安全优先思维方式：AWS reInvent 2023 的三个关键主题

关键要点

AWS reInvent 2023于11月27日至12月1日在内华达州拉斯维加斯举行，吸引了来自全球的52000名与会者。今年会议进入第12年，设有5场主旨演讲、17个创新讲座和超过2250个互动式学习和网络交流的研讨会。

亚马逊的首席安全官Stephen Schmidt

此次会议宣布了大量服务和功能，并分享了来自AWS高管、客户和合作伙伴的无数最佳实践，激发了观众的热情。尽管总结亮点并不容易，但我们将讨论三大关键的安全主题，以引起您的注意。

安全文化

在讨论网络安全时，我们自然会关注保护业务的技术安全措施。然而，组织是由人而非技术构成的。最佳的保护方法是营造一个积极主动、具有韧性的网络安全文化，以支持有效的风险缓解、事件检测和响应，以及持续的协作。

在Sustainable security culture Empower builders for success中，AWS全球服务安全副总裁Hart Rossman和全球服务安全组的组织优秀领导者Sarah Currey介绍了构建可持续安全文化的实用策略。

Rossman指出，许多与AWS讨论安全挑战的客户常常试图将安全管理作为一个项目、程序或边缘工作流程。他强调，为了增强安全防护措施，必须将安全融入业务。

“你必须早期理解，安全管理不能像项目或程序那样有效。它必须作为运营的重要任务，成为业务的核心功能。只有这样，奇迹才能发生。” Hart Rossman，AWS全球服务安全副总裁

以下三条最佳实践可以帮助您：

对包容性、同理心和心理安全原则的深思熟虑的投资，可以帮助团队成员自信发声、承担风险，并表达想法或担忧。这有助于建立赎回友好的文化，减少员工疲惫，使团队能在规模上倡导安全。

在Shipping securely How strong security can be your strategic advantage中，AWS企业战略总监Clarke Rodgers重申了安全文化在构建安全优先思维中的重要性。

Rodgers强调三个进步支柱图2敏锐、附加和内嵌，这基于与超过800个客户的交流。随着组织从反应性安全态势转变为主动安全优先的方法，安全文化成为真正的商业推动力。

“当组织拥有强大的安全文化，并且每个人都将安全视为自己的责任时，他们能够更快地推出更快速、更安全的产品和服务。” Clarke Rodgers，AWS企业战略总监

以人为本的人工智能

CISO和安全相关利益相关者越来越多地转向以人为中心的视角，以建立有效的网络安全，并减轻员工的负担。

根据Gartner的报告，到2027年，50的大型企业CISO将采用以人为本的安全设计实践，以减少网络安全引发的摩擦，并最大化控制的采用。

亚马逊的首席安全官Stephen Schmidt在Move fast stay secure Strategies for the future of security中指出，优先关注技术是根本性的错误。安全是威胁行为者和防御者的一个人类挑战。为了应对不断演变的变化，并安全地支持我们服务的业务，我们需要关注软件无法解决的动态问题。

保持这种关注意味着为安全和开发团队提供他们需要的工具，以便自动化和扩展他们的工作。

“人是我们最受限且最有价值的资源，他们对每一层安全都有影响。我们需要提供工具和流程，帮助我们的员工尽可能地高效。” Stephen Schmidt，亚马逊首席安全官

组织可以利用人工智能AI影响安全的所有层面，但AI并不能取代熟练的工程师。当与其他工具协调使用，并经过适当的人为审查时，可以帮助提高安全控制的有效性。

Schmidt强调亚马逊内部使用AI加速软件开发过程，以及新推出的生成式AI驱动的Amazon Inspector、Amazon Detective、AWS Config和Amazon CodeWhisperer等功能，通过帮助员工做出更好的安全决策，补充人类的技能。这种结合成熟工具与熟练工程师的模式非常有效，因为它让人有能力做出AI无法做出的细微安全决策。

在How security teams can strengthen security using generative AI中，AWS高级安全专家解决方案架构师Anna McAbee、Marshall Jones以及首席顾问Fritz Kunstler展示了一个虚拟安全助手聊天机器人，可以根据您内部知识库和可信公共来源解答常见的安全问题和用例。

图3中展示的生成式AI驱动的解决方案包括通过Amazon Kendra、Amazon Security Lake和Amazon Bedrock的检索增强生成RAG可以帮助您自动化繁琐的任务，加速安全决策，并将焦点提高到新的安全问题上。

它在Github上提供，即用代码，可以在您的AWS账户中开始与各种大型和多模态语言模型、设置和提示进行实验。

安全协作

协作是网络安全成功的关键，但不断演变的威胁、灵活的工作模式以及日益复杂的数据保护和隐私法规使得保持安全和合规的通讯变得具有挑战性。

预计有309亿移动手机用户使用消息应用进行交流，而到2025年，该数字预计将增至351亿用户。

用于商业相关通讯的消费者消息应用使组织更难验证数据是否得到适当保护和保留。这可能导致风险增加，尤其是在有独特记录保持要求的行业中。

在如何使用AWS Wickr为美国陆军提供关键护理中，美国陆军远程医疗与高级技术研究中心TATRC的高级主任Matt Quinn、德勤的高级经理Laura Baker，以及AWS Wickr产品负责人Arvind Muthukrishnan介绍了TATRC国家应急远程关键护理网络NETCCN如何集成以医疗合规为资格的安全消息和协作服务 AWS Wickr和AWS私人5G，这是一种用于部署和扩展私有蜂窝网络的管理服务。

在这个会议上，Quinn、Baker和Muthukrishnan描述了TATRC如何实现一个低资源、云启用的虚拟健康解决方案，促进现场和远程医疗团队之间的安全协作，以便在艰苦环境中实时提供患者护理。通过Wickr，现场的医务人员能够利用端到端加密的视频通话、消息和与医疗专业人士共享文件的帮助，处理超出其先前培训的伤害，并安全地保留符合组织要求的沟通记录。

“将Wickr纳入军事紧急远程关键护理平台METTCP不仅提供了端到端加密通信的安全和隐私，而且使战斗医务人员和其他前线护理人员能够获得来自全球医疗专家的即时见解这些能力将是应对持续护理的挑战，以及在多域作战MDO战场上处理大批伤员所必需的。” Matt Quinn，TATRC高级主任

在另一个名为《通过AWS Wickr和Amazon EventBridge增强事件响应能力》的讲座中，AWS Wickr高级解决方案架构师Wes Wood和Charles ChowdhuryHanscombe展示了如何将Wickr与Amazon EventBridge和Amazon GuardDuty集成，加强通过集成工作流程图5连接您的AWS资源与Wickr机器人以增强事件响应能力。通过这种方法，即使在可能被破坏的网络上，您也可以迅速通过安全通信渠道向相关利益方通知重大发现。

安全是我们的首要任务

AWS reInvent涵盖了更多主题的亮点，包括具有零信任的自适应访问控制、AWS网络保险合作伙伴、亚马逊首席技术官Dr Werner Vogels的热门主旨演讲以及在博览会现场展示的安全合作伙伴关系。这是一次旋风般的经历，但有一点是明确的：AWS正努力帮助您建立安全优先的思维，以便在技术和业务成果上实现实质性改善。

要观看会议的点播会议，请访问AWS reInvent安全、身份和合规的YouTube播放列表。

如果您对本文有反馈，请在评论部分提交您的意见。

想要获取更多AWS安全新闻？请在Twitter上关注我们。

Clarke Rodgers

Clarke是AWS的企业安全总监。他在安全行业有超过25年的经验，与以企业安全、风险和合规为重点的高管合作，以加强其安全形势，了解云的安全能力。在加入AWS之前，Clarke曾担任一家跨国保险公司北美业务的CISO。

Anne Grahn

Anne是AWS的全球安全GTM高级专家，驻扎在芝加哥。在安全行业有超过13年的经验，专注于有效沟通网络安全风险。她持有注册信息系统安全专业人员CISSP认证。

标签：Amazon Detective、Amazon Inspector、Amazon Security Lake、AWS Config、AWS ReInvent、AWS Wickr、合规、加密技术、网络安全意识、数据隐私、reInvent 2023、安全、安全博客