Điều chỉnh quy mô bảo mật phù hợp cho toàn bộ doanh nghiệp của Amazon

Clarke Rodgers:
Steve, cảm ơn anh rất nhiều vì đã tham gia cùng tôi hôm nay.

Steve Schmidt:
Tôi rất hân hạnh khi được có mặt ở đây. Cảm ơn.

Clarke Rodgers:
Đã khá lâu kể từ lần gần nhất mà chúng ta nói chuyện với nhau. Thực ra tôi đã tính toán vào tối qua. Lần gần nhất là khoảng bốn năm trước.

Steve Schmidt:
Chà.

Clarke Rodgers:
Khi nghĩ về những gì đã xảy ra bốn năm trước, trong lúc đại dịch đang diễn ra. Anh và tôi có một cuộc phỏng vấn từ xa và anh đảm nhận một vai trò khác, phải không? Lúc đó anh là giám đốc bảo mật thông tin tại AWS. Không lâu sau cuộc phỏng vấn đó, Andy nhậm chức Giám đốc điều hành của Amazon và một trong những điều đầu tiên anh ấy làm là bổ nhiệm anh vào chức vụ giám đốc bảo mật. Anh có thể cho tôi biết đôi chút về lý do anh ấy làm điều đó được không?

Steve Schmidt:
Được thôi. Một trong những điều mà Andy thực sự coi trọng là hiểu cách chúng ta bảo vệ thông tin của khách hàng. Và điều đó phát sinh từ sự cần thiết tại AWS, nơi bảo mật là nền tảng cho chính doanh nghiệp. Anh không thể có một doanh nghiệp như AWS nếu không tiến hành bảo mật đúng cách.

Và khi đảm nhận vị trí mới, anh ấy muốn áp dụng tư duy này cho tất cả khách hàng doanh nghiệp đa dạng đến đáng kinh ngạc mà Amazon hiện đang vận hành. Anh ấy cũng muốn đảm bảo rằng có một người chuyên trách hàng ngày để giám sát công việc này. Vì vậy anh ấy đã đề nghị tôi đảm nhận vị trí đó.

Clarke Rodgers:
Chức vụ giám đốc bảo mật dường như thiếu từ “thông tin” đúng không? Anh là Giám đốc bảo mật. Chúng tôi cũng đã có một số cuộc phỏng vấn với khách hàng mà trong đó họ “lược bỏ chữ ‘thông tin’”. Anh có thể cho tôi biết đôi chút về lý do vị trí giám đốc bảo mật không nhấn mạnh cụ thể vào “thông tin” không?

Steve Schmidt:
Được thôi. Khi xét đến việc bảo vệ thông tin, vốn là giá trị trao đổi thực sự trong lĩnh vực này, chắc chắn rằng trong đó có thành phần logic mà mọi người đã quen thuộc với công việc của Giám đốc bảo mật thông tin. Nhưng các đối thủ của chúng ta sử dụng con người ngày một nhiều hơn để săn tìm những thông tin khó trích xuất hơn từ góc độ logic.

Vì vậy ngành này đã trải qua một chu kỳ xoay vòng, như là rất lâu về trước, người ta cử gián điệp xâm nhập và đánh cắp các bản sao tài liệu hoặc những thứ tương tự như thế trên thực tế. Khi chúng ta kết nối mạng trực tuyến với các hệ thống máy tính thì một cơ hội mới đã mở ra. Họ bắt đầu đột nhập vào các hệ thống đó từ xa, v.v. Khi các doanh nghiệp tăng khả năng bảo mật thông tin, bất kể ở môi trường tại chỗ hay tại nơi khác, mọi người lại sử dụng gián điệp.

Vì thế chúng ta phải tích hợp biện pháp bảo vệ cho cả tài sản vật lý và tài sản thông tin, tài sản logic để có được bức tranh toàn cảnh về những gì chúng ta đang làm với dữ liệu của khách hàng và cách chúng ta bảo vệ dữ liệu đó, cùng với dữ liệu doanh nghiệp. Bởi vì các đối thủ của quốc gia chúng ta thường tập trung không chỉ vào việc truy cập dữ liệu của khách hàng, mà còn là thông tin về hướng đi tiếp theo của doanh nghiệp.

Cùng với đó là cách chúng ta xây dựng bộ sản phẩm hay dịch vụ vô cùng thú vị nào, bất kể là vệ tinh hay phương tiện robot. Những thứ đó có giá trị đáng kinh ngạc đối với các quốc gia trên thế giới và các doanh nghiệp mà họ hỗ trợ. Do đó, trên cương vị chuyên gia bảo mật, chúng ta phải nhìn vào bức tranh toàn cảnh để xác định xem đối thủ là ai và cách chúng ta tự bảo vệ mình trước họ.

Clarke Rodgers:
Chắc chắn rồi. Khi anh đảm nhận vai trò Giám đốc bảo mật và giờ đây là quản lý cả bộ phận an ninh vật lý, tôi đoán rằng ngôn ngữ của các chuyên gia bảo mật thông tin và của những người trong bộ phận bảo mật vật lý sẽ khác biệt hoàn toàn với nhau. Làm thế nào để anh tích hợp hai bộ phận đó để họ nói cùng một ngôn ngữ và có thể làm việc hiệu quả với nhau?

Steve Schmidt:
Được thôi. Lúc đó việc lựa chọn ngôn từ trở nên bớt quan trọng vì họ có ngôn ngữ riêng của mình. Anh nói hoàn toàn đúng. Điều quan trọng nhất là nắm bắt mục tiêu cuối cùng của họ, cách đo lường tiến độ trong quá trình theo đuổi mục tiêu đó và quan trọng nhất là xác định các điểm chuyển giao hoặc khoảng cách giữa thế giới vật chất và thế giới logic.

Hãy nghĩ theo cách này: trong thế giới vật chất, tôi ngăn không cho công ty tuyển dụng đối thủ của mình để tránh tình huống họ vào được tòa nhà của công ty. Nhưng nếu một đối thủ xâm nhập được vào một tòa nhà thì điều đó có liên quan đến mặt bảo mật thông tin không? Việc họ đứng ở sảnh là một chuyện. Nhưng nếu họ ở trong một căn phòng có một loạt các thiết bị chuyển mạch mạng trong đó thì lại là chuyện hoàn toàn khác. Vì vậy, chúng ta phải liên kết hai sự việc với nhau để có được một bức tranh toàn cảnh chính xác về những gì đang xảy ra.

Clarke Rodgers:
Anh có phải xây dựng bất kỳ dụng cụ nào để vượt qua những khó khăn này không?

Steve Schmidt:
Có, đó là sự kết hợp của công cụ và quy trình do chúng tôi xây dựng. Xây dựng công cụ là một quá trình biến đổi liên tục. Chúng tôi luôn cải tiến về mặt lý thuyết, trong việc tìm cách thu thập, phân tích và sử dụng dữ liệu. Trên thực tế, việc vừa thú vị lại vừa khó khăn hơn là nghĩ ra cách để chuyển giao giữa các bộ phận khác nhau trong doanh nghiệp và cách đảm bảo rằng mọi người có quyền truy cập vào những thứ cần thiết để... làm việc, nhưng không bị quá tải trước nhiều dữ liệu đến mức họ không thể tìm thấy thông tin quan trọng trong lượng thông tin khổng lồ mà chúng tôi thu thập.

Và đó là lúc mà bộ phận quy trình phát huy tác dụng. Điểm mấu chốt trong quy trình thường là việc đưa ra những thông tin có thể nhạy cảm, thực sự nhạy cảm, v.v. và tìm cách đảm bảo rằng thông tin đó được chuyển từ bộ phận này sang bộ phận khác của tổ chức. Và công việc đó thực sự cần những người có trình độ cao. Chỉ có con người mới biết rằng “được rồi, bản chất thứ này có vẻ vô hại, nhưng khi kết hợp với thứ khác mà chúng ta đã thấy thì nó sẽ trở nên thực sự thú vị”. Và thật không may, chưa có hệ thống nào có thể làm được điều đó. Có lẽ sau khi thực hiện một số quá trình đào tạo AI trong tương lai, chúng ta sẽ có thể đạt được điều đó, nhưng lúc này thì chưa.

Clarke Rodgers:
Điều đó rất thú vị. Là người khởi xướng chương trình bảo mật tại AWS, chắc hẳn anh đã hiểu tường tận AWS, cách bảo mật, những mối đe dọa, mức độ chấp nhận rủi ro, v.v. Khi chuyển sang vai trò Giám đốc bảo mật, giờ đây anh phải tìm hiểu về amazon.com hay theo cách gọi nội bộ là các cửa hàng như Whole Foods, Prime Video, MGM, Twitch, những tổ chức khác nhau.

Đầu tiên, làm cách nào để anh nắm bắt được hồ sơ bảo mật cho các doanh nghiệp này và mức độ chấp nhận rủi ro rồi sau đó làm cách nào để anh kết hợp các dữ kiện này? Nhìn chung, cách quan sát nào mà qua đó anh thấy hồ sơ rủi ro cho Whole Foods là phù hợp hay hồ sơ rủi ro dành cho AWS cũng phù hợp với AWS, làm cách nào để anh tính toán ra tất cả những điều này?

Steve Schmidt:
Trước hết, một trong những điều tôi yêu thích trong công việc của mình là sự đa dạng của các doanh nghiệp. Mọi người thường nói rằng tôi đã ở vị trí này suốt 16 năm. Điều này thực sự hiếm có trong ngành bảo mật. Tại sao lại như vậy? Đó là vì sự đa dạng trong công việc tại công ty này. Đây là cơ hội để tiếp tục học hỏi, điều mà tôi rất thích.

Tôi không còn trẻ. Mọi người hỏi rằng tôi sẽ còn làm việc đến bao giờ? Bao giờ tôi sẽ nghỉ hưu? Tôi tận hưởng công việc của mình. Không, tôi không muốn nghỉ hưu. Công việc này thực sự rất thú vị. Đó là bởi vì tôi đi từ xây dựng nhà cung cấp đám mây lớn nhất thế giới đến đưa vệ tinh vào không gian và điều hành các cửa hàng tạp hóa và sự đa dạng này là một thách thức rất lớn từ góc độ kinh doanh, nhưng cũng là một cơ hội thú vị để tận dụng quy mô của công ty nhằm giảm chi phí vận hành.

Việc vận hành các tổ chức bảo mật không hề rẻ. Nhưng nếu có thể mở rộng quy mô trên một doanh nghiệp lớn như Amazon, chi phí theo đơn vị có thể giảm xuống.

Clarke Rodgers:
Chắc chắn rồi.

Steve Schmidt:
Do đó, tất cả các doanh nghiệp đều được hưởng lợi từ quy mô của các doanh nghiệp khác. Việc tìm ra cách giúp một cửa hàng tạp hóa có thể tận dụng cơ chế bảo mật tương tự một công ty vệ tinh để tận dụng trong nhiều lĩnh vực, ví dụ như quản lý lỗ hổng bảo mật, bản vá đã được cài đặt trên hệ thống máy tính hay chưa, về cơ bản không khác nhau là mấy, dù anh xây dựng vệ tinh hay vận hành cửa hàng tạp hóa.

Điều đó cho phép chúng tôi làm những việc ở cấp độ mà một doanh nghiệp độc lập thực sự không đủ khả năng chi trả và nâng cao tiêu chuẩn cho tất cả mọi người. Một phần công việc của tôi ở đây là đảm bảo rằng chúng tôi có một mức tiêu chuẩn trên toàn công ty, bất kể là quản lý lỗ hổng bảo mật, phản ứng sự cố, hay bất kỳ thành phần nào khác ở trong một tổ chức bảo mật điển hình.

Sau đó, chúng tôi tìm ra những thành phần tùy chỉnh, cần được trang bị cho từng doanh nghiệp cụ thể theo tình huống đặc thù của họ. Bằng cách đó, chúng tôi không cố gắng áp dụng giải pháp chung cho tất các doanh nghiệp vì điều đó sẽ chỉ làm tăng chi phí. Ví dụ: trong một cơ sở kinh doanh tạp hóa, việc mất một đơn vị hàng hóa ở đó sẽ chỉ gây tổn thất giá trị tương đối nhỏ, trong khi việc mất vệ tinh thì ngược lại.

Clarke Rodgers:
Chắc chắn rồi.

Steve Schmidt:
Do đó, chúng tôi phải điều chỉnh tình huống bảo mật theo các thành phần riêng lẻ.

Clarke Rodgers:
Anh làm cách nào để... Tôi xin được trình bày lại. Anh bố trí các giám đốc bảo mật thông tin điều hành chương trình bảo mật cho từng doanh nghiệp này. Làm cách nào để anh buộc họ chịu trách nhiệm về công việc bảo mật của mình?

Steve Schmidt:
Một trong những điều Amazon chú trọng trên toàn doanh nghiệp là khái niệm người phụ trách đơn nhiệm. Nghĩa là một người chỉ có nhiệm vụ tập trung vào một thành phần nào đó. Trong lĩnh vực bảo mật, có hai lý do chúng tôi bố trí một Giám đốc bảo mật thông tin cho từng doanh nghiệp riêng lẻ.

Thứ nhất là tôi muốn có những người mỗi ngày chỉ tập trung vào một công việc, như Amy Herzog trong mảng thiết bị và dự án Kuiper hay Chris Betz chăm lo cho AWS. Nhưng đồng thời tôi sử dụng các chỉ số đo lường chung trên tất cả các doanh nghiệp này. Ví dụ: tôi xem xét bản đánh giá doanh nghiệp hàng tháng về quản lý lỗ hổng bảo mật cho toàn bộ công ty với các số liệu, phương pháp luận, phương pháp trình bày, v.v. giống nhau.

Vì vậy, chúng tôi có được một góc nhìn chung đồng nhất về tất cả các doanh nghiệp đó. Điều đó cho phép chúng tôi làm hai việc. Một là đảm bảo rằng chúng tôi đang đáp ứng tiêu chuẩn cần thiết, hai là đảm bảo rằng chúng tôi đang áp dụng khả năng hiển thị mà mình muốn ở mọi ngóc ngách của doanh nghiệp. Bởi vì thường khi gặp vấn đề, mọi người sẽ nghĩ rằng: “Đây không phải là điều quan trọng”, “đây chỉ là chuyện nhỏ thôi”, v.v.

Chính đó là nơi kẻ xấu sẽ xâm nhập và tất cả chúng ta đều chịu tổn thất. Vì vậy, bằng cách áp dụng phương pháp giám sát tổng quát với mọi thứ, chúng tôi đảm bảo mình đang làm những việc cần thiết trong mọi bộ phận của công ty.

Clarke Rodgers:
Ngoài ra anh còn có các hệ thống tập trung thuộc phạm vi của bảo mật Amazon hoặc AMSEC mà mọi người đều có thể tận dụng.

Steve Schmidt:
Có rất nhiều thứ mà cơ bản là giống nhau trong tất cả các doanh nghiệp của chúng ta. Đối với cách thu thập một số loại dữ liệu nhất định, cách phân tích hoặc báo cáo về dữ liệu đó, chúng tôi quyết định chuyển chúng vào một địa điểm duy nhất thay vì khiến tất cả các doanh nghiệp riêng lẻ thực hiện cùng một việc lặp đi lặp lại. Điều đó cho phép chúng tôi tiết kiệm thời gian của nhà phát triển.

Quay lại với quản lý lỗ hổng bảo mật, nếu xét về việc vận hành một công cụ thu thập trên quy mô lớn, anh phải có các kỹ sư làm việc theo ca trực. Anh từng vận hành một tổ chức theo ca trực nên chắc hẳn anh biết rằng để bố trí một người túc trực, anh phải có khoảng bảy người để làm công việc này một cách hiệu quả nhằm đề phòng trường hợp họ nghỉ phép và du lịch, cũng như tất cả các trường hợp khác.

Clarke Rodgers:
Chúng ta muốn mọi người được đi du lịch.

Steve Schmidt:
Đúng vậy. Bằng cách lan truyền cách thức này trên nhiều doanh nghiệp khác nhau từ một vị trí, chúng ta có thể hoạt động hiệu quả hơn khi làm việc tập trung vì có công cụ tốt hơn và chi phí thấp hơn.

Clarke Rodgers:
Anh đã phát triển hoặc thực hiện theo các phương pháp nào để báo cáo về tình trạng bảo mật trên tất cả các doanh nghiệp riêng biệt này cho hội đồng quản trị Amazon?

Steve Schmidt:
Trước hết, hội đồng quản trị Amazon thực sự thú vị. Có rất ít hội đồng quản trị có sự nhạy bén về kỹ thuật như Amazon, nhưng cách đây vài năm Amazon cũng đã quyết định thành lập một tiểu ban bảo mật. Không giống như rất nhiều doanh nghiệp khác, trong đó bộ phận bảo mật có thể báo cáo cho ủy ban kiểm tra chẳng hạn, hội đồng quản trị Amazon có một nhóm riêng để chuyên giám sát bảo mật.

Điều đó thật tuyệt và cũng có nghĩa là chúng tôi nhận được rất nhiều sự giám sát kỹ lưỡng trong quá trình này. Do đó, chúng tôi đã phải xây dựng một cơ chế báo cáo thay đổi dần theo thời gian vì hai lý do. Thứ nhất là vì chúng tôi thực hiện công việc báo cáo của mình tốt hơn. Và thứ hai là theo thời gian, hội đồng quản trị thậm chí sẽ nắm bắt được thông tin tốt hơn. Họ sẽ đặt ra những câu hỏi kỹ lưỡng hơn và muốn biết chi tiết cụ thể hơn về các lĩnh vực ngách trong kinh doanh. Thông thường, chúng tôi nhận thấy trong mỗi lần thảo luận rằng việc quan trọng là báo cáo cho họ về các thành phần cụ thể của doanh nghiệp. Chúng tôi có đang đạt tiêu chuẩn bảo mật của mình ở một số mảng nhất định không?

Ngoài ra, họ cũng thực sự quan tâm tới một số vấn đề, cho chúng tôi biết về một phần cụ thể trong doanh nghiệp hoặc yêu cầu thông tin tóm lược vì công việc sắp thực hiện có thể chứa nhiều rủi ro, v.v. Điều này cho phép chúng tôi có một thành phần nhất quán và một thành phần linh hoạt dựa trên mối quan tâm của họ.

Sau đó, chúng tôi quyết định đưa vào cuối bản báo cáo các sự kiện đương thời, trong đó chúng tôi lấy tất cả dữ kiện từ tin tức và chắt lọc những thông tin mà chúng tôi cho rằng sẽ mang lại bài học hoặc điểm trọng tâm cụ thể và trình bày trước hội đồng quản trị như một thành phần cung cấp thông tin sau cùng. Đây là sự việc đã xảy ra trong ngành, đây là lý do chúng ta không bị ảnh hưởng.

Đây là khoản đầu tư đã giúp chúng ta không bị ảnh hưởng. Và tôi nghĩ rằng điều đó có giá trị to lớn đối với hội đồng quản trị. Thứ nhất, họ hiểu rằng tình hình đang ổn định, nhưng thứ hai, điều đó giúp họ đưa ra quyết định đầu tư trong tương lai. Do đó, khi chúng tôi có thể đứng ra và nói rằng chúng ta đã đầu tư vào công nghệ xác thực đa yếu tố từ 8 hay 10 năm trước và điều đó đã ngăn chặn tác nhân đe dọa cụ thể này, vốn đã xâm nhập vào công ty khác, khỏi ảnh hưởng đến chúng ta, họ sẽ trả lời rằng điều đó rất tốt. Hiện giờ, chúng ta nên lên kế hoạch đầu tư vào những gì trong 10 năm tới để tiếp tục ngăn chặn các vấn đề?

Clarke Rodgers:
Phần lớn khách hàng ở vị trí Giám đốc bảo mật thông tin tập trung rất nhiều vào hội đồng quản trị. Một số người trong đó không gặp mặt trực tiếp nhiều như những người khác. Anh đã nói rằng hội đồng quản trị của chúng ta rất đặc biệt vì kiến thức bảo mật của họ. Anh có khuyến nghị nào cho các đồng nghiệp là Giám đốc bảo mật thông tin hoặc Giám đốc bảo mật khi họ báo cáo trước hội đồng quản trị để họ trình bày thật thuyết phục quan điểm của mình bằng ngôn ngữ của hội đồng quản trị, v.v. không?

Steve Schmidt:
Điểm khiến các thành viên hội đồng quản trị thích nhất ở cách làm việc của chúng ta là chúng ta rất cẩn thận để tránh sử dụng biệt ngữ. Nhiều người đảm nhiệm vai trò Giám đốc bảo mật thông tin là dân kỹ thuật và họ muốn báo cáo bằng-

Clarke Rodgers:
Ngôn ngữ kỹ thuật.

Steve Schmidt:
Chính xác, đúng như cách suy nghĩ của họ. Nhưng chúng ta phải nhớ rằng hội đồng quản trị là khách hàng ở đây. Vì vậy, khi trình bày với họ, chúng ta phải nói bằng ngôn ngữ của họ và phải tìm cách giải thích vấn đề trong ngữ cảnh có ý nghĩa đối với hội đồng quản trị đó.

Vậy điều quan trọng nhất là tìm ra một cơ chế báo cáo thống nhất thay vì báo cáo mỗi lần một khác bởi vì điều đó sẽ khiến người nghe sẽ khó hiểu hơn. Thứ hai là tìm ra hai hoặc ba chỉ số thực sự cực kỳ quan trọng mà lần nào anh cũng muốn truyền đạt.

Đừng làm mọi người thấy choáng ngợp trước các chỉ số. Ví dụ: chúng ta luôn báo cáo về quản lý lỗ hổng bảo mật. Đó là biện pháp kiểm soát bảo mật cơ bản quan trọng nhất mà chúng ta vận hành, tương tự như bao người khác, sau đó tìm ra những thông tin bổ sung thú vị ở cuối báo cáo, giúp xây dựng khuyến nghị đầu tư, vì vậy nên hãy tách biệt một cách có chủ ý các thành phần trong quy trình báo cáo.

Clarke Rodgers:
Và nếu đầu tư vào đây, liệu chúng ta có giảm rủi ro không?

Steve Schmidt:
Vâng, đây là sự kết hợp của việc giảm thiểu rủi ro hiện tại và giảm thiểu hướng tới tương lai, trong đó phần hướng tới tương lai có lẽ là phần khó nhất trong công việc của chúng ta với tư cách là chuyên gia bảo mật vì chúng ta không có bằng chứng về sự tồn tại để sử dụng. Rất nhiều người nhìn vào vấn đề này và nói: “Điều đó có thực sự cần thiết không?

Chúng ta có phải làm điều đó ngay bây giờ không? Chúng ta có phải làm trên quy mô lớn như vậy không? Chúng ta có thể thu hẹp quy mô lại được không?” Đó là những lập luận mà tất cả chúng ta đều phải có và theo thời gian, chúng ta cần có khả năng xây dựng cơ sở kiến thức này cho hội đồng quản trị để trình bày rằng: “Đây là những ví dụ về hoạt động khai thác lỗ hổng trong thực tiễn. Chúng tôi nghĩ rằng điều đó sẽ áp dụng với chúng ta trong khoảng thời gian này nên chúng ta cần hành động ngay hoặc trong hai hay ba năm tới”.

Clarke Rodgers:
Tôi hiểu rồi. Tại Amazon, chúng ta được biết đến với sự đổi mới, khả năng làm việc từ vạch đích, lắng nghe khách hàng, v.v. Là một nhà lãnh đạo bảo mật, anh có rất nhiều sự lựa chọn và điều này có thể phụ thuộc vào báo cáo của các Giám đốc bảo mật thông tin, anh có rất nhiều lựa chọn về những công cụ có thể mua so với những công cụ mà anh cần tự xây dựng. Vấn đề mấu chốt thường xuyên là ở quy mô.

Vì vậy, phần mềm thương mại có sẵn có hoặc không thể điều chỉnh quy mô theo quy mô của Amazon và anh cần phải tự xây dựng hệ thống của mình. Trong năm qua, chúng ta đã thảo luận công khai về các công cụ như Madpot, Mithra và Sonaris. Ở cương vị Giám đốc bảo mật, anh trình bày như thế nào để có được số tiền cần thiết cho việc bố trí các tài nguyên kỹ thuật đằng sau những công cụ như vậy và cả những công cụ khác mà chúng ta chưa nhắc đến nữa? Làm cách nào để anh thuyết phục rằng đây là khoản đầu tư xứng đáng và đây là giá trị mà chúng ta sẽ thu hút được từ khoản đầu tư này?

Steve Schmidt:
Được thôi. Trước tiên, hãy phân biệt giữa một công cụ mà chúng ta mua với công cụ chúng ta tự xây dựng. Tôi nghĩ đó là một điểm khởi đầu quan trọng. Chúng tôi sẽ mua công cụ khi đó là một mặt hàng phổ biến. Ví dụ: phản hồi và phát hiện đối với điểm cuối là thứ chúng ta mua thay vì tự xây dựng. Tại sao lại như vậy? Bởi vì máy tính xách tay Mac, Windows hay Linux mà chúng ta sử dụng cũng giống như những máy tính mà rất nhiều người khác sử dụng.

Chúng ta có thể có một số phần mềm khác nhau trên các máy tính này, nhưng điều đó không thực sự làm nên sự khác biệt cho doanh nghiệp của mình. Trong khi đó, chúng ta là những người duy nhất có thể xây dựng một hệ thống có quy mô rất lớn, ví dụ như Madpot. Chúng ta có khuynh hướng đầu tư để xây dựng những gì mà không ai khác có thể xây dựng được.

Quy trình đầu tư này cũng tương tự như cách chúng ta tiến hành rất nhiều công việc khác. Bắt đầu từ tạo nguyên mẫu, sau đó thử nghiệm xem mẫu nào hoạt động tốt. Chắc chắn là anh sẽ không thành công ngay lần đầu. Vì vậy anh phải tiến hành thiết kế lại, thay đổi một chút, v.v. Hiện giờ Madpot đã vô cùng thành công, nhưng công cụ này không xuất hiện ngay sau một đêm. Đó là một khoản đầu tư kéo dài suốt nhiều năm, bắt đầu với việc một kỹ sư nói rằng họ thực sự thích ý tưởng này. Hãy xem liệu ý tưởng đó có thể mang lại điều gì thú vị không.

Sau đó, ý tưởng này biến thành một công cụ cho phép chúng ta thu thập dữ liệu tình báo về mối đe dọa vô cùng kịp thời mà chúng ta có thể trích xuất, xử lý và đưa vào công cụ bảo mật mà tất cả khách hàng đều có quyền truy cập. Và tôi nghĩ đó là phần quan trọng nhất. Ví dụ: rất nhiều khách hàng nói rằng họ muốn có nguồn dữ liệu thô chứa tình báo về mối đe dọa.

Thực sự là không phải vậy. Điều thực sự cần thiết ở đây là dữ liệu có liên quan trong ngữ cảnh vận hành bây giờ. Phần dữ liệu còn lại chỉ như tạp âm và khối lượng dữ liệu đó hiện giờ rất lớn đến nỗi thật vô nghĩa khi cố gắng sử dụng toàn bộ dữ liệu đó, trừ khi họ có một doanh nghiệp giống như của chúng ta.

Do đó, rất nhiều khách hàng phát hiện ra rằng họ thực sự rất muốn sử dụng tình báo về mối đe dọa như một phần trong dịch vụ được quản lý. Điều đó giúp họ không phải dành thời gian sàng lọc các tập dữ liệu cực kỳ lớn hoặc bỏ lỡ bối cảnh bởi vì dữ liệu đó không áp dụng cho nhiều khách hàng.

Và bối cảnh đó rất quan trọng. Khả năng hiển thị tập trung này chính là điều mang lại lợi thế thực sự trong phép so sánh của chúng ta giữa công cụ đi mua và công cụ tự xây dựng tùy chỉnh.

Clarke Rodgers:
Sau đó, tôi đoán rằng bài giới thiệu nội bộ sẽ tập trung vào việc khoản đầu tư giúp chúng ta bảo mật cho AWS/Amazon và mang đến thêm lợi ích cho khách hàng. Tôi nghĩ đây là một chiến thắng.

Steve Schmidt:
Theo cách nói thông thường của Amazon, chúng ta sẽ bắt đầu với khách hàng và nói rằng điều này giúp tất cả khách hàng bảo mật tốt hơn. Đồng thời, khoản đầu tư đó cũng giúp cho doanh nghiệp của chúng ta vì hầu hết doanh nghiệp của chúng ta cũng là khách hàng của Amazon/AWS. Vì vậy, điều đó mang lại lợi tích toàn diện.

Clarke Rodgers:
Thật tuyệt vời. Hãy chuyển chủ đề một chút. Năm vừa qua là năm của AI tạo sinh. Phần lớn khách hàng mà tôi từng nói chuyện đã tập trung vào việc bảo mật cho AI tạo sinh như một công cụ mà doanh nghiệp “đang sử dụng”. Vì vậy, có thể đó là một công cụ của bên thứ ba, có thể họ đang sử dụng Amazon Bedrock. Nhưng hãy nhớ bảo mật công cụ. Anh nhìn thấy điều gì hay chúng tôi đang làm gì bên tại Amazon mà thực sự sử dụng AI tạo sinh như một công cụ bảo mật hoặc như một phần trong chuỗi công cụ bảo mật của anh?

Steve Schmidt:
Tính đến thời điểm này, công dụng hiệu quả nhất của AI tạo sinh mà chúng tôi thấy chính là trong quy trình bảo mật ứng dụng. Như AWS vẫn thường làm, mọi tính năng, ứng dụng, v.v. đều được kiểm tra bảo mật trước khi ra mắt. Trước đây, các doanh nghiệp khác không thể làm điều đó do chi phí đắt đỏ, đặc biệt là khi cần có sự tập trung của hàng ngàn kỹ sư bảo mật để thực hiện.

Trên thực tế, hầu hết các công ty không có số kỹ sư bảo mật chuyên về AppSec như tại Amazon. Do đó, chúng tôi tận dụng AI tạo sinh trong lĩnh vực này. Dù vẫn đang trong giai đoạn nghiên cứu, nhưng nó có tiềm năng vô cùng lớn.

Chúng tôi nghĩ rằng theo thời gian, khối lượng công việc của con người trong lĩnh vực bảo mật ứng dụng có thể sẽ giảm từ 60 đến 70%, có nghĩa là chúng tôi có thể làm việc nhanh hơn với chi phí thấp hơn và độ tính nhất quán cao hơn ở những nơi như AWS, vốn luôn đầu tư vào việc đánh giá mọi thứ và vào các lĩnh vực ẩn giấu cơ hội mà chưa từng được đánh giá trước đây, tức là chúng tôi có thể gia tăng độ phủ sóng. Có thể nói đó là một chiến thắng kép.

Clarke Rodgers:
Anh sẽ có thể tiết kiệm hàng giờ đồng hồ cho lao động con người nhờ AI tạo sinh và dành thời gian đó cho những thách thức an ninh mạng khác.

Steve Schmidt:
Ồ, thực ra thì thời gian đó sẽ dành cho việc xem xét sâu hơn về các dịch vụ mà chúng tôi sử dụng và kiểm tra tổng quát nhiều ứng dụng hơn. Thêm vào đó, AI tạo sinh không phải là toàn bộ giải pháp cho phần lớn trong số các thách thức này. Điều AI làm được là loại bỏ bớt những công việc đơn giản, dễ xử lý và cho phép các kỹ sư của chúng tôi tập trung vào những vấn đề thực sự phức tạp và thú vị mà chỉ con người mới có thể giải quyết được.

Mọi người cho rằng AI tạo sinh có thể giải quyết mọi vấn đề nhưng thực tế thì chưa phải vậy. Nếu có bất kỳ ai nói rằng AI tạo sinh có thể giải quyết mọi vấn đề trong lĩnh vực an ninh thì có lẽ người đó không thực sự hiểu chuyện gì đang diễn ra. Luôn cần có sự giám sát của con người trong lĩnh vực đó, ít nhất là ở hiện tại. Và quan trọng hơn nữa là phải có sự phán đoán của con người về việc liệu AI tạo sinh đã ra quyết định đúng hay chưa.

Clarke Rodgers:
Thật thú vị khi anh đề cập tới việc tiếp tục dùng đến con người. Điều gì tạo nên một nhân viên bảo mật xuất sắc tại Amazon hay AWS?

Steve Schmidt:
Đối với tôi, yếu tố quan trọng nhất mà chúng tôi tìm kiếm ở các nhân viên bảo mật là sự tò mò chứ không phải là sự nhạy bén về kỹ thuật như hầu hết mọi người đều nghĩ.

Clarke Rodgers:
Hãy cho tôi biết thêm.

Steve Schmidt:
Điều này có nghĩa là người đó không chỉ nhìn nhận vấn đề và nói rằng: “Ồ, được rồi, vấn đề ở chỗ này”. Họ hỏi rằng: “Tại sao vấn đề lại xảy ra? Tại sao ban đầu vấn đề lại xảy ra ở đó? Tại sao chúng ta không phát hiện ra sớm hơn? Tại sao người xây dựng có thể thực hiện sai việc này ngay từ đầu?” Chúng tôi quan tâm đến những người liên tục đào sâu vào vấn đề như vậy.

Anh đã rất quen thuộc với COE, quy trình sửa lỗi mà chúng ta sử dụng và nền tảng của quy trình này là gì? Năm câu hỏi “tại sao”. Điều đó cũng giống như việc đào sâu đến gốc rễ của vấn đề, thay vì chỉ giải quyết phần ngọn.

Clarke Rodgers:
Sự tò mò là quan trọng nhất.

Steve Schmidt:
Sự tò mò là quan trọng nhất. Đúng vậy.

Clarke Rodgers:
Nếu anh có thể dự đoán tương lai...

Steve Schmidt:
Ồ.

Clarke Rodgers:
Xin lỗi. Đó là câu hỏi của tôi. Nếu anh có thể đoán trước tương lai, các Giám đốc bảo mật và Giám đốc bảo mật thông tin nên tập trung vào điều gì trong năm tới hoặc xa hơn nữa?

Steve Schmidt:
Tôi nghĩ rằng hầu hết mọi người sẽ phải tập trung vào AI tạo sinh vì các doanh nghiệp đang sử dụng những dịch vụ này với tốc độ đáng kinh ngạc và họ sẽ phải làm hai việc sau đây. Điều thứ nhất đơn giản là hiểu họ đang sử dụng AI tạo sinh ở đâu. Tôi nghĩ rằng Amazon đang ở một vị trí có lợi và chúng ta có khả năng hiển thị tập trung để cho phép quan sát xem tất cả những người xây dựng đang sử dụng AI tạo sinh ở đâu.

Hầu hết các công ty không có lợi thế đó và họ phải tìm hiểu. Thứ hai là anh cần phải tìm hiểu xem với AI tạo sinh, anh đang thực hiện RAG như thế nào và liệu anh có thực thi quá trình ủy quyền và xác thực đúng cách trong quy trình đó hay không. Đó không phải là chuyện tầm thường. Thậm chí lĩnh vực phần mềm cũng chưa hoàn toàn xác định chính xác được điều đó.

Điều vô cùng quan trọng là khả năng sử dụng AI tạo sinh theo cách chỉ trình bày dữ liệu như kết quả của câu lệnh mà một người ở đầu bên kia được ủy quyền truy cập tại thời điểm đó, tại vị trí mà họ đang ngồi và trên thiết bị mà họ đang sử dụng. Hầu hết mọi người thậm chí còn chưa nghĩ về vấn đề đó.

Nhưng trên thực tế, khi xét đến các hệ thống nội bộ tại Amazon hiện nay, khi anh sử dụng laptop, chúng ta đo lường rất nhiều thứ về anh khi anh đang sử dụng hệ thống nội bộ của chúng ta. Theo nghĩa đen tức là máy tính xách tay của anh có ở trạng thái mà chúng ta mong đợi không? Anh đã cài bản vá chưa, v.v.?

Chúng ta đều nhận được các thông báo bật lên để nói rằng anh sẽ bị cách ly nếu anh không cài bản vá. Và anh đang ở đâu trên thế giới? Công việc của anh là gì? Và những điều mà hầu hết mọi người không nhận ra rằng chúng ta xét đến, ví dụ như thời điểm đó là ngày nào trong tuần? Đây có phải là thời điểm mà anh thường truy cập không hay anh đang đến từ một nơi bất thường? Những thứ tương tự như vậy.

Clarke Rodgers:
Điều này có bình thường đối với Clarke không?

Steve Schmidt:
Đúng vậy. Điều này có bình thường đối với Clarke hay một người đang làm công việc của Clarke không? Ở hầu hết mọi nơi, các biện pháp kiểm soát này đơn giản là không tồn tại. Đó là lý do việc triển khai quy tắc bảo vệ là rất quan trọng. Dù có sử dụng hệ thống nào đi nữa thì anh cũng cần áp dụng các quy tắc bảo vệ.

Và những quy tắc bảo vệ đó phải liên tục phát triển khi bối cảnh mối đe dọa xung quanh bạn thay đổi, khi khoa học về AI tạo sinh thay đổi và khi doanh nghiệp xác định ngày một rõ ràng tiêu chuẩn về cách sử dụng được chấp nhận đối với dữ liệu được đưa vào hệ thống AI tạo sinh.

Clarke Rodgers:
Đó là lời khuyên tuyệt vời và rất đúng. Chúng ta sẽ xem liệu dự đoán của anh có trở thành sự thật hay không. Steve, anh là giám đốc bảo mật cho toàn bộ Amazon. Đây hẳn là một công việc rất căng thẳng. Anh làm gì để không chỉ giữ cho bản thân mình tỉnh táo và giải tỏa căng thẳng, bắt kịp nhịp độ của thế giới, mà còn đảm bảo rằng các lãnh đạo của anh cũng làm việc đó và chăm sóc bản thân?

Steve Schmidt:
Đối với tất cả các lãnh đạo, cho dù họ là người mới hay có thâm niên tại công ty, điều đầu tiên mà tôi tập trung vào là làm thế nào để tách mình khỏi công việc? Công việc của chúng tôi cực kỳ căng thẳng. Có những thứ thực sự không bao giờ ngừng nghỉ.

Vì vậy, cần có cách bàn giao trách nhiệm giữa mọi người một cách chính thức và nói rằng: “Được rồi Clark, trong sáu ngày tới anh sẽ đi nghỉ. Tôi không muốn nghe tin từ anh. Tôi không muốn thấy anh lên mạng”. Và các nhân viên của chúng tôi vô cùng tận tâm. Có những lúc mà theo đúng nghĩa đen tôi đã phải đe dọa sẽ tắt máy tính của mọi người theo kiểu: “Nghỉ ngơi đi chứ, đừng gửi email cho tôi nữa.

Tôi đánh giá cao sự cống hiến của bạn, nhưng vấn đề là bạn sẽ kiệt sức”. Đây là những cuộc chạy marathon. Đây không phải là chạy nước rút. Vì vậy việc xây dựng cơ chế đó là cực kỳ quan trọng. Điều thứ hai là làm một việc gì đó có giá trị với cá nhân bạn. Một số người là nhạc sĩ, một số người thích leo núi, một số người thích đi câu cá. Cá nhân tôi là một lính cứu hỏa và nhân viên y tế tình nguyện.

Clarke Rodgers:
Ôi.

Steve Schmidt:
Đối với tôi, đây là công việc hoàn toàn trái ngược với công việc hàng ngày. Bởi vì chúng ta là con người. Chúng ta thích tương tác với mọi người. Ở đây tôi đang nói chuyện trực tiếp với anh. Chúng ta không nói chuyện qua video. Thật tuyệt vời. Nhưng công việc hàng ngày của tôi rất khác ở hai điều.

Thứ nhất là hầu hết những gì tôi làm trong công việc hàng ngày chỉ có hiệu lực trong 3, 5 hay 10 năm sau. Do đó nó không mang lại kết quả ngay lập tức. Thứ hai là công việc của tôi liên quan hoàn toàn tới máy tính, có một chút yếu tố con người và tôi còn không thấy hay tiếp xúc với họ. Vì vậy, ở phần thú vị trong cuộc sống của tôi như nhân viên cứu hỏa, nhân viên y tế, nếu tôi làm tốt công việc cá nhân của mình, tôi có thể giúp ai đó mà tôi có thể tiếp cận và chạm tới, giúp họ có một ngày tốt đẹp hơn. Điều đó mang lại cho tôi phản hồi ngay lập tức mà tôi khao khát với tư cách là một con người. Hơn nữa nó rất thực tế, trái ngược với một cái gì đó hoàn toàn logic.

Clarke Rodgers:
Đó là một loại căng thẳng khác, nhưng có lẽ lành mạnh hơn.

Steve Schmidt:
Thật vậy. Điều trớ trêu là đã có nghiên cứu cho thấy rằng ở những người đã làm việc lâu năm trong dịch vụ cứu hỏa, nhịp tim họ giảm khi còi báo động reo lên vì họ hạnh phúc khi làm công việc của mình và họ tận hưởng điều đó. Thành thật mà nói thì ai lại không thích lái xe tải trên đường với còi và đèn báo động chứ? Rất là vui mà.

Clarke Rodgers:
Thật tuyệt vời. Tôi có thể tưởng tượng ra điều đó thú vị đến thế nào và tôi muốn biết thêm vì ở cương vị Giám đốc bảo mật, anh phải đối mặt với các quyết định, thậm chí là quyết định rất quan trọng mỗi ngày. Anh là một nhân viên y tế hoặc lính cứu hỏa cấp cao hay cấp thấp, nghĩa là có người khác ra quyết định khó khăn còn anh chỉ tập trung vào công việc của mình?

Steve Schmidt:
Thật trớ trêu, thực ra tôi là trợ lý trưởng trong tổ chức, nhưng vị trí đó cần tới kỹ năng lãnh đạo hơn là sự nhạy bén về kỹ thuật ở những mảng khác. Nhưng tôi đã làm công việc này suốt 38 năm.

Clarke Rodgers:
Tuyệt thật.

Steve Schmidt:
Vì vậy, tôi đã tích lũy được đôi chút kinh nghiệm.

Clarke Rodgers:
Tuyệt vời. Steve, cảm ơn anh rất nhiều vì đã tham gia cùng tôi hôm nay.

Steve Schmidt:
Cảm ơn anh. Thật tuyệt khi có mặt ở đây.

Nghe ngay

Nghe ngay

Nghe ngay