资源描述
解锁未来AI 是 CISO 顶级挑战的关键2首先是一些 AI 基础知识 推理和逻辑 沟通技巧 综合信息 模式识别 创造性解决问题 翻译 非结构化数据 AI 限制:非确定性行为 准确性 重复性挑战 有限的内存保留 速度和成本效率AI 优势:“13 岁的天才。过度自信,注意力跨度短,没有街头智慧“3什么是今天在这里,但明天来扩展的上下文感知持续的自我改进*本地化智能 决策和代理(代理)低成本和高性能AI 对企业的影响组织工程所有会议和沟通将被分析和搜索自我更新文档和 Wiki自动化管理状态报告代码和云将成为自我记录需求驱动的代码生成(要求作为代码)集成将是自动的本地代理商(oracles)专注于每个专业领域(身份,云,电子邮件,Jira)本地化模型将监控系统并帮助修复(自我修复)4CISO 面临的最大挑战CISO 面临的首要安全挑战最低特权漏洞管理合规性和测量第三方事件管理报告检测和响应67基本问题:三个 C覆盖范围上下文通信3C8漏洞管理谁拥有补救?上下文-谁?什么?哪里?为什么?怎么做?它是可利用的吗?如果是谁?这是一个关键的系统或领域?有补偿控制吗?补救有多难/容易?9覆盖范围-宽度和深度账户接管(ATO)缺少日志、字段/已停止日志数以千计的漏洞和警报需要进行分类配置更改 建筑评论 用户/系统权限10沟通-最重要和浪费时间我们在做什么在 OKR 上?该资产的风险是什么?我们怎么能信任你?我们为什么不解决这个问题?11AI 擅长三个 C。覆盖范围你会有 10,000 名聪明的初级安全工程师做什么?上下文Oracles 和组织状态的综合3C通信沟通是一个翻译挑战:ChatOps 又回来了!12想象一个世界今天 vs明天13工程文档和讨论已确定 Stripe 是新接受的付款提供商在 3.3.2024 上,将 Stripe 库引入了代码 repo“payment-lib”检测和最小权限信息:确定了对 的新的出站呼叫这是预期行为,由于以下原因被认为是低风险:并且被允许。Stripe 是受信任的提供程序,只允许出站呼叫A与 Cosmo 讨论谁是积极的贡献者到“payment-lib”发生在 1:22 PM PT 3.3.2024 通过 Slack 确认域名 被允许出站14位于xxx/评论/$id总曝光时间:22 分钟活动报告漏洞管理和覆盖通过案例评论功能在内部 CIS 系统中识别出 XSS 问题。3:35 PM PT该问题是通过 Nuclei 评估和由于内部系统、需要有限的经过身份验证的用户以及在暂存系统上,问题被评为低风险3:42pm PT这个问题是在最后一次推进到分期时引入的3:43 PM PT发现存在该漏洞的代码是由 Josh Smith 引入的。3:44 PM PT提交了带有 PR 的修复程序,并通过 Slack 通知了 Josh。3:52 pm PTJosh 已经认识到这个问题并接受了公关3:53 PM PT已将新规则添加到 semgrep,并针对此类问题修改了需求文档15请求是由 Martin Brice 提出的,他是拥有此资产所有权的“数据基础设施”团队的首席工程师与 Martin 和商业媒体团队的会议讨论了定期清理丢弃的报告。3.15.2024(此处更深入的总结)Jira ticket 2928 提交了定期清理活动的扩展权限请求。sp 报告的要求文档增加了删除功能我们在 3.15.2024 通过 Slack 与 Werner Brandes 联系,并获得批准。皇冠宝石警报对于任何皇冠宝石信托区,您要求的批准设置都很高。请求删除 s3 存储桶“bi-data-setec/tmp”上的角色“sp-report-gen”的访问权限。是否批准?建议出于以下原因授予访问权限:谢谢你在 Linkedin 上找到我 Caleb Sima
展开阅读全文