İnceleme haftası: ChatGPT ve siber güvenlik, Docker kapsayıcılarındaki gizli güvenlik açıkları


Güvenlik haftası

İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:

Google Korumalı Bilgi İşlem: Konumdan bağımsız olarak verilerin gizliliğini ve güvenliğini sağlama
Bu Help Net Security röportajında, Google’da Gizlilik, Güvenlik ve Güvenlikten Sorumlu Başkan Yardımcısı Royal Hansen, Korumalı Bilişim, veri koruma düzenlemelerinin etkisi ve genel olarak gizlilik hakkında konuşuyor.

ChatGPT uygulamaları arayan kullanıcılar bunun yerine kötü amaçlı yazılım alıyor
OpenAI’nin sohbet robotu ChatGPT’nin muazzam popülaritesi siber suçluların gözünden kaçmadı: Kullanıcıları Windows ve Android kötü amaçlı yazılım indirmeleri ve kimlik avı sayfalarını ziyaret etmeleri için kandırmak için halkın onu deneme hevesinden yararlanıyorlar.

Arka kapı saldırıları daha yaygın hale geldikçe savunucular yüksek alarmda
IBM’e göre, fidye yazılımlarının olaylardaki payı 2021’den 2022’ye kadar yalnızca küçük bir düşüş gösterse de, savunucular fidye yazılımlarını tespit etmede ve önlemede daha başarılıydı.

2023’te siber güvenlik işten çıkarmaları: Ne bekleniyor?
En son (ISC)² raporuna göre, 2023 için öngörülen ekonomik gerileme işten çıkarmalara yol açacak, ancak siber güvenlik çalışanları en az etkilenecek. Ayrıca, işler düzelir düzelmez, muhtemelen (yeniden) işe alınan ilk kişiler onlar olacaktır.

VMware, Carbon Black Uygulama Kontrolünde (CVE-2023-20858) kritik enjeksiyon kusurunu yamalar
VMware, güvenilir olmayan yazılımların kritik sistemlerde ve uç noktalarda çalışmasını engellemeye yönelik kurumsal çözümü olan Carbon Black Uygulama Kontrolünde kritik bir güvenlik açığını (CVE-2023-20858) düzeltti.

PoC istismarı, Fortinet FortiNAC RCE için IoC’ler yayınlandı (CVE-2022-39952)
Horizon3.ai’nin Saldırı Ekibi, Fortinet’in ağ erişim kontrol çözümü FortiNAC’ı etkileyen kritik bir güvenlik açığı olan CVE-2022-39952 için bir PoC açığı yayınladı.

En son Coinbase siber saldırısından ne öğrenebiliriz?
Kripto para borsası Coinbase, geçen yıl Twillio, Cloudflare ve diğer birçok şirketi hedef alan aynı saldırganlar tarafından gerçekleştirilmiş olabilecek bir siber saldırıyı savuşturdu.

Twitter, SMS tabanlı 2FA seçeneği için kullanıcılardan ücret almaya başlayacak
Twitter, 20 Mart’tan itibaren Twitter Blue aboneliğini ödemeyen kullanıcıların artık SMS tabanlı iki faktörlü kimlik doğrulama (2FA) seçeneğini kullanamayacaklarını duyurdu.

KOBİ’lerin SaaS güvenlik açıklarını kapatmak için atabilecekleri dört adım
Ekonomik oynaklığa ve daha sıkı bütçelere rağmen, hizmet olarak yazılımın (SaaS) benimsenmesi artmaya devam ediyor.

Siber güvenlik, yapay zeka araçları ve teknikleri ile ileriye doğru bir adım atıyor
Bilim adamları, bilgisayar ağlarını korumak için derin pekiştirmeli öğrenme veya DRL olarak bilinen bir yapay zeka biçiminden yararlanma yolunda önemli bir adım attılar.

ChatGPT, siber güvenlik için ilerlemeler ve zorluklar getiriyor
Her yeni teknolojide olduğu gibi, ChatGPT hem iyi hem de kötü amaçlar için kullanılabilir ve bunun siber güvenlik dünyası için önemli sonuçları vardır.

Araştırmacılar yüzlerce Docker kapsayıcısında gizli güvenlik açıkları buldu
Rezilion, çoğu standart güvenlik açığı tarayıcısı ve SCA aracı tarafından algılanmayan güvenlik açıkları içeren yüzlerce Docker kapsayıcı görüntüsünün varlığını ortaya çıkardı.

İnsan odaklı iyileştirme neden güçlü API güvenliğinin anahtarıdır?
Bu Yardım Ağı Güvenliği videosunda, Secure Code Warrior CTO’su Matias Madou, en son ve en iyi güvenlik araçlarını takip etmenin, geliştirici ekiplerini ayrıntılara hâlâ ihtiyaç duyulan insan odaklı iyileştirmeden nasıl uzaklaştırabileceğini tartışıyor.

Sağlık hizmeti veri ihlalleri hala pandemi öncesi seviyelerin üzerinde
Critical Insight’a göre, sağlık hizmeti sağlayıcılarını etkileyen veri ihlallerinin sayısı, son iki yıldaki düşüş eğilimiyle tutarlı olarak 2022’nin ikinci yarısında azaldı.

GraphQL API’lerine yönelik en önemli güvenlik tehditleri ve bunların nasıl ele alınacağı
API’lerini modernize etmek isteyen kuruluşlar, REST mimarisinden açık kaynaklı veri sorgulama ve işleme dili GraphQL’ye giderek daha fazla geçiş yapıyor.

İlerleyen siber eğitim, iş gücü boşluklarını doldurmaya nasıl yardımcı olabilir?
Bu Yardım Ağı Güvenliği videosunda, Dakota Eyalet Üniversitesi Başkanı José-Marie Griffiths, bu eksikliğin yalnızca bir rahatsızlık değil, aynı zamanda şirketlerin güvenliğini ve güvenliğini tehlikeye atan ve müşterilerinin ve müşterilerinin hassas bilgilerini ifşa eden büyük bir tehdit olduğunu tartışıyor. risk.

Siber saldırıların karmaşıklığı ve hacmi, güvenlik ekiplerinde tükenmişliğe neden oluyor
Magnet Forensics’e göre siber suçların hızlı evrimi, güvenlik ekipleri üzerinde geçen yıla göre önemli ölçüde daha fazla baskı oluşturuyor ve bu da yaygın bir tükenmişliğe ve potansiyel yasal risklere yol açıyor.

IoT cihazlarınız risk altında mı? 2023 için siber güvenlik endişeleri
Nuspire CSO’su JR Cunningham, bu Net Güvenlik Yardımı videosunda 2023 için IoT siber güvenlik endişelerini tartışıyor.

Fidye yazılımıyla ilişkili güvenlik açıklarının çoğu eskidir
Araştırmacılar, 2022’de belirlenen toplam 344 tehdit arasında fidye yazılımı tehditleriyle ilişkili 56 yeni güvenlik açığı tespit etti ve bu, yıldan yıla %19’luk bir artışa işaret ediyor.

İşten çıkarmalarla karşı karşıya olan kuruluşlar için içeriden gelen tehditler birinci öncelik olmalıdır
Bu Help Net Security videosunda, Swimlane’de Baş Güvenlik Otomasyonu Mimarı Nick Tausek, stres, endişe, hayal kırıklığı ve bu aniden işsiz kalan çalışanları bekleyen bilinmezlikler nedeniyle kuruluşların kendilerini içeriden gelen tehditlere nasıl hazırlamaları gerektiğinden bahsediyor.

Resecurity, veri merkezi hizmet sağlayıcılarına yönelik siber saldırılara karşı uyarıda bulunuyor
Resecurity, küresel olarak veri merkezi hizmet sağlayıcılarını hedef alan kötü amaçlı siber faaliyetlerin artması konusunda uyarıda bulunuyor.

BSidesNYC 2023’te sizi neler bekliyor?
BSidesNYC 2023’ün baş organizatörü Huxley Barbee, bu Help Net Security video röportajında ​​yaklaşan etkinlik hakkında konuşuyor.

Haftanın yeni infosec ürünleri: 24 Şubat 2023
CyberGRX, Lacework, Malwarebytes, Netography, Nudge Security ve Xcitium’dan çıkan sürümleri içeren geçen haftanın en ilginç ürünlerine bir göz atın.



Source link