İnceleme haftası: Curl ve libcurl güvenlik açığı düzeltildi, 15 ücretsiz M365 güvenlik eğitimi modülü


İncelemede hafta

Geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:

Gazileri siber güvenlik uzmanlarına dönüştürüyoruz
Bu Help Net Security röportajında, Forces İstihdam Yardım Kuruluşu TechVets Programı Direktörü ve Fortinet’in Gaziler Programı Danışma Konseyi üyesi James Murphy, gazilerin askeri hayattan sivil hayata geçişte karşılaştıkları zorlukları tartışıyor.

Yıllık penetrasyon testlerinin sınırlamalarını ortaya çıkarmak
Bu Help Net Security röportajında, Ambionics Security Operasyon Başkanı Charles d’Hondt, yıllık penetrasyon testlerinin yeterli olmaması nedeniyle sürekli sızma testlerinin uygulanmasının gerekliliğinden bahsediyor.

İstismarcı yazarlar Chrome’un V8 motoru ve Google Cloud’un KVM’sini araştırmaya davet edildi
Google, hata avcılarından ve istismar yazarlarından Chrome’un V8 JavaScript motorunda ve Google Cloud’un Çekirdek Tabanlı Sanal Makinesinde (KVM) 0 günlük ve n günlük güvenlik açıkları geliştirmelerini istiyor.

GNOME kullanıcıları RCE saldırısı riski altında (CVE-2023-43641)
Linux sisteminizde/sistemlerinizde GNOME çalıştırıyorsanız, libcue kütüphanesindeki bellek bozulması güvenlik açığı (CVE-2023-43641) sayesinde muhtemelen bubi tuzaklı bir dosya aracılığıyla uzaktan kod yürütme saldırılarına açıksınız.

Microsoft, istismar edilen WordPad ve Skype Kurumsal sıfır günlerini düzeltir (CVE-2023-36563, CVE-2023-41763)
Microsoft, Ekim 2023 Yaması Salı günü 103 yama yayınladı ve aktif olarak yararlanılan üç güvenlik açığını düzeltti (CVE-2023-36563, CVE-2023-41763, CVE-2023-44487).

Curl projesi, her yerde bulunan libcurl kütüphanesindeki yüksek önemdeki hatayı ortadan kaldırıyor (CVE-2023-38545)
Curl v8.4.0 çıktı ve diğer şeylerin yanı sıra yüksek önemdeki SOCKS5 yığın arabellek taşması güvenlik açığını (CVE-2023-38545) düzeltiyor.

Microsoft 365 e-posta gönderenlere SPF, DKIM ve DMARC’yi uygulamaya çağrıldı
Google’ın toplu gönderenler için yeni kuralları duyurmasının ardından Microsoft, Microsoft 365 e-posta gönderenleri SPF, DKIM ve DMARC e-posta kimlik doğrulama yöntemlerini uygulamaya çağırıyor.

Devlet destekli tehdit aktörü tarafından istismar edilen Kritik Atlassian Confluence güvenlik açığı
Microsoft’un tehdit analistleri, Atlassian Confluence Veri Merkezi ve Sunucusundaki (CVE-2023-22515) kritik bir kusurun, devlet destekli bir tehdit aktörü tarafından istismar edildiğini belirledi.

Verilerinizi kullanan veri komisyoncularına ilişkin Sic İzin Fişi
Consumer Reports tarafından geliştirilen bir iPhone ve Android uygulaması olan Permission Slip, kullanıcıların şirketlerden ve veri komisyoncularından kişisel verilerini paylaşmayı durdurmalarını ve/veya silmelerini istemesine yardımcı oluyor.

Microsoft Defender, güvenliği ihlal edilmiş kullanıcı hesaplarını otomatik olarak içerebilir
Microsoft, Uç Nokta müşterilerinin Kasım 2022’den bu yana denediği “kullanıcıyı içerme” özelliğinin artık daha geniş bir kuruluş havuzunun kullanımına sunulduğunu duyurdu.

Kimlik cüzdanında seçici açıklama: Kullanıcılar gerçekten ihtiyaç duyulan verileri nasıl paylaşır?
İsim, doğum tarihi, adres, e-posta adresi, şifreler, vergi kayıtları veya maaş bordrosu; tüm bu hassas kullanıcı verileri, dijital hizmetler için bireyleri tanımlamak amacıyla şirketler tarafından büyük veritabanlarında depolanır.

Zaman ayırmaya değer 15 ücretsiz Microsoft 365 güvenlik eğitimi modülü
Microsoft 365’i yönetmek, başta siber güvenliğin güçlendirilmesi olmak üzere birçok işletme için zor olabilir. Neyse ki ücretsiz Microsoft 365 güvenlik eğitimi modülleri var.

Otomotiv siber güvenliği: On yıllık ilerleme ve zorluklar
Bu Help Net Security videosunda, IOActive Baş Güvenlik Danışmanı Samantha Beaumont, modern araçların karşılaştığı zorluklara ve siber güvenlik tehditlerine yönelik olası çözümlere ışık tutuyor.

Şirketler giriş seviyesi siber güvenlik işleri için derece gerekliliklerini yeniden düşünüyor
ISACA’ya göre, ön saflardaki çoğu kişi için tehdit ortamı gelişirken, son yıllarda çok az değişiklik oldu.

Sıfır güven neden düşündüğünüzden daha fazla dayanıklılık sağlıyor?
On yıl önce sıfır güven, güvenlik uzmanlarının keşfetmekten heyecan duyduğu heyecan verici, yenilikçi bir bakış açısı değişimiydi; bugün, güvenlik menüsündeki basit bir seçenekten ziyade kaçınılmaz bir trend olarak çerçevelenmesi daha muhtemel.

Ana bilgisayar projelerinde neden başarının temeli güvenliktir?
Bu Yardım Ağı Güvenliği videosunda, Kyndryl’in Temel İşletme ve Bulut Küresel Uygulama Lideri Petra Goude, güvenliğin bir müşterinin dönüşüm stratejisini tanımlamada nasıl en önemli faktör olduğunu tartışıyor.

Kampanyalar daha geniş alana yayıldıkça uç nokta kötü amaçlı yazılım saldırıları azalıyor
Ağ çevresindeki SSL/TLS trafiğini denetlemeyen kuruluşlar muhtemelen çoğu kötü amaçlı yazılımı kaçırıyor.

Siber sigorta pazarının taleplerini takip etmek
Siber sigorta hâlâ pazarda yeni ortaya çıkan bir alan olarak görülse de, bir güvenlik olayından kaynaklanan mali kayıpları azaltmak ve paydaşlara ve yatırımcılara güvence vermek amacıyla bir poliçe edinmek artık birçok şirket yönetim kurulu için bir öncelik haline geldi.

Siber füzyon, kuruluşların güvenlik operasyonlarını modernleştirmesine nasıl yardımcı oluyor?
Bu Help Net Security videosunda Cyware Araştırma ve Yenilik Kıdemli Başkan Yardımcısı Avkash Kathiriya, siber füzyonun kuruluşların güvenlik operasyonlarını modernleştirmelerine ve SOC’lerini reaktiften proaktif hale getirmelerine nasıl yardımcı olduğunu açıklıyor.

Siber güvenlik uzmanları kötü niyetli yapay zekanın yükselişini öngörüyor
Enea’ya göre siber güvenlik uzmanlarının %76’sı, dünyanın bilinen siber güvenlik önlemlerinin çoğunu atlayabilecek kötü amaçlı yapay zekayla karşılaşmaya çok yakın olduğuna inanıyor.

Kuantum riski artık gerçek: Gelişen veri toplama tehdidinde nasıl gezinilir?
Bugünün verilerini yarının risklerine karşı korumak için kuruluşların, verileri kuantum risklerine karşı koruma konusunda proaktif önlemler alması gerekiyor.

Kitabın tanıtımı: İndirgenemez Karmaşık Sistemler
Bu Help Net Security video röportajında ​​Prelude CTO’su David Hunt, İndirgenemez Karmaşık Sistemler: Sürekli Güvenlik Testine Giriş adlı kitabını tartışıyor.

e-Kitap: Yeni başlayanlar için siber güvenlik kariyer tüyoları
Siber güvenlik kariyerine devam etmek için heyecanlı mısınız, ancak nereden başlayacağınızdan emin değil misiniz? İster öğrenci olun, ister yeni başlayan bir profesyonel olun, ister farklı bir alanda çalışmaya hazır olun, bu e-Kitaptaki denenmiş ve test edilmiş kariyer tüyoları siber güvenliğe başlamanıza yardımcı olacaktır.

Bulut güvenliği ve işlevselliği: Yalnızca bir tanesiyle yetinmeyin
CIS Sağlamlaştırılmış Görüntüler, CIS Karşılaştırmalarının güvenlik önerilerine göre önceden güçlendirilmiş sanal makine görüntüleridir.

Haftanın yeni infosec ürünleri: 13 Ekim 2023
Appdome, Flexxon, Fortanix, Fortinet, SailPoint ve Vanta’nın piyasaya sürdüğü geçen haftanın en ilginç ürünlerine bir bakış.



Source link