İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Telekom şirketlerinin karşı karşıya olduğu çok yönlü tehditlerin çözülmesi
Bu Help Net Security röportajında, Avrupa Birliği Siber Güvenlik Ajansı’nda (ENISA) Siber Güvenlik Sorumlusu olan Georgia Bafoutsou, telekom şirketlerini, üçüncü taraf sağlayıcılarını ve hizmetlerinin abonelerini hedef alan bazı yaygın saldırı vektörlerini araştırıyor.
Google güvenlik ve ağ çözümlerini yapay zeka ile güçlendirme
Bu Help Net Security röportajında, Google Cloud’da Bulut Güvenliği Genel Müdürü ve Başkan Yardımcısı Sunil Potti, yapay zeka tarafından desteklenen yeni güvenlik ve ağ çözümlerinin, Google müşterilerinin en acil güvenlik sorunlarının üstesinden gelebilmeleri ve şimdiye kadarki en önde kalabilmeleri için güvenliği artırmaya nasıl yardımcı olduğundan bahsediyor. değişen tehdit manzarası.
ChatGPT ve veri koruma yasaları: İşletmeler için uyumluluk zorlukları
Bu Help Net Security röportajında, Private AI CEO’su Patricia Thaine, ChatGPT’yi iş bağlamında kullanırken ortaya çıkan temel gizlilik endişelerinin yanı sıra müşterilerin güvenine ihanet etmeleri halinde işletmelerin karşılaşabilecekleri riskleri gözden geçiriyor.
Bilgi Güvenliği Avrupa 2023
Infosecurity Europe, 20-22 Haziran 2023 tarihleri arasında ExCeL Londra’da gerçekleşti ve Help Net Security yerindeydi.
Microsoft Teams güvenlik açığı, saldırganların çalışanlara kötü amaçlı yazılım dağıtmasına olanak tanır
Güvenlik araştırmacıları, saldırganların kötü amaçlı yazılımları doğrudan çalışanların Microsoft Teams gelen kutusuna göndermesine olanak tanıyan bir hatayı ortaya çıkardı.
Apple, casus yazılımları gizlice dağıtmak için kullanılan sıfır gün güvenlik açıklarını düzeltir (CVE-2023-32435)
Apple, vahşi ortamda kullanılan üç sıfır gün güvenlik açığı (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439) için yamalar yayınladı.
Vahşi ortamda yararlanılan Ağlar için VMware Aria Operations güvenlik açığı (CVE-2023-20887)
VMware Aria Operations for Networks’teki (eski adıyla vRealize Network Insight) bir ön kimlik doğrulama komut ekleme güvenlik açığı olan CVE-2023-20887’nin vahşi ortamda kötüye kullanıldığı tespit edildi.
Zyxel, NAS cihazlarındaki kritik güvenlik açığını yamalar (CVE-2023-27992)
Zyxel, bazı tüketici ağına bağlı depolama (NAS) cihazlarında kritik bir güvenlik açığı (CVE-2023-27992) için ürün yazılımı yamaları yayınladı.
Üçüncü bir MOVEit güvenlik açığı düzeltildi, Cl0p kurban kuruluşları listeliyor (CVE-2023-35708)
Progress Software, web uygulamasında bir aydan kısa bir süre içinde keşfedilen üçüncü bir SQL enjeksiyon güvenlik açığını (CVE-2023-35708) düzeltmek için müşterilerin MOVEit Transfer kurulumlarını tekrar güncellemelerini istedi.
Bulutta sıfır güveni operasyonel hale getirme
Bazı kuruluşlar, buluttaki iş yüklerinin şirket içi iş yüklerinden doğası gereği daha güvenli olduğu fikrini benimsemiştir. Bu fikir, bulut hizmeti sağlayıcısının (CSP) güvenlik sorumluluğunu üstlendiği kavramıyla pekiştirilir.
ChatGPT, kimlik avı sitelerini tespit etme konusunda umut vaat ediyor
ChatGPT, kimlik avı siteleri oluşturmak için kullanılabilir, ancak bunları güvenilir bir şekilde tespit etmek için de kullanılabilir mi? Güvenlik araştırmacıları bu soruyu cevaplamaya çalıştı.
US Executive Order 14028 ile uyumluluk süreci nasıl basitleştirilir?
Bu Yardım Ağı Güvenliği videosunda, Lineaje’de Kıdemli Başkan Yardımcısı ve CISO olan Nick Mistry, ABD İdari Emri 14028 ile uyumluluk sürecini basitleştirmeye yönelik ipuçları sunuyor.
Bulut tabanlı güvenlik, açık kaynağa bağlıdır
Bulut tabanlı güvenlik söz konusu olduğunda, bugün sahip olduğunuz güvenlik çözümlerinin uygun bir çözüm olmayabileceğini düşünmek akıllıca olacaktır. Açık kaynağın gücü anahtardır – farklı türde bir çekice ihtiyacınız vardır.
Ele geçirilmiş Linux SSH sunucuları DDoS saldırılarına, kripto madenciliğine girişir
Kötü yönetilen Linux SSH sunucularının güvenliği bilinmeyen saldırganlar tarafından ele geçiriliyor ve arka planda eş zamanlı olarak kripto para birimi madenciliği yaparken DDoS saldırılarına katılma talimatı veriliyor.
Ya tarayıcı işletme için tasarlanmışsa?
Island’ın Baş Müşteri Sorumlusu Bradon Rogers, Island Enterprise Browser’a genel bir bakış sunuyor.
Konteyner görüntüleri için SBOM’lar nasıl oluşturulur?
Yazılım malzeme listelerinin (SBOM’ler) önemi, kuruluşlar yazılım tedarik zincirinde daha fazla şeffaflığa duyulan ihtiyacı fark ettikçe son yıllarda önemli ölçüde artmıştır.
Microsoft, M365, Azure Portal’a yönelik DDoS saldırılarını onayladı
Microsoft, bu ay kullanıcıların yaşadığı Microsoft 365 ve Azure Portal kesintilerinin Katman 7 DDoS saldırılarından kaynaklandığını doğruladı.
Parolaların ve kimlik doğrulamanın geleceği
Bu Help Net Security videosunda, Bitwarden CEO’su Michael Crandell, parolaların ve kimlik doğrulamanın geleceğini tartışıyor.
2023 Verizon DBIR’de CIS Control eşlemesinin önemi
CIS Kontrollerinin Verizon’un olay sınıflandırmalarıyla eşlenmesi, kuruluşlara güvenlik kaynaklarını gerçek dünyadaki güvenlik olaylarıyla uyumlu hale getirerek optimize etme fırsatı sunar.
Fark yaratan üç siber güvenlik eylemi
Siber güvenlik programlarını iş hedefleriyle yakından uyumlu hale getiren kuruluşların, hedef gelir büyümesine ve pazar payına ulaşma ve müşteri memnuniyetini artırma olasılığı %18 daha yüksek ve ayrıca siber güvenlik ihlallerinin/olaylarının maliyetini ortalama olarak %26 oranında düşürüyor. Accenture.
Uygulama güvenliğinde sola kaydırmanın sınırlamaları
Bu Yardım Ağı Güvenliği videosunda, Bionic Güvenlik Araştırması’ndan Jacob Garrison, uygulama güvenliğinde sola kaydırmanın sınırlamalarını açıklıyor.
Zaman ayırmaya değer 10 açık kaynaklı keşif aracı
Keşif, sızma testi sürecindeki ilk aşamadır. Bu, testi yapan kişinin hedefini anlamasına ve hareketlerini stratejilendirmesine izin veren hayati bir aşamadır.
DevOps üretkenliği ve güvenliği arasındaki etkileşimi anlama
Bu Net Güvenlik Yardımı videosunda, Teleport CEO’su Ev Kontsevoy, güvenliğe odaklanarak DevOps üretkenliğini artırmayı tartışıyor.
Güvenliği ihlal edilmiş ChatGPT hesapları, karanlık web’de hızlı popülerlik kazanıyor
Group-IB’ye göre, geçen yıl yasadışı karanlık web pazar yerlerinde ticareti yapılan bilgi çalan kötü amaçlı yazılımların günlüklerinde güvenliği ihlal edilmiş kimlik bilgileri bulundu.
Şirketlerin makroekonomik ortamda gezinmesine yardımcı olan güvenlik yatırımları
Bu Yardım Ağı Güvenliği videosunda, SecureIQLab Kıdemli Güvenlik Analisti Randy Abrams, uygun güvenlik yatırımları yapmanın önemini tartışıyor. Riski en aza indirmek için, siber güvenliğin anahtarı reaktif değil proaktif olmaktır.
Kuruluşlar aktif olarak sıfır güveni benimsiyor, entegrasyon bir engel olmaya devam ediyor
BT ekipleri, küresel salgının başlamasının neden olduğu ağ karışıklığının ardından yeni bir normallik duygusu oluşturmak için sıfır güven uygulama stratejilerinde güvenlik çabaları ve ilerleme kaydetti. Fortinet’e göre, uzaktan çalışanları güvence altına alma ihtiyacını da ele aldılar.
Tony Turner ile tedarik zinciri güvenliği ağını çözme
Ürün tedarik zincirinin ve üçüncü taraf satıcıların güvenliği, tesis değerlendirmesi, fikri mülkiyet takibi ve veri güvenliği çalışmalarının ötesine geçmiştir. Donanım yazılımı ve ikili analiz ile birleştirilen SBOM’lar, son yıllarda farkındalığın artmasına katkıda bulunmuştur. Ama yeterli değil.
Haftanın yeni infosec ürünleri: 23 Haziran 2023
İşte Cymulate, Edgescan, ESET, Island, iStorage ve Netskope’un yayınlarını içeren geçen haftanın en ilginç ürünlerine bir göz atın.