การปรับแนวทางปฏิบัติด้านความปลอดภัยให้สอดคล้องกับภูมิทัศน์ภัยคุกคามรูปแบบใหม่

มกราคม 2025

Executive Summit ที่ AWS re:Invent

รับฟังจาก Amazon CSO Steve Schmidt, AWS CISO Chris Betz และ Sara Duffer รองประธานเจ้าหน้าที่ประกันความปลอดภัย AWS สำหรับการอภิปรายเชิงลึกเกี่ยวกับวิวัฒนาการของแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในยุคปัจจุบัน เรียนรู้ว่าเทคโนโลยีที่เกิดขึ้นใหม่กำลังปรับเปลี่ยนภูมิทัศน์ความเสี่ยง วิธีเตรียมความพร้อมสำหรับกฎระเบียบการปฏิบัติตามข้อบังคับใหม่ และวิธีกำหนดกลยุทธ์การกำกับดูแลที่เหมาะสมเพื่อให้องค์กรของคุณปลอดภัยในทุกระดับ (มกราคม 2025)

ทรานสคริปต์บทสนทนา

ประกอบด้วย Sara Duffer รองประธานฝ่ายประกันความปลอดภัย AWS, Chris Betz, CISO, AWS และ Steve Schmidt, CSO, Amazon

ความเสี่ยงที่ยอมรับได้แตกต่างกันสำหรับแต่ละประเภทธุรกิจ

Sara Duffer:
ฉันจะไปต่อและเจาะลึกเข้าไปอีก คุณทั้งคู่จึงมีความรับผิดชอบต่อการรักษาความปลอดภัยที่ Amazon และ AWS ตามลำดับ คุณช่วยบอกฉันหน่อยได้ไหมว่ากลไกที่คุณใช้ในการรักษาความสอดคล้องกันคืออะไร

Steve Schmidt:
ได้เลย ผมคิดว่าสิ่งหนึ่งที่เราต้องเริ่มต้นคือ ธุรกิจทั้งหมดนั้นไม่เหมือนกัน นั่นเป็นสิ่งที่คนทั่วไปเห็นได้ชัด แต่เมื่อคุณดำเนินกิจการองค์กรขนาดใหญ่อย่าง Amazon บางครั้งก็น่าแปลกใจกับความแตกต่างในการดำเนินธุรกิจภายในบริษัทหนึ่ง ๆ เรามีองค์กรบางแห่งที่ไม่ยอมรับความเสี่ยงอย่างยิ่ง แต่บางแห่งก็ยินดีที่จะขยายขอบเขตในสถานการณ์บางอย่างมากกว่า ส่วนใหญ่จะขึ้นอยู่กับธุรกิจที่พวกเขาทำ ข้อมูลที่พวกเขาจัดการ เป็นต้น และเราพบว่ามีความจำเป็นที่จะต้องมีชุดตัววัดทั่วไปที่ใช้ทั่วทั้งบริษัท ซึ่งจะทำให้เราสามารถตรวจสอบพื้นฐานได้ว่าผู้คนทำงานได้ดีเพียงใดจากมุมมองด้านการรักษาความปลอดภัย จากนั้นจึงมีการสร้างรายงานที่เฉพาะเจาะจงสำหรับธุรกิจหรือออกแบบมาเพื่อแต่ละองค์กรโดยเฉพาะ ซึ่งระบุถึงความเสี่ยงที่องค์กรต่าง ๆ เผชิญ และสิ่งที่องค์กรต่าง ๆ ต้องการที่จะจัดการข้อมูลที่ลูกค้าไว้วางใจให้ดูแล ข้อมูลที่องค์กรมี เป็นต้น

การรายงานร่วมกันถือเป็นสิ่งที่สำคัญที่สุดในการให้เรามีมุมมองที่เหมือนกัน เพื่อให้เมื่อเราไปสนทนากับใครก็ตาม ตั้งแต่ CEO ของบริษัทอย่างAndy Jassy ไปจนถึงระดับล่างสุด เราก็จะสามารถพูดภาษาเดียวกันได้ เราเข้าใจได้อย่างรวดเร็วว่าส่วนหนึ่งขององค์กรเป็นอย่างไรเมื่อเทียบกับอีกส่วนหนึ่ง และที่สำคัญที่สุด คือ จะชี้ให้เห็นช่องว่างในจุดที่เราไม่ได้ตรวจสอบสิ่งต่าง ๆ ในแบบที่จำเป็น เนื่องจากเราได้เรียนรู้โอกาสเฉพาะชุดหนึ่งเพื่อปรับปรุงในส่วนหนึ่งขององค์กรเมื่อเทียบกับอีกส่วนหนึ่ง และเราต้องยอมรับว่าผู้นำในบริษัทของเราทุกคนล้วนมีความสามารถในการแข่งขัน ดังนั้นเมื่อคุณใช้รายงานทั่วไปที่แสดงรายชื่อพวกเขาเทียบกับกลุ่มอื่น ๆ มันจะกระตุ้นพฤติกรรมที่เราสนใจจริง ๆ มันทำให้ผู้คนมุ่งเน้นไปในทิศทางที่ถูกต้อง

Chris Betz:
ครับ แม้ผมจะเกลียดที่จะเรียกตัวเองว่าไม่ยอมรับความเสี่ยง แต่ใน AWS เรามีความไม่ยอมรับความเสี่ยงเช่นกัน ดังนั้นเราจึงเป็นหนึ่งในองค์กรที่ใช้เวลาอย่างมากในตัววัดเฉพาะธุรกิจของเรา แม้แต่ภายใน AWS ผมพบว่าแนวทางเหล่านี้มักจะใช้ได้ผลสำหรับเรา โดยธรรมชาติของการแข่งขันและการใช้ประโยชน์จากสิ่งนั้นระหว่างองค์กรต่าง ๆ เป็นสิ่งที่ทรงพลังอย่างยิ่ง และเพื่อให้สอดคล้องอย่างยิ่งกับธุรกิจ เพื่อเข้าใจว่า AWS ไม่มีการยอมรับความเสี่ยงในระดับเดียวกันกับสถานที่อื่น ๆ เพื่อทำความเข้าใจสิ่งที่เราใส่ใจและให้แน่ใจว่าตัววัดทางธุรกิจเหล่านั้นสอดคล้องกับธุรกิจและปรากฏเป็นส่วนหนึ่งของกระบวนการตรวจสอบธุรกิจของเรา

อัปเดตความปลอดภัยของ CEO และคณะกรรมการ

Sara Duffer:
ค่ะ Steve คุณได้พูดถึงการพูดคุยกับ CEO, Andy Jassy คุณสื่อสารกับ CEO และการอัปเดตด้านความปลอดภัยของคณะกรรมการได้อย่างไร

Steve Schmidt:
ครับ การสื่อสารกับ CEO และจากมุมมองของผม ควรเป็นการสื่อสารกับ CEO หลายคน เนื่องจากเรามี CEO หลายคนที่ Amazon อีกครั้ง ซึ่งได้รับการปรับเปลี่ยนให้เข้ากับวิธีดำเนินงานขององค์กรของพวกเขา ตัวอย่างเช่น Chris ดำเนินการประชุมกับ CEO ของ AWS ทุกสัปดาห์ เนื่องจากจังหวะการรักษาความปลอดภัยที่นั่นมีแนวโน้มว่าจะรวดเร็วเป็นพิเศษ มันเป็นสิ่งที่เราจะต้องตอบสนองต่อภัยคุกคามอย่างรวดเร็ว เราต้องเข้าใจการเปลี่ยนแปลงในสิ่งแวดล้อมรอบตัวเรา เราต้องสามารถปรับแต่งการตอบสนองของเราให้เหมาะสมตามวิธีการทำงานของโลกที่อยู่รอบตัวเรา เรายังทำงานร่วมกับ Doug Herrington ซึ่งเป็น CEO ของธุรกิจร้านค้า แต่เป็นสิ่งที่มุ่งเน้นไปที่ธุรกิจของเขาเป็นหลัก โดยช่วงการหมุนเวียนมักจะแตกต่างออกไปเล็กน้อย ไม่ว่าจะเป็นการทบทวนแบบรายเดือนหรืออะไรทำนองนั้น

Andy Jassy เลือกที่จะเข้าร่วมการประชุมเฉพาะการตรวจสอบความปลอดภัยเป็นรายไตรมาส ดังนั้นทุกไตรมาสเราจะไปหาเขาพร้อมทั้งชุดตัววัดและการรายงานทั่วไปที่มีความสม่ำเสมอตลอดเวลา แต่ยังรวมถึงส่วนหนึ่งของรายงานของเราซึ่งเปลี่ยนแปลงอยู่เสมอ เราเรียกมันว่าเหตุการณ์ปัจจุบัน และเป็นสิ่งที่เราเน้นไปที่การเปลี่ยนแปลงในสภาพแวดล้อมที่เราดำเนินการอยู่ซึ่งมีความสำคัญที่สุดสำหรับเรา ตอนนี้คนรัสเซียคิดยังไงกับเรื่องต่าง ๆ เมื่อเทียบกับคนจีน พวกเขาจะไล่ตามบริษัทต่าง ๆ ยังไงบ้าง ผู้คนใช้วิธีการใหม่ ๆ อะไรในการก่อปัญหา และเราตอบสนองต่อปัญหานั้นหรือเตรียมตัวรับมือกับปัญหานั้นอย่างไร

คุณได้พูดถึงคณะกรรมการเช่นกัน คณะกรรมการของเราค่อนข้างจะมีเอกลักษณ์เฉพาะตัว คณะกรรมการจำนวนมากเลือกที่จะให้คณะกรรมการกำกับดูแลความปลอดภัยของตนทำหน้าที่กำกับดูแลองค์กรของตน ไม่ว่าจะเป็นคณะกรรมการตรวจสอบ หรือคณะกรรมการด้านความเสี่ยง ซึ่งโดยทั่วไปแล้วจะเป็นสถาบันการเงิน Amazon ได้เลือกที่จะมีคณะกรรมการย่อยเฉพาะเพื่อความปลอดภัยดังนั้นเราจึงมีสมาชิกสามคนในคณะกรรมการของเราที่มุ่งเน้นไปที่ความปลอดภัยเพียงอย่างเดียว เราพบกับพวกเขาเป็นประจำ พวกเขาได้รับรายงานรายไตรมาสเกี่ยวกับสิ่งที่เกิดขึ้นกับ Amazon และดูธุรกิจทั้งหมดของเรา สมาชิกคณะกรรมการนี้บอกเราว่าพวกเขาต้องการมุ่งเน้นไปที่ธุรกิจสองสามธุรกิจในแต่ละครั้ง อย่างที่พวกเขาเลือก มันเหมือนกับการหมุนปุ่มและบอกว่าจะเกิดกับธุรกิจใดถัดไป

และอีกครั้ง เรามีส่วนของเหตุการณ์ปัจจุบันที่ด้านล่าง เนื่องจากเป็นอีกครั้งที่ความสนใจร่วมกันว่าเราอยู่ที่ไหนตอนนี้ เราจะไปที่ไหน สิ่งที่เปลี่ยนแปลงรอบตัวเรา และเราต้องพัฒนาอย่างไร ผมคิดว่าระยะเวลาสั้น ๆ ระหว่างการเปลี่ยนแปลงบางอย่างในโลก ซึ่งคณะกรรมการนี้จะได้รับแจ้งเกี่ยวกับวิธีการจัดการกับการเปลี่ยนแปลงนั้น มีความสำคัญอย่างยิ่งต่อความสามารถอย่างต่อเนื่องของเราในการให้แน่ใจว่าเรามีการคุ้มครองที่ถูกต้องสำหรับลูกค้า

Sara Duffer:
Chris มีอะไรจะเพิ่มเติมมั้ยคะ

Chris Betz:
สามแนวคิดเพิ่มเติม แนวคิดแรก สิ่งหนึ่งที่ผมชื่นชมเกี่ยวกับบทสนทนากับ Andy และ CEO รวมถึงภายใน AWS ก็คือ เราไม่ได้สนทนากันแบบแยกส่วน ไม่ใช่เพียงกลุ่มเล็ก ๆ กับ CEO มันเป็นกับ CEO และทีมผู้นำของเขา เพราะไม่มีอะไรเกิดขึ้นโดยโดดเดี่ยว การทำให้แน่ใจว่าธุรกิจมาพร้อมกับการสนทนา และการที่เรามีส่วนร่วมอย่างลึกซึ้งกับธุรกิจที่นำไปสู่และเป็นส่วนหนึ่งของการสนทนานั้น ถือเป็นสิ่งสำคัญอย่างยิ่ง แนวคิดที่สองคือใน AWS เรามีคณะกรรมการเช่นเดียวกับคณะกรรมการ Amazon นั่นทำให้เราสามารถใช้กลไกในการเจาะลึกทุกไตรมาสในเรื่องความปลอดภัยและหัวข้อที่เกี่ยวข้องกับความเสี่ยงได้อย่างเจาะลึก เพื่อที่เราจะได้พูดคุยกันต่อไปในเรื่องเหล่านี้ และเพื่อให้มั่นใจว่าเรามีการกำกับดูแลที่เหมาะสม

และแนวคิดที่สาม เมื่อเห็นคณะกรรมการที่แตกต่างกันหลายคณะกรรมการ ทุกคณะกรรมการที่ผมมีปฏิสัมพันธ์ด้วยนั้นแตกต่างกันอย่างไม่น่าเชื่อ ผมคิดว่าหลาย ๆ อย่างมันขับเคลื่อนโดยด้านบุคลากร บุคลิกภาพ และบางส่วนก็ขับเคลื่อนโดยลักษณะของธุรกิจ ดังนั้น ผมคิดว่าสิ่งหนึ่งที่ CISO หรือผู้นำด้านเทคโนโลยีต้องคำนึงถึงในการมีส่วนร่วมของคณะกรรมการ ผมพบว่าสิ่งสำคัญคือการทำความเข้าใจว่าคณะกรรมการดำเนินงานในโดเมนอื่น ๆ อย่างไร ธุรกิจคิดเกี่ยวกับตัวเองและพูดเกี่ยวกับตัวเองอย่างไร คุณควรใช้ภาษาอะไร บริบทคืออะไร เพราะการพูดถึงความปลอดภัยแบบแยกส่วนไม่ได้ช่วยอะไร ความปลอดภัยในบริบทของธุรกิจถือเป็นสิ่งที่สำคัญมาก และแนวคิดที่สาม ต้องแน่ใจว่าคุณเข้าใจผู้ฟัง คนที่แตกต่างกันในคณะกรรมการมีทักษะที่แตกต่างกันมาก คุณต้องสามารถพูดกับพวกเขาได้ทุกคน

ไม่ว่าเราจะเป็นผู้นำด้านเทคโนโลยีที่มีส่วนร่วมในการสนทนาเรื่องความปลอดภัยหรือเป็น CISO เองก็ตาม การสนทนาจะต้องทำให้แน่ใจว่าเราเข้าใจผู้ฟัง ลักษณะของคณะกรรมการ ธุรกิจคิดเกี่ยวกับตัวเองอย่างไร และความปลอดภัยกับเทคโนโลยีเข้ากันได้อย่างไร ซึ่งจะทำให้การสนทนาประสบความสำเร็จ

Steve Schmidt:
ผมอยากขยายความบางอย่างที่ Chris เพิ่งพูดไป ความผิดพลาดครั้งใหญ่ที่สุดที่เราพบเห็นจากผู้นำคนใหม่เมื่อพวกเขาพูดคุยกับผู้บริหารระดับสูงหรือผู้นำระดับสูงในบริษัท เช่น คณะกรรมการบริหาร คือการมุ่งเน้นไปที่เรื่องทางเทคนิคมากเกินไป โดยเฉพาะอย่างยิ่งในหัวข้อด้านความปลอดภัย ถือเป็นจุดตายสำหรับความสามารถของคุณในการนำเสนอประเด็นให้กับลูกค้าที่เป็นสมาชิกคณะกรรมการคนนั้น เราต้องพูดตามบริบทของธุรกิจตามที่ Chris พูด ไม่สำคัญว่านี่จะเป็นช่องโหว่ร้ายแรงที่มีคะแนน CVSS 9.86 หรือไม่ นี่เป็นโอกาสที่ฝ่ายศัตรูจะเข้าถึงข้อมูลประเภทนี้ซึ่งเป็นของลูกค้าของเรา ซึ่งส่งผลเช่นนี้และมีความเป็นไปได้สูงที่จะเกิดขึ้นภายใน 60 วันข้างหน้า ที่สมาชิกคณะกรรมการสามารถเข้ามาจัดการได้ แทนที่จะบอกว่า "นี่เป็นเรื่องที่น่ากลัว" ผมคิดว่ามันเป็นบริบทที่สำคัญอย่างไม่น่าเชื่อ

การแก้ปัญหาด้านความปลอดภัยของลูกค้า

Sara Duffer:
คุณทั้งคู่ได้พูดกับลูกค้าเป็นประจำ อะไรคือความท้าทายหรือปัญหาด้านการรักษาความปลอดภัยในปัจจุบันที่คุณได้ยินจากลูกค้า และ AWS กำลังทำอะไรเพื่อช่วยเหลือลูกค้าของเราในหัวข้อนั้น

Steve Schmidt:
อันดับหนึ่งต้องเป็น AI แน่นอนว่ามีคนจำนวนมากสนใจจริง ๆ ว่าจะใช้สิ่งนี้ได้อย่างปลอดภัยได้อย่างไร ฉันจะใช้ AI อย่างมีความรับผิดชอบได้อย่างไร ฉันจะรับข้อมูลและตรวจสอบให้แน่ใจว่าฉันสามารถเข้าถึงข้อมูลนั้นได้อย่างถูกต้องเมื่อฉันต้องการได้อย่างไร และป้องกันการเข้าถึงเมื่อไม่ต้องการ เมื่อเราพูดคุยกับลูกค้า สิ่งแรกที่ผมถามคือ "คุณมีแอปพลิเคชันที่ใช้ AI ช่วยสร้างกี่แอปพลิเคชันในบริษัทของคุณ ตอนนี้คุณรู้หรือไม่ คุณสามารถวัดสิ่งนั้นเป็นประจำได้หรือไม่" คนส่วนใหญ่มักพูดว่า "ใช่ เรานับเมื่อเดือนที่แล้วหรือไตรมาสที่แล้วหรืออะไรก็ตาม" "เดาสิว่าอะไร นักพัฒนาของคุณเคลื่อนไหวเร็วกว่านั้นมาก เราต้องสร้างกระบวนการภายในที่ช่วยให้เราดูได้ทุกครั้งที่นักพัฒนาเรียกใช้งานเอ็นจิ้น AI ช่วยสร้างจากแล็ปท็อปขององค์กรหรือจากทรัพยากรการผลิตที่เรามีอยู่ในบริษัท

ซึ่งช่วยให้เรามองเห็นว่าสามารถป้อนข้อมูลให้ทีมรักษาความปลอดภัยแอปพลิเคชันเพื่อช่วยให้พวกเขาเข้าใจสิ่งที่เกิดขึ้นกับบริการนั้น ๆ ได้ เมื่อเราทำการนับครั้งแรกและเริ่มทำเมื่อไม่นานมานี้ เราได้ไปรายงานให้ Andy ทราบและบอกว่า "โอ้ใช่แล้ว มีแอป AI ช่วยสร้างมากกว่าพันแอปที่กำลังดำเนินการหรืออยู่ระหว่างการพัฒนาทั่วทั้งบริษัท" และเราก็ตกใจเหมือนว่า "อะไรนะ คุณล้อเล่นฉันเหรอ" เหมือนว่าไม่นะ และอีกอย่าง มันกำลังเพิ่มขึ้นอย่างรวดเร็วเป็นอย่างมาก ซึ่งเป็นเรื่องที่ดี เพราะมันหมายความว่านักพัฒนาของเราจริงจังและก้าวไปข้างหน้า แต่ยังหมายความว่าทีมของเราจะต้องเร่งรีบและคอยติดตามคนเหล่านี้เพื่อให้แน่ใจว่าพวกเขากำลังทำสิ่งต่าง ๆ อย่างสมเหตุสมผล เหมาะสม เป็นต้น แต่ทุกอย่างเริ่มต้นด้วยทัศนวิสัยนั้น และสร้างกลไกการมองเห็นลงไปที่ด้านล่างสุดนั่น

Chris Betz:
ผมคิดว่าบทสนทนาอื่นที่ผมต้องพูดถึงบ่อยมากคือ ความสามารถใดบ้างที่มีอยู่แล้วใน AWS เนื่องจากผู้คนกำลังคิดถึงวิธีที่ทั้งปลอดภัยและคุ้มต้นทุนด้วย ผู้คนไม่ต้องการทุ่มเวลาและพลังไปกับหัวข้อที่มีโซลูชันอยู่แล้วหรือที่มีสิ่งต่าง ๆ เกิดขึ้นแล้ว หนึ่งในสถานที่ที่เรามักจะพูดถึงเรื่องดังกล่าวบ่อยครั้งก็คือ สถาปัตยกรรมและการควบคุม โดยต้องแน่ใจว่าผู้คนได้รับการออกแบบทางสถาปัตยกรรมมาอย่างดี ตลอดจนพิจารณาถึงวิธีการนำการควบคุมแบบเรียบง่ายและสะดวกมาใช้ในขนาดใหญ่ และผมคิดว่าสิ่งนี้ได้กลายเป็นหนึ่งในบทสนทนาที่เกิดขึ้นบ่อยครั้งภายในองค์กรของเราเกี่ยวกับวิธีที่เราจะมั่นใจได้ในการสร้างระบบรักษาความปลอดภัยที่เรียบง่ายในขนาดใหญ่สำหรับลูกค้าเหล่านี้ อีกที่หนึ่งที่เรื่องนี้จบลง และเราได้พูดถึงเรื่องนี้บ่อยมากในช่วงนี้ ก็คือ ข่าวกรองด้านภัยคุกคาม บริษัทต่างๆ ผู้ให้บริการคลาวด์ที่แตกต่างกัน จัดการข่าวกรองด้านภัยคุกคามแตกต่างกันออกไป

แนวทางของเราคือการทำให้ข่าวกรองด้านภัยคุกคามเป็นส่วนหนึ่งของการทำงานของระบบอย่างราบรื่น เราจึงใช้เวลาพูดคุยกันเกี่ยวกับเรื่องนี้มาก เนื่องจากเราไม่เคยพูดคุยเรื่องนี้มาก่อน แต่เป็นเรื่องสำคัญที่ลูกค้าจะต้องรู้ว่าจะคาดหวังอะไร ว่าเรามีกลุ่มผู้ให้บริการข่าวกรองด้านภัยคุกคาม ฮันนีพ็อตและเซ็นเซอร์ที่รวบรวมข้อมูลทุกวัน การโต้ตอบมากกว่า 100 ล้านครั้งต่อวันในฮันนีพ็อตของเรา และเทคโนโลยีเหล่านี้รวมถึงข้อมูลเซ็นเซอร์อื่น ๆ จากระบบ เช่น Sonaris จะทำให้เราสามารถลงมือได้ การดำเนินการนี้เกิดขึ้นโดยที่ลูกค้าไม่จำเป็นต้องตระหนักรู้ด้วยซ้ำ

เราจะสามารถป้องกันการโจมตีที่แตกต่างกันได้เมื่อระบุที่อยู่ที่เป็นอันตรายได้ และการรับส่งข้อมูลนั้นแทบไม่กระทบกับระบบของคุณด้วยซ้ำ ตัวอย่างเช่น ในปีที่แล้ว เราปฏิเสธความพยายามมากกว่า 24 พันล้านครั้งในการระบุบัคเก็ต S3 และความพยายามมากกว่า 2.6 ล้านล้านครั้งในการค้นหาบริการที่มีช่องโหว่ใน EC2 และในกรณีที่เราไม่สามารถจัดเตรียมสิ่งนั้นให้คุณได้โดยอัตโนมัติ หากเราไม่ได้มีระดับความเที่ยงตรงขนาดนั้น เราก็สามารถนำสิ่งนั้นไปใช้กับเครื่องมือต่าง ๆ เช่น GuardDuty ได้โดยตรงเป็นต้น ดังนั้นการสนทนาที่ผมมีกับเจ้าหน้าที่ด้านความปลอดภัยก็คือ พวกเขาจะใช้ประโยชน์จากเทคโนโลยีที่มีอยู่แล้วได้อย่างไร ทั้งส่วนที่ไร้รอยต่อและส่วนที่เราให้ข้อมูลเพิ่มเติมแก่ทีมงานด้านความปลอดภัยในการทำงาน

Steve Schmidt:
ผมคิดว่ามีข้อมูลบางอย่างที่น่าสนใจจริง ๆ ซึ่งจะช่วยขยายประเด็นที่คุณพูดถึงเกี่ยวกับข่าวกรองด้านภัยคุกคาม และข่าวกรองด้านภัยคุกคามเป็นสิ่งที่เปราะบางอย่างไม่น่าเชื่อ สิ่งที่คนส่วนใหญ่ไม่ทราบก็คือจากสิ่งที่เราเห็นบนอินเทอร์เน็ต พื้นที่ IP ของอินเทอร์เน็ตประมาณ 23% มีการเปลี่ยนแปลงภายในเวลาประมาณสามนาที หมายความว่าถ้าฟีดข่าวกรองด้านภัยคุกคามของคุณมีอายุหนึ่งสัปดาห์หรือหนึ่งเดือนหรืออะไรก็ตาม คุณล้าสมัยแล้ว และอีกสองสามอย่างที่พูดถึงความเร่งด่วนของการดำเนินการทันทีที่คุณได้รับข้อมูลข่าวกรองด้านภัยคุกคาม เมื่อเราเปิดเผยฮันนีพ็อตต่ออินเทอร์เน็ต จะใช้เวลาไม่ถึง 90 วินาที แค่ 90 วินาทีที่ผู้ไม่ประสงค์ดีจะค้นพบ และใช้เวลาไม่ถึงสามนาทีที่ผู้ไม่ประสงค์ดีจะพยายามใช้ประโยชน์จากมัน นี่คือสถานการณ์ที่หากนักพัฒนาของคุณพูดว่า "โอ้ ฉันจะเปิดบัคเก็ตนี้ออกสู่อินเทอร์เน็ต มันก็คงจะดี ไม่มีใครรู้ว่ามันอยู่ที่นั่น" สามนาที นั่นคือเวลาที่คุณมีก่อนที่คุณจะเจอปัญหาจริง ดังนั้น การรู้ว่าเกิดอะไรขึ้นบ้างผ่านฟีดข่าวกรองอันแข็งแกร่ง จะทำให้สามารถดำเนินการได้อย่างรวดเร็ว และที่สำคัญกว่านั้น ไม่จำเป็นต้องมีมนุษย์คอยควบคุมเพื่อดำเนินการใด ๆ ตรวจสอบให้แน่ใจว่าระบบอัตโนมัติทำงาน

Chris Betz:
พูดได้ดีมากครับ

การปรับขนาดการปฏิบัติตามข้อกำหนดด้านความปลอดภัย

Sara Duffer:
ฉันจะเปลี่ยนไปใช้หัวข้อที่ตรงกับใจฉันมากขึ้น ซึ่งอยู่ในโลกของกฎระเบียบที่เปลี่ยนแปลงตลอดเวลา การรับรองมาตรฐาน และอื่น ๆ อีกมากมาย ซึ่งพิสูจน์ให้เห็นถึงความท้าทายในการที่จะอยู่เหนือการปฏิบัติตามข้อกำหนดดังกล่าว วิวัฒนาการของการปฏิบัติตามข้อกำหนด Chris คุณช่วยพูดหน่อยได้ไหมว่า AWS คิดอย่างไรเกี่ยวกับการปฏิบัติตามข้อกำหนดในขนาดใหญ่

Chris Betz:
เราพูดคุยเรื่องนี้กันเยอะเลยครับ

Sara Duffer:
ใช่ เราคุยกันเยอะ

Chris Betz:
เริ่มด้วย สิ่งหนึ่งที่ผมคิดว่ามีประสิทธิภาพอย่างเหลือเชื่อในแง่ของวิธีการปฏิบัติตามข้อกำหนดในวงกว้างก็คือ คุณจะต้องเริ่มต้นด้วยพื้นฐานที่ปลอดภัย การคิดเกี่ยวกับความปลอดภัยในแง่ของความปลอดภัยโดยการออกแบบ การทำให้แน่ใจว่าความปลอดภัยนั้นรวมอยู่ในกระบวนการพัฒนา จะทำให้คุณมีจุดเริ่มต้นที่ดีก่อนที่คุณจะต้องคิดเกี่ยวกับกฎระเบียบหรือการปฏิบัติตามข้อกำหนด เมื่อเราทำสิ่งต่าง ๆ ได้ดีที่สุด การปฏิบัติตามข้อกำหนดก็ถือเป็นผลข้างเคียงโดยเจตนาของงานด้านความปลอดภัยดังกล่าว และพูดตรง ๆ ก็คือ หน่วยงานกำกับดูแลส่วนใหญ่ก็ต้องการแบบนั้นเหมือนกัน

เหตุผลในการปฏิบัติตามข้อกำหนดคือเพื่อให้แน่ใจว่าคุณปลอดภัย ดังนั้น จึงเป็นเรื่องสำคัญอย่างยิ่งที่จะต้องออกแบบโปรแกรมความปลอดภัยที่เน้นด้านความปลอดภัยโดยคำนึงถึงการสาธิตและพิสูจน์การปฏิบัติตามข้อกำหนดอย่างตั้งใจ และชิ้นที่สามก็คือ การที่การปฏิบัติตามการออกแบบเป็นส่วนหนึ่งของกระบวนการรักษาความปลอดภัยของคุณนั้นไม่เพียงพอเสมอไป คุณต้องสามารถสาธิตและแสดงออกมาได้ ดังนั้นการสามารถดึงข้อมูลมารวมกัน แสดงให้เห็นได้ชัดเจน และให้ผู้อื่นเข้าใจได้ง่าย จึงมีความสำคัญอย่างยิ่ง และยังมีวิศวกรรมเข้ามาเกี่ยวข้องด้วย ผมคิดว่ามันเป็นการลงทุนที่คุ้มค่า แต่คุณใช้เวลาอยู่ในโลกนี้มากกว่าผม ดังนั้นผมจึงอยากรู้มุมมองของคุณเหมือนกัน

Sara Duffer:
ตอนนี้ฉันได้ยินลูกค้าพูดเยอะมาก โดยเฉพาะเรื่องโปรแกรม AI ที่มีความรับผิดชอบ และวิธีการนำไปปฏิบัติอย่างรวดเร็ว นี่จึงเป็นการสนทนาที่แท้จริงเกี่ยวกับการวิวัฒนาการที่รวดเร็วมากนี้ ในการเคลื่อนตัวจากแนวคิดของการปฏิบัติตาม ซึ่งเป็นเรื่องจุดหนึ่งในช่วงเวลาหนึ่ง เป็นไบนารี และมุ่งเน้นมากว่าเรากำลังปฏิบัติตามกฎและระเบียบ เช่น กฎหมาย AI ของสหภาพยุโรปหรือไม่ และความสามารถในการพัฒนาโปรแกรมดังกล่าวอย่างรวดเร็วให้มีแนวคิดด้านการรับรองและการรับรองมากขึ้น ซึ่งจะทำให้สามารถให้ความมั่นใจในคุณภาพ ความน่าเชื่อถือ และประสิทธิผลของการปฏิบัติตามข้อกำหนดที่เราสามารถแสดงให้เห็นได้ แล้วเราจะทำอย่างนั้นได้อย่างไร

และบ่อยครั้งที่สิ่งนี้มักได้รับการใช้ประโยชน์ผ่านมาตรฐานทางเทคนิค สิ่งต่าง ๆ อย่าง ISO 42001 ซึ่งทำให้องค์กรสามารถแสดงให้ลูกค้าปลายทางเห็นได้ว่าพวกเขาดำเนินงานทั้งในการปรับใช้และการพัฒนา โดยใช้แนวปฏิบัติด้าน AI อย่างมีความรับผิดชอบ และนำทั้งหมดนี้มาสรุปจากมุมมองของการกำกับดูแล แล้วคุณจะมั่นใจได้อย่างไรว่าองค์กรกำลังดำเนินการตามที่คุณคาดหวัง และคุณจะรายงานต่อผู้นำระดับสูงและคณะกรรมการเกี่ยวกับสิ่งที่คุณทำเกี่ยวกับ AI ที่มีความรับผิดชอบได้อย่างไร และที่สำคัญที่สุด การทำทั้งหมดนั้นในลักษณะที่คุณจะได้พบปะกับผู้สร้างในที่ที่พวกเขาอยู่ และคุณไม่ทำให้นวัตกรรมช้าลง เพื่อให้คุณสามารถบรรลุมาตรฐานที่สูงนั้นได้และในเวลาเดียวกันก็สามารถทำได้อย่างรวดเร็ว

วัฒนธรรมความปลอดภัยสำหรับพนักงาน

Sara Duffer:
มาสลับหัวข้อสักหน่อยนะคะ Steve ฉันจะไปที่เรื่องของคุณ บ่อยครั้งมากที่เราพูดถึงเรื่องความปลอดภัย เรามักจะสนใจเทคโนโลยีใหม่ ๆ และโลกที่เปลี่ยนแปลงอยู่ตรงหน้าเรา แต่ในท้ายที่สุด ผู้ก่อให้เกิดภัยคุกคามก็ยังคงเป็นผู้ก่อให้เกิดภัยคุกคามและเป็นมนุษย์ และฉันอยากจะได้ยินอีกเล็กน้อยว่าคุณคิดอย่างไรเกี่ยวกับมิติของมนุษย์ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์

Steve Schmidt:
แน่นอน ข่าวล่าสุด ความปลอดภัยของคอมพิวเตอร์ ความปลอดภัยของข้อมูล ความปลอดภัยทางไซเบอร์ หรืออะไรก็ตามที่คุณอยากจะเรียกมัน ไม่ใช่ปัญหาทางเทคนิค มันเป็นปัญหาเกี่ยวกับผู้คน สิ่งหนึ่งที่ผมได้เรียนรู้เมื่อนานมาแล้ว ตอนที่ผมอยู่ใน FBI ที่เน้นการทำงานด้านข่าวกรองก็คือ แม้ว่าการไล่ล่าสายลับจะเป็นงานและมันก็น่าสนใจ แต่พวกเขาอยู่ที่นั่นด้วยเหตุผลบางอย่าง พวกเขาได้รับแรงบันดาลใจจากบางอย่าง ตามธรรมเนียมแล้ว ในโลกแห่งการจารกรรม จะเป็นเรื่องเงิน อุดมการณ์ การบังคับ หรืออัตตา สิ่งเดียวกันนี้เหมือนกันในโลกความปลอดภัยทางไซเบอร์ ผู้คนสนใจในเงิน นั่นคือผู้ก่อการด้วยแรนซัมแวร์ของคุณ อุดมการณ์ มันเป็นผู้ก่อการชาตินิยมที่ทำหน้าที่รวบรวมข่าวกรองหรือเตรียมสนามรบ อิทธิพลซึ่งเป็นเรื่องใหม่ในพื้นที่นี้กำลังทำให้ประชากรคิดในรูปแบบหนึ่ง เพื่อเปลี่ยนแปลงความคิดเห็น ส่งผลกให้สิ่งต่าง ๆ เกิดขึ้นในโลก หรืออัตตา นั่นคือหนูน้อยนักเล่นสคริปต์ที่ต้องการเป็นแฮกเกอร์ที่เก่งที่สุดและยิ่งใหญ่ที่สุด และก่อให้เกิดการโจมตี DDoS เป็นส่วนหนึ่งของสิ่งนั้น

แล้วเราจะต้องสนใจว่าทำไมผู้คนเหล่านี้ถึงทำเช่นนั้น หรือแรงจูงใจของพวกเขาคืออะไร เพราะมันช่วยให้เราเข้าใจประเภทของเครื่องมือ ความสามารถที่พวกมันมี จุดที่พวกมันน่าจะไล่ตามเรา และความอดทนต่อความเสี่ยงหรือการเปิดรับอันตราย เหมือนกับว่าเรื่องนี้จะเป็นเรื่องใหญ่ไหมถ้าพวกเขาถูกจับได้และ FBI มาเคาะประตู หรือว่าเรื่องนี้ไม่สำคัญหรอกเพราะว่าพวกเขากำลังนั่งอยู่ในห้องใต้ดินในเบลารุสหรืออะไรทำนองนั้น นั่นคือสเปกตรัมประเภทใดที่เราต้องทำงานด้วยเพื่อทำความเข้าใจว่าเราต้องทำอะไรในฐานะผู้ปกป้อง และเราจะสร้างระบบที่ช่วยป้องกันไม่ให้ผู้คนเหล่านั้นเข้าถึงได้อย่างไร

สิ่งที่น่าสนใจคือเราต้องนำวิธีคิดแบบเดียวกันนี้ไปใช้กับพนักงานของเราเอง พนักงานของเราล้วนมีเจตนาดีโดยทั่วไป พวกเขาต้องการทำสิ่งที่ถูกต้อง พวกเขาต้องการช่วย แต่ยอมรับเถอะว่าพวกเขาก็ยังเป็นมนุษย์ บางครั้งพวกเขาก็ประสบปัญหาด้านการเงิน บางครั้งพวกเขาไม่ชอบทิศทางที่บางอย่างกำลังจะเป็นไป บางครั้งพวกเขาก็มีวันเลวร้าย ดังนั้น เราในฐานะผู้ปกป้องจึงต้องพร้อมที่จะเข้าใจว่าพวกเขากำลังทำอะไร ทำไมพวกเขาจึงทำแบบนั้น และเราจะมั่นใจได้อย่างไรว่าพวกเขาไม่ได้ทำสิ่งที่ไม่ควรทำ

แต่องค์ประกอบที่สำคัญที่สุดอย่างหนึ่งของการรักษาความปลอดภัยทางไซเบอร์และบุคลากรภายในบริษัทก็คือวัฒนธรรมของบริษัท วัฒนธรรมความปลอดภัยของบริษัทคือสิ่งที่สร้างหรือทำลายตัวมัน เราทุกคนเคยเห็นว่าเกิดอะไรขึ้นในข่าวสาธารณะเมื่อคุณมีวัฒนธรรมความปลอดภัยที่ขาดแคลน สุดท้ายแล้ว คุณจะพบว่าผู้มีบทบาทในชาติบุกเข้าไปในองค์กรซ้ำแล้วซ้ำเล่า และแสวงหาประโยชน์จากพวกเขาเพื่อประโยชน์ส่วนตัว เพราะเหตุใด เพราะคนในบริษัทไม่ได้รับการวัดหรือแรงจูงใจจากสิ่งที่ถูกต้อง

พวกเขาไม่ได้มีแรงจูงใจในการปกป้องข้อมูลหรือสารสนเทศของคุณ พวกเขามุ่งเป้าไปที่สิ่งอื่น ดังนั้นการสร้างวัฒนธรรมองค์กรของคุณ ซึ่งกล่าวว่า สิ่งที่สำคัญที่สุดสำหรับคุณในฐานะบุคคล นักพัฒนาในบริษัทของผม คือ อันดับแรก คุณต้องปลอดภัยทางกายภาพ และอันดับสอง คือ ต้องปกป้องข้อมูลของลูกค้าของคุณ เพราะนั่นช่วยให้พวกเขาตัดสินใจได้ดีทุกครั้งในระหว่างวันเมื่อพวกเขากำลังคิดถึงบางสิ่งบางอย่าง “ฉันควรไปทางซ้ายไหม ฉันควรไปทางขวาไหม ฉันควรทำอย่างหนึ่งหรือไม่ ฉันควรทำอีกอย่างหรือไม่ ฉันควรขอความช่วยเหลือเพราะฉันไม่รู้จริงหรือไม่ ให้ฉันไปหาผู้เชี่ยวชาญในด้านนี้”

และผมคิดว่าแรงจูงใจในการทำให้แน่ใจว่าคุณมีวัฒนธรรมที่ถูกต้องนั้นจะทำให้ต้นทุนของคุณลดลงในอนาคต เพราะคุณไม่ต้องมานั่งทำความสะอาดความยุ่งเหยิงที่ใครบางคนก่อไว้เพราะพวกเขาดำเนินการอย่างรวดเร็วเพื่อบรรลุเป้าหมายผลกำไร เป้าหมายอัตรากำไรขั้นต้น หรือเป้าหมายการจัดส่ง แทนที่จะให้ความปลอดภัยที่ถูกต้องแก่ลูกค้าปลายทางในธุรกิจ

Sara Duffer:
และมันทำให้ชีวิตของฉันง่ายขึ้นในโลกแห่งการประกันความปลอดภัยด้วยเช่นกัน มันเป็นผลลัพธ์ที่ดี Chris เมื่อพูดถึงประเด็นด้านวัฒนธรรม เราที่ AWS พูดคุยกันมากเกี่ยวกับเรื่องความปลอดภัยที่เป็นสิ่งสำคัญที่สุด คุยกับฉันสักหน่อยว่าเราทำแบบนั้นได้อย่างไร คุณสร้างวัฒนธรรมนั้นได้อย่างไร

Chris Betz:
เหตุผลประการหนึ่งที่ผมคิดว่าวัฒนธรรมมีความสำคัญมากก็คือไม่เพียงแต่จะนำไปสู่การลงทุนในระยะยาวเท่านั้น แต่ผมคิดว่าบริษัททุกแห่งที่ผมรู้จักต่างก็ทำงานเพื่อฝึกอบรม จัดเตรียมเครื่องมือ และจัดเตรียมศักยภาพที่อยู่แวดล้อมความปลอดภัยทางไซเบอร์ และหนึ่งในความแตกต่างที่สำคัญคือวัฒนธรรม เพราะความปลอดภัยมีการเปลี่ยนแปลงอย่างต่อเนื่อง จากบทสนทนาของคุณก่อนหน้านี้ ผมบอกคุณไม่ได้เลยว่าเราพูดถึง AI บ่อยแค่ไหนในช่วงนี้ ใช่ไหม AI มีการเปลี่ยนแปลงอย่างต่อเนื่อง และความสามารถในการปรับตัวนั้น ความสามารถในการยกมือของคุณและพูดว่า "คุณรู้ไหม ฉันกำลังเห็นความขัดแย้งที่นี่ หรือฉันกำลังมองเห็นวิธีที่ดีกว่าในการรักษาความปลอดภัย" ลองคิดเรื่องนี้กันเถอะ เราจะทำได้ดีกว่านี้หรือไม่ อย่าเพียงแต่ทำตามกระบวนการและเครื่องมืออย่างไม่ลืมหูลืมตา แต่จงออกไปถามคำถามจริง ๆ

หรือ “ฉันคิดว่ากระบวนการและเครื่องมือเหล่านี้ขาดอะไรบางอย่าง ฉันเห็นความเสี่ยงนี้ ฉันเห็นปัญหานี้ ฉันจะนำสิ่งเรื่องนั้นขึ้นมาคุยกันได้อย่างไร” สิ่งเหล่านั้นมีความสำคัญอย่างไม่น่าเชื่อ และอย่างที่คุณพูด วัฒนธรรมจะตอบแทนคุณอย่างน่าอัศจรรย์ในระยะเวลาอันสั้น การสร้างวัฒนธรรมนั้นต้องใช้ทั้งเวลาและพลังงานอย่างตั้งใจ มันเริ่มต้นที่ด้านบนขององค์กร เริ่มต้นด้วยการปรับวัฒนธรรมให้สอดคล้องกับวิธีการทำงานขององค์กร ส่วนหนึ่งคือการบอกตัวเองว่าเราเป็นใคร มันเป็นเรื่องภายในมากพอ ๆ กับเรื่องภายนอก เมื่อได้ยิน Matt พูดว่า "ทุกอย่างเริ่มต้นด้วยความปลอดภัย"

และยิ่งไปกว่านั้น มันยังเป็นวิธีที่ผู้คนใช้เวลาของพวกเขาอีกด้วย Steve และผมทั้งคู่คุยกันถึงการประชุมรายสัปดาห์ที่เกิดขึ้นโดย CEO ของเรา อีกครั้ง การทำให้แน่ใจว่านั่นเป็นส่วนหนึ่งของการทำงานขององค์กรถือเป็นสิ่งสำคัญอย่างยิ่ง เมื่อคุณสร้างความปลอดภัยให้เป็นวัฒนธรรมขององค์กรแล้ว สิ่งสำคัญคือการเน้นย้ำว่าความปลอดภัยนั้นเป็นหน้าที่ของทุกคน แต่ละคนจะได้รับบทบาทเฉพาะ นั่นเป็นโอกาสที่จะยกมือของคุณและพูดว่า "เราต้องทำสิ่งที่แตกต่าง เราคิดว่าเรากำลังพลาดบางอย่าง ฉันสับสน ฉันไม่แน่ใจ" ความปลอดภัย ทุกคนต้องเข้าใจว่าความปลอดภัยคือหน้าที่ของตน และเป็นหน้าที่ของเราในฐานะผู้นำด้านความปลอดภัยที่จะทำให้ภารกิจนี้ง่ายที่สุดเท่าที่จะเป็นไปได้ เพราะหากผู้คนใช้เวลามุ่งเน้นไปที่ความปลอดภัยในทุกขั้นตอน นั่นจะเพิ่มแรงเสียดทานให้กับองค์กร สิ่งที่ต้องคู่กันกับการทำให้การรักษาความปลอดภัยกลายเป็นงานของทุกคนก็คือการทำงานด้านความปลอดภัยเพื่อให้ผู้คนทำงานด้านความปลอดภัยได้ง่ายและเป็นธรรมชาติ นั่นหมายความว่าการรักษาความปลอดภัยจะต้องกระจายไปทั่วทั้งบริษัท เราจำเป็นต้องตรวจสอบให้แน่ใจว่าการฝึกอบรม ความรู้ ความสามารถได้รับการออกแบบมาอย่างดีเพื่อให้แน่ใจว่าจะเกิดขึ้นทั่วทั้งองค์กร

และสุดท้ายเราต้องเต็มใจที่จะลงทุน เราจำเป็นต้องเต็มใจที่จะลงทุนในนวัตกรรมที่ช่วยปรับปรุงความปลอดภัย เราจำเป็นต้องเต็มใจที่จะลงทุนในนวัตกรรมที่ทำให้ความปลอดภัยง่ายขึ้น เพราะถ้าคุณไม่ทำแบบนั้น คุณจะตกอยู่ในอดีตและคุณไม่สามารถก้าวไปข้างหน้าในฐานะองค์กรได้ วิธีหนึ่งที่จะทำสิ่งนี้ได้คือผ่านสิ่งต่าง ๆ เช่น โปรแกรมผู้พิทักษ์ความปลอดภัย ซึ่งเราพึ่งพาบุคลากรของเรา เราฝึกอบรมพวกเขาในเรื่องความปลอดภัยเชิงลึกภายในทีมบริการ ภายในทีมวิศวกร เพื่อให้พวกเขาสามารถมั่นใจได้ว่าผู้คนคิดถึงเรื่องความปลอดภัยตั้งแต่เนิ่น ๆ ในระหว่างกระบวนการพัฒนาและอย่างต่อเนื่อง และพวกเขาก็ได้รับความรู้ที่ถูกต้องนั้น และมันช่วยทำให้สิ่งต่าง ๆ สามารถปรับขนาดได้อย่างมาก มีสิ่งหนึ่งที่พวกคุณทุกคนสามารถทำได้กับทีมของคุณ มองอย่างลึกซึ้งว่าเราสามารถสร้างโปรแกรมผู้พิทักษ์ความปลอดภัยได้หรือไม่ และเราจะสร้างวัฒนธรรมด้านความปลอดภัยภายในบริษัทของเราได้อย่างไร

Sara Duffer:
โอเค คำถามสามข้อที่ผู้นำธุรกิจสามารถนำกลับไปใช้กับโปรแกรมรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดของตนได้คืออะไรบ้าง

Chris Betz:
ผมจะให้คุณหนึ่งข้อที่ผมชอบถามเสมอ สำหรับผู้นำด้านเทคโนโลยีอย่างพวกเราทุกคน ผมไม่ทราบว่ามีกี่คนที่มีสิ่งที่เรียกว่าองค์กรเครื่องมือของผู้สร้างหรือเครื่องมือของนักพัฒนา ในฐานะผู้นำด้านความปลอดภัย องค์กรเหล่านี้คือองค์กรที่ผมชื่นชอบที่สุดในองค์กรทั้งหมด หากคุณยังไม่มี ทีมเหล่านี้คือทีมที่สร้างเครื่องมือที่ทำให้ชีวิตของนักพัฒนาของคุณง่ายขึ้น มีการใช้ประโยชน์มหาศาลที่นั่น หากมีสถานที่ที่ผมชอบที่จะเห็นบริษัทต่าง ๆ นำผู้ที่มีความสามารถระดับแนวหน้ามาร่วมงาน องค์กรนั้นก็อยู่ในองค์กรเครื่องมือก่อสร้าง เพราะในองค์กรเดียว คุณสามารถทำให้กระบวนการพัฒนาทั้งหมดของคุณดีขึ้นมากได้ จากจุดยืนด้านความปลอดภัย นั่นคือจุดที่มีการใช้ประโยชน์อยู่ เนื่องจากคุณสามารถนำความรู้ด้านความปลอดภัยและความสามารถด้านความปลอดภัยของคุณมาสร้างลงในเครื่องมือเหล่านั้น และรับความสามารถในการปรับขนาดได้มหาศาล และทำให้การรักษาความปลอดภัยเป็นไปอย่างเป็นธรรมชาติ

คำถามที่ผมจะนำกลับไปถามหากเป็นพวกคุณก็คือ ถามผู้นำด้านความปลอดภัยและผู้นำเครื่องมือสร้างของคุณว่าพวกเขามีความสัมพันธ์กันอย่างไร พวกเขาทำงานร่วมกันได้ดีเพียงใด และผลลัพธ์ด้านความปลอดภัยทั้งหมดที่คุณกำลังมองหานั้นถูกสร้างไว้ในความสามารถของเครื่องมือสร้างได้ดีเพียงใด

Sara Duffer:
Steve ล่ะคะ

Steve Schmidt:
นี่เป็นการย้ำสิ่งที่เคยพูดไปก่อนหน้านี้ นั่นคือการถามทีมของคุณว่า "ตอนนี้เรากำลังสร้างแอปพลิเคชัน AI ช่วยสร้างที่ไหน" แล้วถามทีมของคุณว่า "เรามีกลไกอะไรเพื่อให้เรารู้ว่าเรากำลังสร้างแอปพลิเคชัน AI ช่วยสร้างตรงไหน และเวลาแฝงระหว่างคนที่สร้างแอปพลิเคชันใหม่กับเราคืออะไร" และคุณจะพบว่าในหลาย ๆ กรณี คำตอบคือ "เร่งเข้า รีบเข้า เร็วเข้า เร็วเข้า ค้นหาข้อมูล นี่คือคำตอบ" ยอดเยี่ยม ตอนนี้เป็นวันถัดไปแล้ว โอเค

คุณจึงต้องมีวิธีการ กลไก เครื่องมือที่จะช่วยให้คุณทำสิ่งนั้นได้อย่างสม่ำเสมอ เพื่อให้ทันสมัยอยู่เสมอ เพื่อให้แน่ใจว่าคุณเป็นผู้ปฏิบัติงานและผู้ดูแลโครงสร้างพื้นฐานที่มีความรับผิดชอบ และคุณสามารถเป็นเจ้าของข้อมูลที่รับผิดชอบที่คุณรวบรวมในนามของลูกค้าได้

ชิ้นส่วนที่สองคือคุณมีกฎควบคุมระบบอะไรบ้าง และมีกลไกในการอัปเดตแนวทางป้องกันเหล่านั้นหรือไม่ เมื่อโลกเปลี่ยนแปลงไปรอบ ๆ AI ช่วยสร้าง ในช่วงเวลาที่เรานั่งบนเวทีที่นี่ โลก AI ช่วยสร้างได้ก้าวหน้าอย่างไม่น่าเชื่อ มีบางสิ่งใหม่ที่กำลังเกิดขึ้น มีวิธีใหม่ ๆ บางอย่างที่ทำให้เกิดปัญหากับโมเดลพื้นฐานที่บุคคลฉลาดบางคนคิดขึ้นและเราต้องสามารถป้องกันมันได้ แล้ววิธีการวนซ้ำอย่างรวดเร็วที่จะสามารถมีอิทธิพลต่อกฎควบคุมระบบที่คุณมีสำหรับแอปพลิเคชัน AI ช่วยสร้างของคุณคืออะไร

Sara Duffer:
ฉันคิดว่าคุณเล่นลูกไม้ ฉันคิดว่ามันเป็นสองข้อ ฉันก็จะเล่นลูกไม้นิดหน่อยเหมือนกัน และฉันอยากจะบอกว่ามันเป็นการถามทีมต่าง ๆ มากเกี่ยวกับวิธีที่พวกเขาจะรับรองว่าเป็นไปตามข้อกำหนดจริง ๆ สิ่งที่ฉันหมายถึงก็คือ ไม่ใช่แค่เรื่องของช่วงเวลาหนึ่ง เราจะบอกได้อย่างไรว่าเราปฏิบัติตามข้อกำหนดของมาตรฐาน กฎหมายต่าง ๆ หรือไม่ แต่ยังเป็นเรื่องของการเข้าใจจริง ๆ ว่าเราสามารถให้คำรับรองอย่างต่อเนื่องได้อย่างไรตลอดเวลา เพื่อที่คุณจะสามารถกำหนดได้อย่างแท้จริงว่าต้นทุนของผู้สร้างคือเท่าไหร่

ดังนั้น ฉันจึงอยากจะบอกว่ามีคำถามหลักสองข้อ นั่นคือ คุณปฏิบัติตามแนวปฏิบัติภายในหรือกฎหมายของคุณอย่างไร เป็นต้น และค่าใช้จ่ายสำหรับผู้สร้างคือเท่าไหร่ ซึ่งเป็นเรื่องสำคัญมาก เพราะคุณต้องการที่จะสามารถสร้างสรรค์สิ่งใหม่ ๆ ได้อย่างรวดเร็ว และคุณต้องการให้แน่ใจว่าคุณกำลังติดตามว่าผู้สร้างของคุณมีค่าใช้จ่ายเท่าไหร่ และยังคงต้องแน่ใจว่าคุณยังคงปฏิบัติตามข้อกำหนดอยู่

สุดท้าย คำถามสุดท้ายที่ฉันมีก็คือ จากการพูดคุยกับลูกค้าเป็นประจำ คุณมีคำแนะนำที่ดีที่สุดอะไรสำหรับลูกค้าในการอนุมัติมาตรการรักษาความปลอดภัยของพวกเขาทันที

Chris Betz:
สำหรับบริษัทภายในของคุณและสำหรับลูกค้าของคุณ ค้นหาวิธีการใช้พาสคีย์ การหลีกหนี้จากการใช้รหัสผ่านถือเป็นการเปลี่ยนแปลงครั้งสำคัญสำหรับทั้งพนักงานและลูกค้าของคุณ ใช้ประโยชน์จากเทคโนโลยีนั้น มันเป็นก้าวกระโดดครั้งใหญ่ไปข้างหน้า นำไปใช้ตั้งแต่วันนี้

Steve Schmidt:
และไม่เพียงแต่จะปลอดภัยมากขึ้นเท่านั้น แต่ยังมอบประสบการณ์ผู้ใช้ที่ดียิ่งขึ้นอีกด้วย มันราบรื่นมาก ให้ผู้เชี่ยวชาญด้านเทคนิคของคุณมุ่งเน้นไปที่สิ่งนี้ และค้นหาว่าเหตุใดพวกเขาจึงไม่ทำสิ่งนี้ในตอนนี้

อันดับสองน่าตื่นเต้นน้อยกว่าพาสคีย์และการรักษาความปลอดภัย การจัดการช่องโหว่ แพตช์ระบบของคุณ มันคือการป้องกันที่ดีที่สุดที่คุณมีต่อผู้คนข้างนอก

Chris Betz:
หรือให้เราแพตช์ให้คุณ

Steve Schmidt:
แน่นอน

Chris Betz:
ใช้ Lambdas และสิ่งอื่น ๆ

Steve Schmidt:
ใช่ครับ

Sara Duffer:
ขอบคุณมากที่เข้าร่วมกับเราวันนี้ และขอขอบคุณอีกครั้งสำหรับการสละเวลาค่ะ