AI tạo sinh sẽ thay đổi hoạt động bảo mật như thế nào?

Clarke Rodgers:
Điều chỉnh quy mô hoạt động bảo mật toàn cầu thành công là một kỳ tích không nhỏ. Nó đòi hỏi một mức độ cam kết và văn hóa làm chủ ưu tiên niềm tin của khách hàng, đồng thời thích ứng để đáp ứng nhu cầu kinh doanh.

Xin chào, tôi là Clarke Rodgers, Giám đốc Chiến lược doanh nghiệp tại AWS và người hướng dẫn bạn trong một loạt các cuộc trò chuyện với các nhà lãnh đạo bảo mật AWS tại đây trên Thông tin điều hành chuyên sâu.

Tham gia cùng tôi trong tập này là Tom Avant, Giám đốc phụ trách Phản ứng và khả năng phục hồi tại AWS. Hãy lắng nghe chúng tôi nói về yếu tối mấu chốt để xây dựng, duy trì và phát triển các hoạt động bảo mật để đảm bảo khả năng phục hồi kinh doanh. Cảm ơn vì đã tham gia với chúng tôi.

Clarke Rodgers:
Tom, cảm ơn anh rất nhiều vì đã tham gia cùng tôi hôm nay.

Tom Avant:
Cảm ơn anh rất nhiều vì đã mời tôi. Tôi thực sự rất vinh dự. Tôi rất cảm kích.

Clarke Rodgers:
Tôi muốn bắt đầu với một chút thông tin về nền tảng của anh. Tôi biết anh đã dành thời gian trong quân đội và sau đó điều gì đã thu hút anh đến AWS?

Tom Avant:
Khi tôi nhập ngũ, vì ban đầu tôi học ngôn ngữ học, tôi đã là một chuyên viên phân tích tình báo và làm việc và được tiếp xúc nhiều với nhiều nền văn hóa khác nhau khi thôi còn ở Viện ngôn ngữ quốc phòng tại Monterey. Tôi học được rất nhiều về thế giới, điều này giúp tôi rất nhiều trong thời gian sau này khi tôi điều hành các tổ chức toàn cầu và các đội ngũ toàn cầu.

Và ngành công nghiệp tình báo... Có rất nhiều thứ bạn nhìn thấy trên TV và phim ảnh và bạn nghĩ rằng ngành công nghiệp tình báo là như vậy. Sau đó khi làm trong ngành, bạn nhận ra không phải vậy. Nhưng đó là một ngành tuyệt vời nơi tôi có thể làm việc và tìm hiểu rất nhiều về dữ liệu và về việc xử lý và có phương pháp luận, có phương pháp trong cách tôi suy nghĩ và nhìn nhận mọi thứ. Tôi đã công việc đó, tôi đã làm việc tại NSA trong một vài năm ở những vị trí khác nhau từ góc độ tình báo.

Và cuối cùng, khi tôi trở thành một sĩ quan với tư cách là nhà quản lý không chiến, một sĩ quan chỉ huy và kiểm soát điều hành các hoạt động tình báo, giờ tôi đang hỗ trợ Tổng thống, tôi đang thực hiện các nhiệm vụ nhân đạo trên toàn thế giới và đưa ra những quyết định quan trọng và làm nhiều việc, tất cả đều nhân danh ứng phó sự cố cấp độ toàn cầu.

► Xem thêm: Khám phá lợi ích của việc thuê cựu chiến binh cho các vai trò bảo mật

Clarke Rodgers:
Chắc chắn rồi.

Tom Avant:
Vì vậy, AWS giống như một sự phù hợp tự nhiên. Tôi đã làm việc trong lĩnh vực bảo mật cả đời. Tôi từng nói đùa rằng tôi đã có giấy chứng nhận bảo mật từ năm 19 tuổi. Nhưng trở thành một tổ chức có giá trị, Amazon rất hấp dẫn vì những nguyên tắc lãnh đạo đó. Và khi anh hiểu được điều gì xảy ra tại AWS, khi anh thực sự tìm hiểu, bạn sẽ thốt lên: “Ôi Chúa ơi, nhiều hoạt động trên thế giới hiệu quả nhờ những việc chúng ta làm”. Tôi được tham gia vào việc đó.

Clarke Rodgers:
Hãy nói một chút về vai trò hiện tại của anh tại AWS. Hiện anh đang đảm nhiệm vai trò gì và trách nhiệm của anh là gì?

Tom Avant:
Công việc chính của tôi là điều hành Trung tâm hoạt động bảo mật AWS. Ngoài ra, tôi cũng chịu trách nhiệm về tính liên tục cho kinh doanh của AWS. Hai công việc rất khác nhau nhưng cực kỳ quan trọng đối với doanh nghiệp. Trung tâm hoạt động bảo mật AWS chịu trách nhiệm ứng phó sự cố vật lý và logic cấp một trong toàn doanh nghiệp. Vì vậy, bất cứ điều gì từ trung tâm dữ liệu đến các vùng lưu trữ S3, chúng tôi luôn ở tuyến đầu để đảm bảo rằng chúng tôi giám sát các phát hiện và sau đó phân loại các phát hiện đó hoặc định tuyến chúng đến những người khác có thể sửa chúng nếu chúng tôi không thể tự làm điều đó.

Vì vậy, đối với tất cả mọi người thắc mắc về huy hiệu của họ, chúng tôi chạy hệ điều hành đó và chúng tôi thực hiện tất cả các tích hợp khác nhau với hệ điều hành để đảm bảo mọi người truy cập và ra khỏi các không gian cần thiết mỗi ngày. Cũng như để anh không truy cập những không gian mà chúng tôi không muốn anh truy cập.

Clarke Rodgers:
Chắc chắn rồi.

Tom Avant:
Đúng không? Vì vậy, kiểm soát truy cập rất quan trọng. Yếu tố tính liên tục cho kinh doanh là khả năng phục hồi của tất cả các hoạt động và dịch vụ của công ty. Chúng tôi chứng thực và nói: “Này, chúng ta có các hệ thống dư thừa và chúng ta tin tưởng các hệ thống này”. Và chúng tôi nói với khách hàng: “Này, chúng tôi biết rằng điều này sẽ hiệu quả”. Và chúng tôi muốn đảm bảo rằng khi chúng tôi nói với họ điều đó, họ biết rằng chúng tôi không chỉ nói điều đó bởi vì nghe có vẻ hay ho. Chúng tôi nói điều đó bởi vì chúng tôi đã kiểm thử và chúng tôi có những người làm việc không mệt mỏi để quay lại và kiểm thử lại và sử dụng mọi công cụ khác nhau, mọi thứ từ đánh giá rủi ro hoạt động đến COE đến các yêu cầu ISO khác nhau để đảm bảo rằng các dịch vụ của chúng tôi thực sự có khả năng phục hồi.

Clarke Rodgers:
Vậy tôi cho rằng những vấn đề như xem xét trên quan điểm của đối thủ cạnh tranh và những vấn đề tương tự cũng thuộc trách nhiệm của anh?

Tom Avant:
Thực ra thì không. Đó là một phần khác của công việc kinh doanh. Còn công việc của chúng tôi giống như hoạt động chuẩn bị trước thảm họa hoặc các bài tập thực hành, trong đó chúng tôi sẽ thực hiện một bài tập thực hành trên quy mô toàn diện với sự tham gia của mọi người từ mọi bộ phận khác nhau trong doanh nghiệp. Và về cơ bản, đó là một mô phỏng để nói: “Được rồi, điều gì sẽ xảy ra nếu chúng ta có một ngày tồi tệ? Chúng ta ứng phó thế nào? Chúng ta phản ứng thế nào? Làm thế nào để đảm bảo những điều đúng đắn xảy ra?” Bài tập không bao giờ hoàn hảo, chúng tội học được rất nhiều thứ. Chúng tôi kết hợp điều đó, chúng tôi đưa điều đó vào sổ tay vận hành, chúng tôi chia sẻ điều đó với các đội ngũ và chúng tôi tiếp tục làm lại.

Clarke Rodgers:
Điều hành SOC là một khoản đầu tư lớn từ góc độ kinh doanh. Làm thế nào để anh biện minh cho chi phí, hoặc thậm chí anh có phải làm vậy không, dựa trên loại công việc chúng ta đang làm? Bởi vì khi khách hàng... Tôi có những cuộc trò chuyện với khách hàng, họ nói, “Chà, tôi rất thích có SOC, nhưng nó rất đắt tiền, nhân viên và công cụ và mọi thứ”. Làm thế nào để tôi đưa ra lý do kinh doanh với ban lãnh đạo của tôi rằng trên thực tế, chúng ta cần một SOC hoặc thậm chí có thể chỉ là một dịch vụ SOC nếu họ quyết định đăng ký một dịch vụ?

Tom Avant:
Đó là một câu hỏi phức tạp. Có một vài câu trả lời cho câu hỏi đó. Phần đầu tiên là vì chúng tôi tuyệt vời, nên đó là cách anh biện minh cho nó. Nhưng không, chúng tôi biện minh thông qua KPI và dữ liệu. Và chúng tôi có báo cáo kinh doanh theo quý thể hiện khả năng lãnh đạo của chúng tôi. Vì vậy, chúng tôi luôn xem xét các cách cơ học để đánh giá, “Chúng ta có đang cung cấp và đem về giá trị cho doanh nghiệp và cho khách hàng không?”

Clarke Rodgers:
Anh có thể chia sẻ bất kỳ chỉ số nào anh sử dụng không?

Tom Avant:
Có rất nhiều thứ mà chúng tôi xem xét trong tất cả các lĩnh vực kinh doanh khác nhau để đảm bảo rằng chúng tôi đang đem về giá trị đó cho doanh nghiệp. Đối với hệ thống kiểm soát truy cập của chúng tôi, chúng tôi đảm bảo rằng chúng tôi xem xét thời gian hoạt động của hệ thống và thời gian ngừng hoạt động của hệ thống, phải không? Và chúng tôi cũng đảm bảo rằng đối với các cấu hình khác nhau mà chúng tôi đã áp dụng, mà chúng tôi phối hợp, lợi nhuận ròng từ những thay đổi mà chúng tôi đã thực hiện là bao nhiêu?

Đối với các phát hiện, chúng tôi xem xét thời gian chờ để phát hiện, thời gian chờ để giải quyết. Chúng tôi xem xét các loại phát hiện khác nhau mà chúng tôi đang tiến hành và chúng tôi xem xét giá trị được đem lại cho doanh nghiệp trong những khía cạnh đó. Ngay cả với tính liên tục trong kinh doanh, chúng tôi đang xem xét các chỉ số khác nhau về các dịch vụ khác nhau mà chúng tôi có, mở rộng phạm vi, những dịch vụ được chứng nhận ISO, những dịch vụ mà chúng tôi có thể đảm bảo đã qua kiểm thử.

Tuy nhiên, phần còn lại của câu hỏi đó là, và có lẽ đây chỉ là vì tôi lớn lên như một người tiết kiệm, nhưng đồng thời, tôi thực sự tin vào người thuê đầu tiên, “Điều chỉnh quy mô sang con người như biện pháp cuối cùng”. Anh nói với tôi rằng: “Này, tôi có một ý tưởng tuyệt vời cho anh! Tôi nghĩ rằng đây sẽ là một công việc tuyệt vời cho SOC”.

Sao lại nói như vậy chứ? Bởi vì chúng tôi hoạt động 24/7 và rất nhiều người đang tìm cách giảm tải sang SOC và họ muốn đến và nói điều đó. Và tôi nói: “Anh biết không? Hãy nói về lợi ích ròng của điều này đối với doanh nghiệp”. Bởi vì nếu anh đang yêu cầu chúng tôi giúp đỡ, vì đây là lợi ích ròng cho doanh nghiệp, thì chắc chắn rồi. Nếu anh yêu cầu chúng tôi làm điều này vì đây là công việc mà anh không muốn làm và anh nghĩ rằng những người khác nên làm điều đó, thì tôi sẽ nói: “Có lẽ chúng ta nên quay lại OP1 và tìm cách tự động hóa bản thân khỏi tình huống này”.

Clarke Rodgers:
Chắc chắn rồi.

Tom Avant:
Tôi vẫn luôn nói với đội ngũ của mình rằng công việc của chúng tôi là tự loại bỏ bản thân chúng tôi ra khỏi công việc. Công việc của chúng tôi là liên tục tìm cách sử dụng tự động hóa hoặc đảm bảo rằng chúng tôi đang đẩy các phát hiện xuống trạng thái mà một ngày nào đó anh sẽ nói: “Chà, tại sao chúng ta không có SOC?” Và tôi sẽ có thể nói với anh: “Ngày xửa ngày xưa chúng ta đã có SOC”. Và SOC đã xem xét tất cả những cách khác nhau này để có thể nói, “Chúng ta không cần phải làm điều này,” hoặc “Điều này có thể được tự động hóa” hoặc “Điều này có thể tốt hơn” hoặc “Chúng ta có thể đẩy nó lên thượng nguồn vào trạng thái mà SOC không còn cần thiết nữa”. Đó là mục tiêu của tôi. Tôi không biết liệu chúng tôi có bao giờ đạt được điều đó hay không, nhưng đó chắc chắn là một mục tiêu để tiếp tục hướng tới.

Clarke Rodgers:
À, thực ra tôi có câu hỏi dành cho anh về vấn đề đó. Khi anh nhìn vào tương lai, SOC trong tương lai sẽ như thế nào? Và tôi nghĩ một cách một cách khác để đặt câu hỏi đó là, nếu anh có một bảng trống, anh sẽ xây dựng khả năng SOC hiện nay như thế nào?

Tom Avant:
Tôi sẽ nói rằng tôi đang xem xét khả năng, bởi vì đó là yếu tố mấu chốt. Hoặc anh có thể đạt được khả năng gì từ SOC? Anh sẽ mất khả năng gì nếu không có SOC hoặc thuê ngoài SOC? Sự khác biệt so với thuê ngoài là,trước tiên là lợi ích công ty, đó là lý do tại sao anh muốn có một SOC nội bộ – nếu anh có đủ khả năng chi trả.

Clarke Rodgers:
Và tôi đoán trong nội bộ, anh cũng sẽ có kiến thức về doanh nghiệp mà bên ngoài sẽ không có.

Tom Avant:
Thật vậy. Anh sẽ biết phải đến gặp ai. Yếu tố khác khi có SOC nội bộ là khả năng, phải không? Lại là khả năng. Đảm bảo rằng anh tập trung vào những điều cụ thể anh đang cung cấp cho doanh nghiệp. Và tôi nghĩ rằng anh có thể liên tục điều chỉnh điều đó bởi vì anh được tham gia các cuộc họp khác, như các cuộc họp lập kế hoạch chiến lược. Vì vậy, khi mọi thứ được triển khai, anh có thể hiểu rằng: “Được rồi, đây là kim chỉ nam mới của chúng ta. Đây là nơi chúng ta đã thay đổi hướng đi”. Anh không thể làm điều đó nếu anh thuê ngoài với tốc độ tương tự.

Và bởi vì doanh nghiệp đang phát triển quá nhanh, anh muốn đảm bảo rằng những người đang thực hiện các hành động hạ nguồn đó được kết nối với những người đang đưa ra các quyết định chiến lược đó và do đó họ có thể xoay chuyển thực sự nhanh chóng. Và đó là một trong những lợi ích của việc có SOC nội bộ. Tôi sẽ xem xét tất cả những điều đó và tôi sẽ nói rằng với khả năng, kim chỉ nam mà tôi đã vạch ra theo chiến lược, tôi đang tìm kiếm trạng thái bảo mật nào? Và sau đó, rủi ro của tôi là gì nếu tôi bỏ lỡ?

Và khi tôi nghĩ về điều đó, tôi sẽ suy nghĩ... nếu điều đó xảy ra, tôi có thể nhìn vào mắt khách hàng của mình và nói: “Tôi đã làm mọi thứ có thể để đảm bảo điều này không xảy ra” không hay tôi sẽ né tránh và nói đó là do người khác?

Clarke Rodgers:
Tôi thích lắm. Với tốc độ tiến bộ của công nghệ và tất nhiên với các công cụ AI tạo sinh đã ra mắt, anh thấy SOC trong tương lai như thế nào? Tôi không biết liệu anh có thể nói chuyện, liệu anh có đang sử dụng bất kỳ công cụ AI tạo sinh nào hay anh có dự định sử dụng hoặc điều tra, bất cứ trường hợp nào, nhưng anh thấy các công cụ AI tạo sinh đang hỗ trợ các nhà phân tích SOC của anh và các vai trò khác như thế nào? Và từ phía kẻ tấn công, anh nghĩ như thế nào về cách họ có thể sử dụng AI tạo sinh để anh có thể phát hiện các hoạt động của họ hoặc phản ứng với chúng?

Tom Avant:
Chúng tôi đang bắt đầu sử dụng AI tạo sinh theo cách tạo phản hồi tự động cho một số khách hàng của chúng tôi. Và sau đó chúng tôi cũng xem xét các quy trình làm việc tự động để có thể nói, “Được rồi, chúng ta biết rằng đây là những quy trình công việc phổ biến – đây là những thứ dựa trên những chỉ số mà chúng ta đang xem xét, mà khách hàng đang tìm kiếm rất nhiều – làm thế nào để kết hợp những thông tin từ dữ liệu của chúng ta với một cách định tuyến trực tiếp hơn đến các giải pháp mà khách hàng tìm kiếm và đối với những yếu tố mà khách hàng không cần phán đoán của con người, sao chúng ta không loại bỏ hoàn toàn yếu tố con người khỏi chuỗi đó?” Và đó là những gì chúng tôi hiện đang thực hiện.

Clarke Rodgers:
Tuyệt thật. Nhìn nhận từ phía đối thủ thì sao?

Tom Avant:
Phía đe dọa thực sự rất thú vị. Đó là một sân chơi mới. Anh nghe rất nhiều điều mới mẻ, khác biệt về việc tiêm lỗi... Mọi người muốn chơi với công nghệ và họ chỉ biết truy cập tất cả các trang web và chỉ tải xuống. Phân nửa thời gian, họ thậm chí không biết mình đang tải xuống nội dung gì. Anh không muốn những người cứ đâm đầu vào đám cháy. Anh muốn đánh giá đám cháy trước và tìm kiếm lối vào tốt nhất.

Với AI tạo sinh cũng tương tự như vậy. Đâu là nơi an toàn để truy cập? Làm cách nào để đảm bảo chúng tôi xác thực hoạt động sử dụng đó trước khi tích hợp? Chúng tôi có thể chạy những kiểm tra khác nhau nào trong nền và đảm bảo rằng chúng tôi nói, “Ừ, chúng tôi cảm thấy khá ổn với những điều chúng tôi đang làm” trước khi mở rộng quy mô. Bởi vì một khi một hoạt động được tích hợp và bắt đầu lan truyền, đó không phải là lúc để phát hiện ra rằng ôi, anh đã làm sai điều gì đó vì bây giờ anh đang dọn dẹp và anh đang cố gắng bắt kịp quá trình lan truyền. Và điều đó không vui, đối với chúng tôi, những người đã làm điều đó trước đây trong những hoạt động khác. Vì vậy, anh chắc chắn muốn nhìn nhận từ góc độ thực hiện kiểm tra trước, trước cả khi anh tích hợp.

► Đọc báo cáo nghiên cứu: Bảo mật AI tạo sinh: Điều quan trọng vào lúc này

Và tôi nghĩ một mối đe dọa khác gắn liền với điều mà chúng tôi đang bắt đầu nhận thấy, có lẽ là một mối đe dọa hiếm gặp thôi, là quy định. Đây có lẽ là một trong những xu hướng lớn nhất mà tôi bắt đầu thấy khi chúng tôi bắt đầu áp dụng ngày càng nhiều khối lượng công việc lên đám mây, khi ngày càng có nhiều khách hàng di chuyển sang đám mây. Chúng tôi càng ngày càng tiếp cận nhiều môi trường khác nhau, nhiều quốc gia khác nhau. Chúng tôi bắt đầu thấy đám mây có chủ quyền xuất hiện ở nhiều địa điểm hơn. Quy định là điều mà anh thực sự phải suy nghĩ. Trước đây, đó điều anh sẽ cân nhắc sau, còn bây giờ đó là vấn đề hàng đầu trong nhiều cuộc thảo luận của chúng tôi. Trước khi chúng tôi bắt tay vào hành động và suy nghĩ về bất cứ điều gì khác, làm thế nào chúng tôi có thể chấp nhận và tuân thủ và vẫn hoạt động và duy trì giá trị tối đa cho khách hàng trong khi vẫn tuân thủ và có thể truyền đạt điều đó?

Clarke Rodgers:
Tôi nghĩ đó cũng là một xu hướng đáng kinh ngạc mà tôi đã chứng kiến. Trước đây, chúng ta có thể trò chuyện xoay quanh an ninh theo thiết kế, phải không? Xây dựng bảo mật, có thể chỉ trong giai đoạn xây dựng nguyên mẫu, giai đoạn hình thành ý tưởng của mọi thứ. Và bây giờ chúng ta đang ở điểm, “Ồ, phải, cả quyền riêng tư và tuân thủ cũng như các nghĩa vụ pháp lý nữa.”

Tom Avant:
Thật vậy.

Clarke Rodgers:
Tôi rất vui vì anh thấy điều đó, rằng mọi người đang suy nghĩ về vấn đề đó nhiều hơn để khi nói đến thời gian phát hành, mọi thứ đều phù hợp.

Tom Avant:
Thật vậy.

Clarke Rodgers:
Cuộc trò chuyện thật tuyệt vời, Tom. Tôi rất cảm kích anh đã dành thời gian tham gia hôm nay. Cảm ơn anh.

Tom Avant:
Cảm ơn anh rất nhiều vì đã mời tôi. Tôi cũng rất cảm kích.