Clarke Rodgers:
هذا مثير جدًا للاهتمام. بما أنك أطلقت برنامج الأمان في AWS، فأنت على دراية تامة بجميع تفاصيل AWS، بما في ذلك كيفية حمايتها، ونوع التهديدات المحتملة، ومستوى تقبّل المخاطر، وغيرها من الجوانب ذات الصلة. مع توليك منصب مدير الأمن (CSO)، أصبح من الضروري أن تتعرف على amazon.com – أو كما نسميه داخليًا "المتاجر" – إلى جانب Whole Foods، وPrime Video، وMGM، وTwitch، وغيرها من الأقسام المختلفة.
أولاً، كيف تعرفت بسرعة على ملف التعريف الأمني لكل من هذه الشركات ونوع الرغبة في المخاطرة، ثم كيف جمعت كل ذلك معًا؟ لذا فإن المصطلح الشائع، لوح الزجاج الوحيد الذي شعرت بالراحة فيه لأن ملف تعريف المخاطر الخاص بـ Whole Foods مناسب، واللوح الخاص بـ AWS مناسب أيضًا لـ AWS، كيف اكتشفت كل ذلك نوعًا ما؟
Steve Schmidt:
حسنًا، أولاً وقبل كل شيء، أحد الأشياء التي أحبها في وظيفتي هو تنوع الأعمال. كثيرًا ما يقول الناس أنك كنت في منصبك لمدة 16 عامًا. هذا أمر غير معتاد حقًا بالنسبة لشخص ما في صناعة الأمن. لماذا هذا؟ هذا بسبب تنوع العمل الذي تقوم به هذه الشركة. إنها فرصة لمواصلة التعلم، وأنا أحبها.
أنا لست بهذه السن. يقول الناس، إلى متى ستستمر في العمل؟ هل ستتقاعد، أيا كان؟ وأنا مثل، حسنا، أنا أستمتع بنفسي. لا، لا أريد ذلك. هذا حقًا ممتع للغاية. ويرجع ذلك إلى أنك تنتقل من بناء أكبر مزود سحابي في العالم إلى وضع الأقمار الصناعية في الفضاء وإدارة متاجر البقالة والتنوع هناك مجرد تحد مذهل من منظور الأعمال، ولكنه أيضًا فرصة مثيرة للاهتمام للاستفادة من حجم الشركة لجعل الأشياء أقل تكلفة للتشغيل.
عندما تنظر إلى مؤسسات الأمان العاملة، فهي ليست رخيصة. ولكن عندما يمكنك توسيع نطاقها عبر شركة كبيرة مثل Amazon، فهذا يعني أنه يمكن خفض تكلفة الوحدة.
Clarke Rodgers:
بالتأكيد.
Steve Schmidt:
لذلك تستفيد كل شركة من حجم الأعمال الأخرى. وبالتالي فإن إيجاد طرق يمكن لمحل البقالة من خلالها الاستفادة من نفس الأمان الذي توفره الأعمال التجارية عبر الأقمار الصناعية، وهو ما يمكن القيام به في العديد من المجالات، على سبيل المثال، إدارة الثغرات الأمنية، سواء تم تصحيحك على نظام كمبيوتر، لا يختلف جوهريًا حقًا عندما تقوم ببناء الأقمار الصناعية مقابل تشغيل محل بقالة.
وهذا يسمح لنا بالقيام بأشياء على مستوى لا تستطيع الشركة المستقلة حقًا تحمله ورفع المستوى للجميع. وهذا جزء من وظيفتي هنا هي التأكد من أن لدينا معيارًا موحدًا في جميع أنحاء الشركة، سواء كان ذلك لإدارة الثغرات الأمنية أو الاستجابة للحوادث أو أي من المكونات الأخرى التي تدخل في مؤسسة أمنية نموذجية.
ثم اكتشف ما هي المكونات المخصصة التي يجب وضعها لشركات معينة بسبب أوضاعها الفريدة. بهذه الطريقة لا نحاول تطبيق نوع الحجم الواحد الذي يناسب الجميع لأن ذلك من شأنه أن يرفع التكاليف إلى أقصى حد. إذا نظرت إلى محل بقالة على سبيل المثال، فإن فقدان وحدة هناك له قيمة منخفضة نسبيًا، في حين أن فقدان القمر الصناعي هو عكس ذلك.
Clarke Rodgers:
بالتأكيد.
Steve Schmidt:
ولذا يتعين علينا تكييف الوضع الأمني للمكونات الفردية.
Clarke Rodgers:
كيف يمكنك الاحتفاظ بـ... سأتراجع. لديك كبار ضباط أمن المعلومات الذين يديرون برامج الأمان لكل من هذه الشركات الأخرى. كيف يمكنك تحميلهم المسؤولية عن إدارة أعمالهم الأمنية؟
Steve Schmidt:
لذا فإن أحد الأشياء التي تركز عليها Amazon كثيرًا في جميع أنحاء الشركة هو فكرة مالك واحد مترابط. إذن شخص وظيفته مجرد التركيز على مكون واحد من شيء ما. وفي مجال الأمن، لهذا السبب لدينا مدير أمن المعلومات (CISO) لكل شركة على حدة لسببين.
الأول هو أنني أريد شخصًا يركز كل يوم فقط على ذلك، سواء كانت Amy Herzog التي تعمل في الأجهزة وفضاء Kuiper، أو ما إذا كان Chris Betz هو الذي يعتني بـ AWS. ولكن في نفس الوقت أستخدم قياسات مشتركة في كل هذه الأشياء. على سبيل المثال، ألقي نظرة على مراجعة الأعمال الشهرية لإدارة الثغرات الأمنية، والتي تشمل الشركة بأكملها وتستخدم نفس الأرقام، ونفس المنهجيات، وأساليب العرض نفسها، وما إلى ذلك.
لذلك نحصل على وجهة نظر مشتركة متسقة عبر كل واحدة من هذه الشركات. ويتيح لنا القيام بشيئين. الأول هو التأكد من أننا نلبي المعايير التي نطلبها، والثاني هو التأكد من أننا نطبق الرؤية التي نريدها في كل ركن من أركان العمل. لأنه في كثير من الأحيان عندما يواجه الناس مشاكل هو أنهم يفكرون، أوه، هذا ليس شيئًا مهمًا، هذه قطعة صغيرة، وما إلى ذلك.
وهذا هو المكان الذي يدخل فيه الرجل السيئ ونتعرض جميعًا للعض. لذلك من خلال إعطاء هذا النوع من الإشراف البالغ 10000 قدم على كل شيء، نتأكد من أننا نقوم بالأشياء التي نحتاج إليها في كل جزء من أجزاء الشركة.
Clarke Rodgers:
ثم لديك أنظمة مركزية تحت مظلة الأمن في Amazon أو AMSEC يمكن للجميع الاستفادة منها.
Steve Schmidt:
لذلك هناك الكثير من الأشياء التي تتشابه بشكل أساسي في جميع أعمالنا. الطريقة التي تجمع بها أنواعًا معينة من البيانات، والطريقة التي تقوم بها بتحليل تلك البيانات أو الإبلاغ عنها، وبدلاً من جعل كل شركة فردية تفعل الشيء نفسه مرارًا وتكرارًا، قررنا نقلها إلى مكان واحد. يتيح لنا ذلك التوفير في أشياء مثل وقت المطور.
لذلك إذا فكرت في تشغيل نطاق واسع، فسنعود إلى إدارة الثغرات الأمنية، ومحرك التجميع لذلك يجب أن يكون لديك مهندسين تحت الطلب. إذا سبق لك أن قمت بإدارة منظمة تحت الطلب، وهو ما لديك، فقد اكتشفت أن لديك شخصًا واحدًا تحت الطلب، ويجب أن يكون لديك ما يقرب من سبعة أشخاص من أجل القيام بذلك بشكل فعال لاستيعاب الإجازات والعطلات وكل شيء آخر.
Clarke Rodgers:
نريد أن يأخذ الموظفون إجازات.
Steve Schmidt:
هذا صحيح. وبالتالي من خلال نشر ذلك عبر مجموعة من الشركات المختلفة من مكان واحد، فهذا يعني أننا نقوم بذلك بشكل أكثر فعالية لأننا نحصل على أدوات أفضل مركزيًا وبتكلفة أقل.
Clarke Rodgers:
ما الممارسات التي طورتها أو اتبعتها للإبلاغ عن حالة الأمان في جميع هذه الشركات المتباينة إلى مجلس إدارة Amazon؟
Steve Schmidt:
قبل كل شيء، لوحة Amazon مثيرة للاهتمام حقًا. هناك عدد قليل جدًا من المجالس التي تتمتع بالفطنة الفنية بين السكان مثل مجلس إدارة Amazon، ولكن أيضًا اختارت Amazon منذ عدة سنوات إنشاء لجنة فرعية للأمن. لذلك على عكس الكثير من الأماكن التي قد يقدم فيها الأمن تقارير إلى لجنة التدقيق، على سبيل المثال، هناك مجموعة مخصصة من الأشخاص الذين تتمثل مهمتهم فقط في النظر إلى الأمن على لوحة Amazon.
هذا رائع ويعني أيضًا أن هناك الكثير من التدقيق علينا في هذه العملية. لذلك كان علينا بناء آلية إعداد التقارير التي تتطور بمرور الوقت لسببين. الأول هو أننا نتحسن في أداء مهمتنا في إعداد التقارير. والثاني هو أن مجلس الإدارة يصبح أكثر إطلاعًا بمرور الوقت. يطرحون المزيد من الأسئلة الدقيقة ويريدون معرفة المزيد من التفاصيل المحددة حول المنافذ في الأعمال التجارية. نجد عمومًا أنه من المهم إبلاغهم بمكونات محددة من النشاط التجاري في كل مرة نتحدث فيها. هل نلبي معيار الأمان الخاص بنا في أماكن معينة؟
كما أنهم يبدون اهتمامًا كبيرًا ببعض الجوانب، ويطلبون منا أحيانًا تحليل جزء معين من العمل أو نشاط جديد نعتقد أنه محفوف بالمخاطر، ويطلبون تقريرًا مفصلًا عنه. وهذا يسمح لنا بالحصول على مكون ثابت، مكون متغير يعتمد على اهتماماتهم.
ثم نقرر أن نضع شيئًا يسمى الأحداث الجارية في النهاية حيث نأخذ كل الأشياء التي شاهدتها في الأخبار، ونختصرها في الأشياء التي نعتقد أنها تحتوي على دروس أو نقاط معينة بالنسبة لنا ونقدمها إلى مجلس الإدارة كمكون إعلامي في النهاية. هذا شيء حدث في الصناعة، وهذا هو سبب عدم تأثرنا.
هذا هو الاستثمار الذي أدى إلى عدم تأثرنا. وأعتقد أن هذا له قيمة هائلة لمجلس الإدارة. أولاً، إنهم يفهمون أننا في مكان جيد، ولكن ثانيًا، يساعد ذلك في اتخاذ قرارات استثمارية مستنيرة في المستقبل. وبالتالي، حين نُبرز أننا استثمرنا في المصادقة متعددة العوامل قبل ثماني أو عشر سنوات، وأن هذا القرار منع جهة تهديد اخترقت شركة كبيرة أخرى من الوصول إلينا، فإن ردهم يكون: هذا رائع. ما هي الاستثمارات الأخرى التي يجب أن نخطط لها الآن والتي ستساعدنا في غضون 10 سنوات على الاستمرار في تجنب المشاكل؟
Clarke Rodgers:
يولي العديد من مسؤولي أمن المعلومات (CISOs) من عملائنا اهتمامًا كبيرًا بالتواصل مع مجلس الإدارة. البعض منهم لا يحصل على نفس القدر من FaceTime مثل الآخرين. وقد ذكرت بالفعل أن مجلس إدارتنا فريد من نوعه بسبب ذكائه الأمني. ما النصائح التي تقدمها لزملائك من مسؤولي أمن المعلومات (CISO) أو مديرو الأمن (CSO) الذين يتعاملون مع مجالس الإدارة، كي يتمكنوا من إيصال رسائلهم بوضوح والتحدث بلغة يفهمها المجلس؟
Steve Schmidt:
أكثر تعليق إيجابي سمعته من أعضاء مجلس الإدارة عن أسلوب عملنا هو أننا نتجنب استخدام المصطلحات التقنية المعقدة بعناية كبيرة. العديد من مسؤولي أمن المعلومات (CISOs) يتمتعون بخلفية تقنية، وغالبًا ما يميلون إلى إعداد تقارير بأسلوب تقني قد لا يتماشى مع–
Clarke Rodgers:
البتات والبايتات.
Steve Schmidt:
بالضبط، تعكس الطريقة التي يفكرون بها في الأمر. لكن علينا أن نتذكر أن المجلس هو العميل هنا. لذلك عندما نقدم لهم، علينا أن نتحدث لغتهم وعلينا أن نجد طرقًا لشرح الأشياء في سياق يكون منطقيًا لتلك اللوحة المعينة.
لذا فإن رقم واحد هو العثور على آلية إبلاغ متسقة بدلاً من تغيرها في كل مرة لأن ذلك يجعل من الصعب على شخص ما أن يتلمسها بشكل أساسي. السبب الثاني هو معرفة ما هي المقاييس أو الثلاثة المهمة جدًا التي تريد الوصول إليها هناك في كل مرة.
لا تغرق الناس في المقاييس. على سبيل المثال، نقوم دائمًا بالإبلاغ دائمًا عن إدارة الثغرات الأمنية. إنه عنصر التحكم الأمني الأساسي الوحيد الأكثر أهمية الذي نقوم بتشغيله وأعتقد أن أي شخص يعمل ثم يكتشف ما هي تلك الأشياء التي تعتبر إضافات مثيرة للاهتمام في النهاية، والتي تساعدك على تطوير ما يجب أن نستثمر فيه، لذا قم بإجراء هذا الفصل المتعمد بين مكونات عملية إعداد التقارير.
Clarke Rodgers:
وهل الاستثمار هنا يقلل المخاطر؟
Steve Schmidt:
نعم، إنه مزيج من كل من الحد من المخاطر الحالية والحد التطلعي، وربما يكون التطلع إلى المستقبل هو في الواقع أصعب جزء من عملنا كمحترفين في مجال الأمن لأننا لا نملك دليلًا على الوجود لاستخدامه. وينظر إليها الكثير من الناس ويقولون، هل هذا ضروري حقًا؟
هل علينا أن نفعل ذلك الآن؟ هل علينا أن نفعل ذلك بهذا الحجم؟ هل يمكننا أن نصبح أصغر؟ هذه هي النقاشات التي يجب أن نخوضها جميعًا، وعلينا أن نعمل على تعزيز وعي مجلس الإدارة تدريجيًا، من خلال عرض أمثلة حقيقية لاستغلالات مشابهة لما نواجهه، مع توضيح توقعاتنا بشأن توقيت تأثيرها علينا، وبالتالي تحديد ما إذا كنا بحاجة للتحرك فورًا أو خلال عامين أو ثلاثة.
Clarke Rodgers:
فهمت. لذلك نحن في Amazon معروفون بابتكاراتنا، والعمل بشكل عكسي، والاستماع إلى عملائنا، وما إلى ذلك. بصفتك قائدًا أمنيًا، لديك الكثير من الخيارات، وقد يعود ذلك إلى تقارير مديري أمن المعلومات (CISOs)، لديك الكثير من الخيارات حول الأدوات التي تشتريها مقابل الأدوات التي تحتاج إلى بنائها. في كثير من الأحيان ينخفض ذلك إلى الحجم.
لذا فإن البرنامج التجاري الجاهز قد يتسع أو لا يتناسب مع حجم Amazon وتحتاج إلى بناء شيء بنفسك. خلال العام الماضي تحدثنا علنًا عن أدوات مثل Madpot وMithra وSonaris. كمسؤول أول عن الأمن (CSO)، كيف تقنع الإدارة بتوفير الميزانية المطلوبة لتخصيص موارد هندسية لأدوات مثل هذه، وغيرها من الأدوات التي لم نناقشها، وكيف تبرر أن هذه الأدوات تستحق الاستثمار وتوضح الفائدة المرجوة منها؟
Steve Schmidt:
بالتأكيد. لذلك دعونا أولاً نفرق بين الأداة المشتراة مقابل الشيء الذي نبنيه. أعتقد أن هذه نقطة انطلاق مهمة. سنشتري الأدوات عندما تكون سلعة. على سبيل المثال، استجابة اكتشاف نقطة النهاية، نشتري ذلك بدلاً من بنائه بأنفسنا. لماذا؟ لأن أجهزة اللابتوب التي تعمل بنظام Mac، أو Windows، أو Linux التي نستخدمها هي نفسها التي يستخدمها الكثير من الأشخاص الآخرين أيضًا.
قد يكون لدينا القليل من البرامج المختلفة عليها، لكنها لا تميز أعمالنا حقًا. في حين أننا الوحيدون الذين يمكنهم بناء نظام واسع النطاق مثل Madpot على سبيل المثال. حيث يمكننا بناء شيء لا يستطيع أي شخص آخر القيام به هو المكان الذي نميل فيه إلى الاستثمار.
الطريقة التي نقوم بها بعملية الاستثمار هذه هي تمامًا كما نفعل الكثير من الأشياء الأخرى. يمكنك وضع نموذج أولي له، وتجربته، وترى ما يصلح. أنت تضمن أنك لن تحصل عليه بشكل صحيح في المرة الأولى. لذلك عليك الذهاب وإعادة هندسة شيء ما، وتغييره قليلاً، وما إلى ذلك. لقد حقق Madpot الآن نجاحًا لا يصدق ولكنه لم يظهر بين عشية وضحاها. إنه استثمار لسنوات عديدة بدأ بمهندس واحد قال: أحب هذه الفكرة. دعنا نذهب لنرى ما إذا كان يمكن الحصول على أي شيء مثير للاهتمام.
ثم تم تحويله إلى هذا المحرك الذي يسمح لنا بالحصول على بيانات استخبارات التهديدات في الوقت المناسب حقًا والتي يمكننا إخراجها منها ويمكننا معالجتها ويمكننا إدخالها في أدوات الأمان التي يمكن لجميع عملائنا الوصول إليها. وأعتقد أن هذا هو الجزء الأكثر أهمية. على سبيل المثال، كثير من عملائنا يبدون رغبة في الحصول على تدفقات أولية لمعلومات التهديدات بدون معالجة.
ومثل، حسنًا في الواقع لا، لا تفعل ذلك. ما تريده حقًا هو الأشياء ذات الصلة بك في السياق الذي تعمل فيه الآن. أما الجزء المتبقي فيُعد تشويشًا، وحجمه الهائل حاليًا يجعل من غير المجدي تحليله بالكامل، ما لم تكن تدير عملًا يشبه عملنا.
وهكذا وجد الكثير من عملائنا أنهم يحبون حقًا أخذ أشياء مثل معلومات التهديدات واستهلاكها كجزء من خدمة مُدارة. وهذا يسمح لهم بعدم قضاء وقتهم في التخلص من أكوام كبيرة جدًا من البيانات أو السياق المفقود لأنه لم يتم تطبيقه عبر العديد من العملاء.
وهذا السياق مهم. هذا هو المكان الذي تجلب فيه الرؤية المركزية التي يجب أن نعود بها فقط إلى الجزء الأصلي حول السلع مقابل الإنشاءات المخصصة، ميزة حقًا.
Clarke Rodgers:
ثم أعتقد أن العرض الداخلي، لعدم وجود كلمة أفضل، هو أن هذا يساعدنا على تأمين AWS وخفض Amazon وإضافة فائدة لعملائنا. لذا أعني أنه فوز.
Steve Schmidt:
وفي لغة Amazon النموذجية، ستبدأ مع العملاء أولاً وتقول، إن هذا يساعد جميع عملائنا على تأمين أنفسهم بشكل أفضل. وفي الوقت نفسه، يساعدنا ذلك في أعمالنا لأن معظم أعمالنا من عملاء Amazon AWS على أي حال. لذلك فهو مفيد في جميع المجالات.