YORUM
Her zamanki gibi, Black Hat USA 2024 siber güvenlik profesyonelleri için bir içgörü hazinesi olmayı vaat ediyor. Yapay zeka çılgınlığına rağmen, güvenlik açığı giderme, güvenliği daha verimli hale getirmek isteyen her ölçekteki kuruluş için temel odak noktası olmaya devam ediyor. Anlaşılabilir bir şekilde, bu yılki konferans bu konu hakkında çeşitli yaklaşımlar, vaka çalışmaları ve bilgilendirici tartışmalar vaat ediyor. Güvenlik açıklarını keşfetme, önceliklendirme ve yamalama konusunda içgörüler için katılmanızı önerdiğimiz en aydınlatıcı yedi oturum şunlardır:
Konuşmacılar: Yakir Kadkoda, Michael Katchinskiy, Ofek Itach
Tarih: Çarşamba, 7 Ağustos, 10:20-11:00
Konular: Bulut güvenliği, kurumsal güvenlik
Amazon Web Services’taki (AWS) altı kritik güvenlik açığının uzaktan kod yürütme ve bilgi ifşası da dahil olmak üzere ciddi ihlallere yol açma potansiyeline sahip olduğunu biliyor muydunuz? Bu oturum, bu güvenlik açıklarını keşfetmeye yönelik bir metodolojiye dalıyor ve konuşmacılar, hizmet içi API çağrılarını araştırmak için yeni bir açık kaynak aracını tanıtacak. Bu oturum, karmaşık bulut güvenlik açıklarını anlamak ve azaltmak için önemlidir.
Konuşmacı: Bill Demirkapı
Tarih: Çarşamba, 7 Ağustos, 13:30-14:10
Konular: Yapay Zeka, Makine Öğrenimi ve veri bilimi, uygulama güvenliği: savunma
Bu oturuma katılmak, Microsoft’un güvenlik yanıt iş akışlarını kolaylaştırmak için büyük dil modellerini (LLM’ler) nasıl kullandığını daha iyi anlamanıza yardımcı olacaktır. LLM’lerin güvenlik açığı bilgilerini türetmek, rapor ciddiyetini tahmin etmek ve çökme dökümlerinden temel nedenleri oluşturmak için pratik uygulamalarını öğrenin. Bu, güvenlik açığı yönetimlerini yapay zeka ile geliştirmek isteyen kuruluşlar için çığır açıcı bir oturumdur.
Konuşmacılar: Adnan Khan, John Stawinski
Tarih: Çarşamba, 7 Ağustos, 13:30-14:10
Parçalar: Kurumsal güvenlik, uygulama güvenliği: saldırı
Bu teknik derinlemesine inceleme, GitHub ve diğer platformlarda keşfedilen kritik güvenlik açıklarını vurgulayarak kendi kendine barındırılan CI/CD çalıştırıcılarıyla ilişkili güvenlik risklerini ele alır. Katılımcılar, yazılım geliştirme yaşam döngüsünü güvence altına almak için hayati önem taşıyan boru hattı zehirlenmesine ve ayrıcalık yükseltme saldırılarına karşı nasıl savunma yapacaklarını öğrenecekler.
Konuşmacı: Liv Matan
Tarih: Çarşamba, 7 Ağustos, 13:30-14:10
Parçalar: Bulut güvenliği, uygulama güvenliği: saldırı
Google Cloud Platform’daki (GCP) tek bir hatalı komutun milyonlarca sunucuyu etkileyen kritik bir RCE güvenlik açığına nasıl yol açtığını keşfedin. Bu oturum, bulut hizmetlerinin karmaşıklığına ilişkin içgörüler sağlayacak ve bulut sağlayıcıları tarafından kullanılan gizli API’leri ortaya çıkarmak için araçlar sunacaktır. Kuruluşlarında bulut güvenliğini yöneten ve bulut hizmeti güvenlik açıklarını anlamaya çalışan güvenlik liderleri bu konuşmayı paha biçilmez bulacaktır.
Konuşmacılar: Eyal Paz, Liad Cohen
Tarih: Perşembe, 8 Ağustos, 14:30-15:00
Parçalar: Uygulama güvenliği: savunma, istismar geliştirme ve güvenlik açığı keşfi
Konuşmacıların bu güvenlik açıklarının nasıl istismar edilebileceğini açıkça gösterdiği yazılım projelerinde geçişli bağımlılıkların riski hakkında bilgi edinin. Katılımcılar, bu riskleri azaltmak ve tehdit modellerinde güvenlik açıklarını önceliklendirmek için pratik stratejiler öğrenecekler; bu, güvenli yazılım geliştirme için çok önemlidir.
Konuşmacılar: Qi Wang, Jianjun Chen, Run Guo, Chao Zhang, Haixin Duan
Tarih: Perşembe, 8 Ağustos, 14:30-15:00
Parçalar: Uygulama güvenliği: saldırı, bulut güvenliği
WAF’lerdeki protokol düzeyindeki kaçınma açıklarının güvenlik önlemlerini atlatmak için nasıl kullanılabileceğini keşfedin. Bu oturum, 311 kaçınma vakasını ortaya çıkaran ve karmaşık saldırılara karşı Web uygulama savunmalarını güçlendirmek isteyenler için son derece yararlı olabilecek yeni bir test çerçevesi olan WAF Manis’i tanıtıyor.
Konuşmacılar: Ryan Kane, Rushank Shetty
Tarih: Perşembe, 8 Ağustos, 15:20-16:00
Parçalar: Kurumsal güvenlik, uygulama güvenliği: saldırı
Bu oturum, saldırganların yedekleme verilerini barındıran altyapıyı nasıl hedef alabileceğini vurgulayarak değişmez yedeklemelerin güvenliğini inceler. Veri dayanıklılığını fidye yazılımı saldırılarına karşı sağlamak için kritik öneme sahip değişmez yedeklemeleri test etme süreçlerini, başarısızlıklarını ve başarılarını öğrenin.
Bu oturumlar ve güvenlik açığı gidermeyle ilgili diğer birçok oturum, sürekli gelişen saldırı yüzeylerini ele alarak ve tetikte kalarak proaktif güvenlik kültürü oluşturmanın artan öneminin bir kanıtıdır. Sağlam bir güvenlik açığı giderme sürecine sahip olduğunuzdan emin olmak, kuruluşunuzun güvenlik duruşunda kritik ve hayati bir güvenlik kontrol noktasıdır.