调整安全措施以适应新的威胁形势

Sara Duffer：
我打算直接进入主题。你们俩分别负责 Amazon 和 AWS 的安全。能否介绍一下用于保持一致的机制？

Steve Schmidt：
当然可以！我认为，我们必须首先认识到，所有的企业都不尽相同，这对在座的各位轻而易举。但是，当经营一家像 Amazon 这样的大型企业时，公司内部业务运营的差异有时会令人吃惊。我们有些组织极其厌恶风险，有些组织则更愿意在某些情况下挑战极限。这在很大程度上取决于他们所从事的业务、所处理的数据等。我们发现，有必要在整个公司范围内制定一套通用的衡量标准，以便从安全角度对员工的工作情况进行基准检查。然后，针对每个组织的具体业务或量身定制的报告，说明他们所面临的风险，以及他们在管理客户委托的数据、他们所拥有的信息等方面希望采取的措施。

不过，通用报告至关重要，可以让我们保持统一的视角。这样，当我们与任何人交流时，上至公司首席执行官 Andy Jassy，下至普通员工，都能使用共同的语言。我们可以迅速了解组织的某个部门与其他部门相比的表现，最重要的是，它能指出我们在哪些地方没有按照我们需要的方式来检查问题，因为我们已经了解到组织的某个部门与其他部门相比有一系列特定的改进机会。面对现实吧，我们公司的所有领导者都具有竞争力。因此，当使用通用报告将他们与同行进行对比时，就会激发我们真正感兴趣的行为。这让大家可以专注于正确的方向。

Chris Betz：
虽然我不太想这样说，但我们使用 AWS 时确实是厌恶风险。实际上，我们是在业务特定指标上花费大量时间的组织之一。即使是在 AWS 内部，我也发现这些相同的方法往往对我们有效，竞争的本质和跨组织利用竞争的优势极为强大。要与业务紧密结合，要了解 AWS 对风险的容忍度与其他地方可能不同。要了解我们关心什么，确保这些业务指标与业务紧密结合，成为业务审查流程的一部分。

Sara Duffer：
Steve，您刚提到与首席执行官 Andy Jassy 的交流。您如何与首席执行官和董事会沟通安全更新？

Steve Schmidt：
与首席执行官沟通，从我的角度来看，应该是与多位首席执行官沟通，因为 Amazon 有诸多首席执行官，这根据组织的运营方式量身定制。例如，Chris 与 AWS 的首席执行官每周举行一次会议，因为那里的安全节奏往往非常快。我们必须对威胁做出快速反应，必须了解周围环境的变化。我们必须能够根据周围世界的运行方式适当调整我们的应对措施。我们还与 Doug Herrington 合作，他是门店业务的首席执行官，但我们更关注他的业务，无论是一个月一次的审查还是类似事情，他的轮换间隔往往略有不同。

Andy Jassy 选择每季度参加一次特定的安全审查会议。因此，我们每季度都会向他提交一套跨时间段的通用指标和报告，这些指标和报告在不同时期都保持一致，但我们的报告也会有一部分总是在变化。我们称其为时事，就这一部分，我们重点关注我们所处环境中对我们最重要的变化。与中国人相比，俄罗斯人目前如何看待这些事情？ 他们如何应对公司？ 人们正在使用哪些新方法以制造问题，我们如何应对或如何做好准备？

您刚也提到董事会。我们的董事会比较独特。许多董事会都会选择将安全组织的监督工作交给审计委员会或风险委员会（通常是金融机构）。Amazon 选择成立专门的安全小组委员会，因此我们董事会有三名成员专门负责安全事务。我们定期与他们会面。他们每季度都会收到一份关于 Amazon 情况的报告，并对我们的所有业务进行审查。董事会成员告诉我们，他们希望一次只关注几项业务，所以他们会进行选择。这有点像转动表盘，决定下一次选择哪项业务。

同样，我们也在底部设置时事部分，因为这也是我们的共同利益所在，即我们目前在何处，我们要去往何处，我们周围发生哪些变化，我们需要如何发展。我认为，从世界发生变化到董事会了解我们如何应对这种变化的时间非常短，这对我们确保为客户持续提供正确保护的能力非常重要。

Sara Duffer：
Chris，还有哪些要补充？

Chris Betz：
还有三个想法。首先，无论是与 Andy 和多位首席执行官的对话，还是 AWS 内部的对话，我很欣赏的一点是，我们不会孤立地进行这些对话。这不仅仅是与首席执行官的小范围对话。而是与首席执行官及其领导团队进行的对话，因为任何事情都不会孤立发生。因此，确保业务部门参与对话，确保我们在这些对话之前和对话过程中与业务部门深入接触，这一点至关重要。其次，和 Amazon 董事会一样，我们也有 AWS 董事会。作为一种机制，我们可以每季度深入探讨安全和与风险相关的主题，以便能够继续进行这些对话，并确保我们将正确的治理落实到位。

第三个想法是，我见过很多不同的董事会，我接触过的每个董事会都非常不同。我认为，这很大程度由人的方面、个性所决定，还有一部分由企业的性质所决定。我认为，作为首席信息安全官或技术领导者参与董事会的其中一件事就是，了解董事会在其他领域如何运作，这一点很重要。企业如何看待自己和谈论自己？ 应该使用怎样的语言？ 背景是什么，因为孤立地谈论安全无济于事。与业务相关的安全才最为重要。第三，确保了解受众。董事会中，能人异士各有不用。必须能够与所有这些人进行交流。

无论我们是参与安全对话的技术领导者，还是首席信息安全官，都要确保我们了解受众、董事会的性质、企业如何看待自己以及安全和技术如何融入其中，这才是成功对话的关键。

Steve Schmidt：
我想对 Chris 刚才的发言进行补充。我们发现，新任领导者在与公司最高管理层或高级领导层（如董事会）交谈时，最大的错误就是过度关注技术问题，尤其是在安全领域。这对您向客户（即董事会成员）传达观点的能力是致命杀手。正如 Chris 所说，我们需要基于业务背景发言。这是 CVSS 得分为 9.86 的关键漏洞，但没有关系，或者说这并不重要。这是对手获取此类信息的机会，而这些信息属于我们的客户，有这样的结果，而且有合理的可能性在未来 60 天内发生。董事会成员可以亲自实践，而不是认为“这是件可怕的事情”。 我认为情景化非常重要。

Sara Duffer：
你们俩都经常与客户交流。客户当前面临的安全挑战或问题是什么？ AWS 在这一领域如何帮助我们的客户？

Steve Schmidt：
第一位肯定是人工智能。当然，很多人真正感兴趣的是如何安全地使用人工智能？ 如何负责任地使用人工智能？ 如何获取信息，并确保在需要时正确访问数据，在不需要时阻止访问？ 在与客户交流时，我首先会询问：“贵公司有多少应用程序正在使用生成式人工智能？ 您是否清楚？ 您是否会定期计算？” 大多数人会回答：“我们上个月或上一季度或其他任何时候进行过计算。“您猜怎么着？ 开发人员的动作要比这快得多。我们必须在公司内部构建流程，以便开发人员每次从公司笔记本电脑或我们在公司拥有的生产资产中调用生成式人工智能引擎时，我们都能发现。

这样，我们就能获得可见性，并将其反馈给应用程序安全团队，以帮助他们了解特定服务的情况。不久前，当我们第一次进行统计，并开始计算时，我们向 Andy 汇报：“整个公司目前有一千多款生成式人工智能应用程序正在运行或开发中。” 我们一脸震惊：“什么？ 是在开玩笑吗？” 但并不是。顺便说一句，它正在以极快的速度增长，这很好，因为这意味着我们的开发人员真的在向前买进，但这也意味着我们的团队必须紧锣密鼓地跟上这些人的步伐，以确保他们以合理、适当等方式行事。但这一切都源于可见性，源于在底部构建可见性引擎。

Chris Betz：
我认为，在大家考虑如何既安全又经济高效时，最终会讨论的另一个问题是，AWS 中已经存在哪些功能？ 大家不向将时间和精力投入到解决方案已经存在或事情已经发生的地方。我们经常讨论的问题之一就是架构和控制，确保大家有良好的架构，研究如何大规模实施简单易行的控制。我认为这已经成为我们内部经常讨论的话题之一，即我们如何确保为这些客户提供大规模的简单安全服务。威胁情报是另一话题，我们最近也经常讨论这一问题。不同公司、不同云提供商对待威胁情报的方式各不相同。

我们的方法是让威胁情报成为系统运行的无缝组成部分。实际上，我们已耗费很长时间讨论这一问题，因为我们过去不需要讨论此问题，但是让客户了解会发生什么至关重要。我们的一系列威胁情报提供商、蜜罐和传感器，每天都在收集数据，仅蜜罐而言，每天就有超过 1 亿次互动。这些技术、数据与来自 Sonaris 等系统的其他传感器数据相结合，使我们能够采取行动。客户甚至无意识就已采取这类行动。

一旦识别出恶意地址，我们就能抵御不同的攻击。这些流量甚至不会影响您的系统。例如，过去一年里，我们已拒绝超过 240 亿次枚举 S3 存储桶的尝试，拒绝超过 2.6 万亿次发现 EC2 中易受攻击服务的尝试。如果我们无法自动提供这种服务，如果我们不具备这种保真度，我们可以将其直接导入 GuardDuty 等工具。我与安全人员的对话是，他们如何利用已内置的技术，包括无缝部分和我们为安全团队操作提供额外信息的部分？

Steve Schmidt：
有一些非常有趣的数据，我认为可以进一步证实您关于威胁情报的观点。威胁情报极其脆弱。大多数人没有意识到，根据我们在互联网上看到的情况，互联网上约 23% 的 IP 空间在三分钟内就会翻转。也就是说，如果威胁情报是一周前、一个月前或其他时候，那就已经过时了。还有一些内容提及行动的即时性，即一旦获得威胁情报信息，就要立即采取行动。如果我们将蜜罐暴露于互联网上，对手只需不到 90 秒就能发现，而试图利用蜜罐的时间也不到三分钟。这种情况下，如果开发人员表示：“我只需将该存储桶向互联网开放即可。没人知道它在那里。” 三分钟时间，就会出现真正的问题。因此，要通过强大的情报来源了解情况，并能迅速采取行动。更重要的是，无需人机闭环即可采取行动。确保自动化可实现这一目标。

Chris Betz：
说得好。

Sara Duffer：
我将转到我非常关心的话题，那就是在法规、标准认证等不断发展的世界中，事实证明，能够保持合规性、合规性的演变是一项挑战。Chris，能否介绍一下 AWS 如何看待大规模合规性？

Chris Betz：
我们经常交流这一问题。

Sara Duffer：
没错，我们确实如此。

Chris Betz：
首先，在大规模合规性方面，我认为非常强大的一点是，可以从安全的基础开始。从安全设计的角度考虑安全问题，确保将安全融入开发流程，以便在思考法规或合规性之前奠定良好的基础。如果我们出色完成事情，合规性就是安全工作有意产生的副作用。说实话，大多数监管机构也希望如此。

他们合规的原因是确保您的安全。因此，设计以安全为重点的安全计划，并有意识地演示、证明合规性，这一点非常重要。第三点，仅将合规性设计为安全流程的一部分远远不够，还需要能够演示和展示合规性。因此，能够汇总这些数据，使其可见，便于其他人理解，这一点非常重要。这其中也涉及工程学。我想说，这是一项值得的投资，但您研究这方面的时间比我长，我对您的观点也很好奇。

Sara Duffer：
我从客户处了解到很多，主要是关于负责任的人工智能计划以及如何快速将其付诸实施。这确实是一场关于合规性的对话，因为它的发展非常迅速，能够从合规性的概念中转移出来。合规性的概念在很大程度上是时间点，非常二元化，非常注重我们是否遵守规则和法规，例如《欧盟人工智能法案》。我们能够将该计划迅速发展为更具保障性的思维模式，而保障性能够为质量、可靠性和合规性的有效性提供一定程度的信心，我们能够说明这一点。我们如何才能做到这一点？

很多时候，这通常会通过技术标准加以实现。ISO 42001 等标准使组织能够向终端客户说明，他们在运营、部署和开发过程中，都在使用负责任的人工智能实践，然后从治理的角度对所有这些进行总结。如何确保组织正在完成您实际期望的事情，以及如何向高层领导和董事会报告您在负责任的人工智能方面所做的工作。最重要的是，在完成这些事情时，既要满足构建者的需求，又不能放慢创新的步伐。这样就能在满足高要求的同时快速完成任务。

Sara Duffer：
换个话题，Steve，现在请您发言。很多时候，当我们谈论安全问题时，我们经常会提及新技术以及我们面前不断发展的世界。但归根结底，威胁行为者就是威胁行为者，也是人。我想要了解您如何看待与网络安全相关的个人层面。

Steve Schmidt：
当然。突发新闻、计算机安全、信息安全、网络安全，无论如何称呼，这都不是技术问题。这是人的问题。很久以前，当我在联邦调查局（FBI）从事反间谍工作时，我学到的一件事是，追捕间谍是我们的工作，这很有趣，但间谍的存在是有原因的。他们存在某种动机。间谍活动中，传统的动机是金钱、意识形态、胁迫或自我。网络安全领域也是如此。人们对金钱感兴趣。这就是勒索软件行为者。意识形态。收集情报或准备战场的是传统的民族国家行为者。影响，在这一领域是个新词，是让民众以特定的方式思考，改变他们的观点，导致世界发生一些事情。或者说是自我。这就是脚本 Kitty，极其想成为最大、最坏的黑客，并作为其中一员发起 DDoS 攻击。

我们为什么要了解这些人这样做的原因或动机？ 因为这有助于我们了解他们使用的工具种类和能力类型，他们可能会在哪些方面对我们下手，以及他们对风险或暴露的承受能力。比如，如果他们被抓，联邦调查局接手调查，这是不是一件大事，或者这是不是一件不重要的事，因为他们目前正坐在白俄罗斯的地下室里，或者类似的地方？ 这就是我们必须考虑的问题，以了解作为防御者我们应该做些什么，以及我们如何构建系统以帮助防止这些人获得访问权限。

有趣的是，我们自己的员工也需要使用同样的思维模式。我们的员工普遍都是出于好意。他们想做正确的事，想提供帮助，诸如此类。但面对现实吧，他们也是人。有时他们会遇到金钱方面的麻烦。有时他们不喜欢事情的发展方向。有时他们只是过得很糟糕。因此作为防御者，我们需要做好准备，了解他们在做什么，为什么这么做，以及如何确保他们不做不该做的事。

但是，对于网络安全和公司内部人员，真正重要的组成部分是公司的文化。公司的安全文化是决定成败的因素。我们都看到过当您的安全文化不健全时公共新闻中会发生什么。您最终会看到，民族国家行为者反复闯入一个组织，利用他们谋取自己的利益。为什么？ 因为公司的员工没有通过正确的事物来衡量或激励。

他们的动机不是保护数据或信息。他们的目标是其他事物。建立自己的企业文化，即作为个人，作为公司的开发人员，最重要的事情是：第一，保证自己的人身安全；第二，保护客户的数据。因为这能让他们在每天思考问题时做出正确的决定。“我应该向左？ 我应该向右？ 我应该做这件事？ 我应该做另一件事？ 我应该寻求帮助？因为我真的不知道。 我要去咨询这一领域的专家。”

我认为，确保建立正确的企业文化的好处在于，可以降低成本，因为不必去收拾因急于实现利润目标、利润率目标或交付目标而造成的烂摊子，而是为企业的终端客户提供正确的安全保障。

Sara Duffer：
这让我在安全保证领域的生活也变得更为轻松。这是不错的结果。Chris，就文化这一点而言，我们在 AWS 经常谈论关于安全是重中之重的话题。跟我聊一聊如何做到这一点。如何建立这种文化？

Chris Betz：
我认为文化如此重要的原因之一是，它不仅能带来长期投资，而且我所知道的每家公司都在努力培训、提供工具、提供网络安全方面的能力。其中一个主要的区别因素就是文化。因为安全性在不断变化。对于刚才的谈话，我无法告知最近讨论过多少次人工智能，对吧？ 人工智能在不断变化。关于适应力。即举手表达：“您知道吗？ 我发现存在冲突，或者我有更好的办法可实现安全性。” 让我们思考一下。我们能否做得更好？ 不是盲目地遵循流程和工具，而是真正提出问题。

或者，“我认为这些流程和工具缺少一些东西。我发现这一风险，我看到这一问题。我如何提出？ 这些都至关重要。正如您所说，随着时间的推移，这种文化会以惊人的方式产生回报。建立这种文化需要经过深思熟虑，耗费时间和精力。从高层开始。首先，要让文化与组织的运作方式保持一致。其中一部分是告诉自己我们是谁。Matt 曾说：“无论内部还是外部，一切都从安全开始。”

此外，这也是大家打发时间的方式。Steve 和我都曾提及由首席执行官领导的每周例会。再次强调，确保这是组织运作方式的一部分至关重要。将安全融入组织文化后，必须强调安全是所有人的工作。每个人都有特定的角色。这是举手表达“我们必须做些不同的事情”的机会。我们认为我们会遗漏一些东西。我很困惑。我不确定。” 安全，所有人都要明白，安全是他们的工作，而作为安全领导者，我们的工作就是尽可能简化这项工作。因为如果大家每一步都要在安全方面花费时间，这会增加组织的摩擦。让安全成为每个人的工作，与此相辅相成的是，安全工作要让大家轻松自然地从事安全工作。这就意味着，安全工作需要分散到整个公司。我们需要确保培训、知识和能力经过精心设计，以便在整个组织内实现这一点。

最后，我们需要愿意投资。我们需要愿意投资于能够提高安全性的创新。我们需要愿意投资创新，让安全变得更容易。因为如果不这样做，作为组织，最终会陷入过去的困境，永远无法向前迈进。其中一种方法是通过安全卫士计划，我们依靠我们的员工，在服务团队和工程团队内部对员工进行深入的安全培训，以便确保员工在开发过程中尽早考虑到安全问题，并持续不断地掌握这些正确的知识。这有助于让事情变得非常具有可扩展性。因此，所有人都可以和团队协作，深入研究我们能否创建安全卫士计划，以及我们如何在公司内部创建安全文化？

Sara Duffer：
好的。在座的企业领导者可将哪三个问题转向其安全性和合规性计划？

Chris Betz：
我提出一个我一直很想问的问题。对于我们所有的技术领导者而言，我不知道你们当中有多少人拥有所谓的构建工具或开发工具组织。作为安全负责人，这些组织是整个组织中我最喜欢的组织。如果你们没有这样的组织，这些团队会构建工具，让开发人员的生活变得更轻松。这存在巨大的优势。如果说我喜欢看到公司派出顶尖人才，也就是构建工具组织，因为在组织内，您可以优化所有开发流程。从安全的角度来看，这就是优势所在。因为您可以将安全知识和安全能力融入到这些工具中，从而获得巨大的可扩展性，让安全成为一种自然。

因此，如果是我，我回过头会询问安全领导者和构建工具领导者之间的关系如何，他们的合作情况如何，以及你们所寻求的所有安全成果在构建工具能力中的构建情况如何。

Sara Duffer：
Steve？

Steve Schmidt：
我想重申一下我之前说过的话，也就是询问团队：“我们在何处构建生成式人工智能应用程序？” 然后再询问：“我们有什么机制可以让我们明天就知道在何处构建生成式人工智能应用程序，从有人构建新应用程序到我们知道这件事之间的延迟时间是多少？” 会发现很多情况下，答案都是“争分夺秒”。快，寻找一些数据。这就是答案。” 太棒了！现在是第二天。好的。
        
您需要一种方法、一种机制、一种工具，让您能够定期这样做，及时了解最新情况，确保您是负责任的运营商和基础设施的管理者，确保您能够成为代表客户收集的数据的负责任的所有者。

第二点是有哪些护栏，是否有一种机制可以随着生成式人工智能世界的变化而更新这些护栏？ 我们坐在台上的这段时间里，生成式人工智能世界的发展令人难以置信。新事物层出不穷。有些聪明人想出一些新的方法，可能导致基础模型出现问题，我们必须能够进行抵御。影响生成式人工智能应用程序周围所设护栏的快速迭代方法是什么？

Sara Duffer：
我认为您有所隐瞒。我认为有两点。我也准备稍微隐藏一点。我想说的是，这很大程度上是在询问团队如何真正确保合规性。我的意思是，这不仅仅是当下我们如何判断自己是否符合各种标准、法律等的问题，而是要真正了解如何在一段时间内获得持续的保证，从而真正确定构建者的成本是多少。

我认为有两个核心问题，一是如何遵守内部惯例或法律等，二是构建者的成本是多少，这一点非常重要，因为您希望能够快速创新，希望确保监控构建者的成本，同时确保仍然合规。

最后，我想问的最后一个问题是，在与客户的定期交流中，您对客户立即批准其安全态势有什么好的建议？

Chris Betz：
对于公司内部和客户而言，要想方设法实施通行密钥。对于员工和客户而言，摒弃密码就是改变游戏规则。利用这项技术。这是向前迈出的重大飞跃。立即实施。

Steve Schmidt：
这样不仅更安全，用户体验也会更好。这如此流畅。让技术人员关注这一点，弄清楚他们现在不这样做的原因。

第二点远没有通行密钥及其安全蔬菜那样令人兴奋。漏洞管理。修补东西。这是抵御外界攻击的最佳手段。

Chris Betz：
或者让我们帮助您修补。

Steve Schmidt：
没错。

Chris Betz：
使用 Lambda 和其他东西。

Steve Schmidt：
是的。

Sara Duffer：
非常感谢您今天的参与，再次感谢您抽出宝贵的时间。

立即收听

立即收听

立即收听