İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Hızla değişen siber ortamda risk bazlı kararlar almak
Bu Help Net Security röportajında Nicole, bir endüstriyel kuruluşun siber güvenliğe hazır olup olmadığını değerlendirmek için kullandığı üç temel göstergeyi açıklıyor ve işletmeler ile hükümetler için kritik altyapılarını siber tehditlere karşı güçlendirme konusunda değerli bilgiler sağlıyor.
Geleceğe dönük siber güvenlik stratejileri için veri destekli içgörüler
Bu Help Net Security röportajında, Qualys TRU Başkan Yardımcısı Travis Smith, güvenlik ekiplerine, düşmanların güvenlik açıklarından nasıl yararlandığını ve saldırıları nasıl gerçekleştirdiğini daha iyi anlamalarına yardımcı olmak için veri destekli içgörüler sağlayan 2023 Qualys TruRisk Tehdit Araştırma Raporu’ndan bahsediyor.
Google, güvenli açık kaynaklı yazılım paketleri sunar
Google, güvenli açık kaynak paketlerinin güvenilir kaynağı olmayı hedefleyen Google Cloud Assured Open Source Software (Assured OSS) hizmetini ve 50 milyondan fazla açık kaynak paket sürümü için güvenlik meta verilerine erişim sağlayan deps.dev API’yi duyurdu. .
3CX uzlaşması: İhlal hakkında daha fazla ayrıntı, yeni PWA uygulaması yayınlandı
3CX, Mandiant’ın şirketin geçen ay yaşadığı ve kripto para şirketlerini hedef alan bir tedarik zinciri saldırısıyla sonuçlanan uzlaşmayla ilgili bulguları hakkında bir ara rapor yayınladı.
Saldırganların yararlandığı sıfır gün Microsoft yamaları (CVE-2023-28252)
Nisan 2023 Salı Yaması ve Microsoft, aktif olarak yararlanılan sıfır gün (CVE-2023-28252) dahil olmak üzere 97 CVE numaralı güvenlik açığı için düzeltmeler yayınladı.
Apple, iPhone’larda ve Mac’lerde istismar edilen sıfır gün için acilen düzeltmeler yapıyor (CVE-2023-28205, CVE-2023-28206)
Apple, macOS, iOS ve iPadOS’ta aktif olarak kullanılan iki sıfır gün güvenlik açığını (CVE-2023-28205, CVE-2023-28206) düzelten güvenlik güncellemelerini yayınladı.
Sosyal mühendislik hileleriyle hedeflenen Zelle kullanıcıları
Avanan’a göre siber suçlular, ABD merkezli popüler dijital ödeme ağı Zelle’in kimliğine bürünmek ve masum kurbanlardan para çalmak için sosyal mühendislik tekniklerinden yararlanıyor.
LinkedIn artık iş yerinizi doğrulamanıza izin veriyor
Son yıllarda sahte LinkedIn hesaplarındaki artışla mücadele etmek için Microsoft, kullanıcıların iş odaklı sosyal medya platformunda iş yerlerini doğrulamalarına olanak tanıyan yeni bir özellik olan Entra Verified ID’yi kullanıma sundu.
Kodi forumu ihlali: Kullanıcı verileri, şifrelenmiş şifreler ele geçirildi
Yaygın olarak kullanılan açık kaynaklı medya oynatıcı uygulaması Kodi’nin geliştiricileri, kullanıcı forumunda bir veri ihlali olduğunu ortaya çıkardı.
Ücretli cinsel istismar yardımı sunan şirketlere dikkat edin
Cinsel taciz kurbanları zaten savunmasız bir konumdadır ve gölgeli şirketler bu güvenlik açığından yararlanarak büyük meblağlar karşılığında – sağlayamayacakları veya kurbanlara hiçbir şekilde yardımcı olmayacak hizmetler – “gasp yardımı” hizmetleri sunmaktadır.
Neden parolasız bir geleceğe doğru ilerlemenin zamanı geldi?
Saldırganların, kurumsal sistemlere erişim elde etmek veya fidye yazılımı dağıtmak için karmaşık yöntemler kullanmasına gerek yoktur; yalnızca kimlik bilgilerini satın alabilir veya çalabilir ve oturum açabilirler.
Siber suçlular kişisel verileri elde etmek için basit bir numara kullanıyor
East Anglia Üniversitesi’nden yapılan yeni bir araştırmaya göre, insanlar aynı soruları onlara ikinci kez sorduğunuzda daha fazla kişisel bilgi veriyor.
Siber güvenlik öğrenimi nasıl dönüştürülür ve içerik nasıl daha ilgi çekici hale getirilir?
CybSafe’te Bilim ve Araştırma Direktörü ve Kent Üniversitesi’nde Doçent olan Dr Jason Nurse, bu Net Güvenlik Yardımı videosunda siber güvenlik içeriği sunmanın nasıl daha ilgi çekici olabileceğini tartışıyor.
Uygulamanız için NSA düzeyinde erişim denetimi oluşturmaya yönelik 5 adım
Güvenli web uygulamaları geliştirmek söz konusu olduğunda erişim kontrolü ana endişe haline geldi ve NSA’nın bu konuda söyleyeceği çok şey var. Özellikle de geliştiricilerin yaptığı en büyük erişim yönetimi tuzağı söz konusu olduğunda.
HashiCorp Vault güvenlik açığı RCE’ye yol açabilir, yama bugün! (CVE-2023-0620)
Oxeye, API şifreleme anahtarlarına, parolalarına ve sertifikalarına erişimi kontrol eden kimlik tabanlı sırlar ve şifreleme yönetim sistemi olan HashiCorp Vault Project’te yeni bir güvenlik açığı (CVE-2023-0620) keşfetti.
CISO rolünün algılanmasındaki değişiklikleri yönlendiren temel faktörler
Bu Yardım Ağı Güvenliği videosunda, Immuta’da CISO olan Michael Scott, iş yükündeki ve CISO rolünün algılanmasındaki değişiklikleri yönlendiren iç ve dış faktörler hakkında konuşuyor; Verileri kısıtlamak yerine kullanmak.
Siber güvenlik zincirindeki yeni en zayıf halka
Kuruluşlar sıklıkla İnternet’e dönük BT sistemlerini, yama uygulanmamış ve herhangi bir güvenlik izleme çerçevesine entegre edilmemiş eski yazılımlarla çalıştırır.
Hibrit çalışma ortamları CISO’ları zorluyor
Red Access’e göre, hibrit işgücünün güvenlik duruşu üzerindeki etkisi ve bu çalışma şeklinin getirdiği riskler, CISO’ları endişelendiriyor ve onları hibrit iş güvenliği için yeni stratejiler geliştirmeye itiyor.
Kripto eşantiyon dolandırıcılıklarını bu kadar başarılı yapan taktikler
Bu Help Net Security videosunda, Akamai’de Güvenlik Teknolojisi ve Strateji Direktörü Tony Lauro, kripto eşantiyon dolandırıcılıklarının neden bu kadar başarılı olduğunu tartışıyor.
DDoS uyarı trafiği bir günde 436 petabit ile rekor seviyeye ulaştı
NETSCOUT’a göre, dünya çapında bir milyardan fazla web sitesiyle HTTP/HTTPS uygulama katmanı saldırıları, 2019’dan bu yana %487 arttı ve en önemli artış 2022’nin ikinci yarısında gerçekleşti.
Tehdit avı programları, kuruluşları maliyetli güvenlik ihlallerinden kurtarabilir
Her gün siperlerde örgütlerini savunan tehdit avcılarının bakış açısını daha iyi anlamak için Team Cymru, tehdit avlama programlarında neyin işe yarayıp neyin yaramadığını, başarıyı nasıl ölçtüklerini ve en büyük zorlukları öğrenmek için 218 deneyimli güvenlik analistiyle anket yaptı. yüzleşirler.
Tüketiciler, artan gizlilik endişeleri arasında veri kontrolünü kendi ellerine alıyor
Bir şirket tarafından tutulan kişisel verilerine erişmek, bunları değiştirmek veya silmek için bireyler tarafından yapılan resmi talepler olan Veri Sahibi Talepleri (DSR’ler), 2021’den 2022’ye %72 arttı. Artış, esas olarak silme ve erişim taleplerinden kaynaklandı. DataGrail’e.
MSP’ler, artan KOBİ ihtiyaçlarına yanıt olarak güvenlik çözümlerini iyileştirmeye teşvik edildi
Kaseya’ya göre MSP’ler verimliliği, hizmet sunumunu ve maliyet yönetimini iyileştirmek için temel araçları arasında otomasyona ve entegrasyona odaklanıyor.
Suçlu işletmeler, büyüdükçe kurumsal davranışı benimsiyor
Trend Micro’ya göre, suç grupları boyut olarak büyüdükçe şirket benzeri davranışlar benimsiyorlar, ancak bu değişim kendi zorluklarını ve maliyetlerini beraberinde getiriyor.
Haftanın yeni infosec ürünleri: 14 Nisan 2023
BigID, Binarly, Cynalytica, GitGuardian, Netskope, Searchlight Cyber, ThreatX ve Wazuh’un yayınlarını içeren, geçen haftanın en ilginç ürünlerine bir göz atın.