İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Google, AB siber güvenlik kurucularını arıyor
Google, Google for Startups Growth Academy: Cybersecurity programının artık AB şirketlerinden gelen başvuruları kabul ettiğini duyurdu.
Rackspace fidye yazılımı saldırısı, önceden bilinmeyen bir güvenlik açığı kullanılarak gerçekleştirildi
Crowdstrike araştırmacıları tarafından yakın zamanda ortaya çıkarılan MS Exchange istismar zinciri, Play fidye yazılımı çetesinin Rackspace Barındırılan Exchange e-posta ortamını nasıl ihlal ettiğini, şirketin geçen hafta doğruladığını doğruladı.
Modern fuzzing yoluyla bulunan kriptografik kitaplıklardaki güvenlik açıkları
Gömülü ortamlar için iki açık kaynaklı TLS/SSL uygulaması/kütüphanesi olan MatrixSSL ve wolfSSL’de yakın zamanda yamalanan güvenlik açıkları, kriptografik protokol uygulamalarında güvenlik açıklarını ortaya çıkarmak için bulanıklaştırma kullanmanın büyük potansiyelini vurguladı.
Microsoft fişleri sıfır gün deliğinden aktif olarak yararlandı (CVE-2023-21674)
Ocak 2023 Salı Yamasını kutlamak için Microsoft, biri vahşi ortamda kullanılan (CVE-2023-21674) ve biri (CVE-2023-21549) dahil olmak üzere kamuya açıklanan 98 CVE numaralı güvenlik açığı için yamalar yayınladı.
Threema’nın kripto denetimi birçok güvenlik açığını ortaya çıkardı
Araştırmacılar, İsviçre merkezli güvenli mesajlaşma uygulaması Threema’da, saldırganların kimlik doğrulamasını bozma veya kullanıcıların uzun vadeli özel anahtarlarını kurtarma gibi şeyler yapmasına izin vermiş olabilecek kriptografik güvenlik açıkları keşfettiler.
Cisco, PoC istismarı mevcut olsa bile yönlendirici kusurlarını düzeltmez (CVE-2023-20025, CVE-2023-20026)
Cisco, Küçük İşletme serisi yönlendiricilerinden bazılarını etkileyen bir kritik (CVE-2023-20025) ve iki orta düzeyde (CVE-2023-20026, CVE-2023-20045) güvenlik açığını kabul etti, ancak güvenlik açığı olarak bunları düzeltmeyecek. cihazlar “ömür sonu sürecine girmiştir.”
FortiOS kusuru, devlet hedeflerini tehlikeye atmak için kullanıldı (CVE-2022-42475)
Fortinet’in Kasım 2022’de yamalar yayınladığı FortiOS SSL-VPN’deki (CVE-2022-42475) kritik bir güvenlik açığı, saldırganlar tarafından hükümet veya devletle ilgili hedefleri tehlikeye atmak için kullanıldı.
2023’te izlenecek 4 kimlik güvenliği trendi
Denenmiş ve gerçek en iyi güvenlik hijyeni uygulamalarının birçoğu devam etse de nasıl çalıştığımız, kullandığımız sistemler, karşılaştığımız tehditler ve uyum sorunlarıyla ilgili yeni ve karmaşık iş zorluklarıyla karşılaşacağız.
Bir güvenlik ekibi oluşturmalısınız. Nereden başlıyorsun?
DataGrail’in yeni Güvenlik Başkan Yardımcısı olan güvenlik ustası Chris Deibler, şirketin büyümesini desteklemek için güvenlik ekibini oluşturmak üzere getirildi.
Saldırganlar, kötü amaçlı yazılım dağıtmak için iş açısından kritik bulut uygulamalarını kötüye kullanır
Netskope’a göre 400’den fazla farklı bulut uygulaması, 2022’de kötü amaçlı yazılım sağladı; bu, önceki yılda görülen miktarın neredeyse üç katı ve 2022’deki tüm bulut kötü amaçlı yazılım indirmelerinin %30’u Microsoft OneDrive’dan kaynaklandı.
Neden FIDO ve parolasız kimlik doğrulama gelecek?
Open Seas Direktörü Jason Kent, bu Help Net Security videosunda, FIDO ve parolasız kimlik doğrulamanın neden geleceği açıklamaktadır.
Resmileşti: Dijital güven, çevrimiçi ortamda herkes için gerçekten önemli
Genişletilmiş tehdit yüzeyi ve kötü aktörler için basit ama güçlü bir motivasyonun (maddi ödül) olduğu bir ortamda, dijital güvenin neden gerekli olduğu açıktır.
Kuruluşlar, hibrit çalışmayı güvence altına almak için SSE teknolojisini benimsiyor
Hibrit veya uzaktan çalışma modelini destekleyen kuruluşların %88’i ile insanların çalışma şeklinin değiştiği açık.
Maliyet yoluyla güvenlik bilinci nasıl kazanılır?
Bu Help Net Security videosunda, Anvilogic CEO’su Karthik Kannan, 2023’te siber güvenlik dünyasına yönelik tahminlerden ve maliyet yoluyla güvenlik bilincinin nasıl kazanılacağından bahsediyor.
2023 için olay müdahale planınızı nasıl iyileştirebilirsiniz?
Birçok kuruluş olay müdahale planının (IRP) varlığından emindir, ancak bununla ne yapacaklarından genellikle tam olarak emin değildirler.
Veri ihlallerine olanak sağlayan 6 gözetim
Imperva’ya göre kişisel çalışan veya müşteri verileri, Temmuz 2021 ile Haziran 2022 arasında çalınan tüm verilerin yaklaşık %45’ini oluştururken, şirketlerin kaynak kodu ve özel bilgiler sırasıyla %6,7 ve %5,6’sını oluşturuyor.
ChatGPT: Her işin en iyisi, hiçbirinin ustası olan bilgi güvenliği asistanı
OpenAI’den ChatGPT, yakın zamanda araştırma amacıyla önizleme modunda piyasaya sürülen bir konuşma sohbet robotudur.
Geçen yılın en önemli DDoS saldırıları
Bu Help Net Security videosunda, Akamai’de Danışmanlık CISO’su olan Steve Winterfeld, son 12 aydaki en güçlü DDoS saldırılarını tartışıyor.
İhlal ve saldırı simülasyonu (BAS) pazarında 4 önemli değişiklik
Siber suçlu karmaşıklığının artmasıyla birlikte saldırı yüzeylerinin sayısındaki artış, çoğu yetersiz personele sahip olan ve ortamlarında artan sayıda güvenlik aracını etkili bir şekilde yönetmek için zaman ayıramayan güvenlik operasyon merkezleri (SOC’ler) için teknik borç oluşturuyor.
Atomize ağ neden büyüyor ve nasıl korunacak?
Bu Net Security Yardım videosunda, Netography CEO’su Martin Roesch, atomize ağın yükselişini ve bağlantılı sonuçları tartışıyor.
Güvenli tutarken veri değerini en üst düzeye çıkarma
Kuruluşlar, dağıtılmış ambarlar, veritabanları, nesne depoları ve veri alışverişleri arasında en geniş erişime izin verirken aynı zamanda tutarlı veri gözetimini sürdüren bir ortamı nasıl yaratabilir?
Kendinizi bot güdümlü hesap dolandırıcılığından nasıl korursunuz?
Bu Yardım Ağı Güvenliği videosunda, Kasada’nın Saha CTO’su Nick Rieniets bu tehditten bahsediyor ve kendinizi bot kaynaklı hesap dolandırıcılığından nasıl koruyacağınız konusunda ipuçları sunuyor.
2023 için 7 güvenlik tahmini
Çevrimiçi platformlar ve sosyal medyanın günlük rutinimize tamamen entegre olmasıyla, kimlik avı ve sosyal mühendislik, veri ihlallerinin yaygın bir nedeni olmaya devam edecek.
Kılavuz: Sanal CISO’lar hizmetlerini uyumluluğa hazır olacak şekilde verimli bir şekilde nasıl genişletebilir?
Uyumluluk, eskiden esas olarak büyük işletmelerin konusuyken, zaman değişti ve artık sayıları giderek artan küçük ve orta ölçekli işletmeler için günlük bir endişe kaynağı haline geldi.