Amazon İşletmelerinde Güvenliği Doğru Boyutlandırma

Clarke Rodgers:
Steve, bugün bana katıldığınız için çok teşekkür ederim.

Steve Schmidt:
Burada olduğum için mutluyum. Teşekkürler.

Clarke Rodgers:
En son konuştuğumuzdan beri epey oldu. Aslında dün gece hesapladım. Yaklaşık dört yıl olmuş.

Steve Schmidt:
Vay canına.

Clarke Rodgers:
Yani dört yıl önce neler olduğunu hatırlarsak, pandemi devam ediyordu. Sizinle uzaktan bir röportaj yapmıştık ve siz farklı bir görevdeydiniz, değil mi? Yani AWS'de Bilgi Güvenliğinden Sorumlu Direktördünüz. O röportajdan çok kısa bir süre sonra Amazon'un CEO'su Andy oldu ve yaptığı ilk şeylerden biri sizi Güvenlikten Sorumlu Direktör görevine getirmek oldu. Bunu neden yaptığından biraz bahseder misiniz?

Steve Schmidt:
Elbette. Yani Andy'nin gerçekten değer verdiği şeylerden biri, müşterilerimizin bilgilerini nasıl koruduğumuzu anlamak. Bu da AWS'de işletmenin kendisi için temel bir zorunluluktan doğdu. Güvenliği doğru yapmadığınız sürece AWS gibi bir işletmeniz olamaz.

O da yeni görevine geldiğinde, aynı zihniyeti benimsemek ve bunu Amazon'un şu anda faaliyet gösterdiği inanılmaz işletme yelpazesindeki tüm müşterilerimize uygulamak istedi. Ayrıca, günlük işi her gün bu tür şeylere göz kulak olan birinin olduğundan da emin olmak istedi. Benden de adım atmamı ve bu görevi devralmamı istedi.

Clarke Rodgers:
Güvenlikten Sorumlu Direktör olarak, yani unvanınızdan bir kelime eksildi, değil mi? Artık CSO'sunuz. Benzer şekilde unvanından "I" eksilen başka birkaç müşteriyle de röportaj yapmıştık. Bilgi kelimesine özel olarak yer verilmeden, güvenlikten sorumlu direktör olmanın neden önemli olduğunu biraz anlatabilir misiniz?

Steve Schmidt:
Elbette. Dolayısıyla, bizim dünyanın gerçek para birimi olan bilginin korunması meselesine baktığınızda, CISO işinde insanların alışkın oldukları mantıksal bileşen kesinlikle var. Ancak rakiplerimiz, mantıksal bir perspektiften elde edilmesi zor olan bilgilerin peşinden gitmek için insanları giderek daha fazla kullanıyor.

Endüstride bu tür sarkaç dalgalanmaları oluyor. Uzun zaman önce ise insanların casusları, fiziksel casusları vardı ve bunlar içeri sızıp belgelerin kopyalarını falan alırlardı. Bilgisayar sistemleriyle internete girdiğimizde ise, yeni fırsatlar var, dediler. Gidip oralara uzaktan sızalım vs. İşletmeler, ister şirket içinde ister başka bir yerde olsun, bilgileri güvence altına alma konusunda daha iyi hale geldikçe insanlar, görünüşe göre, tekrar casus olmaya başladılar.

Müşterilerimizin verileriyle yaptıklarımıza ve bunları koruma biçimlerimize dair tam bir resim elde etmek için hem fiziksel varlıklarımızın hem de bilgi varlıklarımızın, yani mantıksal varlıklarımızın ve de işletme verilerimizin korunmasını entegre etmeliyiz. Çünkü şimdi çoğu zaman ulus-devlet rakiplerimiz sadece müşterilerimizin sahip olduğu verilere erişmeye değil, aynı zamanda işimizi bir sonraki adımda nereye götüreceğimize dair bilgilere de odaklanıyor.

Uydu veya robotik araç olsun yeni çok ilginç ürün veya hizmetleri nasıl inşa ettiğimize. Bunlar sadece dünyanın dört bir yanındaki ülkeler için değil, aynı zamanda destekledikleri işletmeler için de inanılmaz bir değerde. Güvenlik uzmanları olarak, rakiplerimizin kim olduğuna ve onlara karşı nasıl korunacağımıza ilişkin tam resmi görmeliyiz.

Clarke Rodgers:
Kesinlikle. CSO görevine başlamanızla birlikte artık fiziksel güvenlik raporları aldığınıza da göre sanırım, bilgi güvenliği uzmanlarının konuştuğu dil ile fiziksel güvenlik çalışanlarının konuştuğu dil iki farklı düzlemde olabiliyordur. Aynı dili konuşmaları ve birlikte etkili bir şekilde çalışabilmeleri için bu ikisini nasıl entegre ediyorsunuz?

Steve Schmidt:
Elbette. İkisinin de kendi dilleri olduğu için bunun, kelime seçimleriyle pek ilgisi yok. Kesinlikle haklısınız. Önemli olan, nihai hedeflerinin ne olduğunu, bu hedefe doğru ilerlemeyi nasıl ölçeceğinizi anlamak ve en önemlisi de fiziksel dünya ile mantıksal dünya arasındaki devir noktalarını veya boşlukları tanımlamak.

Şöyle düşünün: Fiziksel dünyadayken rakiplerimizin şirket tarafından işe alınmasını engellediğim binalara insanların girmesini engelliyorum. Ama olur da bir rakip bir binaya girerse bu, bilgi güvenliği tarafını ilgilendirir mi? Eğer rakip lobide duruyorsa başka, içinde bir sürü ağ anahtarı olan bir odadaysa bambaşka durumlar söz konusu. Yani neler olup bittiğini doğru anlamak için bu ikisini birbirine bağlamalıyız.

Clarke Rodgers:
Bu köprüleri geçmek için sıfırdan oluşturmak zorunda kaldığınız araçlar oldu mu?

Steve Schmidt:
Evet. bir araya getirmemiz gereken araçlar ile süreçler oldu. Araç oluşturma sürekli bir evrim süreci. Veri toplamanın, analiz etmenin ve kullanmanın yollarını bulmada teorik olarak her zaman daha iyi hale geliyoruz. Aslında daha ilginç ve daha zor olduğu kısım, bunları işin farklı bölümleri arasında nasıl dağıtacağınızı ve amaçlarını yerine getirmek için gerekli oldukları yerlere erişebilmelerini nasıl sağlayacağınızı çözmek. Tabii bunu yaparken, topladığımız devasa bilgi yığınları arasında önemli bilgileri bulamayacak düzeyde onları verilerle de boğmamak.

İşlem bileşeninin devreye girdiği yer de burası. Bu da genellikle hassas olabilecek, hassas olan vb. şeylerin aniden ortaya çıkması ve bunların organizasyonun bir bölümünden diğerine geçirilmesini sağlamanın yollarını bulmakla ilgilidir. Bunun için de gerçekten çok nitelikli insanlar gerekiyor. "Bu kendi başına zararsız görünüyor olabilir ama daha önce gördüğümüz şu durumla birleştiğinde gerçekten ilginç şeyler olabilir." diye düşünebilecek insanlar. Maalesef bunu yapabilecek bir sistem henüz yok. Belki gelecekte biraz yapay zeka eğitimiyle oraya ulaşabiliriz ancak şu anda o noktada değiliz.

Clarke Rodgers:
Bu çok, çok ilginç. Güvenlik programını AWS'de siz başlattınız. Yani AWS'yi baştan sona biliyorsunuz. Onun nasıl güvence altına alınacağını, ona karşı olan tehditleri, risk iştahını vb. her şeyi. CSO rolüne geçmenizden sonra, amazon.com veya kurum içi mağazalar dediğimiz Whole Foods, Prime Video, MGM, Twitch ve tüm bu farklı kuruluşlar hakkında bilgi edinmeniz gerekiyor.

İlk olarak, bu işletmelerin her biri için güvenlik profilini ve risk iştahını nasıl öğrendiniz ve sonra hepsini nasıl bir araya getirdiniz? Ortak çatı altında, tek pencereden, Whole Foods için belirlenen risk profilinin AWS için de uygun olduğuna kanaat getirdiniz mi? Tüm bunları nasıl çözdünüz?

Steve Schmidt:
Her şeyden önce, işimde en sevdiğim şeylerden biri işletmelerin çeşitliliği. İnsanlar diyor ki 16 yıldır aynı pozisyondasın. Bu, güvenlik sektöründeki biri için gerçekten alışılmadık bir durum. Peki, neden? Bunun nedeni, bu şirketteki iş çeşitliliği. Öğrenmeye devam etmek için bir fırsat bu ve ben buna bayılıyorum.

O kadar genç değilim. Diyorlar ki, ne kadar daha çalışmaya devam edeceksin? Emekli olacak mısın, falan? Ben de diyorum ki benim keyfim yerinde. Emekli olmak istemiyorum. İşim gerçekten çok eğlenceli. Çünkü dünyanın en büyük bulut sağlayıcısını oluşturmaktan uzaya uydu göndermeye ve marketleri işletmeye geçiyorsunuz. Oradaki çeşitlilik, iş açısından inanılmaz zorluk yaratıyor ancak aynı zamanda işleyişi daha ucuz hale getirmek için şirketin ölçeğinden yararlanmak açısından ilginç bir fırsat.

İşleyen güvenlik kuruluşlarına baktığınızda ucuz olmadıklarını görürsünüz. Ancak bunu Amazon'unki kadar büyük bir işletmeye ölçeklendirebildiğinizde bu, birim maliyetin düşebileceği anlamına gelir.

Clarke Rodgers:
Kesinlikle.

Steve Schmidt:
Böylece her işletme diğer işletmelerin ölçeğinden yararlanır. Bir market için, uydu işletmesinin kullandığı güvenlikten yararlanabileceğiniz yollar bulmak mesele, ki birçok alanda bunu yapabiliyorlar, örneğin güvenlik açığı yönetiminde. İster uydu yapıyor olun isterse market işletiyor olun, bir bilgisayar sistemine bağlı olup olmamak temelde hemen hemen aynı şeydir.

Bu da bağımsız bir işletmenin gerçekten göze alamayacağı bir düzeyde işler yapmamıza ve herkes için çıtayı yükseltmemize izin veriyor. Buradaki işimin bir parçası da bu. İster güvenlik açığı yönetimi, ister olay müdahalesi veya tipik bir güvenlik organizasyonuna giren diğer bileşenlerden herhangi biri için olsun, şirket genelinde standartlaştırılmış bir çıtamız olduğundan emin olmak.

Ardından, benzersiz durumları nedeniyle belirli işletmeler için uygulanması gereken ısmarlama bileşenlerin neler olduğunu bulmak. Bu şekilde herkese uyacak tek bir kalıp uygulamaya çalışmayız çünkü bu maliyetleri artırmaktan başka bir şey yapmaz. Örneğin bir markete bakarsanız oradaki bir birimin kaybı nispeten önemsiz bir değerdeyken bir uydunun kaybı tam tersidir.

Clarke Rodgers:
Kesinlikle.

Steve Schmidt:
Yani, güvenlik durumunu bileşenler için tek tek uyarlamamız gerekiyor.

Clarke Rodgers:
Peki... Baştan alayım. Bu diğer işletmelerin her biri için güvenlik programlarını yürüten, bilgi güvenliğinden sorumlu direktörleriniz var. Güvenlik işlerini yürütmeleri konusunda onları nasıl sorumlu tutuyorsunuz?

Steve Schmidt:
Amazon'un şirket genelinde çok odaklandığı şeylerden biri, tek iş parçacığından sorumlu olma fikridir. Yani işi, bir şeyin sadece bir bileşenine odaklanmak olan biri. Güvenlik konusunda da bu yüzden her bir işletme için bir CISO'muz var. Bunun iki nedeni var.

Birincisi, bana her gün sadece buna odaklanan biri lazım. Örneğin cihazlar ve Kuiper alanındaki Amy Herzog ya da AWS'ye bakan Chris Betz. Ama aynı zamanda tüm bunlar için ortak ölçümler kullanıyorum. Örneğin tüm şirketi kapsayan ve aynı sayıları, aynı metodolojileri, aynı sunum yöntemlerini vb. kullanan bir güvenlik açığı yönetimi aylık iş incelemesine bakıyorum.

Böylece bu işletmelerin her birinde tutarlı olan ortak bir görüşümüz oluyor. Bu da iki şeye olanak sağlıyor. Birincisi, istediğimiz çıtaya ulaştığımızdan emin olmak. İkincisi ise işletmenin her köşesinde istediğimiz görünürlüğü uyguladığımızdan emin olmak. Çünkü çoğu zaman insanlar, "bu önemli bir şey değil", "bu küçük bir şey" vb. düşüncelerde oldukları yerde sorun yaşarlar.

İşte tam orada kötü adam içeri girer ve hepimizin canı yanar. Bu yüzden her şeye 10 bin fit yukarıdan bakma olanağı ile şirketin her yerinde yapmamız gereken şeyleri yaptığımızdan emin oluyoruz.

Clarke Rodgers:
Amazon güvenliği veya AMSEC şemsiyesi altında herkesin yararlanabileceği merkezi sistemleriniz var.

Steve Schmidt:
Tüm işletmelerimizde temelde aynı olan birçok şey var. Belirli veri türlerini toplama şekliniz, bu verileri analiz etme veya rapor verme şekliniz. Her bir işletmenin aynı şeyi tekrar tekrar yapmasını istemek yerine, bunları tek bir noktaya taşımaya karar verdik. Bunlar, geliştirici zamanı gibi şeylerden tasarruf etmemizi sağlıyor.

Büyük bir ölçekte çalıştırmayı düşünüyorsanız, güvenlik açığı yönetimine geri dönelim, toplama motoruna, bunun için nöbetçi mühendislerinizin olması gerekir. Daha önce nöbetçili bir organizasyon işlettiyseniz, ki işlettiniz, nöbetçi bir kişinin kalabilmesi için aynı işi etkili bir şekilde yapabilen yaklaşık yedi kişinin olması gerekir; izinleri, tatilleri ve diğer her şeyi planlayarak.

Clarke Rodgers:
İnsanların tatil yapmasını istiyoruz.

Steve Schmidt:
Bu doğru. Bunu tek bir yerden bir grup farklı işletmeye yaymak, bunu daha etkili bir şekilde yaptığımız anlamına gelir çünkü merkezi olarak ve daha düşük maliyetle daha iyi araçlarımız olur.

Clarke Rodgers:
Tüm bu farklı işletmelerdeki güvenlik durumunu Amazon yönetim kuruluna raporlama süreçlerinde şimdiye kadar hangi uygulamaları geliştirdiniz veya izlediniz?

Steve Schmidt:
Öncelikle Amazon yönetim kurulu çok ilginç bir kurul. Nüfus genelinde Amazon'un yönetim kurulunun sahip olduğu teknik zekaya sahip çok az kurul vardır. Öte yandan Amazon birkaç yıl önce bir güvenlik alt komitesi oluşturmayı seçti. Örneğin güvenliğin denetim komitesine rapor verebileceği birçok yerden farklı olarak, Amazon yönetim kurulunda işi sadece güvenliğe bakmak olan özel bir grup insan var.

Bu harika bir şey ve aynı zamanda süreçte bizim çok fazla incelendiğimiz anlamına geliyor. Bu yüzden bir raporlama mekanizması oluşturmak ve bunu iki nedenden dolayı zaman içinde geliştirmek zorunda kaldık. Birincisi, raporlama konusundaki işimizi yapmakta giderek daha iyi olmamız. İkincisi, yönetim kurulunun zamanla daha bilgili hale gelmesi. Daha isabetli sorular soruyor, işin niş alanları hakkında daha spesifik ayrıntılar bilmek istiyorlar. Genellikle her konuştuğumuzda işletmenin belirli bileşenleri hakkında onlara rapor vermenin önemli olduğunu görüyoruz. "Belirli yerlerde güvenlik çıtamıza ulaşıyor muyuz?" gibi.

Ek olarak, gerçekten ilgilendikleri şeyler oluyor. "Bize işin bu özel bölümünden bahsedin" ya da "Şu girdiğimiz alanda birçok risk olduğunu düşünüyoruz, bize onun hakkında bir özet sunun" gibi. Bu da tutarlı bir bileşenimiz ve onların ilgi alanlarına göre değişken bir bileşenimiz olmasını sağlıyor.

Böylece sona güncel gelişmeler adlı bir bölüm koymaya karar verdik. Buraya haberlerde gördüğünüz olayları alıp bizim için belirli derslerin veya dikkate alınması gereken hususların olduğu kısımları ayrıştırıyoruz ve sonunda bunu bilgilendirici bir bileşen olarak kurula sunuyoruz. "İşte sektörde böyle bir şey oldu, işte biz bu yüzden etkilenmedik.

Etkilenmememizi sağlayan yatırım işte bu." gibi. Ve bunun yönetim kurulu için çok büyük bir değeri olduğunu düşünüyorum. Birincisi, iyi bir noktada olduğumuzu anlıyorlar. İkinci olarak ise alınacak yatırım kararlarına yönelik bilgilendirmeye yardımcı oluyor. Örneğin sekiz yıl önce, 10 yıl önce çok faktörlü kimlik doğrulamasına yatırım yaptığımızı ve bunun şu diğer büyük şirketi etkileyen o özel tehdit aktörünün bizi etkilemesini engellediğini söyleyebildiğimizde, tamam, harika, diyorlar. "Gelecek 10 yıl içinde sorunlardan kaçınmaya devam etmemize yardımcı olması için şimdi planlamamız gereken diğer yatırımlar neler?" diye soruyorlar.

Clarke Rodgers:
CISO müşterilerimizin çoğu, yönetim kuruluna çok odaklanıyor. Bazıları ise diğerleri kadar FaceTime yapmıyor. Bizim yönetim kurulumuzun güvenlik anlayışları nedeniyle benzersiz olduğunu zaten söylediniz. Kendi kurullarına rapor veren CISO meslektaşlarınıza veya CSO meslektaşlarınıza, puanlarını öne çıkarma, yönetim kurulunun dilini konuşma vb. alanlarda gerçekten yardımcı olabilecek ne gibi önerilerde bulunursunuz?

Steve Schmidt:
Yönetim kurulu üyelerinden işleri yapma şeklimizi neden sevdiklerine dair duyduğum en önemli şey, jargondan kaçınmaya çok dikkat etmemiz. CISO rollerindeki pek çok insan teknik dil konuşur ve olayları şöyle rapor etmek isterler...

Clarke Rodgers:
Bitler ve baytlar şeklinde.

Steve Schmidt:
Kesinlikle, konu hakkında nasıl düşünüyorlarsa onu yansıtırlar. Ama şunu unutmamalıyız, bu noktada yönetim kurulu, müşteridir. Bu yüzden onlara sunum yaparken, onların dillerini konuşmalıyız ve konuları, o kurulun anladığı bir bağlamda açıklamanın yollarını bulmalıyız.

Yani ilk önerim, özünün anlaşılmasını zorlaştıracak şekilde her seferinde değişik bir raporlama mekanizması yerine tutarlı bir raporlama mekanizması bulmaktır. İkincisi, her seferinde açıklamak istediğiniz gerçekten iki veya üç çok önemli ölçümün ne olduğunu bulmaktır.

İnsanları ölçümlere boğmayın. Örneğin biz her zaman güvenlik açığı yönetimi hakkında rapor veririz. Bu, işlettiğimiz ve bence herkesin işlettiği en önemli temel güvenlik kontrolüdür. Ardından ilginç eklentiler olan şeylerin neler olduğunu anlarız. Bu da sonunda "yatırım yapmamız gerekiyor mu?" sorusunu geliştirmenize yardımcı olur. Yani raporlama sürecinin bileşenleri arasında kasıtlı bir ayrımı yapılmalı.

Clarke Rodgers:
Buraya yatırım yaparsak oradaki riski azaltırız, gibi mi?

Steve Schmidt:
Evet, hem mevcut risk azaltmanın hem de ileriye dönük azaltmanın birleşimi ve ileriye dönük olan, güvenlik uzmanları olarak işimizin muhtemelen en zor kısmı çünkü kullanabileceğimiz bir kanıtımız yok. Birçok insan da bakıp, bu gerçekten gerekli mi, diye sorar.

"Hemen şimdi yapmak zorunda mıyız?" "Bu kadar büyük mü yapmak zorunda mıyız?" "Daha küçük olabilir mi?" Bunlar hepimizde olması gereken argümanlar ve zaman içinde kurulda da bu tür bir bilgi birikimi oluşturabilmemiz gerekiyor. Örneğin "bunlar, gerçek dünyada kötüye kullanım örnekleri ve böyle görünüyorlar ve bunların şu kadar sürede bizim için de geçerli olacağını düşünüyoruz; bu nedenle şimdi veya iki yıl veya üç yıl içinde harekete geçmeliyiz." şeklinde.

Clarke Rodgers:
Anladım. Amazon olarak inovasyon, geriye doğru çalışma, müşterilerimizi dinlememiz vb. ile tanınıyoruz. Bir güvenlik lideri olarak, birçok seçeneğiniz var ve bu, CISO'larınızın size verdikleri raporlara bağlı olabilir. Satın aldığınız araçlar ve sıfırdan oluşturmanız gereken araçlar konusunda birçok seçeneğiniz var. Çoğu zaman ölçeğe de bağlı.

Ticari kullanıma hazır yazılımlar, Amazon'un ölçeğine uygun hale getirilebilir veya getirilemeyebilir ve sizin bir şeyleri sıfırdan oluşturmanız gerekir. Geçen yıl, Madpot, Mithra ve Sonaris gibi araçları herkese açık bir şekilde konuştuk. CSO olarak, mühendislik kaynaklarıyla bu tür araçları desteklemek üzere gerekli yatırımın yapılması için fikri nasıl sunarsınız? Bahsetmediğimiz daha diğer birçok araç olduğunu sanıyorum. Bunların yatırıma layık olduğunu ve bunlardan elde edeceğimiz değerin şu kadar olduğunu söylemek için nasıl bir sunum yaparsınız?

Steve Schmidt:
Elbette. Önce satın alınan araçları ile bizim inşa ettiğimiz şeyleri birbirinden ayıralım. Bunun önemli bir başlangıç noktası olduğunu düşünüyorum. Araçları alınıp satılabilen mallar olduklarında satın alırız. Örneğin, uç nokta algılama yanıtı, bunu kendimiz oluşturmak yerine satın alıyoruz. Neden? Çünkü kullandığımız Mac dizüstü bilgisayarlar, Windows dizüstü bilgisayarlar, Linux dizüstü bilgisayarlar, diğer birçok insanın kullandığının aynısı.

Farklı yazılımlarımız yüklü olabilir ancak işimizi gerçek anlamda farklılaştırmıyor. Oysa örnek olarak Madpot gibi çok büyük ölçekli bir sistem inşa edebilecek tek kuruluş biziz. Başka kimsenin yapamayacağı bir şey inşa edebileceğimiz noktada, yatırım yapma eğiliminde oluruz.

Bu yatırım sürecini, diğer birçok şeyi yaptığımız gibi yürütüyoruz. Prototiplerini yaparsınız, denersiniz, neyin işe yaradığını neyin yaramadığını görürsünüz. İlk seferinde doğru yapamayacağınız garantidir. Dolayısıyla gidip yeniden tasarlamanız gerekir, biraz değiştirmeniz vb. Madpot inanılmaz derecede başarılı oldu ama bir gecede ortaya çıkmadı. Uzun yıllara yayılan bir yatırımdı. "Bu fikri gerçekten beğendim. Bakalım ilginç bir şeye dönüşebilecek mi?" diyen tek bir mühendisle başladı.

Tehdit zekası verilerini gerçekten zamanında elde etmemizi sağlayan ve buradan aldıklarımızı işleyip tüm müşterilerimizin erişebileceği güvenlik araçlarına gönderebildiğimiz bu günkü motora sonradan dönüştü. Bence en önemli kısım burası. Örneğin pek çok müşterimiz diyor ki "ben tehdit zekası akışlarının ham halini istiyorum."

Aslında hayır, istemiyorlar. Gerçekten istedikleri şey, o anda faaliyet gösterdikleri bağlamda kendileriyle ilgili olan şeyler. Geri kalanı sadece gürültü ve o gürültünün hacmi şimdi o kadar büyük ki. Bizimki gibi bir işiniz yoksa her şeyi sindirmeye çalışmak anlamsız.

Böylece birçok müşterimiz, aslında tehdit zekası gibi şeyleri alıp yönetilen bir hizmetin parçası olarak kullanmaktan hoşlandıklarını fark etti. Böylece, çok büyük veri yığınlarını ayrıştırmaya veya birden fazla müşteriye uygulanmadığı için de eksik bağlama zaman harcamak zorunda kalmıyorlar.

Bu bağlam meselesi önemli bir mesele. Metalaştırma ile özel yapılar karşılaştırmamıza geri dönersek, yalnızca bizde olan merkezi görünürlüğün gerçekten avantaj sağladığı yer de burasıdır.

Clarke Rodgers:
Sanırım, daha iyi bir kelime olmadığı için "dahili sunum" diyeceğim, şöyle oluyor: "Bu, AWS/Amazon'u güvence altına almamıza yardımcı oluyor ve müşterilerimize fayda sağlıyor. Demek istediğim bu bir kazanım." şeklinde.

Steve Schmidt:
Tipik Amazon dilinde, önce müşterilerle başlarız ve bu, tüm müşterilerimizin kendilerini daha iyi bir şekilde güvende tutmasına yardımcı oluyor, deriz. Aynı zamanda, işimizde bize de yardımcı oluyor çünkü işletmelerimizin çoğu zaten Amazon AWS müşterileri. Bu yüzden her yönden faydalı.

Clarke Rodgers:
Harika. Biraz konuyu değiştirelim. Geçen yıl, üretken yapay zeka yılıydı. Konuştuğum müşterilerimizin çoğu, "işletmelerin" kullandığı bir araç olarak üretken yapay zekanın güvenliğini sağlamaya odaklanıyor. Üçüncü taraf araçları veya Amazon Bedrock kullanmalarından bağımsız olarak aracın güvenliğini sağlamaya çalışıyorlar. Üretken yapay zekanın aslında bir güvenlik aracı olarak veya güvenlik araçları zincirinizin bir parçası olarak kullanılması açısından neler görüyorsunuz ya da Amazon bünyesinde neler yapıyoruz?

Steve Schmidt:
Üretken yapay zekanın şimdiye kadar gördüğümüz en etkili kullanımı, uygulama güvenliği sürecinin kendisinde oldu. AWS'de aşina olduğunuz gibi, sunulan her özellik uygulaması vb. piyasaya sürülmeden önce bir güvenlik incelemesine tabi tutulur. Diğer işletmeler geçmişte bu lükse sahip değildi çünkü bunu yapmak inanılmaz derecede maliyetli, özellikle de bunun, kelimenin tam anlamıyla o işe odaklanan binlerce güvenlik mühendisi anlamına geldiğini düşündüğünüzde.

Piyasadaki çoğu şirketin, Amazon'da AppSec çalışmalarını yapan güvenlik mühendisi ekibi kadar geniş bir ekibi yok. Dolsyısıyla, üretken yapay zeka bize bu alanda muazzam bir avantaj sağlıyor. Hâlâ deneme aşamasında olduğunu söylemem gerek ama çok büyük umut vadediyor.

Zamanla uygulama güvenliği alanındaki insan iş yüklerinde muhtemelen %60 ila 70 oranında bir azalma göreceğimizi düşünüyoruz. Bu da her zaman her şeyi değerlendirmeye yatırım yapan AWS gibi yerlerde ve daha önce hiç değerlendirilmeyip daha fazla bakma fırsatının olduğu alanlarda işleri daha düşük maliyetlerle daha hızlı yapabileceğimiz anlamına geliyor ki bu da sonuçta daha fazla kapsama alanı demek. Yani bir tür çifte kazanım söz konusu.

Clarke Rodgers:
Yani üretken yapay zeka ile tasarruf ettiğiniz insan çalışma saatlerini, siber güvenlik alanındaki diğer zorlu işlerde kullanacaksınız.

Steve Schmidt:
Aslında elimizdeki hizmetlere daha derinlemesine bakmak ve genel olarak daha fazla uygulamayı incelemek için kullanılacak. Diğer taraftan, üretken yapay zeka, bunların çoğu için tüm çözümü sağlamayacak. Yapacağı şey, isterseniz birçok kolay ulaşılabilir hedefi ayıklamak olacak ve mühendislerimizin sadece bir insanın ele alabileceği gerçekten, gerçekten ilginç sorunlara odaklanmasına izin verecek.

İnsanlar üretken yapay zekanın tüm sorunları çözebileceğini düşünüyor ama bu henüz mümkün değil. Hatta bence, üretken yapay zekanın güvenlik alanında bunu yapabileceğini söyleyenler muhtemelen neler olduğunu pek anlamıyorlar. Bu alanda her zaman insan gözetimi olmalı, en azından şu anda. Daha da önemlisi, üretken yapay zekanın doğru kararı verip vermediğini belirleyen insan yargısı olmalıdır.

Clarke Rodgers:
İnsanlarla konuşmak veya onlarla kalmak. Amazon veya AWS'de harika bir güvenlik çalışanı olmak ne demek?

Steve Schmidt:
Güvenlik çalışanlarımızda aradığımız ve çoğu insanın düşündüğü bir numaralı özelliğin, özel bir tür teknik zeka ya da merak olduğunu söyleyebilirim.

Clarke Rodgers:
Açar mısınız?

Steve Schmidt:
Şöyle anlatayım: Bir soruna bakıp, tamam, böyle bir sorun, demeyen biri. Onun yerine, "peki, bu neden oldu? Peki, orada olmasının asıl sebebi neydi? Neden daha erken tespit etmedik? Neden bir inşaatçının başlangıçta yanlış yapabileceği bir şeydi?" diyen biri. Gerçekten, gerçekten ilgilendiğimiz kişiler, araştırmaya durmadan devam eden kişiler.

Ve kullandığımız hata düzeltme sürecine, COE'yi biliyorsunuz. En altta ne var? Beş neden sorusu. Bu da aynı şey. Sorunun en üstteki bir belirtisini ele almak yerine, sorunun kökenine inmek.

Clarke Rodgers:
Yani merak her şeyden üstün,

Steve Schmidt:
Merak her şeyden üstün. Evet.

Clarke Rodgers:
Size bir kristal küre versem...

Steve Schmidt:
Ah-ah.

Clarke Rodgers:
Pardon. Soru şu. Bu kristal küreye baktığınızda CSO'lar ve CISO'ların önümüzdeki yıl ve sonrasında nelere odaklanacağını görüyorsunuz?

Steve Schmidt:
Bence çoğu insan üretken yapay zekaya odaklanmak zorunda kalacak çünkü işletmeleri bu hizmetleri inanılmaz bir hızla tüketiyor ve iki şey yapmak zorunda kalacaklar. Birincisi, üretken yapay zekayı nerede kullandıklarını anlamak. Bence Amazon olarak şanslı bir yerdeyiz ve tüm geliştiricilerimizin üretken yapay zekayı nerede kullandığını görmemizi sağlayan merkezi görünürlük bizde var.

Çoğu şirket böyle değil ve bunu çözmeleri gerekiyor. İkincisi, üretken yapay zeka için, RAG'yi nasıl yaptığınızı ve bu süreç boyunca yetki ve kimlik doğrulamasını uygun şekilde uygulayıp uygulamadığınızı anlamanız gerekecek. Bunlar basit değil. Yazılım dünyasının bile henüz tamamen başarıyla altından kalkamadığı bir şey.

Üretken yapay zekayı, yalnızca diğer uçtaki kişinin o anda olduğu yerden kullandığı ekipmanda erişim yetkisinin olduğu istemin sonucu olarak verileri geri sunacak şekilde kullanabilmek inanılmaz derecede önemli bir olay. Çoğu insan henüz bu sorunu daha düşünmedi bile.

Ama gerçekte, şu anda Amazon'daki dahili sistemlerimizde, siz dizüstü bilgisayarınızda dahili sistemlerimizi kullanırken sizinle ilgili birçok şeyi ölçüyoruz. Kelimenin tam anlamıyla, dizüstü bilgisayarınız beklediğimiz durumda mı? Yamaları uyguladınız mı? vb.

Hepimiz yamaları uygulamazsak karantinaya alınacağımızı söyleyen küçük bildirimler almışızdır. Dünyanın neresindesiniz? İşiniz ne? Çoğu insanın baktığımızdan haberi bile olmadığı şeyler de var. Mesela, haftanın hangi günü? Erişim saatiniz normalde eriştiğiniz bir saat mi yoksa alışılmadık bir durumda mısınız? Bu tür şeyler.

Clarke Rodgers:
Bu Clarke için normal mi?

Steve Schmidt:
Bu doğru. Bu Clarke için normal mi ve bu Clarke'ın işindeki bir kişi için normal mi? Bu kontroller çoğu yerde yapılmaz. Bu yüzden bütünlük korumalarının uygulanması çok önemli. Bunu yapmak için hangi sistemi kullandığınız umurumda değil. Bütünlük korumalarının uygulanıyor olması yeterli.

Bu bütünlük korumaları, çevrenizdeki tehdit ortamı geliştikçe, üretken yapay zeka bilimi değiştikçe ve işletmeniz, üretken bir yapay zeka sistemine beslenen verilerin kabul edilebilir kullanımına dair giderek daha fazla ayrıntı belirledikçe sürekli gelişmelidir.

Clarke Rodgers:
Bu harika ve müthiş bir tavsiye. Tahminlerinizin gerçekleşip gerçekleşmediğini göreceğiz. Steve, tüm Amazon'un Güvenlikten Sorumlu Direktörüsünüz. En özet haliyle bile oldukça stresli bir iş. Sadece kendi akıl sağlığınızı korumak ve bir nevi stres atmak için değil, aynı zamanda dünyadaki gelişmeleri takip etmek, uyum sağlamak, bazen de ilişkinizi kesmek için neler yapıyorsunuz ve ayrıca liderlerinizin de kendilerine iyi baktıklarından nasıl emin oluyorsunuz?

Steve Schmidt:
Şirkette yeni veya deneyimli tüm liderlerimizle odaklandığım ilk şey, kendilerini işten uzaklaştırmak için neler yaptıklarıdır? İşlerimiz inanılmaz derecede stresli. Gerçekte asla düğmesi kapanmayan şeyler var.

Dolayısıyla, sorumlulukları insanlar arasında resmi olarak dağıtıp ve "Evet, Clark, önümüzdeki altı gün boyunca tatildesiniz. Sizden haber almak istemiyorum. Çevrimiçi olmanızı istemiyorum." demenin yollarını bulmak gerekiyor. Çalışanlarımız ise kendilerini işlerine inanılmaz derecede adıyorlar. İnsanları bilgisayarlarını kapatmakla tehdit ettiğim zamanlar oldu. "Tatilde olmanız gerekiyor, bana e-posta göndermeyi bırakın.

Bağlılığınız için minnettarım ama tükenmeniz daha büyük sorun yaratır." diyerek. Biz maratondayız. Sprint atmıyoruz. Bu mekanizmayı inşa etmek de çok önemli. İkincisi, bireysel olarak değer verdiğiniz bir aktivitenizin olması. Müzisyen olanlar var, dağlara tırmananlar var. Bazıları da balık tutmaya gider. Ben şahsen gönüllü bir itfaiyeci ve sağlık görevlisiyim.

Clarke Rodgers:
Oh, vay canına.

Steve Schmidt:
Bu benim için günlük işimin tam tersi olan bir şey. Yani insanız. İnsanlarla etkileşim kurmayı seviyoruz. Burada sizinle yüz yüze konuşuyorum. Yaşasın, ekrandan değil. Müthiş. Ama benim günlük işimde bundan çok farklı iki şey var.

Birincisi, günlük görevimde yaptığım çoğu işin gelecek üç, beş, on yıl sonra etkili olacak olması. Yani getirisini anında almıyorum. İkincisi, insanları sadece ekranlarından gördüğüm ve dokunamadığım bilgisayarlarla çalışmam. Yani hayatımın eğlenceli olan itfaiyeci, sağlık görevlisi olduğum tarafta, bireysel işimi iyi yaparsam ulaşabileceğim ve dokunabileceğim bir kişinin daha iyi bir gün geçirmesine yardımcı olabilirim. Bu da bana bir insan olarak arzuladığım o anlık geri bildirimi veriyor. Ayrıca tamamen mantıksal olan bir şeyin aksine çok fiziksel bir iş.

Clarke Rodgers:
Farklı bir stres türü ama muhtemelen daha sağlıklıdır.

Steve Schmidt:
Evet. İronisi şurada: Yapılan birçok çalışmada uzun süredir itfaiyede çalışan insanların siren sesi açıldığında nabızlarının düştüğü bulunmuş. Çünkü orası onların mutlu olduğu yer ve tadını çıkarıyorlar. Düşününce, siren sesi ve ışıkları açılmış bir kamyonda olmayı sevmeyen var mıdır? Çok eğlenceli bir şey.

Clarke Rodgers:
Müthiş. Sanırım ve CSO olarak sizden bu konudaki görüşlerinizi duymayı da çok isterim: Her gün karşınıza verilmesi gereken kararlar ve çok kritik kararlar çıkıyordur. Sağlık görevlisi veya itfaiyeci görevinizde yüksek rütbeli misiniz, düşük rütbeli mi? Yani zor kararları başka biri veriyor ve siz sadece gününüze mi odaklanıyorsunuz?

Steve Schmidt:
İşin garip yanı, aslında kuruluşta şef yardımcısıyım ama bu diğer alanlardaki gibi teknik zekadan çok, liderlik becerileriyle ilgili bir görev. Ama bunu 38 yıldır yapıyorum.

Clarke Rodgers:
Müthiş.

Steve Schmidt:
Biraz deneyim kazandım yani.

Clarke Rodgers:
Harika. Steve, bugün bana katıldığınız için çok teşekkür ederim.

Steve Schmidt:
Teşekkürler! Burada olmak harikaydı.

Şimdi dinleyin

Şimdi dinleyin

Şimdi dinleyin