谈到安全工作,亚马逊网络服务公司的首席信息安全官(CISO)无疑是最为关键的角色。
这家公司不仅是拥有数十亿在线购物者的亚马逊集团的一部分,还是全球最大的云服务提供商。
这意味着它是我们日常使用的众多公司和组织的共同互联网入口,涉及数以万亿计的数据和活动。
因此,克里斯·贝茨面临的威胁种类繁多,从人工智能和破解加密的量子计算到常见的网络诈骗。他曾担任美国第一资本银行的首席信息安全官,现在在AWS的工作使他参与公司的每一次重要讨论。
正如他所说,他更像是一个善于合作的工程师,而不是一个过于谨慎的保安,阻碍同事的创新想法。
{"quote":{"text":“ ‘在AWS,我们拥有的系统的1%是一个巨大的数字’ ”}},我们与他进行了深入的对话,询问了他的工作以及他目前观察到的威胁。
Adrian Weckler [AW]:在银行和亚马逊网络服务公司担任首席信息安全官的最大区别是什么?
克里斯·贝茨(Chris Betz):首先,最大的不同在于规模和范围。
以容错为例。在我之前的工作中,1%的系统是一个重要的数字,而在AWS,1%的系统则是一个庞大的数字。因此,容错的标准截然不同。
企业文化在具体实施上的细微差别也可能在不同公司之间显著不同。例如,在第一资本公司,他们显然不会阅读六页的文件。(亚马逊的“六页纸”格式要求高管就某一主题提供六页的文件,以避免无休止的演示。)
亚马逊的领导原则非常明确,这会影响你的沟通方式和行为方式。
此外,我大部分时间还是穿着牛仔裤和polo衫。第一资本过去和现在都是一家技术领先的银行,实际上它们之间有很多相似之处。
AW:亚马逊给人的印象是敢于冒险,勇于尝试。这在推动创新和确保安全之间是否会产生紧张关系?
作为首席信息安全官,你如何与其他高管沟通,而不被视为喋喋不休的人,以确保安全措施得到遵守?
[u003cspan class="bold">CB:是的,我不想被视为“不部门”。
AWS非常清楚,安全是我们的首要任务,弹性和可靠性与安全并重,因为信任是我们的核心价值。因此,当我说:“嘿,这个不适合我们的标准。”时,我们需要在实现这一目标之前做更多的工作。
{“quote”:{“text”:“在人工智能的早期阶段,我们看到应用程序中出现了大量的漏洞。”}},首席信息安全官的角色不仅是确保安全,还要融入我们的业务运营模式、工程和增长中。
我参与了各种讨论。看到我和首席执行官及工程主管一起出现在每周的运营指标审查或业务审查上并不奇怪,因此我并不觉得这不自然。
AW:欧盟的NIS2指令(爱尔兰将错过换位的最后期限)将新的责任和惩罚直接施加给因安全问题而失败的公司高管。
这是否在亚马逊等大公司的高层中引发了反响?
布隆伯格:我认为,各国政府在如何看待系统安全的重要性以及如何确保企业、高管和各类领导人认真对待这一问题方面的努力正在不断演变。
因此,我认为观察各国政府如何继续思考这个问题及其使用的机制将是非常有趣的。
对我来说,重要的是我们的客户应该拥有值得信赖的系统。他们理应将安全视为首要任务,这也是我关注的重点。
AWS最近几周和几个月宣布了对欧洲的大量投资,主要集中在数据中心的开发。当你在一个国家拥有更多的物理基础设施(如数据中心)时,安全是否会变得更容易?
[u003cspan class="bold">CB:我不认为这一定会变得更容易或更难。我们在不同地点拥有各种数据中心的一个好处是弹性,以及能够以非常快速、及时的方式向该地区的客户交付服务。
在更多地区建立更多的数据中心是一个强大的工具,可以帮助我们提供客户所需的弹性。
AW:你认为我们现在是否过分夸大了人工智能的威胁,或者在构建包含特别敏感客户或个人数据的大型语言模型时是否需要谨慎?
CB:当我与客户讨论生成式人工智能时,我通常会从三个层面进行探讨。第一级是模型的训练或微调。有时,一个基础模型是现成的。通常情况下,你希望对基础模型进行某种调整,尤其是作为一家追求特定目标的企业。
正如你所指出的,很多情况下,公司希望引入用于训练和调整模型的数据是非常商业敏感的。因此,确保你有安全的方式进行培训——包括安全存储和安全计算——是至关重要的。
这是我们设计系统的一部分,因此在数据和处理方面,无论是静止还是传输,都必须具备必要的保护,以支持模型的构建和训练。
我知道很多公司已经建立了非常周到和复杂的系统,以确保他们在数据上训练模型的过程是安全和公正的。这是第一级。
第二级是当你操作模型并进行推理时。当你提示一个模型时,通常会携带一堆敏感数据,比如当地机场的名称、电话号码等。
有很多关于那个人的敏感信息是你想要了解的。
因此,在第二层推理中,确保你有安全的存储和传输,并且非常小心哪些数据被输入,以及这些结果的去向同样重要。
因此,在提示符上设置保护措施是非常重要的。
但是模型是在应用程序的上下文中运行的。因此,第三层,即包裹在模型周围的应用程序本身,也非常重要。
在一些大型语言模型和生成式人工智能解决方案的早期阶段,我们看到最多的bug仍然出现在第三层——应用程序。
必须在第三层之外完成的安全工作保持不变,不能被忽视。因此,我认为我们应该从这三个层面来看待问题。
本文来自作者[向丹]投稿,不代表5664玩立场,如若转载,请注明出处:https://5664wan.cn/keji/202412-6167.html
评论列表(4条)
我是5664玩的签约作者“向丹”!
希望本篇文章《亚马逊网络服务公司(Amazon Web Services)的安全主管警告称,企业可能会在全球将人工智能植入应用程序的热潮中留下空白》能对你有所帮助!
本站[5664玩]内容主要涵盖:国足,欧洲杯,世界杯,篮球,欧冠,亚冠,英超,足球,综合体育
本文概览: 谈到安全工作,亚马逊网络服务公司的首席信息安全官(CISO)无疑是最为关键的角色。这家公司不仅是拥有数十亿在线购物者的亚马逊集团的一部分,还是全球最大的云服务提供商。这意味...