Thay đổi các biện pháp bảo mật để thích ứng với bối cảnh xuất hiện nhiều mối đe dọa mới

Tháng 1 năm 2025

Executive Summit tại AWS Re:Invent

Hãy lắng nghe từ Giám đốc an ninh của Amazon Steve Schmidt, Giám đốc an ninh thông tin của AWS Chris Betz và Phó chủ tịch đảm bảo an ninh của AWS Sara Duffer để có một cuộc thảo luận sâu sắc về sự phát triển của các phương pháp bảo mật tốt nhất trong kỷ nguyên hiện đại. Tìm hiểu cách các công nghệ mới đang định hình lại bối cảnh rủi ro, cách chuẩn bị cho các quy định tuân thủ mới và cách thực hiện các chiến lược quản trị phù hợp để giữ cho tổ chức của bạn an toàn ở mọi cấp độ. (Tháng 1 năm 2025)

Bản chép lời cuộc trò chuyện

Cùng với Sara Duffer, Phó chủ tịch, Đảm bảo bảo mật, AWS, Chris Betz, CISO, AWS và Steve Schmidt, CSO, Amazon

Các doanh nghiệp khác nhau có mong muốn rủi ro khác nhau

Sara Duffer:
Vì vậy, tôi sẽ đi tiếp và tiếp tục đào sâu hơn. Vì vậy, cả hai bạn đều chịu trách nhiệm về bảo mật tại Amazon và AWS. Các bạn có thể cho tôi biết một chút về các cơ chế bạn sử dụng để giữ đồng bộ không?

Steve Schmidt:
Được thôi. Tôi nghĩ một trong những điều mà chúng ta phải bắt đầu là tất cả các doanh nghiệp không giống nhau, điều đó là mọi người ở đây đều biết. Nhưng khi bạn điều hành một tổ chức lớn như Amazon, đôi khi bạn ngạc nhiên về sự khác biệt trong hoạt động kinh doanh trong một công ty. Chúng tôi có một số tổ chức cực kỳ nhạy cảm với rủi ro, một số tổ chức sẵn sàng vượt qua ranh giới trong một số trường hợp nhất định. Điều đó phần lớn phụ thuộc vào doanh nghiệp mà họ đang tham gia, dữ liệu họ đang xử lý, v.v. Và chúng tôi nhận thấy rằng cần phải có một bộ số liệu chung trong toàn bộ công ty cho phép chúng tôi kiểm tra cơ bản về cách mọi người đang hoạt động từ góc độ bảo mật. Và sau đó là báo cáo kinh doanh cụ thể hoặc phù hợp cho từng tổ chức nói về rủi ro mà họ có và những gì họ muốn làm trong việc quản lý dữ liệu của khách hàng, thông tin mà họ có, v.v.

Tuy nhiên, báo cáo chung là điều quan trọng nhất để cung cấp cho chúng ta một cái nhìn thống nhất. Đó là để khi chúng tôi đến và trò chuyện với bất kỳ ai, từ CEO của công ty, Andy Jassy, cho đến cấp thấp nhất, chúng tôi có thể nói bằng một ngôn ngữ chung. Chúng tôi có thể hiểu nhanh chóng một phần của tổ chức đang hoạt động như thế nào so với phần khác và quan trọng nhất, nó chỉ ra những khoảng trống ở những nơi mà chúng tôi không kiểm tra mọi thứ theo cách chúng tôi cần vì chúng tôi đã học được một bộ cơ hội cụ thể để cải thiện ở một phần của một tổ chức so với phần khác. Và hãy đối mặt với nó, tất cả các nhà lãnh đạo của chúng tôi trong công ty đều cạnh tranh với nhau. Vì vậy, khi bạn sử dụng báo cáo chung so sánh họ so với đồng nghiệp, điều đó sẽ thúc đẩy các hành vi mà chúng tôi thực sự quan tâm. Như vậy sẽ khiến mọi người tập trung đi đúng hướng.

Chris Betz:
Dù tôi ghét tự gọi mình là người ngại rủi ro, nhưng chúng tôi không chịu đựng rủi ro trong AWS. Và vì vậy, chúng tôi là một trong những tổ chức thực sự dành nhiều thời gian cho các chỉ số kinh doanh cụ thể của mình. Ngay cả trong nội bộ AWS, tôi thấy rằng những cách tiếp cận tương tự có xu hướng hiệu quả với chúng tôi, rằng bản chất cạnh tranh và lợi dụng lợi thế đó giữa các tổ chức là vô cùng hiệu quả. Và chúng ta phải liên hệ rất chặt chẽ với doanh nghiệp, hiểu rằng AWS không có khả năng chịu đựng rủi ro như những công ty khác. Để hiểu những gì chúng tôi quan tâm và đảm bảo rằng các chỉ số kinh doanh đó luôn phù hợp với doanh nghiệp và hiển thị như một phần trong quy trình đánh giá kinh doanh của chúng tôi.

Cập nhật bảo mật của Giám đốc điều hành và hội đồng quản trị

Sara Duffer:
Steve, bạn đã đề cập đến việc nói chuyện với CEO, Andy Jassy. Làm thế nào để bạn giao tiếp với CEO và các bản cập nhật bảo mật của hội đồng quản trị?

Steve Schmidt:
Theo quan điểm của tôi, nên giao tiếp với CEO vì chúng tôi có nhiều CEO tại Amazon, một lần nữa, được điều chỉnh cho phù hợp với cách hoạt động của tổ chức. Ví dụ: Chris tổ chức một cuộc họp hàng tuần với Giám đốc điều hành của AWS vì tần suất bảo mật ở đó có xu hướng rất nhanh. Chúng ta phải phản ứng nhanh trước các mối đe dọa, chúng ta phải nắm rõ những thay đổi trong môi trường xung quanh. Chúng ta phải có khả năng điều chỉnh phản ứng của mình một cách phù hợp với cách thế giới đang biến đổi. Chúng tôi cũng làm việc với Doug Herrington, CEO của mảng kinh doanh cửa hàng, nhưng sẽ tập trung hơn vào công việc kinh doanh của anh ấy, nơi khoảng thời gian xoay vòng có xu hướng khác một chút, cho dù đó là loại đánh giá hàng tháng hay tương tự.

Andy Jassy chọn tham gia một cuộc họp cụ thể về đánh giá an ninh hàng quý. Vì vậy, mỗi quý chúng tôi đến gặp anh ấy với cả một bộ số liệu chung và báo cáo nhất quán theo thời gian, nhưng sau đó cũng có một phần của báo cáo luôn thay đổi của chúng tôi. Chúng tôi gọi đó là sự kiện hiện tại và đó là khi mà việc chúng tôi tập trung vào những thay đổi trong môi trường mà chúng tôi hoạt động có ý nghĩa nhất đối với chúng tôi. Người Nga hiện đang nghĩ thế nào về mọi thứ so với người Trung Quốc? Họ sẽ hướng đến các công ty như thế nào? Mọi người đang sử dụng những phương pháp mới nào để tạo ra vấn đề và chúng ta đang phản ứng với điều đó hoặc chuẩn bị cho điều đó như thế nào?

Bây giờ, bạn cũng đã đề cập đến hội đồng quản trị. Hội đồng quản trị của chúng tôi tương đối độc đáo. Rất nhiều hội đồng quản trị chọn đặt sự giám sát của tổ chức bảo mật trong ủy ban kiểm toán hoặc trong một ủy ban rủi ro, thường là trong một tổ chức tài chính. Amazon đã chọn một tiểu ban cụ thể chỉ phục vụ bảo mật và vì vậy chúng tôi có ba thành viên trong hội đồng quản trị chỉ tập trung vào bảo mật. Chúng tôi gặp họ thường xuyên. Họ nhận được báo cáo hàng quý về những gì đang xảy ra với Amazon và xem xét tất cả các hoạt động kinh doanh của chúng tôi. Các thành viên hội đồng quản trị nói với chúng tôi rằng họ muốn tập trung vào một vài doanh nghiệp tại một thời điểm, vì vậy họ đưa ra lựa chọn. Nó giống như quay số và cho biết doanh nghiệp nào sẽ xuất hiện vào lần tới.

Và sau đó một lần nữa, chúng ta có phần về các sự kiện hiện tại ở phía dưới, bởi vì nó lại là lợi ích chung về các yếu tố như chúng ta bây giờ đang ở đâu, chúng ta đang đi đâu, điều gì đang thay đổi xung quanh chúng ta và chúng ta cần phát triển như thế nào. Và tôi nghĩ rằng các sự thay đổi trên thế giới diễn ra rất nhanh, việc hội đồng quản trị được thông báo về cách chúng tôi quản lý sự thay đổi đó thực sự quan trọng đối với khả năng tiếp tục của chúng tôi để đảm bảo rằng chúng tôi có sự bảo vệ phù hợp cho khách hàng.

Sara Duffer:
Chris, bạn có muốn thêm gì không?

Chris Betz:
Tôi có ba ý kiến bổ sung. Đầu tiên, một trong những điều tôi đánh giá cao về các cuộc trò chuyện với Andy và các CEO, nhưng ngay cả trong AWS là chúng tôi không có những cuộc trò chuyện đó một cách riêng biệt. Đó không chỉ là một nhóm rất nhỏ với CEO. Đó là với CEO và đội ngũ lãnh đạo của CEO đó vì không có gì xảy ra một cách độc lập. Vì vậy, đảm bảo rằng doanh nghiệp luôn đi cùng trong cuộc trò chuyện, rằng chúng tôi tham gia sâu vào doanh nghiệp và là một phần của các cuộc trò chuyện đó là vô cùng quan trọng. Điều thứ hai là trong AWS, chúng tôi có một ban cũng như của Amazon. Điều đó cho phép chúng tôi, với tư cách là một cơ chế, nghiên cứu sâu hàng quý vào vấn đề bảo mật và các chủ đề liên quan về rủi ro để chúng tôi có thể tiếp tục có những cuộc trò chuyện đó và đảm bảo rằng chúng tôi đang thực hiện quản trị đúng cách.

Và suy nghĩ thứ ba, khi gặp nhiều ban khác nhau, mỗi ban mà tôi đã tương tác đều khác nhau. Tôi nghĩ rằng phần lớn điều đó là do khía cạnh con người, tính cách và một số điều đó là kết quả của bản chất doanh nghiệp. Và vì vậy tôi nghĩ rằng một trong những điều quan trọng với tư cách là CISO hoặc là một nhà lãnh đạo công nghệ trong sự tham gia của hội đồng quản trị là phải hiểu làm thế nào hội đồng quản trị hoạt động trong các lĩnh vực khác. Doanh nghiệp nghĩ về bản thân và nói về bản thân như thế nào? Ngôn ngữ bạn nên sử dụng là gì? Bối cảnh là gì vì chỉ nói về bảo mật một cách riêng biệt không hiệu quả. Bảo mật trong bối cảnh kinh doanh rất quan trọng. Và điều thứ ba là đảm bảo rằng bạn hiểu người nghe. Những người khác nhau trong ban có kỹ năng rất khác nhau. Bạn phải có khả năng nói chuyện với tất cả bọn họ.

Và vì vậy, cho dù chúng ta là những nhà lãnh đạo công nghệ tham gia vào một cuộc trò chuyện về bảo mật hay về chính CISO, đảm bảo rằng chúng ta hiểu đối tượng nghe, hiểu bản chất của hội đồng quản trị, cách doanh nghiệp nghĩ về bản thân và cách bảo mật và công nghệ phù hợp với doanh nghiệp sẽ thực sự tạo nên một cuộc trò chuyện thành công.

Steve Schmidt:
Tôi muốn bổ sung một điều mà Chris vừa nói. Sai lầm lớn nhất mà chúng ta thấy từ các nhà lãnh đạo mới khi họ nói chuyện với quản lý cấp cao nhất hoặc lãnh đạo cấp cao nhất trong công ty, như hội đồng quản trị, là tập trung quá nhiều vào các vấn đề kỹ thuật, đặc biệt là trong lĩnh vực bảo mật. Đó là một cách không hiệu quả để truyền đạt quan điểm của bạn đến khách hàng là thành viên hội đồng quản trị đó. Theo lời Chris, chúng ta cần nói trong bối cảnh kinh doanh. Không quan trọng nếu đây là một lỗ hổng bảo mật nghiêm trọng với điểm CVSS là 9,86 hoặc nếu nó không quan tâm. Đây là cơ hội để đối thủ có quyền truy cập vào thông tin thuộc về khách hàng của chúng tôi, có kết quả này và có khả năng sẽ xảy ra trong vòng 60 ngày tới. Một thành viên hội đồng quản trị giải quyết thay vì nói "Đây là một điều đáng sợ." Tôi nghĩ việc bối cảnh hóa cực kỳ quan trọng.

Giải quyết các thách thức bảo mật của khách hàng

Sara Duffer:
Cả hai đều nói chuyện với khách hàng một cách rất thường xuyên. Những thách thức hoặc vấn đề bảo mật hiện tại mà bạn đang nghe được từ khách hàng là gì? Và AWS đang làm gì để giúp khách hàng của chúng tôi trong lĩnh vực đó?

Steve Schmidt:
Số một phải là AI. Rất nhiều người thực sự quan tâm đến việc làm thế nào để sử dụng nó một cách an toàn? Làm thế nào để sử dụng AI một cách có trách nhiệm? Làm thế nào để tôi có thể lấy thông tin và đảm bảo rằng tôi có quyền truy cập đúng vào dữ liệu đó khi tôi cần, ngăn chặn truy cập khi tôi không cần? Khi chúng tôi nói chuyện với khách hàng, điều đầu tiên tôi hỏi là, "Bạn có bao nhiêu ứng dụng trong công ty của mình đang sử dụng AI tạo sinh? Bạn có biết ngay bây giờ không? Bạn có thể đo lường điều đó một cách thường xuyên không?" Hầu hết mọi người nói, "Ồ, chúng tôi đã tính tháng trước hoặc quý trước hoặc tương tự. "Đoán xem? Nhà phát triển của bạn vận hành nhanh hơn thế nhiều. Chúng tôi đã phải xây dựng các quy trình nội bộ, cho phép chúng tôi thấy mỗi khi một nhà phát triển gọi một công cụ AI tạo sinh từ laptop công ty của họ hoặc từ một trong những tài sản sản xuất mà chúng tôi sở hữu xung quanh công ty.

Và điều đó cho phép chúng tôi có khả năng hiển thị để chúng tôi có thể cung cấp cho các nhóm bảo mật ứng dụng của mình và giúp họ hiểu những gì đang xảy ra với dịch vụ cụ thể đó. Khi chúng tôi lần đầu tiên đếm điều đó và bắt đầu thực hiện điều đó cách đây một thời gian ngắn, chúng tôi đã đến và báo cáo cho Andy và nói, "Có hơn một nghìn ứng dụng AI tạo sinh hiện đang hoạt động hoặc phát triển trên toàn công ty." Và chúng tôi thấy được biểu cảm sốc như, "Cái gì? Bạn đang đùa tôi à?" Rất tiếc là không. Và nhân tiện, con số đang tăng với tốc độ cực kỳ nhanh, điều này thật tuyệt vì điều đó có nghĩa là các nhà phát triển của chúng tôi thực sự đang tiến về phía trước, nhưng nó cũng có nghĩa là các nhóm của chúng tôi phải tăng tốc theo dõi những người này để đảm bảo rằng họ đang làm mọi thứ theo cách hợp lý, phù hợp, v.v. Nhưng tất cả bắt đầu với khả năng hiển thị đó và xây dựng công cụ làm cơ sở.

Chris Betz:
Một cuộc trò chuyện khác khiến tôi có rất nhiều suy nghĩ là về những khả năng nào đã có trong AWS khi mọi người suy nghĩ về cách chúng vừa an toàn nhưng cũng tiết kiệm chi phí? Mọi người không muốn dành thời gian và năng lượng vào không gian đã có sẵn các giải pháp hoặc nơi mọi thứ đã xảy ra. Một trong những điều mà chúng ta trao đổi rất nhiều là kiến trúc và điều khiển, đảm bảo rằng mọi người có được kiến trúc tốt, xem cách thực hiện các biện pháp kiểm soát đơn giản và dễ dàng trên quy mô lớn. Vì vậy tôi nghĩ rằng điều đã trở thành một trong những nội dung trò chuyện thường xuyên trong nội bộ của chúng tôi là về cách chúng tôi đảm bảo rằng mình đang tạo ra biện pháp bảo mật đơn giản trên quy mô lớn cho những khách hàng này. Một yếu tố khác mà chúng ta thực sự đã nói đến rất nhiều gần đây là tình báo về mối đe dọa. Các công ty khác nhau, các nhà cung cấp đám mây khác nhau, đối xử với tình báo về mối đe dọa khác nhau.

Cách tiếp cận của chúng tôi là biến tình báo về mối đe dọa đó thành một phần trong quá trình vận hành các hệ thống một cách liền mạch. Chúng tôi thực sự đã dành rất nhiều thời gian để nói về điều này bởi vì chúng tôi chừa từng nói về nó trong quá khứ, nhưng điều quan trọng là khách hàng phải biết những gì cần mong đợi. Rằng chúng tôi có hàng loạt các nhà cung cấp thông tin tình báo về mối đe dọa, bẫy lỗ hổng bảo mật và cảm biến đang thu thập dữ liệu mỗi ngày, hơn 100 triệu tương tác mỗi ngày chỉ trong các bẫy của chúng tôi. Và những công nghệ này, những dữ liệu này được kết hợp với dữ liệu cảm biến khác của chúng tôi từ các hệ thống như Sonaris sẽ cho phép chúng tôi hành động. Hành động này diễn ra mà khách hàng thậm chí không cần phải biết.

Chúng tôi có thể chống lại các cuộc tấn công khác nhau khi chúng tôi xác định được một địa chỉ độc hại. Và lưu lượng truy cập đó thậm chí không bao giờ có thể tiếp cận hệ thống của bạn. Ví dụ, trong năm ngoái, chúng tôi đã từ chối hơn 24 tỷ lượt yêu cầu liệt kê các vùng lưu trữ S3, hơn 2,6 nghìn tỷ lượt yêu cầu khám phá các dịch vụ dễ bị tổn thương trong EC2. Và khi chúng tôi không thể cung cấp điều đó một cách tự động cho bạn, nơi mà chúng tôi không có độ chính xác đó, chúng tôi có thể đưa nó trực tiếp vào các công cụ như GuardDuty, v.v. Và vì vậy, nội dung cuộc trò chuyện của tôi với các nhân viên bảo mật là làm thế nào để họ tận dụng lợi thế của công nghệ đã được tích hợp sẵn, cả các bộ phận liền mạch và các bộ phận mà chúng tôi đang cung cấp thêm thông tin cho các nhóm bảo mật để họ hoạt động?

Steve Schmidt:
Tôi nghĩ có một số dữ liệu thực sự thú vị để làm rõ một quan điểm mà bạn đã đưa ra liên quan đến tình báo về mối đe dọa. Và tình báo về mối đe dọa là một thứ cực kỳ mong manh. Điều mà hầu hết mọi người không nhận ra là từ những gì chúng ta thấy trên internet, khoảng 23% không gian IP của internet thay đổi trong khoảng ba phút. Có nghĩa là nếu nguồn cấp dữ liệu tình báo về mối đe dọa của bạn đã có từ một tuần hoặc một tháng trước, dữ liệu đó đã quá lỗi thời. Và một vài điều khác về tính kịp thời của hành động, ngay khi bạn nhận được thông tin tình báo về mối đe dọa. Khi chúng ta đưa một bẫy lỗ hổng bảo mật lên internet, chỉ chưa đầy 90 giây để đối thủ phát hiện ra nó và chưa đầy ba phút để họ cố gắng khai thác nó. Đây là tình huống mà nếu nhà phát triển của bạn nói, "Ồ, tôi sẽ công khai vùng lưu trữ này lên internet, nó sẽ ổn thôi. Không ai biết rằng nó ở đó." Ba phút, đó là thời gian bạn có trước khi gặp vấn đề. Vì vậy, hãy biết những gì đang xảy ra thông qua nguồn cấp dữ liệu thông minh mạnh mẽ, sẵn sàng hành động nhanh chóng. Và quan trọng hơn, đừng yêu cầu một con người luôn túc trực để hành động. Hãy chắc chắn sử dụng tự động hóa.

Chris Betz:
Hay lắm.

Điều chỉnh quy mô tuân thủ bảo mật

Sara Duffer:
Tôi sẽ chuyển sang một chủ đề rất gần gũi với mình, đó là trong thế giới không ngừng phát triển của các quy định, chứng nhận tiêu chuẩn, v.v., có thể rất khó để có thể duy trì tuân thủ và sự phát triển của sự tuân thủ đó. Chris, bạn có thể nói một chút về cách AWS nghĩ về việc tuân thủ quy mô lớn không?

Chris Betz:
Chúng ta có thể nói về điều này rất nhiều.

Sara Duffer:
Đúng vậy.

Chris Betz:
Đầu tiên, bắt đầu với một nền tảng an toàn là một biện pháp mà tôi cho rằng rất hiệu quả trong viêc tuân thủ ở quy mô lớn. Suy nghĩ về bảo mật theo khía cạnh bảo mật theo thiết kế, đảm bảo rằng yếu tố bảo mật được đưa vào quá trình phát triển, mang lại cho bạn một khởi đầu tuyệt vời trước khi bạn phải suy nghĩ về quy định hoặc tuân thủ. Khi chúng ta làm mọi việc theo cách tốt nhất, việc tuân thủ là một kết quả phụ có chủ ý của công việc bảo mật đó. Thành thật mà nói, hầu hết các cơ quan quản lý cũng muốn điều đó.

Lý do tuân thủ của họ là để đảm bảo bạn luôn an toàn. Vì vậy, cần phải thiết kế một chương trình bảo mật tập trung vào bảo mật với mục đích cố ý thể hiện và chứng minh sự tuân thủ. Điều thứ ba là không thể luôn có sự tuân thủ theo thiết kế như một phần của quy trình bảo mật, bạn cần có khả năng chứng minh và thể hiện điều đó. Và vì vậy, việc có thể kết hợp dữ liệu đó lại với nhau và làm cho nó hiển thị, giúp người khác dễ hiểu là vô cùng quan trọng. Và kỹ thuật cũng có liên quan đến khía cạnh đó. Tôi cho rằng đó là một khoản đầu tư đáng giá, nhưng bạn dành nhiều thời gian trong lĩnh vực này hơn tôi, nên tôi cũng tò mò về quan điểm của bạn.

Sara Duffer:
Chà, tôi hiện đang nghe được rất nhiều ý kiến từ khách hàng, chủ yếu là về các chương trình AI có trách nhiệm và cách vận hành nó thật nhanh. Chỉ vì sự phát triển rất nhanh này, đó thực sự là một cuộc trò chuyện về việc có thể chuyển từ khái niệm tuân thủ, vốn rất nhị phân, rất tập trung vào việc chúng ta có tuân thủ các quy tắc và quy định không, chẳng hạn như Đạo luật AI của EU. Và việc có thể phát triển chương trình đó nhanh chóng trở thành tư duy đảm bảo hơn, có thể cung cấp lòng tin về chất lượng, độ tin cậy và hiệu quả của việc tuân thủ mà chúng tôi có thể minh họa. Vậy chúng ta có thể làm điều đó như thế nào?

Điều đó thường được tận dụng thông qua các tiêu chuẩn kỹ thuật. Vì vậy, những tiêu chuẩn như ISO 42001, cho phép các tổ chức minh họa cho khách hàng cuối rằng họ đang vận hành, cả triển khai lẫn phát triển, sử dụng các biện pháp thực hành AI có trách nhiệm, và sau đó tổng hợp tất cả những điều đó từ góc độ quản trị. Vậy làm thế nào để bạn đảm bảo rằng tổ chức đang vận hành đúng như mong đợi và làm thế nào để bạn báo cáo với các nhà lãnh đạo cấp cao và hội đồng quản trị về những gì bạn đang làm xung quanh AI có trách nhiệm. Và quan trọng nhất, làm tất cả những điều đó theo cách đáp ứng nhu cầu của người xây dựng và không làm chậm sự đổi mới. Vì vậy, bạn có thể đáp ứng tiêu chuẩn cao đó và đồng thời có thể nhanh chóng làm điều đó.

Văn hóa bảo mật cho lực lượng lao động

Sara Duffer:
Vì vậy, hãy chuyển chủ đề một chút, Steve, tôi sẽ thảo luận với bạn. Chúng ta thường xuyên nói về bảo mật, chúng ta nghiên cứu rất nhiều vào công nghệ mới và thế giới đang phát triển mà chúng ta đang thấy trước mắt. Nhưng cuối cùng, một tác nhân đe dọa là con người vẫn hiện hữu. Và tôi rất muốn nghe thêm quan điểm của bạn về khía cạnh con người trong lĩnh vực an ninh mạng.

Steve Schmidt:
Chắc chắn rồi. Tin tức nóng hổi đây. Bảo mật máy tính, bảo mật thông tin, an ninh mạng, bất kể bạn muốn gọi nó là gì, lại không phải là vấn đề kỹ thuật. Đó là một vấn đề con người. Một trong những điều tôi học được từ lâu khi còn làm việc trong FBI và tập trung vào công việc phản gián là mặc dù theo dấu gián điệp là công việc của chúng tôi nhưng gián điệp vẫn tồn tại vì một lý do. Họ được thúc đẩy bởi một cái gì đó. Theo truyền thống trong lĩnh vực gián điệp, đó là tiền bạc, tư tưởng, sự ép buộc hoặc cái tôi. Điều tương tự cũng đúng trong lĩnh vực an ninh mạng. Mọi người quan tâm đến tiền bạc. Đó là nhân tố tạo ra phần mềm tống tiền. Hệ tư tưởng. Đó là nhân tố quốc gia truyền thống của bạn, người đang thu thập thông tin tình báo hoặc chuẩn bị cho chiến tranh. Sự ảnh hưởng, vốn là một điều mới mẻ trong không gian này, đang khiến người dân suy nghĩ theo một cách cụ thể, thay đổi ý kiến của họ, dẫn dắt mọi thứ xảy ra. Hoặc cái tôi. Đó là một hacker nghiệp dư muốn trở thành hacker vĩ đại nhất, xấu xa nhất và gây ra một cuộc tấn công DDoS như một phần để đạt được điều đó.

Và tại sao chúng ta quan tâm đến việc biết lý do những người này lại làm điều này hoặc động cơ của họ? Bởi vì điều đó giúp chúng ta hiểu được các loại công cụ, loại khả năng mà họ sẽ có, nơi họ có khả năng theo dõi chúng ta và khả năng chịu đựng rủi ro hoặc bại lộ của họ. Và họ có gặp vấn đề lớn nếu bị bắt và FBI đến gõ cửa, hay điều đó không thực sự quan trọng vì họ hiện đang ngồi dưới một tầng hầm ở Belarus hoặc tương tự? Đó là những thứ mà chúng tôi phải xử lý để hiểu những gì chúng tôi phải làm với tư cách là những người bảo vệ và cách chúng tôi xây dựng các hệ thống để chặn quyền truy cập từ những đối tượng đó.

Điều thú vị là suy nghĩ tương tự cần được áp dụng cho chính nhân viên của chúng tôi. Nhân viên của chúng tôi đều có ý định tốt. Họ muốn làm điều đúng đắn, họ muốn giúp đỡ, v.v. Nhưng chúng ta phải đối diện với thực tế, họ cũng là con người. Vì vậy, đôi khi họ gặp rắc rối về tiền bạc. Đôi khi họ không thích hướng đi của điều gì đó. Đôi khi họ chỉ có một ngày tồi tệ. Và kết quả là, những người bảo vệ như chúng tôi cần chuẩn bị trước để hiểu những gì họ đang làm, tại sao họ lại làm điều đó và làm thế nào để chúng tôi đảm bảo rằng họ không làm điều gì đó mà họ không nên làm.

Nhưng nhiều thành phần thực sự quan trọng của an ninh mạng và con người trong một công ty là văn hóa của công ty. Văn hóa bảo mật của một công ty là thứ sẽ làm nên hoặc hủy hoại công ty đó. Tất cả chúng ta đều đã thấy điều xảy ra trong tin tức công khai khi bạn có văn hóa bảo mật không đạt chuẩn. Bạn kết thúc với việc các tác nhân của quốc gia hoặc nhà nước liên tục đột nhập vào một tổ chức và khai thác vì lợi ích cá nhân. Tại sao lại như vậy? Bởi vì nhân viên trong công ty không được đánh giá hoặc thúc đẩy bởi những điều đúng đắn.

Họ không có động lực để bảo vệ dữ liệu hoặc thông tin của bạn. Họ nhắm vào một cái gì đó khác. Và vì vậy, để xây dựng văn hóa xoay quanh điều quan trọng nhất đối với bạn với tư cách là một người, một nhà phát triển trong công ty của tôi, đầu tiên, hãy đảm bảo an toàn về mặt sức khỏe thể chất và thứ hai, bảo vệ dữ liệu của khách hàng. Bởi vì điều đó cho phép họ đưa ra quyết định tốt mọi thời điểm trong ngày. “Tôi có nên đi bên trái không? Tôi có nên đi bên phải không? Tôi có nên làm một việc không? Tôi có nên làm việc khác không? Tôi có nên yêu cầu giúp đỡ vì tôi thực sự không biết không? Hãy để tôi tìm một chuyên gia trong lĩnh vực này.”

Và tôi nghĩ động lực để đảm bảo rằng bạn có văn hóa công ty phù hợp là văn hóa sẽ hướng bạn đến việc giảm chi phí vì bạn không cần phải dọn dẹp những mớ hỗn độn mà ai đó tạo ra bởi vì họ đã di chuyển nhanh chóng để đạt được mục tiêu lợi nhuận, mục tiêu ký quỹ hoặc mục tiêu giao hàng trái với việc đảm bảo an toàn cho khách hàng cuối.

Sara Duffer:
Và điều đó cũng làm cho cuộc sống của tôi dễ dàng hơn khi làm việc về đảm bảo bảo mật. Đó là một kết quả tốt đẹp. Chris, dựa trên quan điểm xoay quanh văn hóa đó, chúng tôi nói rất nhiều tại AWS về việc bảo mật là ưu tiên hàng đầu. Hãy chia sẻ một chút về cách chúng tôi thực sự làm điều đó. Các bạn xây dựng văn hóa đó như thế nào?

Chris Betz:
Một trong những lý do tại sao tôi nghĩ văn hóa rất quan trọng là nó không chỉ hướng tới đầu tư lâu dài, tôi nghĩ rằng mọi công ty mà tôi biết đều làm việc để đào tạo, cung cấp các công cụ, các khả năng xung quanh an ninh mạng. Và một trong những điểm khác biệt chính là văn hóa. Bởi vì bảo mật luôn thay đổi. Đối với cuộc trò chuyện của bạn trước đó, tôi không thể kể được gần đây chúng ta đã nói về AI bao nhiêu lần, phải không? AI liên tục thay đổi. Và khả năng thích ứng đó. Đó là khả năng phát hiện rằng, “Bạn biết gì không? Tôi đang thấy một cuộc xung đột ở đây, hoặc tôi đang nhìn thấy một cách tốt hơn để đảm bảo bảo mật." Hãy suy nghĩ về điều này. Chúng ta có thể làm điều này tốt hơn không? Không chỉ mù quáng làm theo quy trình và các công cụ, mà thực sự đặt câu hỏi.

Hoặc, “Tôi nghĩ rằng các quy trình và công cụ này đang thiếu một cái gì đó. Tôi thấy rủi ro này, tôi thấy vấn đề này. Làm thế nào để tôi trình bày điều đó?” Những điều đó cực kỳ quan trọng. Và như bạn đã nói, văn hóa mang lại hiệu quả theo thời gian một cách tuyệt vời. Xây dựng nền văn hóa đó cần đầu tư thời gian và năng lượng. Nó bắt đầu ở trên nhất. Nó bắt đầu bằng việc điều chỉnh văn hóa sao cho ăn khớp với cách thức hoạt động của tổ chức. Một phần của điều đó là tự hỏi rằng chúng ta là ai. Matt nói, "Mọi thứ bắt đầu từ bảo mật” và điều đó có ý nghĩa đối với cả bên trong lẫn bên ngoài."

Và hơn nữa, đó là cách mọi người sử dụng thời gian của họ. Steve và tôi đều nói về các cuộc họp hàng tuần do CEO của chúng tôi dẫn dắt. Một lần nữa, đảm bảo rằng đó là một phần của cách tổ chức hoạt động là vô cùng quan trọng. Một khi bạn đã kết hợp bảo mật vào văn hóa của tổ chức, cần phải nhấn mạnh rằng bảo mật là công việc của mọi người. Mỗi người đều có vai trò cụ thể. Đó là cơ hội để bạn nêu ý kiến, “Chúng ta phải làm điều gì đó khác biệt. Chúng tôi nghĩ rằng chúng tôi đang thiếu một cái gì đó. Tôi bối rối. Tôi không chắc chắn”. Mọi người cần hiểu rằng bảo mật là công việc của họ và nhiệm vụ của chúng tôi với tư cách là các nhà lãnh đạo bảo mật là làm cho công việc đó trở nên dễ dàng nhất có thể. Bởi vì nếu mọi người dành thời gian tập trung vào bảo mật ở từng hành động, điều đó sẽ làm tăng thêm chướng ngại cho tổ chức. Đi đôi với việc đảm bảo công việc của mọi người được bảo mật là làm cho mọi người dễ dàng thực hiện việc bảo mật đó. Điều đó có nghĩa là yếu tố bảo mật cần được chia sẻ trong toàn công ty. Chúng ta cần đảm bảo rằng đào tạo, kiến thức, năng lực được thiết kế tốt để điều đó có thể xảy ra trên toàn bộ tổ chức.

Và cuối cùng, chúng ta cần sẵn sàng đầu tư. Chúng ta cần sẵn sàng đầu tư vào đổi mới để cải thiện bảo mật. Chúng ta cần sẵn sàng đầu tư vào đổi mới sáng tạo để giúp việc bảo mật trở nên dễ dàng hơn. Bởi vì nếu không làm vậy, cuối cùng bạn sẽ bị mắc kẹt trong quá khứ và không bao giờ có thể tiến về phía trước với tư cách là một tổ chức. Một trong những cách để thực hiện điều này là thông qua các chương trình bảo vệ bảo mật, nơi chúng tôi dựa vào nhân viên của mình, chúng tôi đào tạo nhân viên về các vấn đề bảo mật chuyên sâu trong các nhóm dịch vụ và nhóm kỹ thuật để họ có thể đảm bảo rằng mọi người sớm có ý thức về bảo mật trong quá trình phát triển và có được kiến thức đúng đắn. Và nó giúp làm cho mọi thứ rất dễ dàng để mở rộng. Vì vậy, có một điều mà tất cả các bạn có thể làm với nhóm của mình, đó là xem xét kỹ lưỡng xem liệu chúng tôi có thể tạo ra một chương trình bảo mật không, và làm thế nào để chúng tôi tạo ra một văn hóa bảo mật trong công ty của chúng tôi?

Sara Duffer:
Được rồi. Vậy ba câu hỏi mà các nhà lãnh đạo doanh nghiệp trong phòng có thể đặt ra cho các chương trình bảo mật và tuân thủ của họ là gì?

Chris Betz:
Tôi sẽ cho bạn một câu mà tôi luôn thích hỏi. Đối với tất cả các nhà lãnh đạo công nghệ, tôi không biết có bao nhiêu người trong số các bạn có thứ mà chúng tôi gọi là tổ chức công cụ xây dựng hoặc công cụ phát triển. Là một nhà lãnh đạo bảo mật, những tổ chức đó là những tổ chức yêu thích của tôi trong toàn bộ doanh nghiệp. Nếu bạn không có, đây là những nhóm xây dựng các công cụ giúp công việc phát triển của bạn trở nên dễ dàng. Đây giống như một đòn bẩy có sức ảnh hưởng lớn. Nếu có một nơi dành cho các tài năng hàng đầu của các công ty, đó là trong tổ chức công cụ xây dựng, bởi vì trong một tổ chức, bạn có thể làm cho tất cả các quy trình phát triển của mình trở nên tốt hơn rất nhiều. Từ quan điểm bảo mật, đó là nơi có hiệu quả đòn bẩy. Bởi vì bạn có thể tích hợp kiến thức bảo mật và khả năng bảo mật của mình vào các công cụ đó và có được khả năng điều chỉnh quy mô lớn và biến nhiệm vụ mật thành một công việc hoàn toàn tự nhiên.

Và vì vậy, câu hỏi mà tôi sẽ đáp lại nếu tôi là tất cả các bạn là hãy hỏi các nhà lãnh đạo bảo mật và các nhà lãnh đạo công cụ xây dựng của bạn rằng mối quan hệ của họ là gì, họ làm việc với nhau như thế nào và tất cả các kết quả bảo mật mà bạn đang tìm kiếm được tích hợp vào khả năng xây dựng công cụ như thế nào.

Sara Duffer:
Steve?

Steve Schmidt:
Vì vậy, điều này là để nhắc lại điều tôi đã nói trước đây là hãy hỏi nhóm của bạn, “Chúng ta hiện đang xây dựng các ứng dụng AI tạo sinh ở đâu?” Và sau đó hỏi nhóm của bạn, "Chúng ta đã áp dụng cơ chế gì để biết ngày mai chúng ta sẽ xây dựng các ứng dụng AI tạo sinh ở đâu, và độ trễ giữa thời điểm một người xây dựng một ứng dụng mới và thời điểm chúng tôi biết về nó là bao nhiêu?" Và bạn sẽ thấy rằng trong nhiều trường hợp, câu trả lời là, “Hỗn loạn, hỗn loạn, hỗn loạn. Nhanh lên, tìm dữ liệu đi. Đây là câu trả lời". Tuyệt vời. Đã là ngày hôm sau mất rồi. Được rồi.

Vì vậy, bạn cần một phương pháp, một cơ chế, một công cụ cho phép bạn làm điều đó một cách thường xuyên, để luôn cập nhật thông tin, để đảm bảo rằng bạn là người vận hành và quản lý có trách nhiệm của cơ sở hạ tầng đó, và bạn có thể là chủ sở hữu có trách nhiệm của dữ liệu mà bạn thu thập thay mặt cho khách hàng của mình.

Điều thứ hai là bạn có những quy tắc bảo vệ nào và có cơ chế nào để cập nhật những quy tắc bảo vệ đó khi thế giới thay đổi xung quanh AI tạo sinh không? Trong thời gian chúng ta ngồi đây, thế giới AI tạo sinh đã phát triển đáng kinh ngạc. Có một cái gì đó mới đang xảy ra. Có một số cách mới để tạo ra vấn đề trong mô hình nền tảng mà một số người thông minh đã nghĩ ra và chúng ta phải có khả năng chống lại điều đó. Vậy phương pháp tái tạo nhanh chóng để có thể ảnh hưởng đến quy tắc bảo vệ mà bạn có xung quanh các ứng dụng AI tạo sinh của mình là gì?

Sara Duffer:
Tôi nghĩ bạn đã gian lận. Tôi nghĩ đó là hai. Tôi cũng sẽ gian lận một chút. Và tôi muốn nói rằng cần hỏi các nhóm về cách họ thực sự đảm bảo sự tuân thủ. Ý tôi không chỉ gói gọn trong một trường hợp hiện nay, làm thế nào chúng ta có thể biết liệu mình có tuân thủ các tiêu chuẩn, luật pháp khác nhau hay không, ngoài ra còn phải thực sự hiểu cách bạn có thể có được sự đảm bảo liên tục theo thời gian để có thể xác định chi phí cho người xây dựng.

Vì vậy, tôi muốn nói rằng có hai câu hỏi cốt lõi, đó là làm thế nào bạn tuân thủ các biện pháp thực hành nội bộ hoặc luật pháp của bạn, v.v., và chi phí cho người xây dựng là bao nhiêu, điều này thực sự quan trọng vì bạn muốn đổi mới nhanh chóng và muốn đảm bảo rằng bạn đang theo dõi chi phí cho người xây dựng mà vẫn đảm bảo rằng sự tuân thủ.

Vì vậy, câu hỏi cuối cùng mà tôi có là, khi nói chuyện với khách hàng thường xuyên, lời khuyên tốt nhất mà bạn có để khách hàng chấp thuận ngay lập tức tình trạng bảo mật của họ là gì?

Chris Betz:
Đối với công ty nội bộ của bạn và đối với khách hàng của bạn, hãy tìm cách triển khai mã khóa. Tránh sử dụng mật khẩu sẽ tạo ra tác động đáng kể cho mọi người và cho khách hàng. Tận dụng lợi thế của công nghệ đó. Đó là một bước nhảy vọt. Thực hiện ngay hôm nay.

Steve Schmidt:
Và sau đó nó mọi thứ không chỉ trở nên an toàn hơn nhiều, nó còn là trải nghiệm người dùng tốt hơn. Nó rất mượt mà. Vì vậy, hãy để nhân viên công nghệ của bạn tập trung vào điều này và tìm hiểu lý do tại sao họ không làm điều đó ngay bây giờ.

Điều hai ít thú vị hơn nhiều so với mã khóa và các loại biện pháp bảo mật của nó. Quản lý lỗ hổng bảo mật. Sửa chữa tài sản của bạn. Đó là cách phòng thủ tốt nhất để chống lại những tác nhân bên ngoài.

Chris Betz:
Hoặc để chúng tôi sửa giúp bạn.

Steve Schmidt:
Chính xác.

Chris Betz:
Sử dụng Lambdas và những thứ khác.

Steve Schmidt:
Đúng vậy.

Sara Duffer:
Vâng, cảm ơn rất nhiều vì đã dành thời gian tham gia với chúng tôi hôm nay.