一種妥協。不僅因為安全團隊需要停止用藉口裹足不前,也因為現在雲端的發展,當您開始進行開發的那一刻,您就在將自己的身分和許可,以及您建構的方式,與您的架構的其餘部分和網際網路的其餘部分聯繫起來。因此,您建置的所有內容都具有固有的安全屬性。這意味著,我們需要將安全融入我們的對話,還意味著我們需要與客戶討論我們如何實現。

「人們向我提出關於資安長的、他們認為很深的技術性問題。他們真正想要問的是,「我如何讓組織充滿動力並擁有必要的資金來做出改變?」 我認為,關鍵在於一個實體在將安全作為首要考量所做的投資。」


Clarke (03:23):
原來如此。在您與客戶資安長的對話中,我想可能會滲透到您的其他職責,因為資安長可能會說,「我喜歡產品 X 或 Y,但我希望這樣做。」 這也屬於您負責的安全堆疊。客戶如何透過這樣的對話,要求安全服務產品團隊實際實作一項功能?

Merritt (03:51):
如您所知,服務團隊一直在建置、實作和部署新功能。因此,與他們已經決定或能夠投資的產品保持同步,這並非真正的挑戰。實際上,重點在於我們如何解決問題,如果我們沒有以正確的方式解決問題,很顯然,我們進行的對話可能效果不彰。但我所做的很多事情都是,弄清楚客戶真正的要求,以及如何協助他們進入下一個成熟階段,或者如何讓他們做出改善。另一件事是,我們該怎麼做? 我認為,客戶在與我交談時真正期望獲得有很大價值的是,「您的團隊如何協調?」 因為我不相信零和遊戲,但我確實認為,擁有真正的同理心是非常有價值的。 

Clarke (04:51):
說的好。因此,當客戶問「AWS 是如何做 X 的?」時, 哪些是客戶最常問到的「AWS 是如何做的…」 從安全的角度來看,您會從客戶聽到哪類問題?

Merritt (05:07):
到目前為止,最常見的問題是創新方面。「您的開發團隊如何創新,您的安全團隊如何與您的開發團隊建立不衝突的關係?」 而且我認為,這正是我們工作最出色的部分,您可以對我們不加掩飾追求的那種快速創新持相反意見,有時這意味著我們正在以非常快的速度發佈版本,或者人們很難理解新事物意味著什麼。但最終我們要做的是,從某些機制的本質上講,例如「兩個披薩原則」 ,在安全方面產生共鳴,對吧? 假設在兩個披薩原則下,您故意被孤立,以便快速做出商業決定,而如果是兩個披薩原則下,則您需要考量安全性做出商業決定。只有少數人會知道這些要素在幕後如何運作。我們的運作方式中涉及安全要素。我們真正要談論的是,將安全融入交付產品的方式。因此,與其說是與安全團隊有關,不如說是讓安全團隊負責改造這艘船。他們真正要說的是,「您如何將企業變成一個生活和呼吸安全的企業,來作為銷售交付項目的一部分?」

Clarke (06:38):
這很有意義。我與客戶交談時,他們往往會提出一件事,我想大家也會面臨同樣的問題,「我了解 DevSecOps 的價值。我了解將資源投入工程與營運安全,以及所有其他安全要素的價值。但是,我該如何真正建立像 AWS 這樣的世界級安全組織呢?」

Merritt (07:05):
是的。我認為這個問題有很多種形式,對吧? 可能是「我不知道我們是否曾實施事件回應計畫」,或者「我不知道我們是否有事件回應計畫」。 同樣,我認為這其中很大一部分源於貫穿資產生命週期的那些控制。例如基礎設施,但這是您透過該程序建置的,對嗎? 源於保護性、偵測性和補救性控制。顯然,我們總是會回到這裡的其中一個要素,即自動化。例如,在我們的團隊中,我們的 AWS 安全團隊,在編寫修復指令碼 (如果可以) 之前,我們絕不會關閉故障單。因此,在以可觀察的方式實作之前,自動化之類的內容聽起來像是口說無憑。但最終,我們現在尋找的是真正擴展營運規模的方法。並且由於這些保護性、偵測性和補救性控制,我們的 24 小時值班人員可以照看所有自動化狀況。因此,採用新一代安全營運中心會帶來很多自由。不要誤會我的意思,我知道這並非易事,但萬丈高樓平地起,就會有所收穫。我們透過解決大小問題,逐步建立了安全團隊。萬丈高樓平地起,對吧? 雇用熱愛自動化的人,雇用多元化的安全團隊,他們會有不同的想法,使用不同的程式碼,透過不同程度的自動化來解決問題,然後在您的領導層的支援下到達這個階段。這對於我們認真談論企業 (或者應該說是實體) 的投資程序非常重要,因為公共部門投資於安全程序的運作方式大致相同。同樣,這需要以特定的方式和行為來實作。當人們來找我說,「如何建立一個世界級的安全團隊?」 或者「如何建立創新文化?」 嗯,這需要持之以恆。有些事情可以聯繫起來,我們可以提供一些支援。例如,在 DevSecOps 中,我們按比例在團隊中安排一名安全工程師,現在是八分之一,這可能會…上下波動,我們會評估最恰當的比例。當有意外狀況或是進展偏離計畫時,我們都會探究錯誤原因。而且,副總裁必須參加那些關於錯誤原因的會議。我們不會派初級工程師來承擔責任。設定這種問責制的生態系統,不是問責個人,而是面向組織,讓學習弧線隨時間的推移而增長,這是我們真正要實現的目標。我認為這種文化無法自然形成。而是靠我們後天的導入。

Clarke (10:22):
我想訣竅是開發一種機制,來強化您正在尋求的行為。

Merritt (10:28):
完全正確。例如,如果您選擇讓員工許可非常開放,我們在 Amazon 就是這樣做的,順便說一下,這也是一個深思熟慮的商業決定。對於發生的事件,您需要有或者至少選擇非常精細的日誌記錄和監控。你需要設定閾值,以及完善的向上回報排程機制,同樣,這意味著領導層需要投入,因為他們了解必須對安全問題有所回應。每一位主管都會說他們非常重視安全,但最重要的是他們必須理解需要為此付出實際努力,必須了解這會需要他們投入處理。這也意味著,安全團隊將在業務本身中扮演某種角色。

Clarke (11:26):
原來如此。您早些時候在關於投資的回答中提到了一點,對吧? 我們的許多客戶資安長和客戶主管來找我們,他們說,「好吧,我們需要進行某些投資來增強我們的能力。」 從安全的角度來看,多年來,AWS 對五個核心最低安全基準的概念非常清楚。即身分、偵測控制、基礎設施安全、資料保護和事件回應。當客戶資安長說:「我的預算有限,我的員工有限,但我需要做足這五件事。需要從哪裡開始投資,在這五個方面,哪個最重要?」

Merritt (12:09):
非常多資安長會說:「是從一個工作負載還是一百個工作負載開始?」 對嗎? 我認為答案是從某個有實際意義的地方開始著手。無論從多少工作負載開始,進行時都不要過於隱蔽。以鉅細靡遺的方式進行,我相信您將擁有安全性繼承,從平台的角度來看,這些繼承實際上會為您的企業或您的實體帶來優勢。我要重新提一下雲端對我們代表什麼意義,這聽起來可能像是老生常談。 20 年前,人們只是透過檢查辦公桌下的流氓伺服器來完成這五個階段。我們不再這樣做了,或者至少如果在雲端,您不會這樣做。我們知道,成為安全性繼承的原因之一是 AWS 負責堆疊的底層。善用雲端來實現安全雲端規模,這是我真正看到客戶目前未充分利用,且急需處理的事件之一。如果他們的預算有限,就更有必要讓他們達到可以善用這種規模的狀態。話雖如此,如果必須選擇一個,我會說在身分方面難度最高。我還沒有聽過客戶說:「我很喜歡我們的身分提供者。而且我認為我們做得很好。」

Clarke (13:40):
對於身分投資,要看是否手頭拮据,可以這麼說嗎?

Merritt (13:45):
我認為,如果資金有限,您應當與企業討論其目標是什麼,然後討論為什麼安全是業務差異化因素。我說的不僅僅是圍繞生產的產品安全性,更要將安全性作為產品一部分。假設您是零售商、石油和天然氣公司,等等...無論哪個行業,汽車、製藥、媒體和娛樂、兼併和收購,最近人們關心的部分內容應該是,經營業務的安全性如何。所以不僅僅是那些提供安全產品的人,也不僅僅是說「噢,您擔任人力資源職務,是否在內部關注我們的資料?」 實際上,這關乎如何將安全性作為產品的固有部分來提供。而且我認為沒有辦法捏造這一點。必須透過您建立實際企業的方式,以及您正在實現的目標來完成。就您而言,您所爭取的預算必須考慮到這一點。而且,我們不應再將安全視為成本中心。我真的厭倦這種觀點,因為實際上,這是一個商業推動因素,以及商業驅動力,如果不安全,沒有人願意做任何事情,如果不安全,也沒有人願意購買任何東西,如果公司不安全,沒有人願意與公司互動,政府亦是如此。坦率地說,如果您沒有這種概念,則不可能獲得成功。我知道目標是變化的,因為這是一個程序,並且我們正在朝著目標邁進,但您必須與最優秀的人一起努力。

「我認為,如果資金緊張,您應當與企業討論其目標是什麼,然後討論為什麼安全是業務差異化因素。我說的不僅僅是圍繞生產的產品安全性,更要將安全性作為產品一部分...最近人們關心的部分內容應該是,經營業務的安全性如何。」


Clarke (15:24):
那麼,關於作為業務推動因素的安全系列產品,資安長及組織如何看待將資安長的組織視為成本中心,如何提供支援或將這一訊息傳達給董事會或組織中的其他決策者?

Merritt (15:42):
這有幾個要素,對吧? 一是企業在選擇成長的過程中發生的一般性轉型。實際上,我認為總體而言,企業過於關注遷移成本。而沒有研究保持原樣會付出的成本。在這一點上,您應看看保持原樣的成本是多少,現在不遷移以及不做可能要做的事情需要付出多少成本。坦率地說,我理解這需要一些勇氣或一些積極的能量才能做到,但它幾乎會立即開始產生回報。這也將成為您的組織真正成長為企業的方式之一。而且,我認為最終任何延遲都只是浪費時間。同樣,回答您提出的問題,我想將這視為成本中心的人已經不復存在。 

Clarke (16:53):
是的。我認為您提出了一個很好的觀點,即什麼都不做與公司考慮向前邁進一樣具有風險。

Merritt (17:01):
我不是說風險一樣,什麼都不做往往代價更昂貴。在您與董事會交談時,這是要考慮的其中一件事。當人們談論安全指標時,我發現他們經常不當一回事。例如,他們會說,「上週我們觀察到 100 次攻擊,而本週只有 70 次。」 感覺就像攻擊無關緊要似的。顯然這些數字是人造數字。這是我胡謅的數字。但我想表達的重點是,您的安全指標應當是一個能顯示您是否與時俱進的弧線。如果不是,那麼就是錯誤的指標。因為這不是可以等閒視之的問題。 這是你必須全心投入的戰鬥。

Clarke (17:50):
如今,勒索軟體是一個重要議題。這對客戶來說是一個大問題。我知道您具備一些專業知識。您有哪些可以給客戶安全組織的建議,讓他們了解為應對勒索軟體事件而需要做的事情。

Merritt (18:07):
是的。顯然,最近有很多這類的新聞。雖然勒索軟體並不是什麼新鮮事。至少可以追溯到 1989 年。當時在召開健康會議,其中一些惡意人士在分發標記有「愛滋病」的光碟,因為這是一個醫療保健會議。如果您使用,就會安裝「愛滋病勒索軟體」,當將其插入光碟機時,就會加密您的檔案,並要求您將 89 美元的支票郵寄給巴拿馬的郵箱。我想重點是,勒索軟體本身在理論上並不是什麼新鮮事,但在實際情況中,顯然是因為加密貨幣的興起,以及有的人能夠透過進入您的網路來獲利而發生。

Clarke (18:58):
勒索軟體是一種服務,對吧?

Merritt (19:01):
是的。其商品化無疑是一個因素。坦率地說,資料隱私權機制使得公司被揭露存在違規行為的代價非常高昂。有一種形式的勒索軟體,只是真正地鎖定您的資料,還有一種形式是 xFill。即使您有備份,他們也威脅說會暴露他們已經獲得存取權。這本身就可以歸類為違規行為,尤其是當您處理的是受監管資料時,而我們其實全都在處理這樣的資料。所以,發生的情況與這裡討論的緊密相關。回答您提出的問題,我認為應對勒索軟體沒有靈丹妙藥。勒索軟體需要您整理好您的房子。所以,從一開始就盡量減少有人進門的可能性。設定身分驗證和修補,以及最低權限和區隔等。還有那些不可變的備份。因此,AWS Backup 或 Cloud and Door 等服務可以讓您及時獲得新的備份點,還原備份功能。 

Clarke (20:23):
伴隨著目前的一些熱門主題,客戶提出的另一個熱門主題是零信任概念。那麼,零信任對您意味著什麼?如何向客戶闡明這一點,以及 AWS 如何協助客戶實現零信任,如果這實際上是他們需要做的事情呢?

Merritt (20:42):
當然。零信任可能是您考慮安全控制的實用概念聚焦。對嗎? 我認為...首先,如果問任何人零信任是什麼意思,您會得到不同的定義。但對我來說,零信任並非是指這個咖啡杯沒有連線至網際網路,而是意味著我們應根據執行者在網路中的位置,來對其降低信任,可能降低到零。基本上,無論是軟體還是人類,我們都應減少對這種傳統邊界概念的依賴。當然,周邊已死,周邊萬歲,對吧? 雲端是我們的其中一項服務,坦率地說,在 AWS,我們的方法並非在以下控制之間進行二元選擇︰傳統的、以周邊為中心的控制 (如 VPN 或 VPC),以及在安全群組、Naples 等內部運作的精細、以身分為中心的控制。而實際上是要讓這些控制相互配合,彼此增強和了解。一個範例是 VPC 端點政策,其中包含周邊許可和精細許可。兩者能彼此增強,並且透過我們的一些工具進行推理,這些工具是雲端固有的,因為我們正在實作基礎設施即程式碼。您可以實作安全即程式碼。例如,存取分析器或檢查器等工具,可以進行網路連線而不透過網路傳送封包。您應結合這種深度防禦的想法,但這聽起來很老套。這就像,「在門窗上裝鎖。」 不,其實目的是不同的。實際上,這也屬於我們安全相關邏輯的一部分。

Clarke (22:57):
Merritt,謝謝您抽空參加今天的討論。在結束之前還有什麼想法嗎?

Merritt (22:59):
人們經常來找我,向我提出關於資安長,他們認為很深的技術性問題。他們真正想要問的是,「我如何讓組織充滿動力並擁有必要的資金來做出改變?」 我認為,無論是字面上的還是隱喻的,這歸結為一個實體在將安全作為首要考量所做的投資。當我們說安全是零工作,或者我們使用的任何格言時,我們並不是說這是一句座右銘。我們的意思是將自己融入我們所做工作的文化中。我們要這樣做,其中一個方法是讓 Steve Schmidt 直接向執行長報告,並確保安全絕不會被其他商業利益超越或者超越人性。我認為,對於那些希望模仿我們已經能夠展示的一些優先順序的人來說,方法就是這樣付諸行動。實現這個目標就是開始。開始的方法是讓您的業務與這些目標保持一致。實現目標的其他方法之一,或者使您的組織更接近目標的方法之一是建立世界級團隊。而且我認為,現在這樣很難找到人才,我希望我們雇用那些想法不同、看起來不同、編碼不同的人,因為這對產業來說絕對是正確的事情,對整個生態系統來說也是如此。在易受攻擊的社群、我們與技術互動的方式、我們解決問題並使企業和實體更強大的方式等,安全在這些方面都有很多接觸點。我們有捨我其誰的自信。我想說,這是對我們所有人的行動呼籲,讓您的工作場所具有包容性,讓您的實體變得更強大。

Clarke (25:02):
Merritt。非常感謝您的洞察並在今天參加我們的討論。 

領導者簡介

Merritt Baer

Merritt Baer
AWS 資安長辦公室負責人

Merritt 為財富 100 強等複雜的受監管組織提供技術雲端安全指引,並就安全作為基本主張向 AWS 一些最大型客戶的領導層提供建議。此外,她還協助制定關於 AWS 如何保障自身,如何在 AWS 上執行等策略計畫。

Clarke Rodgers
AWS 企業策略師

作為一名 AWS 企業安全策略師,Clarke 熱衷於協助高管探索雲端可如何實現安全轉型,並且與這些高管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其成為加入團隊之前便已開始利用 AWS 安全的諸多優勢功能。他曾是一家跨國保險/再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。

發佈日期
  • 發佈日期
  • 字母 (A-Z)
  • 字母 (Z-A)
 我們找不到任何與您的搜尋相符的結果。請改為搜尋其他內容。

與我們交流

電子報
Executive Insights 電子報
取得來自傳送至您收件匣的 AWS 內外高層主管的最新洞見和觀點
訂閱電子報 
部落格
企業策略部落格
向親自領導雲端轉型的執行主管學習
閱讀部落格 
社交
AWS Executive Connection
透過文化、人才和領導力支援創新和轉型的觀點
在 LinkedIn 上關注我們