適應新威脅環境的安全實務

Sara Duffer：
我現在要直接切入正題。你們兩位分別負責 Amazon 和 AWS 的安全性。你們能否分享一些你們用來保持協調一致的機制？

Steve Schmidt：
沒問題。我認為我們首先要強調的一點是，並非所有企業都是相同的，這對於大家來說應該是顯而易見的。但是，當你經營像 Amazon 這樣的大型組織時，有時你會驚訝於同一家公司內部業務運作的差異。我們的一些組織對風險極為敏感，而有些則在特定情況下更願意突破界限。這在很大程度上取決於他們所處的業務領域、所處理的資料等因素。我們發現，為整個公司建立一套通用的衡量指標是必要的，這樣可以從安全性的角度提供基線評估，了解各部門的表現。此外，針對每個組織的特定業務，我們還制定了量身打造的報告，詳細說明其面臨的風險，以及他們在管理客戶所託付資料和資訊方面的偏好與策略。

然而，統一的報告是最重要的，因為能讓我們獲得一致性的視角。這樣，無論是與公司 CEO Andy Jassy 還是其他任何人交談時，我們都能以共同的語言進行溝通。統一的報告能讓我們可以快速了解組織內各部門的表現，最重要的是，這能夠指出我們在某些領域未能充分檢視的差距，因為我們已在組織的某些部分識別出特定的改進機會。畢竟，公司的所有領導者都充滿競爭意識。因此，當我們使用統一的報告，將各部門與其同儕進行比較時，就能激勵我們真正關注的行為，使人們集中精力朝正確的方向前進。

Chris Betz：
儘管我不願稱自己為不容忍，但在 AWS，我們對風險確實是零容忍的。因此，我們是真正投入大量時間於業務專屬指標的組織之一。即使在 AWS 內部，我也發現這些方法對我們同樣奏效，競爭性質以及在不同組織間善用這種競爭機制，都具有極大的優勢。並且要與業務高度契合，了解 AWS 對風險的容忍度與其他地方可能有所不同。清楚我們關心的重點，確保這些業務指標與業務保持緊密一致，並納入業務審查流程。

Sara Duffer：
Steve，你提到了與執行長 Andy Jassy 交談。你是如何與執行長和董事會溝通安全更新的呢？

Steve Schmidt：
與執行長的溝通，就我個人而言，應該是與 Amazon 多位執籤長進行溝通，需要根據他們各自組織的運作方式量身打造。例如，Chris 每週會與 AWS 的執行長開會，因為那裡的安全節奏通常非常快。我們需要能快速應對威脅，了解周圍環境的變化。根據世界的運作方式適當調整我們的應對措施。我們也與商店業務執行長 Doug Herrington 合作，但在與他的溝通中會更側重於他的業務，輪調間隔往往會有所不同，比如每月的審查或類似的形式。

Andy Jassy 選擇每季參加一次特定的安全審查會議。因此，我們每季度都會向他匯報一組在時間上具有一致性的共同指標和報告，而且報告還另外包含一個會隨著環境變化而更新的部分。我們稱其為時事，關注的是我們所處的環境中對我們來說最重要的改變。俄羅斯人與中國人目前對事物的看法有何不同？ 他們是如何對公司採取行動的？ 人們正在使用哪些新方法來製造問題，我們如何應對或為此做準備？

你剛剛也提到了董事會。我們的董事會相對來說比較獨特。許多董事會通常選擇將其安全組織的監督職責放在稽核委員會或通常在金融機構中的風險委員會。Amazon 選擇成立一個專門負責安全的小組委員會，因此我們的董事會中有三名成員專門負責安全事務。我們定期與他們開會。每季度向他們匯報 Amazon 的最新動態，並逐一審查我們所有的業務。董事會成員告訴我們，他們希望每次專注在幾項業務，因此他們會自行選擇。這類似於轉動指針來決定下一次將討論哪些業務。

除此之外，我們的報告底部還包括一個名為時事的部分，因為這部分反映了大家共同的關注點，包括我們現在處於什麼位置、未來走向如何、周圍環境有哪些變化，以及我們需要如何發展演變。我認為，在世界發生變化與董事會了解到我們如何應對這些變化之間的周期非常短，這對於確保我們能否為客戶持續提供適當保護非常重要。

Sara Duffer：
Chris，有什麼要補充嗎？

Chris Betz：
我另外有三個想法。首先，我非常感謝與 Andy 和其他執行長的對話，甚至在 AWS 內部，我們也不會孤立地進行這些對話。這不僅僅是一個與執行長的小型會議。而是包括執行長和他的領導團隊，因為沒有任何事情是孤立發生的。因此，確保業務與這些討論同步進行、我們能夠在討論之前以及討論期間，深度融入業務，這一點非常重要。第二點，在 AWS，我們除了 Amazon 的董事會外，還有自己的董事會。這為我們提供了一個機制，可以每季度深入討論安全和風險相關的主題，使我們能夠持續進行這些對話，並確保我們建立了正確的治理架構。

第三點，基於我參與過的多個不同的董事會，每個董事會的運作方式都有很大的不同。我認為，這很大程度上與人的因素有關，包括個性特質，也與業務的性質有關。因此，我認為，做為 CISO 或技術領導者，在與董事會互動時，重要的是了解董事會如何在其他領域運作。業務是如何看待並表達自己的？ 應該使用什麼樣的語言？ 相關的背景是什麼？因為單純談論安全並沒有幫助。關鍵是將安全與業務的背景結合起來。最重要的是，確保您了解受眾。董事會中的不同成員擁有非常不同的技能，你必須能夠與他們每個人有效溝通。

因此，無論我們是參與安全對話的技術領導者還是我們本身是 CISO，確保我們了解受眾、董事會的特性、業務如何看待自己以及安全和技術如何融入其中，這才是促成成功對話的關鍵。

Steve Schmidt：
我想進一步闡述 Chris 剛才所提到的內容。我們看到新領導者在與公司最高管理層或高階領導層 (如董事會) 交談時，犯的最大錯誤就是過於關注技術細節，特別是在安全領域。這可能會對你向董事會成員清晰地表達觀點的能力造成極大的阻礙。正如 Chris 所說，我們需要以業務背景的角度進行交流。例如，關鍵漏洞的 CVSS 分數是 9.86 並不重要，更重要的是要表明威脅者可能利用這個機會接觸到屬於我們客戶的重要資訊，這會導致何種結果，並且很有可能在未來 60 天內發生。這是董事會成員可以掌握的內容，而不是簡單地說：「這很可怕」。 我認為，將安全問題與業務背景相結合是非常重要的。

Sara Duffer：
你們兩位都定期與客戶交流。您從客戶那裡了解到目前他們關注的安全挑戰或問題是什麼？ AWS 正在採取哪些措施來幫助我們的客戶？

Steve Schmidt：
首要的挑戰或問題必然是 AI。當然，很多人都非常想知道如何安全地使用它。 如何負責任地使用 AI？ 我該如何管理資訊，確保在需要時能獲得正確的存取權限，而在不需要時則加以限制？ 當我們與客戶交流時，我首先會問：「貴公司目前有多少應用程式正在使用生成式 AI？ 你現在知道嗎？ 你能定期衡量這項資料嗎？」 大多數人會說：「哦，是的，我們上個月或上個季度或什麼時候統計過的。」但你知道嗎？ 你的開發人員的行動速度遠比那個頻率快。我們必須在內部建立流程，這樣我們就能看到開發人員每次從他們的公司筆記型電腦或我們公司擁有的生產資產上調用生成式 AI 的情況。

這使我們能夠獲得可視性，進而將相關資訊提供給應用程式安全團隊，幫助他們了解該特定服務的運作狀況。不久前，當我們第一次進行這項統計並開始這項工作時，我們向 Andy 匯報說：「哦，是的，目前公司正在執行或開發的生成式 AI 應用程式超過一千個。」 我們看到對方驚訝的表情，彷彿在說：「什麼？ 你在跟我開玩笑嗎？」 但真的不是玩笑。順帶一提，這個數字正在以極快的速度上升，這固然是件好事，因為這代表我們的開發人員積極投入並不斷前進，但同時也意味著我們的團隊必須加緊步伐，密切追蹤這些動向，以確保他們以合理、適當的方式工作等。而這一切都始於建立可視性，並從最基礎開始打造這套可視性引擎。

Chris Betz：
我經常討論的另一個話題是，當人們考慮如何在保持安全性的同時兼顧成本效益時，AWS 目前已有哪些現成的功能可供使用？ 人們不想把時間和精力投入到已經有解決方案或現有運作的領域。我們經常討論的其中一個領域是架構與控制措施，確保系統符合良好架構，並研究如何大規模實作簡單且有效的控制。因此，這已成為我們內部經常討論的話題之一，即如何確保我們能夠為客戶提供大規模且簡單易行的安全性解決方案。另一個經常涉及的領域，我們最近討論得非常多的，就是威脅智慧。不同公司、不同的雲端服務提供商對威脅智慧的處理方式各不相同。

我們的方法是讓威脅智慧成為系統運作的無縫組成部分。因此，我們實際上花了很多時間討論這個問題，儘管過去不曾深入探討，但讓客戶知道會發生什麼是很重要的。我們擁有一系列威脅智慧提供商、蜜罐和感應器，每天都在收集資料，僅蜜罐就記錄了超過一億次互動。這些技術和資料與來自 Sonaris 等系統的其他感應器資料整合，使我們能夠採取行動。這些行動在客戶毫無察覺的情況下便已執行。

一旦我們識別出惡意位址，就能夠防範各種攻擊。這些惡意流量甚至不會進入您的系統。例如，在過去一年中，我們已拒絕超過 240 億次試圖枚舉 S3 儲存貯體的請求，以及超過 2.6 兆次試圖發現 EC2 中易受攻擊服務的嘗試。當我們無法自動為您提供這些防護，或者無法達到足夠的精確度時，我們可以直接將相關情報整合到 GuardDuty 等工具中。因此，我與安全團隊的對話在於如何善用現有內建的技術，包括那些無縫整合的功能，以及我們額外提供的資訊，讓安全團隊能夠更有效地運作。

Steve Schmidt：
有一些非常有趣的資料，我認為可以進一步強調你剛才提到的有關威脅智慧的觀點。威脅智慧是一個極其脆弱的領域。大多數人沒有意識到的是，根據我們在網路上的觀察，大約 23% 的 IP 位址空間在三分鐘內就會發生變動。這意味著，如果您的威脅智慧來源已有一週、一個月，甚至更久，那麼它就已經遠遠過時了。還有一些其他要點談到取得威脅智慧後立即採取行動的重要性。當我們將蜜罐暴露在網路上時，敵對方僅需不到 90 秒就能發現該蜜罐，並在不到三分鐘內嘗試加以利用。這種情況下，如果您的開發人員說：「哦，我只是要把這個儲存貯體開放到網際網路，應該沒問題吧。沒有人知道它在那裡。」 三分鐘，這就是你在遇到真正問題之前所擁有的時間。因此，要透過強大的情報來源掌握最新狀況，並能夠迅速採取行動。更重要的是，不需要人工介入即可採取行動。確保自動化完成這項工作。

Chris Betz：
說得很好。

Sara Duffer：
我要轉到一個我非常關心的話題，也就是在不斷演變的法規、標準認證等領域，如何能夠跟上合規性及其演變的步伐確實是一項挑戰。Chris，你能談談 AWS 如何看待在大規模下實現合規性嗎？

Chris Betz：
我們經常談論這個話題。

Sara Duffer：
是的，確實如此。

Chris Betz：
首先，我認為在大規模實現合規性方面，極其重要的一點是從安全基礎開始。以設計安全的角度來思考安全，確保將安全性融入到開發過程中，讓你在考慮法規或合規之前就提供您良好的起點。當我們把事情做到最好時，合規性就是安全工作的一個有意產生的副產品。老實說，大多數監管機構也希望如此。

他們要求合規的原因是確保你具備安全性。因此，設計一個專注於安全性，並著眼於刻意展示和證明合規性的安全計畫非常重要。第三點是，僅僅在安全流程中融入合規性是不夠的，你還需要能夠展示並證明它。因此，將這些資料整合在一起，使其可見，並且讓其他人容易了解，這至關重要。這其中也涉及工程。我認為這是值得的投資，但你在這個領域花的時間比我多，所以我也很好奇你的看法。

Sara Duffer：
目前，我現在聽到很多來自客戶的意見，主要是關於負責任 AI 計畫以及如何非常快速地將其投入營運。由於這種非常快速的演變，討論的重點從合規性概念轉移，合規性通常是非常時間點性的，非常二元化的，主要集中在我們是否符合規則和法規，例如《歐盟 AI 法案》等。而如何將該計畫快速發展為更多側重於保證心態的模式也是討論重點。這種保證心態旨在對我們能夠展示合規品質、可靠性和有效性提供一定程度的信心。那我們該如何做到這一點呢？

通常情況下，這通常是透過技術標準來實現的。因此，ISO 42001 之類的標準使組織能夠向最終客戶說明他們正在運作、部署和開發，使用負責任 AI 實務，然後從治理的角度總結所有這些。那麼，你如何確保組織正在執行你實際期望的行動，以及如何向高階領導和董事會報告你在負責任 AI 方面所做的工作呢？最重要的是，所有這些都需要能夠符合開發者的需求和工作方式，同時不阻礙創新進程。你需要能夠迅速實現這一高標準。

Sara Duffer：
那麼，稍微換個話題，Steve，我要請您回答。當我們談論安全性時，經常會深入探討新技術以及眼前不斷演變的世界。但歸根結底，威脅行為者就是威脅行為者，而且他們是人類。我很想聽聽您對於與網路安全相關的人性層面有何看法。

Steve Schmidt：
不客氣。電腦安全、資訊安全、網路安全，無論你怎麼稱呼它，這都並不是技術問題，而是人的問題。很久以前，當我在 FBI 從事反情報工作時學到的一件事是，雖然追捕間諜是我的工作，也很有趣，但間諜之所以存在是有原因的。他們受到某些因素的驅使。在傳統的間諜世界中，動機通常包括金錢、意識形態、脅迫或自負。網路安全世界也是如此。人們對金錢感興趣。這就是勒索軟體攻擊者的動機。意識形態。是傳統的國家行為者的驅動力，他們收集情報或為戰場做準備。影響力，這在該領域是一個新的因素，指的是引導群體以特定方式思考，改變他們的觀點，並促使世界發生變化。或是自負。那就是所謂的「腳本小子」，他們渴望成為最頂尖、最具破壞力的駭客，並因此發動 DDoS 攻擊。

為什麼我們需要了解這些人的動機？ 因為這有助於我們掌握他們可能使用的工具與能力，推測他們可能攻擊的目標，以及評估他們對風險或曝光的容忍度。也就是說，如果他們被抓，FBI 上門敲門，這會是一件大事嗎？還是說這根本無關緊要，因為他們現在可能只是坐在白俄羅斯的某個地下室裡？ 這正是我們在防禦工作中必須考量的範圍，這樣才能了解我們需要採取哪些行動，以及如何建構系統來防止這些人獲得存取權限。

有趣的是，這種思維模式同樣適用於我們自己的員工。我們的員工普遍都是出於善意的。他們希望做正確的事情，願意提供幫助等等。但說到底，他們也是人。有時候他們會遇到財務困難。有時候對某些事物的發展方向不滿意。有時他們只是運氣不好。因此，身為防禦者，我們需要做好準備，了解他們在做什麼、為什麼這樣做，以及如何確保他們不會做不該做的事情。

但在公司的網路安全和人員管理中，最關鍵的要素之一是公司文化。公司的安全文化將決定成敗。當一家公司缺乏健全的安全文化時，我們都曾在新聞中見識過其後果。最終，國家行為者會屢屢闖入組織，利用它們來謀取私利。為什麼？ 因為公司內部的人並未受到正確的衡量或激勵。

他們的動機並非保護你的資料或資訊，而是被設定為追求其他目標。因此，建立公司的文化時，應強調對於員工而言，最重要的事情是：第一，確保自身的人身安全；第二，保護客戶的資料。這樣能夠讓他們在日常工作中，每次面臨決策時都能做出正確的選擇。「我應該向左走嗎？ 我應該向右走嗎？ 我該做這件事嗎？ 還是該選擇另一件事？ 我是否應該尋求幫助，因為我真的不知道？ 我還是去找這個領域的專家吧。」

我認為建立正確的公司文化的激勵在於，這最終會降低長遠成本，因為你不必去收拾某些人因為急於達成盈利目標、利潤目標或交付目標而忽略安全性所造成的混亂，而是確保企業能夠為最終客戶提供安全保障。

Sara Duffer：
這也讓我的安全保證工作變得更輕鬆。這是個良好的結果。Chris，談到文化這個話題時，我們在 AWS 經常強調安全性是首要優先事項。跟我聊聊我們實際上是如何做到的吧。要如何建立這種文化呢？

Chris Betz：
我認為文化之所以重要，不僅因為它能帶來長遠的投資回報，更因為我所知道的每家公司都致力於培訓、提供工具和提供網路安全方面的能力。而其中最主要的區別因素就是文化。因為安全性不斷發生變化。就像我們剛才談到的，我都數不清最近我們多少次討論 AI 了，對吧？ AI 正在不斷變化，而適應能力至關重要。你能夠勇敢舉手說：「你知道嗎？ 我發現這裡有衝突」，或者「我看到了更好的安全做法。」 讓我們思考一下，我們能做得更好嗎？ 不要只是盲目地遵循流程和工具，而是要真正去提出問題。

或者說，「我認為這些流程和工具缺少了一些東西。我看到這個風險，我看到這個問題。我該如何提出來？」 這些事情非常重要。正如你所說，文化會隨著時間產生令人驚嘆的效果。建立這種文化需要花費大量的時間和精力。它始於高層，要從使文化與組織運作方式一致開始。其中一環就是告訴自己，我們是誰。聽到 Matt 說「一切都從安全開始」，這不僅僅是內部的事情，也涉及外部的影響。

此外，這與人們如何安排時間有關。Steve 和我都談到了由我們 CEO 主持的每週會議。再次強調，確保安全成為組織運作方式的一部分是至關重要的。一旦安全已融入組織文化，就必須強調安全是每個人的責任。每個人都有一個特定的角色。這就像舉手說，「我們必須做些不同的事情。我們覺得有些東西被忽略了。我很困惑。我不確定。」 關於安全，每個人都需要明白，安全是自己的工作，而身為安全領導者，我們的工作是讓這項工作盡可能簡單。因為如果人們在每一步中都花時間專注於安全，那將會增加組織的阻力。讓安全成為每個人的工作的同時，也需要確保安全工作能夠變得簡單且自然。這意味著安全需要分佈到整個公司。我們需要確保培訓、知識和能力設計得當，以確保整個組織都能做到這一點。

最後，我們需要願意投資。我們需要願意投資於改善安全性的創新。我們需要願意投資於讓安全變得更容易的創新。因為如果不這樣做，你最終會被困在過去，無法做為一個組織向前邁進。實現這一目標的其中一種方法，是透過類似於安全守護者計畫的方式，我們依靠我們的員工，對服務團隊和工程團隊內的深度安全問題進行培訓，以確保人們在開發過程的早期就開始思考安全問題，並且持續不斷地考慮安全性，以及確保他們掌握正確的知識。這有助於使事情變得非常具有可擴展性。你們可以和你們的團隊一起做的一件事，就是深入探討我們是否可以建立一個安全守護者計畫，以及如何在公司內建立一種安全文化？

Sara Duffer：
好的。那麼，在場的企業領導者可以針對他們的安全和合規計畫提出哪三個問題呢？

Chris Betz：
我告訴你一個我總是喜歡問的問題。對於我們所有的技術領導者來說，我不知道你們中有多少人擁有我們所稱的建置工具或開發人員工具組織。身為一名安全領導者，這些組織是我在整個組織中最喜歡的組織。如果你還沒有，這些團隊會建置工具來讓開發人員的生活變得輕鬆。在這裡有巨大的槓桿作用。如果我喜歡看到公司把他們的頂尖人才放在一個地方，那就是建置工具組織，因為在一個組織中，你可以讓所有的開發流程變得更好。從安全的角度來看，這正是槓桿作用所在。因為你可以將安全知識和安全能力融入這些工具，獲得巨大的可擴展性，並使安全成為一種自然的運作。

因此，如果我是你們，我會問你們的安全領導者和建置工具領導者：你們之間的關係是什麼、你們合作得如何，以及你們所尋求的所有安全結果如何融入建置工具功能中。

Sara Duffer：
Steve？

Steve Schmidt：
這是為了重申我之前說過的一件事，即詢問你們的團隊：「我們現在要在哪些地方建置生成式 AI 應用程式？」 然後再問你的團隊：「我們目前有哪些機制，能夠讓我們明天知道我們在建置哪些生成式 AI 應用程式？以及從有人員建置一個新應用程式到我們得知該應用程式之間的延遲時間是多少？」 你會發現，在許多情況下，答案是，「手忙腳亂，手忙腳亂，手忙腳亂。趕緊找些資料。這就是答案。」 太棒了。現在是第二天。好的。
        
因此，你需要一種方法、一個機制或工具，可以定期進行操作以保持更新，確保你是該基礎設施的負責營運者和管理者，並是代表客戶收集資料的負責任所有者。

第二部分是，現在有哪些防護機制已經到位？是否有機制能在生成式 AI 的世界發生變化時更新這些防護機制？ 就在我們坐在舞台上的這段時間裡，生成式 AI 世界已經取得令人難以置信的進展。有一些新事情正在發生。一些聰明人想出了新的方法來對基礎模型造成問題，而我們需要能夠防禦這些問題。所以，什麼是快速迭代的方法，可以影響你對生成式 AI 應用程式的防護機制？

Sara Duffer：
我覺得你作弊了，我覺得那是兩個問題。我也要稍微作弊一下。我會說非常關鍵的是詢問團隊他們如何真正確保合規。我的意思是，不僅僅是看當下我們是否能判斷是否符合各種標準、法律等，而是要真正理解你如何能夠隨時間持續獲得保證，以便真正確定建置者的成本是多少。

所以，我會說有兩個核心問題：一是你如何遵守內部實務或法律等規範；二是這對建置者的成本是多少，這非常重要，因為你希望能夠快速創新，同時確保你在監控建置者的成本時仍能保持合規。

我最後的一個問題是，定期與客戶交流時，你對於如何能立即改善其安全態勢有什麼最佳建議？

Chris Betz：
對於你的內部公司和客戶，找到實作通行密鑰的方法。擺脫密碼對你的員工和客戶來說是革命性的改變。利用這項技術。這是向前邁出的重要一步。今天就開始實作吧。

Steve Schmidt：
此外，這不僅更加安全，還提供了更好的使用者體驗。非常順暢。因此，讓你的技術人員專注於這件事，並找出他們現在為什麼還沒這麼做的原因。

第二點雖然沒通行密鑰那麼令人興奮，但卻是至關重要的基礎性任務。那就是漏洞管理。修補你的系統。這是你抵禦外部威脅的最佳防線。

Chris Betz：
或者讓我們來為你修補它。

Steve Schmidt：
就是這樣。

Chris Betz：
使用 Lambdas 和其他工具。

Steve Schmidt：
是的。

Sara Duffer：
好，非常感謝各位今天加入我們，再次感謝各位的寶貴時間。

立即收聽

立即收聽

立即收聽