İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
RSA Konferansı 2023
RSA Konferansı 2023, San Francisco’daki Moscone Center’da gerçekleşti. İlgili haberler, fotoğraflar, ürün lansmanları ve daha fazlası için mikro sitemize göz atın.
Merkezi olmayan dijital kimlikler için endüstri engellerini aşmak
Bu Help Net Security röportajında, ForgeRock CTO’su Eve Maler, dijital kimliklerin çevrimiçi hizmetlere güvenli bir şekilde erişme şeklimizde nasıl kritik bir rol oynamaya devam ettiğini anlatıyor. Maler ayrıca, merkezi olmayan dijital kimliklerin uygulanmasında çeşitli endüstrilerin karşılaştığı zorlukların altını çiziyor.
Clop ve LockBit fidye yazılımı ortakları tarafından kullanılan PaperCut güvenlik açıkları
Microsoft ve Trend Micro araştırmacılarına göre, Clop ve LockBit fidye yazılımı bağlı kuruluşları, PaperCut uygulama sunucularındaki güvenlik açıklarından yararlanan son saldırıların arkasında.
Yaygın güvensiz yapılandırma, Apache Superset sunucularını uzlaşmaya açar
Horizon3.ai araştırmacıları, güvensiz bir varsayılan yapılandırma sorununun (CVE-2023-27524) internete açık Apache Superset sunucularının çoğunu saldırganlara karşı savunmasız hale getirdiğini keşfetti.
Önceki tedarik zinciri uzlaşmasıyla bağlantılı 3CX ihlali
3CX tedarik zinciri taviz bulmacasının parçaları yerine oturmaya başlıyor, ancak hala tam resmi görmekten çok uzağız.
GitHub, açık kaynak havuzları için özel güvenlik açığı raporlaması sunar
GitHub, açık kaynak havuzları için özel güvenlik açığı raporlama özelliğinin artık tüm proje sahiplerinin kullanımına sunulduğunu duyurdu.
Google Authenticator güncellendi, sonunda 2FA kodlarının senkronizasyonuna izin veriyor
Google, zamana dayalı tek seferlik kimlik doğrulama kodları sağlamak için mobil kimlik doğrulayıcı uygulaması olan Google Authenticator’ı güncelledi ve artık kullanıcıların kodlarını Google hesaplarıyla senkronize etmelerine (etkin bir şekilde: yedeklemelerine) izin veriyor.
VMware, sanallaştırma yazılımındaki kritik kusurları giderir (CVE-2023-20869, CVE-2023-20870)
VMware, VMware Workstation ve Fusion sanal kullanıcı oturum yazılımında bir kritik (CVE-2023-20869) ve üç önemli açığı (CVE-2023-20870, CVE-2023-20871, CVE-2023-20872) düzeltti.
Google, Chrome uzantıları için yeni risk değerlendirme aracı ekler
Google, Google Workspace yöneticilerinin ve güvenlik ekiplerinin, farklı Chrome uzantılarının kullanıcılarına sunabileceği riskleri değerlendirmeleri için yeni bir aracı kullanıma sunmuştur: Spin.AI App Risk Assessment.
VMware, VMware Aria Operations for Logs’daki (CVE-2023-20864, CVE-2023-20865) güvenlik açıklarını kapatıyor
VMware, günlük analizi ve yönetimi için yaygın olarak kullanılan bir bulut çözümü olan VMware Aria Operations for Logs’ta (eski adıyla vRealize Log Insight) iki güvenlik açığını (CVE-2023-20864, CVE-2023-20865) düzeltti.
Dijital sağlık hizmetlerinde sessiz katiller
Dijital dönüşüm sağlık sektöründe devrim yaratırken, API (uygulama programlama arayüzleri) teknolojisinin kullanımı hızla artıyor.
Güvenli olmayan web sunucularında bulunan 70 milyardan fazla korumasız dosya
CybelAngel’e göre, bir kuruluşun güvenlik duvarı dışındaki kritik riskler, siber güvenlik tehditlerinin en büyük kaynağıdır.
CISO’lar çoklu bulut dünyasında güvenlik ve uyumluluğu nasıl yönlendirir?
Bu Help Net Security videosunda Caveonix CEO’su Kaus Phaltankar, günümüzün karmaşık çoklu bulut ortamında CISO’ların rolünün her zamankinden daha önemli olduğunu tartışıyor.
PCI DSS 4.0 için hazır mısınız?
Bir yıldan kısa bir süre içinde kuruluşlar, Ödeme Kartı Sektörü Veri Güvenliği Standardı’nın (PCI DSS) 4.0 sürümü kapsamındaki birçok yeni gereksinime uymak zorunda kalacak.
Saldırganlar zorla girmek yerine oturum açıyor
Sophos’a göre siber saldırganlar 2022’de 500’den fazla benzersiz araç ve taktikten yararlandı.
Hızla gelişen uç ekosistemin güvenliğini sağlama
AT&T Business Siber Güvenlik Evangelizmi Başkanı Theresa Lanowitz, bu Help Net Security video röportajında, RSA Konferansı 2023’te yayınlanan 12. yıllık Siber Güvenlik Öngörüleri Raporunu tartışıyor.
Üretken yapay zeka ve güvenlik: Performans ve riski dengeleme
AI ile çok mu hızlı hareket ediyoruz? ChatGPT ve diğer üretken yapay zeka araçlarına gösterilen son ilgi tsunamisi göz önüne alındığında, bu hem teknoloji endüstrisi içinde hem de dışında merkezi bir sorudur.
Parolasız çağın kilidini açmak
Parola ihtiyacını ortadan kaldırmayı amaçlayan parolasız teknolojiye ilgi nispeten düşük olsa da, 1Password’e göre tüketicilerin %65’i hayatlarını kolaylaştıran yeni teknolojileri kullanmaya sıcak bakıyor.
Meyve suyu kriko neden abartılıyor?
Bu Yardım Ağı Güvenliği videosunda, Acronis Küresel Araştırma Başkan Yardımcısı Candid Wuest, meyve suyu hırsızlığı saldırılarının saldırganlar için neden kolay olmadığına ve tüketiciler için neden asıl riskin halka açık Wi-Fi ağlarını kullanmak olduğuna ilişkin içgörülerini paylaşıyor.
Üretken yapay zekanın iki ucu keskin kılıcı
ChatGPT gibi gelişmiş modeller herkesin kullanımına sunulmadan önce, organize dezenformasyon kampanyalarının işlemesi için çok daha fazla kaynak gerekiyordu. Ciddi operasyonlar için, kampanyaları etkili bir şekilde yürütmek için birden fazla kişi gerekiyordu.
AI araçları, saldırganların gelişmiş kimlik avı kampanyaları geliştirmesine yardımcı olur
Zscaler raporuna göre, kimlik avı dolandırıcılıkları büyüyen bir tehdit ve siber suçluların yöntemleri giderek daha karmaşık hale geliyor ve bu da onları tespit etmeyi ve engellemeyi zorlaştırıyor.
Kurumsal yönetim kurulları, risk azaltma çabalarını artırmaları için CISO’lara baskı yapıyor
RiskOptics’e göre, InfoSec ve GRC’de çalışanlar siber/BT risk yönetim sistemlerine yüksek düzeyde güven duysa da, kalıcı sorunlar onları sanıldığından daha az etkili yapıyor olabilir.
Fidye yazılımı ödemelerini zorla almak için kullanılan yeni zorlayıcı taktikler
GuidePoint Security’ye göre, 2023’ün ilk çeyreğinde bildirilen fidye yazılımı kurbanlarındaki artış, fidye yazılımlarının dünya çapında endüstriden bağımsız bir tehdit olarak devam eden yaygınlığını yansıtıyor.
Açık kaynaklı yazılımın iki ucu keskin kılıcı
Lineaje’ye göre, yazılım tedarik zincirine yönelik görünürlük eksikliği, yazılım ve BT sistemlerindeki güvenlik açıklarını ve zayıflıkları keşfetmeye yönelik sürdürülemez bir döngü yaratıyor, bu da kuruluşları eziyor.
Geçmiş siber saldırıların incelenmesi, kuruluşların savunma stratejilerini iyileştirebilir
Deepwatch’a göre, fidye yazılımı operatörleri giderek daha sık saldırılar başlatıyor, daha yüksek fidyeler talep ediyor ve kurbanları halka açık bir şekilde ifşa ediyor, bu da erişim aracılarını, fidye yazılımı hizmet sağlayıcılarını, sigorta sağlayıcılarını ve fidye müzakerecilerini içeren bir ekosistemin ortaya çıkmasına yol açıyor.
CISO’lar: desteklenmeyen, duyulmayan ve görünmez
Dünya çapında çeşitli sektörlerden CISO’lar arasında yürütülen bir araştırma, zorlu bir tehdit ortamında stratejilerine ışık tutuyor, iş fonksiyonlarının önündeki engelleri belirliyor ve başarıya ulaşmak için gereklilikleri vurguluyor.
Ürün güvenliği olgunluğa nasıl ulaştı?
Cybellum’un Kurucu Ortağı ve CEO’su Slava Bronfman, Left to our Own Devices podcast’inin son bölümünde ürün güvenliği sektörünün son on yılda olgunlaşmasını izleme deneyimini tartışıyor.
eKitap: CISO’lar için Güvenlik Uyumluluğu
Güvenlik uyumluluğu, genellikle Baş Bilgi Güvenliği Sorumlusu olarak rolünüzün her açısında beliren, her zaman var olan bir görev gibi gelir. Yine de, onu yönetmek için harcanan saatler ne olursa olsun, her zaman bir şeyler gözden kaçabilir.
Haftanın yeni infosec ürünleri: 28 Nisan 2023
İşte Abnormal Security, Arista Networks, Cyera, Arista Networks gibi geçen haftanın en ilginç ürünlerine bir göz atın.
Eclypsium, Halo Security, Immuta, ManageEngine ve İzlenebilir AI.