İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Vize dolandırıcılığı uzmanı, ödeme ekosistemi dolandırıcılığının birçok yüzünü özetliyor
Bu Help Net Security röportajında, Visa’nın Başkan Yardımcısı ve Dolandırıcılık Hizmetleri Küresel Başkanı Michael Jabbara, dijital gözden geçirme saldırılarını derinlemesine inceliyor, bunların ortak nedenlerini vurguluyor ve tüccarların bunları önlemek için hangi önlemleri alabileceklerine dair içgörüler sunuyor.
Exchange Online yakında eski, güvenlik açığı bulunan şirket içi sunuculardan gelen e-postaları engellemeye başlayacak
Yavaş ama emin adımlarla Microsoft, desteklenmeyen ve/veya yama uygulanmamış kurum içi Microsoft Exchange sunucularının e-posta teslim etmek için şirketin Exchange Online tarafından barındırılan bulut hizmetini kullanmasını imkansız hale getirmeyi hedefliyor.
Fidye yazılımı çeteleri, IBM Aspera Faspex RCE kusurundan (CVE-2022-47986) yararlanıyor
Saldırganlar, kuruluşları ihlal etmek için IBM Aspera Faspex merkezi dosya aktarımı çözümündeki kritik bir güvenlik açığından (CVE-2022-47986) yararlanıyor.
3CX müşterileri, trojenleştirilmiş masaüstü uygulaması aracılığıyla hedeflendi
Devlet destekli olduğundan şüphelenilen tehdit aktörleri, yaygın olarak kullanılan 3CX yazılım telefonu çözümünün resmi Windows masaüstü uygulamasını trojenleştirdi, bir dizi siber güvenlik şirketi Çarşamba günü uyarmaya başladı.
Microsoft, yapay zeka destekli Security Copilot analiz aracını tanıttı
Microsoft, güvenlik operasyonları (SecOps) profesyonellerinin çalışmalarını basitleştirmeyi, artırmayı ve hızlandırmayı amaçlayan yapay zeka destekli bir analiz aracı olan Security Copilot’u tanıttı.
Apple, istismar edilen WebKit hatası için eski iPhone ve iPad’lere yönelik düzeltmeyi destekliyor (CVE-2023-23529)
Apple, – popüler kültür referansını bağışlayın – her şey için her yerde aynı anda güvenlik güncellemeleri yayınladı ve eski iPhone ve iPad kullanıcıları için yaygın olarak kullanılan WebKit güvenlik açığını (CVE-2023-23529) düzeltti.
Bir hata, ChatGPT kullanıcılarının sohbet geçmişini, kişisel ve fatura verilerini ortaya çıkardı
OpenAI, geçen haftaki ChatGPT veri sızıntısının temelinde redis-py açık kaynak kitaplığındaki bir güvenlik açığının olduğunu doğruladı.
BEC dolandırıcıları fiziksel malların peşinde, FBI uyardı
BEC saldırıları genellikle para veya değerli bilgileri çalmayı amaçlar, ancak FBI, BEC dolandırıcılarının inşaat malzemeleri, tarımsal malzemeler, bilgisayar teknolojisi donanımı ve güneş enerjisi ürünleri gibi fiziksel malları ele geçirmeye çalıştıkları konusunda uyarıyor.
Dark web zekası ile düşmanları anlamak
Searchlight Cyber’e göre CISO’ların yüzde 93’ü dark web tehditlerinden endişe duyuyor ve CISO’ların neredeyse yüzde 72’si siber suçlularla ilgili istihbaratın kuruluşlarını savunmak ve siber güvenliği artırmak için “kritik” olduğuna inanıyor.
Tüm işletmenizi doğru kimlik doğrulama yöntemiyle koruyun
Bu Help Net Security röportajında Secfense CEO’su Tomasz Kowalski, kurumsal ortamda çok faktörlü kimlik doğrulamanın önemini vurguluyor, korunan uygulamaların güvenliğini artırmak için mikro yetkilendirmelerin kullanımına dikkat çekiyor ve çok daha fazlasını yapıyor.
Bilinen bilinmeyenler: Kategorize edilmemiş web trafiğine yaklaşımınızı iyileştirme
Siber güvenlik o kadar karmaşık bir alandır ki, en iyi eğitimli, en donanımlı ve en deneyimli güvenlik yöneticileri bile bazen birkaç yoldan hangisini seçeceklerine karar vermekte zorlanırlar.
İş gücü kesintileri arasında veri güvenliğine öncelik verilmesi
Bu Help Net Security videosunda, Rocket Software’de Veri Modernizasyonu Başkanı Chris Wey, kuruluşların karşı karşıya olduğu riskleri ve kesintileri azaltmak için atabilecekleri adımları tartışıyor.
Microsoft, Microsoft Incident Response Retainer’ı duyurdu
Microsoft, müşterilerin bir siber güvenlik krizi öncesinde, sırasında ve sonrasında Microsoft olay müdahale ekiplerinin ön ödemesini yapmasına ve yardımına güvenmesine olanak tanıyan Microsoft Incident Response Retainer’ı kullanıma sundu.
Bir sonraki güvenlik açığından önce ihtiyacınız olan şey
Kötü aktörlerin güvenlik açıklarından yararlanmasını önlemek için güvenlik risklerini azaltmak veya ortadan kaldırmak için harekete geçmelisiniz.
Yerleşik sistemlerde sıfır güven güvenliği sağlamak için engellerin aşılması
Bu Help Net Security röportajında, GoodAccess CEO’su Michal Cizek, dağıtılmış kaynaklardan yararlanmak ile birinci sınıf güvenlik önlemlerini sürdürmek arasındaki kritik dengeyi tartışıyor.
Pasif siber güvenlik farkındalığı eğitimi dönemi sona erdi
Action1’e göre, yetkililerin siber güvenliğe artan vurgusuna ve yüksek profilli ihlallere rağmen, kuruluşlar içindeki güvenlik açığı yönetimindeki kritik boşluklar yönetici liderlik ekipleri tarafından göz ardı ediliyor.
İlk güvenlik kiralamanızdan önce bir güvenlik programı çalıştırma
Bu Yardım Ağı Güvenliği videosunda, Vanta Mühendislik Başkanı Matt Spitz, pragmatik güvenlikten bahsediyor ve sınırlı kaynaklara sahip küçük bir şirketin etkili koruma için temel oluşturmak üzere ne yapması gerektiğini gösteriyor.
Ağ otomasyonunu göz ardı etmek, güvenlik için saatli bir bombadır
Ağ ve güvenlik cihazı güncellemeleri çok önemlidir, ancak bunlar zaman alıcıdır ve manuel olarak yönetildiklerinde insan hatasına açıktır.
Siber güvenlik karar vericileri siber dayanıklılığı nasıl algılıyor?
Bu Help Net Security videosunda, Immersive Labs Siber Başkan Yardımcısı Max Vetter, siber güvenlik ekiplerinin yeni ve gelişmekte olan tehditlere hazır olduklarını kanıtlamaları için üzerindeki artan baskıyı tartışıyor.
Europol, ChatGPT’nin cezai suiistimal potansiyelini ayrıntılarıyla açıklıyor
ChatGPT’ye artan kamu ilgisiyle Europol İnovasyon Laboratuvarı konuyu ciddiye aldı ve Europol’ün çeşitli departmanlarından konu uzmanlarının katıldığı bir dizi çalıştay gerçekleştirdi.
Biyometrinin ve merkezi olmayan kimliğin yükselişi, kimlik doğrulama için oyunun kurallarını değiştiriyor
Bu Help Net Security videosunda, Entrust’ta Ödemeler ve Kimliklerden Sorumlu Başkan Yardımcısı Jenn Markey, biyometrinin, hibrit çözümlerin ve merkezi olmayan kimliğin sektörü ve kimlik doğrulamanın geleceğini nasıl dönüştürdüğünden bahsediyor.
Gölge BT ekiplerinin güvenlik risklerini ve inovasyon potansiyelini dengeleme
Hileli BT ekipleri olarak da bilinen Gölge BT ekipleri, son yıllarda bulut tabanlı uygulamaların ve uzaktan çalışmanın artması nedeniyle popülaritesini artırdı.
Ağ güvenliğini artırmak için ağ otomasyonundan yararlanma
Bu Net Güvenlik Yardımı videosunda, BackBox CTO’su Josh Stephens, kuruluşlardaki ağ ekiplerinin ağ ve güvenlik cihazı yapılandırmalarını yedeklemede nasıl proaktif ve stratejik olabileceği konusundaki düşüncelerini paylaşıyor.
Ortaya çıkan siber tehditler hakkında tehlikeli yanılgılar
Cymulate’e göre kuruluşlar, ortaya çıkan tehditlerle mücadele arayışlarında ortak saldırı yollarını açıkta bırakıyor.
New York hukuk firması sağlık verilerini korumadığı için 200 bin dolar para cezasına çarptırıldı
New York’ta bir hukuk firması, yaklaşık 114.000 hastanın özel ve elektronik sağlık bilgilerini korumadığı için devlete 200.000 dolar ceza ödemeyi kabul etti.
Gıda ve inşaat endüstrisi, gömülü sistemlerin güvenliğini sağlama konusunda bize ne öğretebilir?
Şu anda Cybellum’da Güvenlik Teknolojisi ve İnovasyondan Sorumlu Kıdemli Başkan Yardımcısı olan Left to Our Own Devices podcast’i, Adam Boulton’u bir ürün güvenliği stratejisi oluşturmaya ilişkin deneyimlerini ve ipuçlarını paylaşmaya davet etti.
Yalın güvenlik ekipleri için siber tehditlere karşı en iyi savunma
Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi (NIST CSF), dünyadaki en saygın ve yaygın olarak kullanılan standartlardan biridir.
Haftanın yeni infosec ürünleri: 31 Mart 2023
İşte BreachLock, HackNotice, LOKKER, Nile ve Tausight’tan çıkan sürümleri içeren geçen haftanın en ilginç ürünlerine bir göz atın.