İnceleme haftası: Siber güvenliğe başlamak için 6 ücretsiz kaynak, Salı Yaması tahmini


İncelemede hafta

Geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:

Dijital imzaların daha geniş çapta benimsenmesini engelleyen yanlış anlamalar
Bu Help Net Security röportajında, fidenty CEO’su Thorsten Hau, nitelikli dijital imzaların yasal geçerliliğini tartışıyor ve güçlü kimlik doğrulamayla desteklendiğinde el yazısı imzalara eşdeğer olduklarını gösteriyor.

Sola ve sağa geçiş, ürün güvenliğinde yenilik
Bu Help Net Security röportajında ​​Cybellum CEO’su Slava Bronfman, bir cihazın tüm yaşam döngüsü boyunca ürün güvenliğini sağlamaya, iş birimleri ve ürün grupları arasında işbirliğini teşvik etmeye, tedarik zincirinde şeffaflık ve güvenliği sağlamaya ve yasal gereksinimleri karşılarken aynı zamanda yasal gereklilikleri de karşılamaya yönelik yaklaşımları tartışıyor. uyma.

Reaper: Açık kaynaklı keşif ve saldırı proxy iş akışı otomasyonu
Reaper, Burp Suite/ZAP’a eşdeğer, modern, hafif ve verimli olacak şekilde tasarlanmış açık kaynaklı bir keşif ve saldırı proxy’sidir. Otomasyona, işbirliğine ve evrensel olarak dağıtılabilir iş akışları oluşturmaya odaklanır.

Atlas VPN sıfır gün, sitelerin kullanıcıların IP adresini keşfetmesine olanak tanır
Atlas VPN, web sitesi sahiplerinin Linux kullanıcılarının gerçek IP adresini keşfetmesine olanak verebilecek bir sıfır gün güvenlik açığının varlığını doğruladı.

Eski güvenlik açıkları hala büyük bir sorun
Ajan Tesla RAT’ı şüphelenmeyen kullanıcılara ulaştırmayı amaçlayan, yakın zamanda işaretlenen bir kimlik avı kampanyası, Microsoft Office’teki uzaktan kod yürütülmesine izin veren eski güvenlik açıklarından yararlanıyor.

LibreOffice: Kararlılık, güvenlik ve sürekli gelişim
En yaygın kullanılan açık kaynaklı ofis üretkenlik paketi olan LibreOffice’in onu tavsiye edecek pek çok özelliği var: zengin özelliklere sahip, kullanıcı dostu, iyi belgelenmiş, güvenilir, onu geliştirmek için çalışan aktif bir geliştirici topluluğuna sahip ve ücretsiz.

Çinli bilgisayar korsanları Microsoft’un token imzalama anahtarını nasıl ele geçirdi?
Çinli bilgisayar korsanlarının, Microsoft 365’in e-posta hizmetini ihlal etmelerine ve 25 devlet kurumunun çalışanlarının hesaplarına erişmelerine olanak tanıyan önemli bir imzalama anahtarını nasıl çalmayı başardıklarının gizemi açıklandı: Onu, olmaması gereken bir yerde, yani Microsoft’un kurumsal ortamında buldular. .

Apple, saldırı altındaki iki sıfır gün yamasını (CVE-2023-41064, CVE-2023-41061)
Apple, NSO Group’un Pegasus casus yazılımını yaymak için kullanılan iki sıfır gün güvenlik açığını (CVE-2023-41064, CVE-2023-41061) yamaladı.

LockBit, maksimum güvenlikli çit üreticisinden hassas verileri sızdırıyor
LockBit fidye yazılımı grubu, Windows 7 çalıştıran eski bir bilgisayarın güvenliğini tehlikeye atarak ve onu daha geniş şirket ağına ilk erişim noktası olarak kullanarak, İngiltere merkezli askeri alanlar ve kritik tesisler için çit sistemleri üreticisi olan Zaun’a saldırdı.

FHE’nin blockchain’in gizlilik sorunlarını çözmesinin 5 yolu
Blockchain teknolojisi, merkezi olmayan yapısı ve değişmezliği nedeniyle, özellikle finans alanında olmak üzere çeşitli uygulamalar için şeffaflık ve güvenlik sağlaması nedeniyle önemli bir ilgi kazandı.

Siber suçlular fidye yazılımı sunmak için MS SQL sunucularını hedef alıyor
Bir siber saldırı kampanyası, fidye yazılımı ve Cobalt Strike yüklerini dağıtmayı amaçlayan Microsoft SQL (MS SQL) veritabanlarını hedef alıyor.

Bağlantılı arabalar ve siber suçlar: Bir başlangıç
Araçlarımız dış dünyayla daha fazla bağlantılı hale geldikçe, siber suçluların kullanabileceği saldırı yüzeyi hızla artıyor ve dünya çapındaki mevcut nesil araçlardaki yeni “akıllı” özellikler, yeni tehditlere kapı açıyor.

MacOS kötü amaçlı yazılımının yeni bir numarası var
Malwarebytes araştırmacıları, Atomic Stealer macOS kötü amaçlı yazılımının daha yeni bir sürümünün, işletim sisteminin Gatekeeper’ını atlamasını sağlayan yeni bir numaraya sahip olduğunu keşfetti.

Ortaya çıkan tehdit: Yapay zeka destekli sosyal mühendislik
Sosyal mühendislik, manipülasyonun karmaşık bir biçimidir, ancak yapay zekadaki ilerlemeler sayesinde kötü niyetli gruplar son derece karmaşık araçlara erişim elde etti; bu da gelecekte daha ayrıntılı sosyal mühendislik saldırılarıyla karşı karşıya kalabileceğimizi gösteriyor.

Kuzey Koreli bilgisayar korsanları sıfır gün istismarıyla güvenlik araştırmacılarını hedef alıyor
Kuzey Koreli tehdit aktörleri bir kez daha sıfır gün istismarı kullanarak güvenlik araştırmacılarının makinelerini tehlikeye atmaya çalışıyor.

Üretken yapay zeka ile doğru dengeyi kurmanın 3 yolu
İnovasyonun güvenlik duruşunuzdan ödün vermek anlamına gelmediği hassas noktayı bulmak için kuruluşların yapay zekadan yararlanırken aşağıdaki üç en iyi uygulamayı dikkate alması gerekir.

Uçtan uca şifreleme neden önemlidir?
Bu Help Net Security videosunda, IEEE Kıdemli Üyesi ve Hyperproof Saha CISO’su Kayne McGladrey, uçtan uca şifrelemeyi (E2EE) tartışıyor.

Eylül 2023 Yaması Salı tahmini: Önemli Federal hükümet haberleri
Microsoft, Temmuz ayında bu rakamın neredeyse 3 katına çıktıktan sonra geçen ay Windows 10 ve 11’de 33 CVE’yi ele aldı.

Bilmeniz gereken siber yetenek açığı çözümleri
Bu Help Net Security videosunda ThreatX CEO’su Gene Fay, siber odaklı eğitim kaynaklarına sınırlı erişimin, tüketicilerin bu kariyerleri keşfetmeye daha az eğilimli olması nedeniyle nasıl yetenek eksikliğine bağlandığını tartışıyor.

Siber güvenliğe başlamak için 6 ücretsiz kaynak
Siber güvenlik yalnızca yükselişte olan bir kariyer alanı değil; dünyamızın altyapısı için giderek daha hayati hale gelen bir çağrıdır.

Siber suçlular markaları taklit etmek için benzer alanları nasıl kullanıyor?
Bu Help Net Security videosunda, Fortra Çözüm Mühendisliği Direktörü Eric George, markaların etki alanı kimliğine bürünme tehditlerini neden ciddiye alması gerektiğini ve güvenlik ekiplerinin bu soruna nasıl karşı koyabileceğini tartışıyor.

Siber güvenlik uzmanları beceri eksikliği nedeniyle hoşnutsuzlukla mücadele ediyor
Siber güvenlik becerileri krizi, kuruluşların %71’ini etkileyen ve siber güvenlik uzmanlarının üçte ikisinin son iki yılda işin daha da zorlaştığını belirtmesine neden olan çok yıllık bir serbest düşüşle devam ediyor; kuruluşların %60’ı ise sorumluluktan kaçmaya devam ediyor. ESG ve ISSA’nın yeni bir raporuna göre.

Uygun bir yedekleme stratejisi uygulamak için en iyi uygulamalar
Bu Help Net Security videosunda Wasabi Technologies Bulut Stratejisi Başkan Yardımcısı David Boland, uygun bir yedekleme stratejisinin uygulanmasına yönelik en iyi uygulamaları tartışıyor.

Fidye yazılımı saldırıları yalnızca verilerin ötesine geçiyor
Enterprise Strateji Grubu (ESG) ve Keepit tarafından hazırlanan bir rapora göre, kuruluşların %65’i fidye yazılımının varlıklarını tehdit eden en büyük üç tehditten biri olduğunu ve %13’ü için ise en büyük tehdit olduğunu doğruladı.

Spam artıyor, QR kodları önemli bir tehdit vektörü olarak ortaya çıkıyor
VIPRE raporuna göre, kimlik avı e-postalarının %85’i e-posta içeriğindeki kötü amaçlı bağlantıları kullandı ve spam e-postalar 2023’ün 1. çeyreğinden 2. çeyreğine kadar %30 arttı.

Önlenebilir dijital sertifika sorunları veri ihlallerine neden oluyor
AppViewX ve Forrester Consulting tarafından hazırlanan bir rapora göre, veri ihlallerine maruz kalan kuruluşların %58’i dijital sertifikalarla ilgili sorunlardan kaynaklandı.

Küresel dolaşım dolandırıcılığı kayıpları 2028 yılına kadar 8 milyar doları aşacak
Küresel dolaşım dolandırıcılığından kaynaklanan kayıpların 2028 yılına kadar 8 milyar doları aşması bekleniyor; Juniper Research’e göre bu artış, 5G ağları üzerinden veri yoğun kullanım durumları için ikili dolaşım anlaşmalarındaki artıştan kaynaklanıyor.

Nidhi Gani ile siber güvenlik düzenleme işlerine destek vermek
Düzenleyicilerin tıbbi cihaz üreticilerinden, özellikle de siber güvenlik konusunda daha fazla güvenilirlik ve şeffaflık talep etmesi nedeniyle, tıbbi cihaz üreticileri için mevzuat işleri dünyası son yıllarda sarsıcı bir değişim yaşadı.

CIS Karşılaştırma Toplulukları: Yapılandırmaların fikir birliğini karşıladığı yer
Teknoloji güçlendirme yönergelerinin nasıl geliştirildiğini hiç merak ettiniz mi? Bazıları belirli bir satıcı tarafından belirlenir veya sonuç odaklı bir bakış açısıyla yönlendirilir. CIS Karşılaştırmalarında durum böyle değil.

Ayın Infosec ürünleri: Ağustos 2023
Geçtiğimiz ayın en ilgi çekici ürünlerine bir bakış: Action1, Adaptive Shield, Bitdefender, Bitwarden, Forescout, ImmuniWeb, Kingston Digital, LastPass, Lineaje, LOKKER, Menlo Security, MongoDB, Netskope, NetSPI, OffSec, Qualys, SentinelOne, Solvo, SonarSource, SpectreOps, Synopsys, ThreatConnect, Traceable AI ve Vicarius.

Haftanın yeni infosec ürünleri: 8 Eylül 2023
CyberSaint, Ghost Security, Hornetsecurity, NTT Security Holdings ve TXOne Networks’ün piyasaya sürdüğü geçen haftanın en ilginç ürünlerine bir bakalım.



Source link