作者:王聪彬
在与亚马逊云科技全球客户安全技术支持与服务副总裁Hart Rossman的会面是亚马逊云科技re:Inforce的第二天。不同于第一天的红色服装,他穿了一身布满银色亮片的服装,就像他对安全和创新所提供的独特见解一样,引人注目。
Hart Rossman一上来就表达了对生成式AI可以帮助安全团队和开发人员更高效展开工作而感到兴奋。通过采用生成式AI,企业可以加快调查安全问题、开发新安全模型的速度,更有效地保护资产。
“大约一年半前,生成式AI席卷了世界。”Hart Rossman认为它在增强安全方面具有巨大潜力,他谈到,虽然亚马逊云科技在人工智能和机器学习领域已经投入了很长时间,但生成式AI让公众与其互动的方式发生了变化,成为创新的引擎。
所以这也是安全领域的关键时刻。
Hart Rossman说,如果我们想帮助我们的客户、社区,以同样的速度和激情进行创新,那么我们必须深入了解生成式AI技术的基本原理,了解客户希望使用它的应用,并开发新的安全方法,以便我们能够快速行动。
亚马逊云科技全球客户安全技术支持与服务副总裁Hart Rossman
生成式AI的安全最佳实践
我们能否快速行动?我们能否确保安全?我们是否必须进行权衡?是企业在转型时都会问的问题。
安全领域的一个重要问题是,企业能否在保持强大安全性的同时快速行动。Hart Rossman坚信这是可能的。他说,亚马逊云科技和我们的客户已经证明了,可以做到两者兼得,也就是快速行动并保持安全。
亚马逊云科技几个月前发布了安全参考架构,帮助安全领导者、建设者等人员,思考其可能部署生成式AI的不同用例。
Hart Rossman谈到了亚马逊云科技使用生成式AI改进安全问题调查过程的做法,通过在Amazon Bedrock上构建工作负载,使内部安全事件响应者能够使用自然语言查询,加速调查和解决问题的能力。这种方法已被证明非常有效,平均每个安全问题通过系统进行10次查询。
对于希望采用生成式AI的企业,Hart Rossman提供了三个建议。首先,确保在整个工作负载中身份和访问控制得到了正确实施,这涉及应用最小特权原则,确保没有人使用生成式AI服务来访问通常不会访问的信息。其次,开发新AI工作负载的中早期要与数据所有者接洽,与他们现有的工作路线图保持一致,有助于优化用例和安全模型。最后,部署生成式AI时需要考虑整个架构,不要只关注新技术,而忽视其与更广泛系统的集成,确保端到端的安全和在整个基础设施中维护适当的控制措施对于成功至关重要。
生成式AI时代的安全关注
Hart Rossman主要负责所有与亚马逊云科技销售、市场营销和全球服务团队相关的安全工作。
在与Hart Rossman见面的前一晚,他还参加了一个金融行业首席安全官的晚宴,其中一位CISO认为安全领导者首先必须是银行家,安全领导者必须成为所在行业的专家,以便能够应用正确的安全和风险管理决策和专业知识。
他强调,为了有效地利用生成式AI进行安全管理,企业需要培养跨学科的安全团队。这些团队不仅需要了解安全技术,还需要深入理解他们所保护的行业,有助于更全面地识别和应对安全威胁。
同时,Hart Rossman还负责亚马逊云科技客户安全事件响应团队,该团队帮助客户管理其共享的安全责任。“亚马逊云科技有着非常强的安全文化,我们也与客户不断分享最佳实践。”他说,作为领导者分享最佳实践,一起学习和改进是很有趣的。
他鼓励安全领导者采用既重视敏捷性又重视安全性的心态,利用亚马逊云科技的安全参考架构,深入思考不同用例并有效应用威胁建模和业务需求分析。
预见未来,安全团队将使用生成式AI进行各种应用,从安全调查到威胁建模。Hart Rossman看到,企业正在开始以创新方式部署生成式AI以增强其安全态势。
所以随着世界继续拥抱新技术,保持对安全的关注和积极性将比以往任何时候都更加重要。