AWS 的隐形安全性

Clarke Rodgers：
欢迎收听 AWS 带来的《高管洞见》播客。我是企业战略总监 Clarke Rodgers，也是与安全领导者进行一系列对话的主持人。

今天的嘉宾是 AWS 首席信息安全官 Chris Betz。Chris 去年参加过我们的播客，我们深入探讨过 AWS 安全文化。今天，我们将聚焦威胁情报。我们将探讨 AWS 如何识别和修复其整个网络中的威胁，以及如何保护我们的客户、合作伙伴和整个社区。敬请期待。

Chris，很高兴再次邀请您参加《高管洞见》播客。

Chris Betz：
很高兴再次来到这里。

Clarke Rodgers：
上次我们见面时，大约是一年前，您刚接任 AWS 首席信息安全官一职。如今您已在该职位上工作一段时间，从安全的角度，就 AWS 的内部运营或我们开展业务的方式，有哪些方面给您留下深刻印象？ 此外，您在与多位首席信息安全官客户的会面中，获得了怎样的客户见解？

Chris Betz：
好问题。首先我想说，过去的一年是令人难以至信的一年。身为提供这些安全改进的团队的一员，我拥有了一段非常有趣的经历。我每天都在心中默默感激自己长时间以来一直是 AWS 的客户。因为我们不只是口头说客户至上，我们也确实将客户放在了最重要的位置上。但能够始终将“这就是我们需要做的事情，这就是客户正在经历的痛点，这就是我们可以为客户改善的机遇”奉为行动的准则，这种力量实在是令人惊叹。

我认为，在过去的一年里，第二件事是，我们不断深刻认识到，安全作为头等大事，是贯穿整个公司的核心理念。上周与 EC2 工程负责人交流时，我深感讨论安全问题是多么轻松，因为他对安全风险的思考已领先我三步，包括如何应对这些风险等。公司每一位领导者都具备这种思维方式，让我的工作变得无比轻松，也让我们能够更快地推进工作。

Clarke Rodgers：
看到这种理念如此真实地存在，而不只是作为营销口号，真是令人惊叹。

Chris Betz：
人们践行这一理念，而且也能实实在在地感受到其存在。我注意到的第三个方面是生成式人工智能的持续发展，我知道我们也经常讨论这一话题，但它的发展速度实在太快了。我们忙于对这种发展做出回应，而这也促使其更加深入到我们的各种话题中。好处有很多。我们能够运用大量能力，并且确实如此，我们仍在进行这项艰巨的研究。

Clarke Rodgers：
让我们继续在这条创新的道路上深入探索。如果我是正在考虑使用 AWS 的客户，我知道你们会构建特性和功能以提升 AWS 的安全性，您如何看待构建和购买安全工具以帮助运行 AWS 安全，并确保 AWS 乃至整个 Amazon 的系统安全？

Chris Betz：
当我放弃这些决定时，我需要考虑一些不同的事情。我的内部客户，即 AWS 内部的开发者和建设者，我如何帮助他们以尽可能简单和无缝的方式实现我们所需的安全结果？ 这是我工作的一部分。这是我必须做的事情之一。但您提到的“构建和采购”的讨论确实很有趣，我通常会从几种不同的角度加以思考。其中一种角度是核心和背景。有些技术绝对是我们企业运营方式的核心所在。例如，我们如何保护运行 AWS 工作负载的每个 EC2 系统——它们服务着客户。

实现如此规模的安全性绝对是业务的核心。在这些领域，我更倾向于投资能够以这种规模运行的自定义功能，以应对我们每天在该领域面临的威胁。因为这些功能是独特的，且专属于我们。在其他领域，我更倾向于寻求商业解决方案，或向供应商提出挑战，要求其能够以我们的规模运行。我每天使用的笔记本电脑就是很好的示例。我从外部供应商处购买这些系统中的安全组件，因为我们并没有做什么绝对独特的事情。我们希望利用已有的能力。这并非客户交付的关键路径，而是与业务相关的背景。

因此，制定每项决策时，我会思考：有哪些可用选项？ 我如何确保我们可以更快地利用最好的技术？ 无论是内部构建还是外部产品。而在那些绝对独特、能够让我们交付安全能力、满足客户对工程产品极高标准的领域，我更倾向于自行开发。在其他领域，我更倾向于寻找现成的解决方案。

Clarke Rodgers：
作为首席信息安全官，同时也需要担任业务领导者，对吧？ AWS 安全业务的不同方面都有不同的领导者。例如，有安全工程、运营、安全保障等多个部门。作为首席信息安全官，您如何确保这些业务领导者能够交付其应当提供的成果？

Chris Betz：
作为安全领导者，我负责提供跨 AWS 运行的解决方案和服务，以支持 AWS 内的所有团队。从这个角度来看，我的季度业务审查、月度业务审查和每周业务审查，与 AWS 服务团队的运作方式有许多相似之处。因此，作为系统构建者和运营者，这是我观察问题的一种视角。我能够借鉴并学习 AWS 中最佳实践的精髓。还有第二种，即运营层面。我有一支团队，负责直接响应活动、威胁情报、调查等工作。在这个领域，我既可以借鉴我们运营基础设施、现场组织和客户支持组织中的最佳实践，也可以向这些组织学习。再次说明，我的流程看似相似，但都经过独特的调整。我的每周、阅读、季度审查流程也同样适用。

Clarke Rodgers：
您提到威胁情报。过去一年左右，AWS 已分享更多关于我们如何看待威胁情报的信息，以及我们内部开发的某些工具，这些工具既帮助客户也帮助 AWS。其中包括 MadPot、Mithra、Sonaris，我相信还有其他一些工具。您能否介绍一下 AWS 内部如何看待威胁情报，以及这如何帮助客户？

Chris Betz：
在我离开 AWS 之前，我没有意识到 AWS 内部发生过很多不为人知的事情。在深入了解 AWS 提供的安全措施并和 AWS 内部的组织交流后，我意识到我们之所以没有花时间讨论这些功能，或者说之前没有讨论，是因为我们认为这些是大家都会做且应该做的事情。我不得不向大家说明：“不，这些并非人人都会做的事情，但我完全同意，这些是人人都应该做的事情。” 我认为我们现在正踏上这段旅程，分享更多关于我们所做的工作，这些工作是看不见且透明的。因此，这次对话的第一部分是：我们如何帮助大家理解我们为他们所做的事情，而他们可能并没有意识到？

我认为，最好的安全措施是与大家的工作方式无缝融合的安全措施。他们无需担心，要如何启用安全功能？ 如果他们不需要担心细节的微妙差别，如果安全措施能提供保护，那就是我们最好的去处。我认为威胁情报的讨论正处于这两个领域的交汇点。首先，我们做了很多大家并不理解的工作。我们应该分享更多这些内容。就像是“给我看看你们在做什么”您知道我们很安全，您知道我们将安全作为首要任务，让我们再展示一点，以帮助增强这种信心。第二点是，您不了解这些，是因为我们已经达到真正想要达到的状态，即无缝的安全性。总体而言，当我们思考威胁情报工作时，首先，了解恶意行为者的所作所为至关重要。这会改变我们的风险状况。这会改变我们对风险的看法。这也会驱动许多防御措施。

您需要针对威胁行为者、针对恶意活动量身定制防御措施，我们有能力做到这一点。威胁情报可以提供支持。第二点是无缝部分。您希望实现无缝防御。我们在 Sonaris 上的对话就是无缝防御的绝佳例证，我们能够在客户毫无察觉的情况下保护他们，甚至无需他们知晓，因为我们能够识别恶意行为者并阻止其活动，同时确保客户能够正常运营。威胁情报在用于保护大家时极具价值。我们如何将威胁情报整合到客户使用的工具和功能中，使其成为他们运营系统时的无缝组成部分？ 警报会出现，所有内容都已集成，以便大家能在正确的时间采取正确行动。

Clarke Rodgers：
我很高兴您能提出集成问题。当您的团队运营类似 MadPot 的工具，而消费者产品是 GuardDuty 时，如何进行集成？很多时候，如果我是客户，我会这样看：“这些产品做的差不多。” MadPot 能否集成到 GuardDuty 中，还是要作为两种不同的产品使用？

Chris Betz：
完全正确。MadPot 集成到 GuardDuty 中，是 GuardDuty 的众多源之一。当数据精度足够高时，MadPot 还会为 Sonaris 等工具提供支持。因为如果我们知道某个 IP 地址和端口是恶意行为者，我们会使用 Sonaris 等工具以阻止该 IP 地址和端口与 AWS 上的任何其他实体通信。

Clarke Rodgers：
这太棒了。

Chris Betz：
我们能够专注于阻止恶意行为者，而不用应对杂乱的信号。我们可能通过 GuardDuty 向客户提供相关提示。因此，这些源会多方向传播。但总体目标是让这些威胁情报系统为我们运营的各个层级提供支持，包括基础设施层、我每天关注的云安全，以及客户在云中的安全，客户运营的服务，以及我极度担忧的方面。我们如何确保为他们提供所有可能的功能？

Clarke Rodgers：
在技术领域，生成式人工智能在过去一年，或者说 18 个月里——风靡一时。我认为，总体而言，大多数客户都专注于“如何保障生成式人工智能的安全？” 无论是否为第三方服务，都要确保在 Amazon Bedrock 上正确设置此类活动的配置。我的数据在哪里，如何保护其安全？ 诸如此类。我很少听到有人讨论利用生成式人工智能实现安全目标。我非常希望您能花一点时间分享我们在 AWS 内部所做的工作，即利用生成式人工智能实现安全目标。

Chris Betz：
我们和客户首先发现生成式人工智能提供巨大价值的领域，是简化和增强安全工程师的工作。我对自己工作的一种看法是，我的职责是寻找并聘请最优秀的安全人才和工程师。我希望这些顶尖人才每天都能解决复杂而有趣的难题。而对于那些常规或容易理解的问题，我希望由计算机进行处理，而非让优秀人才重复劳动。我认为生成式人工智能是工具箱中的另一种工具。

例如，在安全运营中心内部，由于我们实行全天候运行，有一项必须完成的任务：必须将我们跟踪的安全事件从一个中心传递到另一个中心，从一名工程师传递到另一名工程师。这需要时间。总结和记录正在发生的事情需要时间。消化这些信息也需要时间。提供这些见解是一项千篇一律的繁重工作。过去一年令人惊叹的是，看到团队利用生成式人工智能加速这一过程，减少大家花在记录笔记和跟踪事件上的时间，让生成式人工智能自动完成这些任务。汇总。看着另一端的工程师处理这些新事件，能够快速生成摘要，深入到需要处理的环节，并接手相关工作。这加快了速度，提高了吞吐量；而且坦率地说，这不仅提高了工作质量，还改善了人们享受工作的方式。他们能够专注于自己想要解决的难题。

我最欣赏 AWS 的一点是，不仅是安全团队，整个组织都将安全视为首要任务。因此，AWS 各团队的构建人员经常联系我们的安全团队，询问：“我正在以这种方式构建某种功能。最佳方法是什么？” 令人沮丧的是，我们需要花费数小时甚至数天时间才能回复该构建人员，尤其是当问题本身已得到充分理解的情况下。因为在这段时间里，我们一直在阻碍构建人员的工作。当然，他们可能有其他事情要处理，但我们打断了他们的思路，阻碍了他们的进展，而我的职责就是确保无缝安全性。上面说的那种情况，显然称不上无缝体验。因此，我们推出一系列由生成式人工智能驱动的安全工具，这些工具能在几秒钟内回答工程师的问题。

当生成式人工智能工具无法立即给出正确答案时，当问题需要深入细致的思考，当我们需要开辟新的安全解决方案时，我们能迅速识别出这些情况，而我们的安全工程师就能专注于解决这些真正有趣的问题。他们可以专注于与 AWS 的构建人员一起解决这些难题。这真是双赢的局面。对安全工程师来说，也能有更好的体验。我们获得更高的吞吐量，并且让安全性更加无缝。

我发现客户也在做一些我们正在做的事情，比如知识共享和信息共享。我同时也发现他们利用我们构建的一些非常有趣的 AWS 功能——不论是我们与 GuardDuty 还是 Detective 的集成——我们自己也在使用这些功能。我发现客户在利用这些功能中内置的生成式人工智能方面做得非常出色。我认为我参与的最有趣的讨论之一是关于 CodeWhisperer 的。我认识一些客户，他们的安全运营中心在引入 CodeWhisperer 后发生了根本性变化。在过去，他们需要工程师和分析师花大量时间研究电子表格，查看警报，手动运行查询，试图将数据整合在一起，然后拼凑出潜在事件或调查。每个过程都需要手动自定义。随着 CodeWhisperer 的出现，安全运营中心能够真正改变其工作方式。

Chris Betz：
过去需要数小时手动操作的工作，现在只需几分钟就能开发出工具，几秒钟就能执行。从各种意义上来讲，这都非常强大。首先，可重复性和可追溯性，使得回溯查看成为可能，从而回顾“我如何完成这项工作？” 而减少人为错误同样意义重大。大家处理事件的方式已发生根本性转变。我了解到，一些安全运营团队正在深入开展调查工作，能够更有效地在内部网络中追踪威胁。这是因为，对于那些并非主要从事开发工作的人员而言，代码的力量让他们能够更快地行动、更快地学习，并更深入地探索其基础设施。他们发现 CodeWhisperer 真正强大的另一领域，是在应用程序安全流程中对代码进行检查。

当开发人员编写代码时，CodeWhisperer 的逻辑能够通过 Q 开发者版功能进行分析，并提出问题：“这段代码是否安全？ 这里是否存在错误？ 我们是否可以采取措施以提升安全性？” 通过获取这些提示，开发人员可以更快地迁移代码，安全审查发现的问题更少，这可提高开发人员对代码的信心，减少代码投入生产后需要修复的问题。更高的可靠性。这对某些组织来说是革命性的变化。

Clarke Rodgers：
当我与客户沟通时，通常会收到来自高层的指示，要求必须使用生成式人工智能完成 X、Y 或 Z 任务，或者必须对其进行研究。 如此等等。而这样的说法在我听来，就是安全运营中心团队在说：“生成式人工智能可以帮助我们完成交接工作，所以我要在其中构建这个功能。” 所以实际上确实如此吗？还是说安全运营中心团队只是想确保大家在使用最新最好的技术？ 或者这其实是自下而上的过程，类似“我要把它做成内部最好的服务或产品，这样我就有做那些工作的自由了”？

Chris Betz：
我努力确保为组织提供足够的带宽、空间和资源，以便他们在自己的领域内进行创新。

我希望团队成员都是喜欢解决这些难题的人员。我当然支持这项工作。我当然会参与其中，但不需要亲自指导。

Clarke Rodgers：
太棒了。

Chris Betz：
我必须给大家机会、支持和奖励。听着，不是每个实验都会成功，这也没关系。我们需要能够接受有人失败。作为安全领导者，我们的工作是创造一种环境，让大家不只是重复做同样的事情，而是激励和支持愿意尝试创新的个人。因为我认为，我们希望加入团队的是愿意冒险、以不同角度思考问题的安全领导者和安全工程师。我们的职责就是创造这样的环境并提供支持。

Clarke Rodgers：
我们将详细讨论这一话题。AWS 理想的安全人才是什么样？

Chris Betz：
我一直在寻找能提升标准的人员。我希望我们能够持续进步。但这是我们的筹码，对吧？ 提高标准是我们开始对话的方式。我在寻找对安全有深刻理解、对安全背后的基本原理有深入了解，并且愿意创新和适应的人员。因为我们必须在 AWS 上处理的问题，以及我们运营的规模，都无出其右。我们需要以无与伦比的速度进行运营。

我在寻找愿意冒险、快速试错的人员。我在寻找对结果、对从客户需求出发的解决方案有着深深执着的人员。如果有人具备这些，通常就是最合适的人选。

Clarke Rodgers：
如何针对 AWS 的速度和规模做好准备？

Chris Betz：
我不知道有没有现成的方法。而适应性和基础知识正是在这里发挥巨大作用的，因为具备基础知识，就拥有了可以依托的坚实基础。而具备适应性，就可以迅速掌握我们所讨论的令人难以置信的数字，即以十万、百万甚至亿为单位的庞大数量级。只是当您开始以这种规模进行运营时，情况就会有所不同，这点很特别，需要花费时间精力学习。

Clarke Rodgers：
在与客户首席信息安全官的对话中，有件事被反复提及，那就是向董事会报告。这其实涉及两大方面。一方面是，“我是董事会成员，我不知道我应向首席信息安全官或是安全团队提出哪些问题。” 另一方面是：“我是首席信息安全官，我不知道如何用董事会能理解的语言向他们汇报，让他们明白我试图传达的内容。” 您能否告诉我您是如何处理这些问题的？

Chris Betz：
董事会由人员组成。要想有效发挥首席信息安全官的作用，了解董事会希望如何运作、如何看待其所处的业务领域以及董事会成员的构成至关重要。因为作为首席信息安全官，您的职责是用董事会能理解的语言与他们沟通。因此，我的第一个建议是，当首席信息安全官提出这个问题时，先退一步，认识到董事会和公司有所不同。让我们看看其他人如何成功与这些董事会进行沟通。让我们了解一下这些董事会的成员，并想办法与他们沟通。对于董事会，我会保持微笑，因为我认为我最常听到的问题是，我们在安全方面投入是否足够？

这个问题不错，但也反映您所说的情况。董事会不一定知道要问什么问题，因此这是一个安全问题。我认为，每位董事会成员都应明白，作为风险领域之一，安全与企业所面临的其他许多风险存在显著差异。当您评估财务风险时，您知道如果在业务某一领域进行投资或下注，您就能明白这笔投资的风险有多大，对吧？ 是 1 万、10 万、100 万、1000 万还是 10 亿美元的下注？ 但是您可以确定下注的范围。然而技术风险，尤其是安全风险，在许多方面具有独特性。首先，它高度分散。每位工程师都可以做出影响安全风险的决策。事实上，安全事件往往源于一系列微小且针对性强的决策，这些决策的累积最终导致风险的发生。因此，它高度分散。每位工程师都对安全负有责任。

第二点是，看似微不足道的小事实际上可能产生巨大影响，对吧？ 第三点是，测试和学习的机会有限。在许多风险领域，您可以先从小额投资开始，观察结果，然后加大投资，继续观察结果。您可以进行测试和学习，并获得关于其运作方式的反馈。证券领域，有时五年前做出的决策，突然会以极大的影响卷土重来。因此，我倾向于将其比作小行星撞击。这类重大事件通常难以预测、测试和学习。因此，作为董事会成员，我肯定会询问首席信息安全官：我们的投资情况如何？ 但他们还应该要求首席信息安全官回顾并说明高风险和低风险的分布。

因为这个问题实际上想问的是“风险是否在董事会的承受范围内，首席信息安全官是否做好了分析，是否真正理解了业务中潜藏的风险？ 首席信息安全官是否清楚资产在何处，数据在何处，系统又在何处？ 首席信息安全官对这些方面的具体情况又了解多少？” 这些问题非常重要，因为有助于理解风险分析的质量。您与首席信息官或首席技术官如何合作，以简化工程师的安全工作流程？ 人都会犯错。大家都在努力完成工作。如果不能在工作流程中将安全做到无缝，就会带来更多的错误。

您可以在安全上投入巨大的精力，但也做不到完美。要想成功，必须具备多层次的策略。

Clarke Rodgers：
您是否在寻找这种风险转变，并以适当的方式评估风险？

Chris Betz：
没错。

Clarke Rodgers：
如果我正在调整我的计划，就意味着我明白其中存在的风险。

Chris Betz：
完全正确。您正在寻找这种动态思维。您正在寻找一位首席信息安全官，其能够及时掌握组织风险态势的变化，了解最新威胁动态，并持续做出风险决策，以重点应对组织面临的最大威胁。如果计划没变，似曾相识的计划时隔两年再度被拿上台面，那么一个有趣的问题就浮现了：（既然计划没变）那威胁还和两年前的一样吗？ 也许确实还是一样的。计划是否已经更新？还是说该计划已捉襟见肘，面对新的挑战性威胁时已经无力应对？ 这将引发一系列有价值的讨论。

Clarke Rodgers：
太棒了。很有见地。Chris，非常感谢。今天能与您交谈，我深感荣幸。

Chris Betz：
非常感谢。

立即收听

立即收听

立即收听