Üretici Yapay Zeka, Güvenlik Operasyonlarını Nasıl Değiştirecek?

AWS Güvenlik Operasyonları Direktörü Tom Avant ile görüşme

Güvenlik Operasyonları Anahtardır

İster satın alın ister inşa edin, güvenlik operasyonları kurumsal güvenlik stratejisinin önemli bir parçasıdır. AWS Güvenlik Operasyonları Direktörü Tom Avant ile yaptığımız bu görüşmede, başarılı bir Güvenlik Operasyonları Merkezi (SOC) oluşturmanın anahtarlarını ele alıyoruz.

 

Başarılı bir SOC oluşturmanın anahtarları nelerdir?

Tom'a AWS SOC'nin kuruluş içinde nasıl çalıştığını, ekibin başarıyı nasıl ölçtüğünü ve sürekli iyileştirmeyi sağlamak için otomasyonu nasıl benimsediklerini soran AWS Kurumsal Strateji Direktörü Clarke Rodgers'a katılın. Ayrıca, üretici yapay zeka gibi gelişmekte olan teknolojilerin güvenlik operasyonlarının geleceği üzerindeki etkisini de keşfedeceğiz.

Aşağıdaki konuşmanın ayrıntılarına göz atın:

Konuşmanın metni

AWS Güvenlik Operasyonları Direktörü Tom Avant ve AWS Kurumsal Strateji Direktörü Clarke Rodgers yer alıyor

Askeri operasyonlardan güvenlik operasyonlarına: Tom Avant'ın AWS'ye olan yolculuğu

Clarke Rodgers:
Başarılı bir küresel güvenlik operasyonunun ölçeklendirilmesi yüksek beceri gerektirir. İş ihtiyaçlarını karşılamak üzere koşullara uyum sağlarken müşteri güvenine öncelik veren bir bağlılık seviyesi ve sahiplenme kültürü gerektirir.

Merhaba, ben AWS Kurumsal Strateji Direktörü ve Executive Insights'ta AWS güvenlik liderleriyle yapacağınız bir dizi görüşme için rehberiniz Clarke Rodgers.

Bu bölümde, bana AWS Yanıt ve Dayanıklılık Direktörü Tom Avant katılacak. İş dayanıklılığını sağlamak için güvenlik operasyonları oluşturmanın, sürdürmenin ve geliştirmenin temel yolları hakkında konuşurken bizi dinleyin. Bize katıldığınız için teşekkürler.

Clarke Rodgers:
Tom, bugün bana katıldığın için çok teşekkür ederim.

Tom Avant:
Beni kabul ettiğin için ben teşekkür ederim. Gerçekten onur duyuyorum. Bundan çok memnunum.

Clarke Rodgers:
Biraz geçmişinden başlamak istiyorum. Orduda biraz zaman geçirdiğini biliyorum, sonrasında seni AWS'ye çeken neydi?

Tom Avant:
Ordudayken başlangıçta dil bilime girmiştim. Bu yüzden bir istihbarat analisti oldum ve Monterey'deki Defense Language Institute'ta çalışırken tüm farklı kültürlerle harika bir şekilde tanıştım. Dünya hakkında çok şey öğrendim. Bu, daha sonrasında küresel kuruluşları ve küresel ekipleri yönetirken bana yaşamımda çok faydalı oldu.

Ve sonrasında istihbarat endüstrisi sadece... Televizyonlarda ve filmlerde gördüğünüz çok şey oluyor ve bunlara benzer olacağını düşünüyorsunuz ama sonrasında işin içine girince bunun böyle olmadığını fark ediyorsunuz. Benim için başvurabileceğim, veri, işleme ve metodoloji hakkında birçok şey öğrenebileceğim, düşünme ve olgulara bakma şeklimde metodik olabileceğim harika bir yerdi. Böylece bunu yaptım, istihbarat bakış açısından farklı işler yaparak birkaç yıl NSA'da çalıştım.

Nihayetinde, istihbarat operasyonlarını yürüten komuta ve kontrol subayı olarak hava muharebesi yöneticisi görevine geldim. Şimdi Başkanlık desteği görevleri, dünya çapında insani yardım görevleri üstleniyorum, kritik kararlar alıyor ve tamamı küresel düzeyde olay müdahalesi kapsamına giren etkinliklerde bulunuyorum.

Daha fazlasını izleyin: Güvenlik rolleri için eski askerleri işe almanın faydalarını keşfedin

Clarke Rodgers:
Kesinlikle.

Tom Avant:
Dolayısıyla AWS bakımından bu doğal bir uyum demekti. Hayatım boyunca güvenlik sektöründeydim. Öncesinde espri yaptım, 19 yaşımdan beri güvenlik yetkisine sahibim. Ancak değerleri olan bir kuruluşa girerken, Amazon bu liderlik ilkeleri nedeniyle çekiciydi. AWS'de gerçekleştirilenleri anlamaya başladığınızda ve gerçekten olayların içine girdiğinizde, "Aman Tanrım, dünyada işlerin büyük bir bölümü bizim burada yaptıklarımız sayesinde yürüyor" diyorsunuz. Bunun bir parçasında benim de katkım var.

AWS'de güvenlik operasyonları ve iş sürekliliği

Clarke Rodgers:
AWS'deki mevcut rolünüz hakkında biraz konuşalım. Şu anki rolünüz nedir ve sorumluluklarınız nelerdir?

Tom Avant:
Birinci mesele AWS Güvenlik Operasyonları Merkezi'ni yönetiyor olmam, bunun yanında AWS iş sürekliliğinden de sorumluyum. Bunlar birbirinden çok farklı iki şey ancak her ikisi de iş için kritik derecede önemli. Bu nedenle AWS Güvenlik Operasyonları Merkezi, işletme genelinde birinci kademe fiziksel ve mantıksal olay müdahalesini kapsıyor. Dolayısıyla, veri merkezinden S3 bucket'larına kadar, algılamaları izlediğimizden ve ardından bu algılamaların önceliğini belirlediğimizden veya kendimiz düzeltemediğimizde bunları düzeltebilecek diğer kişilere yönlendirdiğimizden emin olmak için ön safta yer alıyoruz.

Bu nedenle, rozetini merak eden herkes için, o işletim sistemini çalıştırıyoruz ve insanların her gün ihtiyaç duydukları alanlara girip çıkmasını sağlamak üzere bununla tüm farklı entegrasyonları gerçekleştiriyoruz. Ayrıca, girmenizi istemediğimiz alanlara girmemenizi de sağlıyoruz.

Clarke Rodgers:
Kesinlikle.

Tom Avant:
Öyle değil mi? Bu nedenle, erişim denetimi çok önemli. İş sürekliliği kısmı, tüm operasyonlarımızın ve hizmetlerimizin dayanıklılığını teşkil eder. Teyit ediyor ve diyoruz ki "Sistemlerimiz yedekli ve bu sistemlere güveniyoruz". Müşterilere de "Bunun iyi olacağını biliyoruz" diyoruz. Ve onlara bunu söylediğimizde, bunu sadece kulağa hoş geldiği için söylemediğimizi bilmelerini istiyoruz. Bunu söylüyoruz çünkü sistemi test ettik. Sistemlerimizin gerçekten dayanıklı olduğundan emin olmak amacıyla operasyonel risk incelemelerinden COE'lere ve farklı ISO gereksinimlerine kadar her şeyi kullanarak geriye dönüp yeniden test gerçekleştirmek üzere arka planda yorulmadan çalışan bir ekibimiz var.

Clarke Rodgers:
Yani, kırmızı takım gibi unsurların senin sorumluluk alanına düştüğünü varsayıyorum?

Tom Avant:
Aslında öyle değil. Bu işin farklı bir bölümünde yer alıyor. Ancak yaptığımız şey daha çok TTX'lere veya tam ölçekli bir uygulama yapacağımız ve işin tüm farklı bölümlerinden insanları dahil edeceğiniz uygulamalara benziyor. Temel olarak şunu söyleyebileceğimiz bir simülasyon "Peki, kötü bir gün geçirirsek bu nasıl olur? Nasıl müdahale ederiz? Nasıl tepki veririz? Doğru şeylerin gerçekleştiğinden nasıl emin olabiliriz?" Asla mükemmel gitmiyor ama çok şey öğreniyoruz. Bunu sürecimize dahil ediyor, işletim kitaplarına ekliyor, ekiplerle paylaşıyoruz. Sonrasında bunu tekrar yapıyoruz.

Bir SOC'nin değerini ölçme: Yatırım, yöneticilere nasıl gerekçelendirilir?

Clarke Rodgers:
Bir SOC çalıştırmak, iş perspektifinden büyük bir yatırımdır. İçinde bulunduğumuz iş türüne göre masrafı nasıl gerekçelendiriyorsunuz ve bunu yapmanız şart mı? Çünkü müşteriler... Müşterilerle görüşmeler yaptığımda, "Bir SOC'ye sahip olmayı çok isterim, ama personel, araç ve tüm malzemeler çok pahalı" diyorlar. Aslında bizim bir SOC'ye veya abone olmaya karar verirlerse bir SOC hizmetine ihtiyacımız varken iş örneği olarak bunu yöneticilerime nasıl sunarım?

Tom Avant:
Bu karmaşık bir soru. Bunun birkaç cevabı var. Öncelikle harika olduğumuz için... Bunu böyle destekliyoruz. Tabii ki hayır, bunu KPI'lar ve veri aracılığıyla yapıyoruz. Ve yöneticilerimizle üç aylık iş incelemeleri var. Böylece, "İşletmeye ve müşteriye değer oluşturuyor ve döndürüyor muyuz?" sorusunu değerlendirmek için sürekli olarak mekanik yollar arıyoruz.

Clarke Rodgers:
Kullandığınız ölçümlerden herhangi birini paylaşabilir misiniz?

Tom Avant:
Yani, bu değeri işletmeye döndürdüğümüzden emin olmak için tüm farklı iş yollarında incelediğimiz tonlarca şey var. Erişim denetimi sistemimiz için, sistemin çalışma süresi ve sistem kesinti süresinin ne olduğu hakkında konuştuğumuzdan emin oluyoruz, öyle değil mi? Ayrıca uyguladığımız, koordine ettiğimiz farklı konfigürasyonlar için, uygulamaya koyduğumuz bu değişikliklerin net kazancının ne olduğundan emin oluyoruz.

Tespitler için, ortalama tespit zamanına ve ortalama çözümleme zamanına bakıyoruz. Gelen farklı tespit türlerine bakıyoruz ve bu alanlarda işletmeye döndürülen değeri inceliyoruz. İş sürekliliği için bile, sahip olduğumuz farklı hizmetlere yönelik farklı ölçümlere, daha geniş kapsama, ISO sertifikalı olanlara ve testlerden geçtiğinden emin olduklarımıza bakıyoruz.

SOC'yi otomatikleştirme: Son çare olarak insanlar aracılığıyla ölçeklendirme

Şimdi aynı zamanda sorunun diğer tarafı, belki de tutumlu bir insan olarak büyümüş olmamdan kaynaklı olarak, o ilk kiracıya inanıyor olmamdır: "İnsanlar aracılığıyla ölçeklendirmeyi son çare olarak görün". Bana gelip "Senin için harika bir fikrim var! Bunun SOC için harika bir iş olacağını düşünüyorum" diyebilirsin.

İnsanlar neden böyle söyler? Çünkü 7/24 çalışıyoruz ve birçok insan SOC'ye bir şeyler aktarmak ve gelip bunu söylemek istiyor. Ben de şöyle diyorum: "Haydi konuşalım. Bunun işletmeye sağlayacağı net faydayı tartışalım". Çünkü işletmeye net fayda sağlayacak bir şey için bizden yardım istiyorsan kesinlikle ederiz. Bu yapmayı istemediğin bir iş olduğundan ve bunu başka insanların yapması gerektiğini düşündüğünden bizden yardım istiyorsan o zaman şöyle derim: "Belki de OP1'e geri dönmeli ve kendimizi bu durumdan kurtaracak şekilde işleri otomatikleştirmeliyiz".

Clarke Rodgers:
Kesinlikle.

Tom Avant:
Ekibime halen işimizin daima kendimizi işin dışına çıkarmak olduğunu söylüyorum. Bizim işimiz sürekli olarak otomasyonu kullanmanın yollarını bulmak ya da tespitleri bir gün şöyle diyeceğiniz bir duruma indirgediğimizden emin olmaktır: "Peki, neden bir SOC'miz yok?" Ve size şunu söyleyebilirim: "Bir zamanlar bir SOC'miz vardı". Bu SOC şunları söyleyebilmemizi sağlayacak şekilde birçok farklı yolu keşfetti: "Bunu yapmamıza gerek yok" veya "Bu otomatikleştirilebilir" veya "Bu daha iyi olabilir" veya "Bunu, yukarı akışta ileri taşıyarak SOC'ye artık ihtiyaç duyulmadığı bir noktaya getirebiliriz". Amacım bu. O aşamaya ulaşıp ulaşamayacağımızı bilmiyorum ama bu kesinlikle yöneleceğimiz bir hedef.

Şirket içi Güvenlik Operasyonları Merkezi nasıl oluşturulur?

Clarke Rodgers:
Aslında bu konuda sana bir sorum vardı. Kristal kürene baktığında, geleceğin SOC'si neye benziyor? Sanırım bu soruyu sormanın farklı bir yolu da şöyle: Boş bir sayfan olsaydı bugün bir SOC yeteneğini nasıl geliştirirdin?

Tom Avant:
Yeteneğe odaklandığımı söyleyebilirim çünkü asıl mesele bu. Bir SOC'den elde ettiğiniz yetenek nedir? Bir SOC'ye sahip olmayarak veya SOC'yi dış kaynak kullanımıyla sağlayarak kaybettiğiniz yetenek nedir? Bunun dış kaynak kullanımı kısmı ile arasındaki fark şirketin çıkarını düşünmenizdir. İşte bu nedenle, maliyetini kaldırabilirseniz şirket içi SOC istersiniz.

Clarke Rodgers:
Sanırım dahili olduğunda, harici tarafların sahip olmadığı bir iş bilgisine de sahip oluyorsunuz.

Tom Avant:
Kesinlikle! Kime gideceğini biliyorsun. Şirket içi olmanın diğer bir yanı da yeteneğe sahip olmanız değil mi? Yeteneğe geri dönelim. Özellikle işletme için neler sunduğunuza odaklandığınızdan emin olun. Buna sürekli olarak ince ayar yapabileceğinizi düşünüyorum çünkü stratejik planlama toplantıları gibi diğer toplantılara giriyorsunuz. Böylece iş akışı içinde "Tamam, bu bizim yeni Kuzey yıldızımız. Rotayı değiştirdiğimiz yer burası" diyebiliyorsunuz. Aynı tempoda dış kaynak kullanıyorsanız bunu yapamazsınız.

İşler çok hızlı ilerlediğinden, bu aşağı akış eylemlerini gerçekleştiren kişilerin söz konusu stratejik kararları veren kişilerle bağlantı kurduğundan ve dolayısıyla çok hızlı bir şekilde manevra yapabildiklerinden emin olmak istersiniz. Bu, şirket içi oluşumun avantajlarından biridir. Tüm bunlara, stratejik olarak ana hatlarını belirlediğim Kuzey Yıldızına ve söz konusu yeteneğe baktığımda, hangi koruma duruşuna ihtiyacım var? Peki hedefi kaçırırsam karşı karşıya kalacağım risk nedir?

Bunu düşündüğümde giderim... Bu olursa, müşterimin gözlerine bakıp "Bunun olmaması için elimden geleni yaptım" diyebilir miyim? Veya topu taca atıp suçu diğer tarafa mı atarım?

Üretici yapay zeka ve güvenlik operasyonlarının geleceği

Clarke Rodgers:
Bunu seviyorum. Teknolojinin mevcut durumdaki ilerleme hızıyla ve şüphesiz ki piyasadaki üretici yapay zeka araçlarıyla SOC'nin geleceği konusunda ne düşünüyorsunuz? Bugün herhangi bir üretici yapay zeka aracı kullanıp kullanmadığınızı veya bunu planlama ya da araştırma aşamasında olup olmadığınızı bilmiyorum. Yine de bunun SOC analiz uzmanlarınıza ve diğer rollerdeki çalışanlarınıza nasıl yardımcı olduğunu düşünüyorsunuz? Sonrasında saldırgan bakış açısıyla bakıldığında, bu kişilerin etkinliklerini tespit edip bunlara yanıt verebilmek için çalışanların bunu nasıl kullanabileceklerini düşünüyorsunuz?

Tom Avant:
Bunu, bazı müşterilerimiz için otomatik yanıtlar oluşturmak için kullanmaya başlıyoruz. Ardından, "Tamam, bunların gelen yaygın iş akışları olduğunu biliyoruz. Bunlar, bizim baktığımız ve müşterilerimizin sıklıkla aradığı ölçümlere dayalı unsurlar. Verilerimizin bize anlattıklarını, daha doğrudan yollarla ve insan muhakemesi gerektirmeden müşterilerin aradığı çözümlerle nasıl birleştirebiliriz? Neden insan faktörünü bu zincirden tamamen çıkarmıyoruz?" diyebilmek için otomatik iş akışlarına da bakıyoruz. Şu anda üzerinde çalıştığımız şey bu.

Clarke Rodgers:
Bu harika. Peki karşı tarafın bakış açısından?

Tom Avant:
Tehdit tarafı gerçekten ilginç. Çok yeni bir oyun alanı. Yani, bazı alanlara nüfuz edildiğine dair pek çok farklı şey duyuyorsunuz... İnsanlar teknolojiyle oynamak istiyor. Tüm web sitelerine giriyor ve öylece içerik indiriyorlar. Çoğu zaman ne indirdiklerini bile bilmiyorlar. İnsanların doğrudan ateşin içine koşmasını istemezsiniz. Öncelikle ateşi değerlendirmek ve en iyi giriş noktasının neresi olduğunu anlamak istersiniz.

Dolayısıyla, üretici yapay zeka hakkında konuştuğumuzda da durum aynı. Gidilecek güvenli yerler nelerdir? Bu kullanımı kapsama dahil etmeden önce doğruladığımızdan nasıl emin olabiliriz? Bunu çoğaltmadan önce arka planda çalıştırabileceğimiz ve "Evet, yaptığımız şey hakkında gerçekten iyi hissediyoruz" diyebileceğimiz farklı kontroller nelerdir? Çünkü bir kez içeri girip yayılmaya başladığında, yanlış bir şey yaptığınızı anlamanın zamanı değildir. Bu durumda, temizlik yapmanız ve çoğaltmanın temposuna yetişmeye çalışmanız gerekir. Bu daha önce başka şeylerde yapmış kişiler için bu hiç de eğlenceli değildir. Dolayısıyla, bazı şeyleri ilk kez sisteme tanıtmadan önce bu ön kontrolleri yapma perspektifini kesinlikle edinmeniz gerekiyor.

Araştırma raporunu okuyun: Üretici Yapay Zekayı Güvenli Hale Getirme: Şu An Neler Önemli?

Ayrıca, buna bağlı olan ve görmeye başladığımız başka bir tehdit de muhtemelen yaygın olmayan bir tehdit olan regülasyon konusudur. Bulutta gittikçe daha fazla iş yükü benimsenmeye başladıkça ve buluta gelen müşteriler arttıkça, bu görmeye başladığım en büyük trendlerden biri haline geldi. Gittikçe daha farklı ortamlara, farklı ülkelere gidiyoruz. Bağımsız bulutun giderek daha fazla yerde ortaya çıktığını görmeye başlıyoruz. Regülasyon aslında düşünmeniz gereken bir şey. Daha öncesinde, bu bir sonraki düşünce idi. Şimdi ise, birçok tartışmamızın ön saflarında yer alıyor. Konuya derinlemesine girip başka bir şey düşünmeden önce, yenilikleri benimseyip mevzuata uyarken müşteri için maksimum değeri yürütüp korumayı nasıl başarabileceğimize odaklanıyoruz. Aynı zamanda mevzuata uygunluğu sağlamak ve bunu iletişimlerimizde aktarmak istiyoruz.

Clarke Rodgers:
Bence bu da gördüğüm inanılmaz trendlerden biri. Eskiden, tasarım gereği güvenlik çerçevesinde bir diyalog kurabiliyorduk, öyle değil mi? Belki de daha sadece prototip aşamalarında ya da fikir aşamasında güvenliği entegre edebiliyorduk. Şimdi artık "Gizlilik, uygunluk ve mevzuat yükümlülüklerini de entegre edebiliriz" diyebildiğimiz bir noktadayız.

Tom Avant:
Kesinlikle!

Clarke Rodgers:
Bunu görebildiğinize sevindim. İnsanlar bunu yığının ileri safhalarına itiyor, böylece pazara sunma vakti geldiğinde her şey birbiriyle uyumlu oluyor.

Tom Avant:
Kesinlikle!

Clarke Rodgers:
Bu harikaydı, Tom. Bugün bana zaman ayırdığın için gerçekten minnettarım. Teşekkürler!

Tom Avant:
Beni kabul ettiğin için ben teşekkür ederim. Ben de gerçekten minnettarım.