How Will Generative AI Change Security Operations?

Clarke Rodgers:
Escalar una operación de seguridad global con éxito no es poca cosa. Se necesita un nivel de compromiso y una cultura de propiedad que prioricen la confianza de los clientes y, al mismo tiempo, adaptarse para satisfacer las necesidades empresariales.

Soy Clarke Rodgers, Director of Enterprise Strategy de AWS, y su guía para una serie de conversaciones con líderes de seguridad de AWS aquí en Executive Insights.

En este episodio, me acompaña Tom Avant, Director of Response and Resiliency de AWS. Acompáñenos mientras hablamos sobre las claves para crear, mantener y evolucionar las operaciones de seguridad para garantizar la resiliencia empresarial. Gracias por acompañarnos.

Clarke Rodgers:
Tom, muchas gracias por acompañarme hoy.

Tom Avant:
Muchas gracias por invitarme. Es todo un honor. Te lo agradezco.

Clarke Rodgers:
Me encantaría empezar con un resumen de tu trayectoria. Sé que pasaste algún tiempo en el ejército, pero ¿qué te llevó a AWS?

Tom Avant:
Al entrar en el ejército, me dediqué inicialmente a la lingüística, así que fui intelligence analyst y trabajé y tuve una gran exposición a diferentes culturas cuando estaba en el Defense Language Institute de Monterrey. Aprendí mucho sobre el mundo, lo que me serviría mucho más adelante para dirigir organizaciones y equipos globales.

Y, bueno, la industria de la inteligencia es simplemente… Hay tantas cosas que ves en la televisión y las películas y piensas que es así y luego entras y te das cuenta de que no se parece en nada a eso. Pero fue un lugar fantástico para mí y aprendí mucho sobre datos y procedimientos, sobre tener una metodología, ser metódico en la forma en que pensaba y en la forma en que veía las cosas. Así que eso es lo que hice, trabajé en la NSA durante un par de años haciendo cosas diferentes desde una perspectiva de inteligencia.

Y, finalmente, cuando me convertí en oficial como director de batallas aéreas, oficial de mando y control que dirige operaciones de inteligencia, apoyaba al presidente, realizaba misiones humanitarias en todo el mundo y tomaba decisiones críticas y hacía cosas en nombre de la respuesta a los principales incidentes a nivel mundial.

Clarke Rodgers:
Entiendo.

Tom Avant:
Así que lo de AWS fue algo natural. He estado trabajando en seguridad toda mi vida. He bromeado con eso antes, tengo autorización de seguridad desde los 19 años. Sin embargo, al entrar en una organización que tenía valores, Amazon resultó atractiva por esos principios de liderazgo. Y cuando comprendes lo que ocurre en AWS, cuando te metes de lleno, piensas: “Oh, Dios mío, gran parte del mundo funciona gracias a las cosas que hacemos”. Tengo la oportunidad de ser parte de eso.

Clarke Rodgers:
Hablemos un poco sobre tu puesto actual en AWS. ¿Cuál es tu función actual y cuáles son tus responsabilidades?

Tom Avant:
Lo principal es que dirijo el Centro de operaciones de seguridad de AWS y, además, soy responsable de la continuidad empresarial de AWS. Dos cosas muy diferentes, pero de vital importancia para la empresa en ambos sentidos. El Centro de operaciones de seguridad de AWS es responsable de la respuesta ante incidentes físicos y lógicos de primer nivel en toda la empresa. Lo que significa que para todo, desde un centro de datos hasta buckets de S3, somos la primera línea que se asegura de supervisar las detecciones y, luego, clasificarlas o enviarlas a otras personas que pueden encargarse de ellas si no podemos hacerlo nosotros mismos.

Así que, para todos los que se preguntan por su insignia, utilizamos ese sistema operativo y realizamos todas las diferentes integraciones con él para asegurarnos de que las personas entren y salgan de los espacios que necesitan todos los días. Y también, que no entres en los espacios en los que no queremos que entres.

Clarke Rodgers:
Entiendo.

Tom Avant:
¿Cierto? Por lo tanto, el control de acceso es muy importante. La parte de la continuidad empresarial es la resiliencia de todas nuestras operaciones y servicios. Atestiguamos y decimos: “Oye, tenemos sistemas redundantes y confiamos en estos sistemas”. Y les decimos a los clientes: “Sabemos que esto va a funcionar bien”. Y queremos asegurarnos de que cuando les digamos eso, sepan que no lo decimos solo porque suena bien. Lo decimos porque lo hemos probado y tenemos personas en segundo plano que trabajan sin descanso para volver a probarlo y utilizar todos nuestros productos, desde revisiones de riesgos operativos hasta COE y diferentes requisitos de ISO, a fin de asegurarnos de que nuestros servicios son realmente resilientes.

Clarke Rodgers:
Entonces, ¿supongo que cosas como el red teaming y similares recaen en ti?

Tom Avant:
En realidad, eso no. Eso pertenece una parte diferente de la empresa. Lo que hacemos es más parecido a los TTX o a los ejercicios donde realizamos un ejercicio a gran escala y traemos a personas de todos los sectores de la empresa. Y es esencialmente una simulación para decir: “Vale, ¿qué pasa si tenemos un mal día? ¿Cómo respondemos? ¿Cómo reaccionamos? ¿Cómo nos aseguramos de que sucedan las cosas correctas?”. Nunca sale perfecto, aprendemos muchas cosas. Lo incorporamos, lo incluimos en los manuales de ejecución, lo compartimos con los equipos y lo implementamos de nuevo.

Clarke Rodgers:
Administrar un SOC es una inversión enorme desde una perspectiva empresarial. ¿Cómo justificas el gasto, si es que necesitas hacerlo, en función del tipo de trabajo al que nos dedicamos? Porque cuando los clientes… Tengo conversaciones con los clientes y me dicen: “Bueno, me encantaría tener un SOC, pero es muy caro, el personal, las herramientas y todo eso”. ¿Cómo puedo argumentar ante mis líderes que, de hecho, necesitamos un SOC o tal vez solo un servicio de SOC si deciden suscribirse a uno?

Tom Avant:
Es una pregunta compleja. Hay un par de respuestas. La primera es porque somos increíbles, así es como lo justificas. Pero no, es gracias a los KPI y los datos. Y tenemos reuniones trimestrales de revisión con nuestros líderes. Por lo tanto, buscamos constantemente formas mecanicistas de evaluar: “¿Estamos ofreciendo y devolviendo valor a la empresa y al cliente?”.

Clarke Rodgers:
¿Podrías compartir alguna de las métricas que utilizas?

Tom Avant:
Bueno, hay muchísimas cosas que estamos analizando en las diferentes líneas comerciales para asegurarnos de que estamos devolviendo ese valor a la empresa. En el caso de nuestro sistema de control de acceso, nos aseguramos de hablar sobre el tiempo de actividad del sistema y cuál es el tiempo de inactividad del sistema, ¿correcto? Y también nos aseguramos, para las diferentes configuraciones que hemos aplicado y que coordinamos, ¿cuál es el beneficio neto de los cambios que hemos implementado?

En el caso de las detecciones, analizamos el tiempo medio para detectar y el tiempo medio para resolver. Analizamos los diferentes tipos de detecciones que estamos recibiendo y analizamos el valor que se devuelve a la empresa en esos espacios. Incluso para la continuidad empresarial, estamos analizando diferentes métricas sobre los diferentes servicios que tenemos, en un alcance amplio, los que cuentan con la certificación ISO y los que hemos podido asegurarnos de que han pasado por pruebas.

Sin embargo, la otra parte de esa pregunta es que, al mismo tiempo, y tal vez sea porque crecí como una persona austera, pero al mismo tiempo, realmente creo en ese principio: “Escalar a través de los humanos como último recurso”. Vienes a mí y me dices: “¡Oye, tengo una gran idea para ti! Creo que esto sería un gran trabajo para el SOC”.

¿Por qué la gente dice eso? Porque trabajamos las 24 horas del día, los 7 días de la semana, y mucha gente quiere transferir algo al SOC y quiere venir y decirlo. Y digo: “¿Sabes qué? Hablemos del beneficio neto de esto para la empresa”. Porque si nos pides ayuda porque es un beneficio neto para la empresa, por supuesto. Si nos pides que hagamos esto porque es un trabajo que no quieres hacer y crees que otros humanos deberían hacerlo, entonces yo diría: “Quizás deberíamos volver a OP1 y encontrar una forma de salir de esta situación de forma automática”.

Clarke Rodgers:
Entiendo.

Tom Avant:
Siempre le digo a mi equipo que nuestro trabajo es quedarnos sin trabajo. Nuestro trabajo consiste en encontrar continuamente formas de utilizar la automatización o asegurarnos de que estamos llevando las detecciones a un estado en el que un día me digan: “Bueno, ¿por qué no tenemos un SOC?”. Y podré responder: “Hubo un tiempo en el que teníamos un SOC”. Y ese SOC analizó todas estas formas diferentes para poder decir “no necesitamos hacer esto” o “esto podría automatizarse” o “esto podría ser mejor” o “podríamos llevar esto a un estado en el que el SOC ya no sea necesario”. Ese es mi objetivo. No sé si alguna vez llegaremos allí, pero sin duda es un objetivo por el que seguir avanzando.

Clarke Rodgers:
Bueno, en realidad tenía una pregunta para ti sobre eso. Si tuvieras una bola de cristal, ¿cómo sería el SOC del futuro? Y supongo que una forma diferente de hacer esa pregunta es: si tuvieras una pizarra en blanco, ¿cómo desarrollarías una capacidad de SOC hoy en día?

Tom Avant:
Yo diría que me refiero a la capacidad, porque a eso es a lo que realmente se reduce. ¿O cuál es la capacidad que obtienes de un SOC? ¿Qué capacidad se pierde al no tener un SOC o al subcontratar un SOC? La diferencia respecto a la externalización es que los intereses de la empresa están por delante, y esa es la razón por la que quieres un SOC interno, si puedes permitírtelo.

Clarke Rodgers:
Y supongo que, internamente, también vas a tener un conocimiento de la empresa que una parte externa no tendría.

Tom Avant:
Por supuesto. Vas a saber a quién acudir. La otra parte de que sea interno, es tu capacidad, ¿verdad? Volviendo a la capacidad. Asegúrate de concentrarte en lo que ofreces específicamente para la empresa. Y creo que puedes modificarlo constantemente porque estás en esas otras reuniones, como las reuniones de planificación estratégica. Así que, a medida que se desarrollan, puedes darte cuenta y decir “vale, este es nuestro nuevo norte. Aquí es donde cambiamos de rumbo”. No puedes hacerlo si te subcontratan al mismo ritmo.

Y dado que las empresas avanzan tan rápido, hay que asegurarse de que las personas que toman esas medidas descendentes estén conectadas con las personas que toman esas decisiones estratégicas y, por lo tanto, puedan cambiar con rapidez. Y esa es una de las ventajas de que sea interno. Yo analizaría todas esas cosas y diría, respecto de la capacidad y el norte estratégico que he descrito, ¿qué tipo de postura de protección estoy buscando? Y entonces, ¿cuál es el riesgo si fallo?

Y cuando pienso en eso, voy a decir... si eso ocurre, ¿puedo mirar a mi cliente a los ojos y decirle: “Hice todo lo posible para asegurarme de que esto no sucediera”, o voy a patear la pelota y decir que fue el otro tipo?

Clarke Rodgers:
Me encanta. Con la velocidad a la que avanza la tecnología y, por supuesto, con las herramientas de IA generativa que existen, ¿cuál crees que será ese SOC del futuro? No sé si puedes hablar sobre si estás utilizando alguna herramienta de IA generativa en la actualidad, o si planeas hacerlo o investigar cualquier caso, pero ¿cómo crees que eso ayudará a tus SOC analyst y también a los demás roles? Y desde el punto de vista del atacante, ¿qué piensas sobre cómo podrían estar usándolo para que puedas detectar sus actividades o reaccionar ante ellas?

Tom Avant:
Estamos empezando a utilizarla con el objetivo de crear respuestas automatizadas para algunos de nuestros clientes. Y también estamos estudiando los flujos de trabajo automatizados para poder decir: “Vale, sabemos que se trata de flujos de trabajo comunes que llegan, basados en las métricas que estamos analizando y que los clientes buscan mucho. ¿Cómo incorporamos lo que nos dicen nuestros datos con un enrutamiento más directo a las soluciones que buscan? Y donde no se requiere el juicio humano, ¿por qué no eliminamos al ser humano por completo de esa cadena?”. Y en eso estamos trabajando ahora mismo.

Clarke Rodgers:
Eso es fantástico. ¿Y luego desde el lado del adversario?

Tom Avant:
El lado de las amenazas es muy interesante. Es un terreno de juego completamente nuevo. Es decir, estás escuchando muchas cosas nuevas sobre las inyecciones en... La gente quiere jugar con la tecnología, y van corriendo a todos los sitios web para descargar cosas. La mitad del tiempo ni siquiera saben lo que están descargando. No quieres que la gente vaya de cabeza a un incendio. Primero debes evaluar el incendio y buscar cuál es el mejor punto de entrada.

Ocurre lo mismo cuando hablamos de la IA generativa. ¿Cuáles son los lugares seguros a los que se puede ir? ¿Cómo nos aseguramos de validar ese uso antes de incorporarlo? ¿Cuáles son las diferentes comprobaciones que podemos realizar en segundo plano y asegurarnos de poder decir: “Sí, nos sentimos realmente seguros con lo que estamos haciendo”, antes de propagarlo? Porque una vez que está dentro y comienza a propagarse, ya es tarde para darte cuenta de que hiciste algo mal, porque ahora estás haciendo una limpieza e intentando frenar la propagación. Y eso no es divertido, para aquellos de nosotros que lo hemos hecho antes en otras situaciones. Por lo tanto, definitivamente querrás tener la perspectiva que te da hacer esas comprobaciones previas antes de continuar.

Y creo que otra amenaza relacionada con eso que estamos empezando a ver, que probablemente sea poco común, es la regulación. Probablemente sea una de las tendencias más importantes que empiezo a ver a medida que empezamos a adoptar más y más cargas de trabajo en la nube, a medida que más y más clientes acuden a la nube. Vamos a más y más entornos diferentes, a países diferentes. Estamos empezando a ver aparecer nubes soberanas en más y más ubicaciones. La regulación es algo en lo que realmente hay que pensar. Antes, era algo que se dejaba para después, y ahora está en el primer plano de muchas de nuestras discusiones. Antes de entrar y pensar en cualquier otra cosa, ¿cómo podemos adoptar y cumplir y seguir operando y manteniendo el máximo valor para el cliente y, al mismo tiempo, cumplir con las normas y poder comunicarlo?

Clarke Rodgers:
Creo que es una tendencia increíble que yo también he visto. Antes podíamos tener una conversación sobre la seguridad desde el diseño, ¿verdad? Desarrollar la seguridad desde el principio, tal vez incluso solo en las etapas de creación de prototipos, en las etapas de ideación de las cosas. Y ahora estamos en un punto en el que: “Ah, sí, y también las obligaciones normativas y de privacidad y cumplimiento”.

Tom Avant:
Por supuesto.

Clarke Rodgers:
Me alegro de que veas eso, que la gente lo esté empujando más abajo en la pila para que, cuando llega el momento del lanzamiento, estemos alineados con las cosas.

Tom Avant:
Por supuesto.

Clarke Rodgers:
Bueno, ha sido fantástico, Tom. Gracias por estar aquí hoy. Gracias.

Tom Avant:
Muchas gracias por invitarme. Lo agradezco mucho.