İnceleme haftası: Rackspace kesintisi, Kali Linux 2022.4 yayınlandı, Salı Yaması tahmini


Güvenlik haftası

İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:

Rackspace Hosted Exchange kesintisine fidye yazılımı neden oldu
Rackspace, Barındırılan Exchange hizmetinde devam eden bir kesintiye neden olan güvenlik olayının nedenini nihayet doğruladı: fidye yazılımı.

Google Chrome sıfır gün açık havada istismar edildi (CVE-2022-4262)
Google, saldırganlar tarafından kötüye kullanılan Google Chrome (ve Chromium) tarafından kullanılan V8 JavaScript motorunda bir tür karışıklık güvenlik açığı olan CVE-2022-4262’yi yamaladı.

Aralık 2022 Salı Yaması tahmini: Bağlantıda ince ayar
Microsoft, geçen ay Kasım ayı güncellemeleriyle pek çok “yarım kalmış işi” tamamladı, ancak yıl sonu tatil sezonundan önce hala yapılması gereken bazı işler var.

Saldırganlar, web gözden geçirme komut dosyaları sunmak için süresi dolmuş etki alanını devralır
Saldırganlar, eskiden popüler bir JavaScript kitaplığını barındırmak için kullanılan ve süresi dolmuş en az bir etki alanını ele geçirmiş ve bunu bir dizi e-ticaret sitesine web skimming komut dosyaları teslim etmek için kullanmıştır.

Kali Linux 2022.4 yayınlandı: Kali NetHunter Pro, masaüstü güncellemeleri ve yeni araçlar
Offensive Security, popüler penetrasyon testi ve adli bilişim platformunun en son sürümü olan Kali Linux 2022.4’ü piyasaya sürdü.

Araştırma, açık kaynak güvenlik açıklarının %95’inin nerede olduğunu ortaya koyuyor
Endor Labs tarafından yapılan yeni araştırma, uygulama geliştirmede mevcut açık kaynaklı yazılımların yaygın ancak genellikle denetlenmeyen kullanımına ve bu yaygın uygulamadan kaynaklanan tehlikelere bir bakış sunuyor.

Apple, iCloud yedeklemesi, Fotoğraflar vb. için uçtan uca şifrelemeyi kullanıma sunuyor.
Apple, kullanıcılar için uçtan uca şifreleme seçeneklerini genişletiyor ve sonunda iCloud yedeklemeleri için E2EE’yi sunuyor.

Daha iyi siber güvenlik eğitimi ile çalışanlarınızın katılımını sağlayın
Kuruluşların siber güvenliğe çok boyutlu bir yaklaşım benimsemesi gerekir çünkü yılda iki kez düzenlenen eğitim videoları çalışanların ilgisini çekmek veya işletmenizi korumak için yeterli değildir.

En iyi 10 ücretsiz MITRE ATT&CK aracı ve kaynağı
MITRE ATT&CK, gerçek dünya gözlemlerine dayalı düşman taktikleri ve tekniklerinden oluşan bir bilgi tabanıdır. ATT&CK açıktır ve herhangi bir kişi veya kuruluş tarafından ücretsiz olarak kullanılabilir.

DevSecOps’un evrimi
Bu Net Güvenlik Yardımı videosunda, Strateji, İlerleme Başkan Yardımcısı Mark Troester, DevOps ve DevSecOps’un benimsenmesinin gerçek durumunu ortaya çıkarıyor.

Akıllı ev cihazlarında dijital güvenin önemi nedir?
Sadece on yıl önce, birçok ev özelliğimizin ne kadar dijital ve bağlantılı hale geleceğini hayal etmek zor olabilirdi.

Şirketler veri sızıntısı açıklamalarını nasıl zamanlıyor?
Her yıl milyonlarca kişinin şifreleri, kredi kartı bilgileri veya sağlık bilgileri gibi kişisel verileri, bilgisayar korsanlığı veya şirketlerin veri işleme hataları yoluyla yetkisiz kişilerin eline geçmektedir.

Dark web işe alma teknikleri: Kötü amaçlı yazılım, kimlik avı ve tarama
Digital Shadows’ta Siber İstihbarat Analisti Roman Faithfull, bu Help Net Security videosunda, tehdit aktörlerinin siber suç ekosistemindeki yeni üyeleri nasıl harekete geçirdiğinden bahsediyor.

Buluta geçiş nasıl doğru yapılır?
Buluta geçişi doğru yapmak istiyorsanız, uygunsuz bir gerçekle uğraşmanız gerekir: Bulut veya hibrit bulut ortamları, veri merkeziniz ile internet arasındaki köprüyü azaltır ve bu, güvenlik riskinin yanı sıra fırsat da yaratır.

BT liderlerinin %68’i API’nin yaygınlaşmasından endişe ediyor
Axway, kuruluşların yaklaşık %40’ının BT altyapıları için yeni bir hibrit yaklaşımı benimseme sürecinde olduğunu ortaya koyan ilk 2022 Her Şeyi Açık Strateji Anketi Raporundan yeni verileri duyurdu.

Sofistike bot saldırılarıyla başa çıkın: Öğrenin, uyum sağlayın, geliştirin
Bu Help Net Security videosunda, Netacea Baş Güvenlik Araştırmacısı Cyril Noel-Tagoe, botların oluşturduğu tehlikelerden ve şirketlerin kendilerini savunmak için neler yapabileceklerinden bahsediyor.

2023’te veri koruma ve güvenlik
Değişim tek sabittir. Veri koruma, kurallar ve yönetmelikler ve organizasyonel yapının değişmesi hakkında ne düşündüğümüz değişiyor.

Bağlı tıbbi cihazlar, sağlık kuruluşlarının Aşil topuğudur
Capterra’nın sağlık hizmetleri BT uzmanlarına yönelik Tıbbi IoT Anketine göre, bağlantılı tıbbi cihazların giderek daha fazla benimsenmesi siber saldırıları hızlandırıyor.

IoT, işletmeler için tehdit ortamını nasıl değiştiriyor?
Bu Help Net Security videosunda Open Systems’ın Buluttan Sorumlu Başkanı Paul Keely, IoT teknolojisini kullanan kuruluşların iş verimliliklerini nasıl geliştirdiğini anlatıyor.

Güvenlik ve uyumluluğu ölçeklendirmek için otomasyon neden kritiktir?
Şirketler teknoloji yığınlarını modernize ederken, birçoğu farkında olmadan işlerini ve müşterilerini riske atıyor.

Ekonomik belirsizlik, siber suçların yayılmasını büyük ölçüde etkileyecek
Norton, 2023’te izlenecek en önemli siber trendlerini yayınlayarak, ekonominin gelecek yıl siber suçların yayılmasında en büyük etkiye sahip olacağını vurguladı.

İçeriden gelen tehditlere ilişkin içgörüler: Anormal kullanıcı etkinliğini tespit etme ve izleme
LogRhythm’de CISO olan Andrew Hollister, bu Yardım Ağı Güvenliği videosunda kuruluşların tehdit algılama ve önleme stratejilerini dış aktörlere nasıl odakladıklarını tartışıyor. Yine de, iç tehditler aynı derecede zarar verebilir.

Güvenlik mühendisleri için açık kaynaklı araç, erişim incelemelerinin otomatikleştirilmesine yardımcı olur
ConductorOne, kimlik konektörlerini GitHub’da bulunan Baton adlı bir projede açık kaynaklı hale getirdi.

Haftanın yeni infosec ürünleri: 9 Aralık 2022
1Password, Arkose Labs, Kudelski Security, Lepide, OPSWAT, Palo Alto Networks ve Thales’in sürümlerini içeren, geçen haftanın en ilginç ürünlerine bir göz atın.



Source link