Geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Milyonlarca Synology NAS cihazı sıfır tıklama saldırılarına karşı savunmasız (CVE-2024-10443)
Synology, popüler DiskStation ve BeeStation ağa bağlı depolama (NAS) cihazlarını etkileyen, kimliği doğrulanmamış bir “sıfır tıklama” uzaktan kod yürütme hatasına (CVE-2024-10443, diğer adıyla RISK:STATION) yönelik düzeltmeler yayınladı.
Google, aktif olarak yararlanılan Android güvenlik açığını (CVE-2024-43093) yamalar
Google, Android kullanıcılarını tehlikeye atan ve “sınırlı, hedefli istismara açık olabilecek” iki güvenlik açığı için düzeltmeler sundu: Qualcomm yonga setlerini etkileyen bir kusur olan CVE-2024-43047 ve Google Play çerçevesindeki bir güvenlik açığı olan CVE-2024-43093.
Yapay zeka yeni nesil siber tehditleri nasıl şekillendirecek?
Bu Help Net Security röportajında Prismatic’in CISO’su Buzz Hillestad, yapay zekanın ilerlemesinin siber suç becerilerini nasıl yeniden şekillendirdiğini ve potansiyel saldırganlar için giriş engellerini nasıl azalttığını tartışıyor.
Kritik Palo Alto Networks Expedition hatasından yararlanıldı (CVE-2024-5910)
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü yaptığı açıklamada, güvenlik duvarı yapılandırma geçiş aracı olan Palo Alto Networks Expedition’daki bir güvenlik açığının (CVE-2024-5910) vahşi saldırganlar tarafından istismar edildiğini doğruladı.
Avrupa’daki sanayi şirketleri GuLoader ile hedeflendi
Avrupa’daki sanayi ve mühendislik şirketlerini hedef alan yakın tarihli bir hedef odaklı kimlik avı kampanyası, kurbanlara popüler GuLoader indiricisini ve sonuçta saldırganların istedikleri zaman güvenliği ihlal edilmiş bilgisayarlardan bilgi çalmalarına ve bunlara erişmelerine olanak tanıyan bir uzaktan erişim truva atını yüklemeyi amaçlıyordu.
Siber güvenlikte cinsiyet farkı: Çeşitliliğe sahip ekipler tehdit yanıtını nasıl geliştiriyor?
Bu Help Net Security röportajında, LinkedIn Siber Güvenlik – Kimlik, Duruş Yönetimi ve Güvenlik Altyapısı Başkanı Julie Madhusoodanan, cinsiyet farkının kapatılmasının siber güvenliğin ortaya çıkan tehditlerle mücadelede etkinliğini nasıl artırabileceğini tartışıyor.
Kuzey Koreli bilgisayar korsanları kriptoyla ilgili işletmeleri tehlikeye atmak için yeni taktikler kullanıyor
Kuzey Koreli bilgisayar korsanları, kimlik avı e-postaları ve macOS’a özgü yeni kötü amaçlı yazılımlarla kriptoyla ilgili işletmeleri hedefliyor.
Bütçe dahilinde güvenlik görünürlüğünü en üst düzeye çıkarma
Bu Help Net Security röportajında Forescout CEO’su Barry Mainz, kuruluşların özellikle bulut ve hibrit ortamlarda güvenlik görünürlüğü elde etmede karşılaştığı engelleri tartışıyor.
Cisco endüstriyel kablosuz erişim noktalarındaki kritik güvenlik açığı düzeltildi (CVE-2024-20418)
Cisco, HTTP istekleri aracılığıyla yararlanılabilen ve cihazların tamamen ele geçirilmesine izin veren Ultra Güvenilir Kablosuz Ana Taşıma (URWB) Erişim Noktalarını etkileyen kritik bir komut ekleme güvenlik açığını (CVE-2024-20418) düzeltti.
İşe alma kılavuzu: Siber güvenlik araştırmacıları için temel beceriler
Bu Help Net Security röportajında, VC’ler ve startup’lar için Organizasyon Koçu ve hem VC hem de Siber Güvenlik startup’ında eski İK Başkan Yardımcısı Rachel Barouch, siber güvenlik araştırmacılarının dinamiklerini ve ekip oluşturma stratejilerini tartışıyor.
Tüm Google Cloud kullanıcılarının 2025 yılına kadar MFA’yı etkinleştirmesi gerekecek
Google, 2025 yılı sonuna kadar tüm Google Cloud hesapları için çok faktörlü kimlik doğrulamanın (MFA), diğer adıyla 2 adımlı doğrulamanın zorunlu hale geleceğini duyurdu.
İzole Mıyım: Açık kaynaklı konteyner güvenliği karşılaştırması
İzole Edildim, kullanıcıların çalışma zamanı ortamlarını araştıran ve konteyner izolasyonunu test eden açık kaynaklı bir konteyner güvenliği karşılaştırmasıdır.
GoZone fidye yazılımı kurbanları suçluyor ve tehdit ediyor
GoZone adı verilen yeni bir fidye yazılımı, çok da açgözlü görünmeyen saldırganlar tarafından kullanılıyor: kurbanlardan, dosyalarının şifresinin çözülmesini istiyorlarsa yalnızca 1000 dolar Bitcoin ödemelerini istiyorlar.
Whispr: Açık kaynaklı çoklu kasa gizli enjeksiyon aracı
Whispr, AWS Secrets Manager ve Azure Key Vault gibi gizli kasalardaki gizli dizileri doğrudan uygulamanızın ortamına güvenli bir şekilde enjekte etmek için tasarlanmış açık kaynaklı bir CLI aracıdır.
Arka kapılı Linux VM’leri gönderen kimlik avı e-postalarına karşı dikkatli olun!
Securonix araştırmacıları, bilinmeyen saldırganların Windows kullanıcılarını önceden yapılandırılmış bir arka kapıyla özel bir Linux sanal makinesini (VM) çalıştırmaları için kandırmaya çalıştığını keşfetti.
Apple’ın 45 günlük sertifika teklifi: Bir eylem çağrısı
Apple, cesur bir hareketle, Aktarım Katmanı Güvenliği (TLS) sertifikalarının süresini 2027 yılına kadar 398 günden yalnızca 45 güne kısaltmak için GitHub’a yorum yapılmasına yönelik bir oylama taslağı yayınladı.
2023-2030 Avustralya Siber Güvenlik Stratejisine daha yakından bakış
Bu Help Net Security videosunda Airlock Digital CEO’su David Cottingham, 2023-2030 Avustralya Siber Güvenlik Stratejisini tartışıyor ve geçtiğimiz yıldaki ortak ve bireysel siber güvenlik çalışmalarını, ilerlemelerini ve stratejilerini gözden geçiriyor.
Kimlikle ilgili veri ihlallerinin maliyeti ortalama olaylardan daha fazladır
RSA’ya göre kimlikle ilgili veri ihlalleri sıradan olaylardan daha ciddi ve maliyetli.
Veri toplamanın tüketici gizliliği riskleri: Kuruluşlar ne yapmalı?
Bu makale, gizlilikle ilgili temel zorlukları ayrıntılarıyla ele alıyor ve günümüzün karmaşık dijital ortamında kuruluşların tüketici verilerini korumasına yardımcı olacak pratik rehberlik sunuyor.
2025 için temel siber güvenlik tahminleri
Bu Help Net Security videosunda FIRST CEO’su Chris Gibson, gelişen tehdit ortamını tartışıyor ve 2025’te veri ihlallerinin ve siber saldırıların nerede olacağına dair benzersiz bir değerlendirme sunuyor.
Osmedeus: Saldırı güvenliği için açık kaynaklı iş akışı motoru
Osmedeus, saldırı güvenliği için tasarlanmış açık kaynaklı bir iş akışı motorudur. Kullanıcıların kolayca özelleştirilmiş keşif sistemleri oluşturmasına ve bunları kapsamlı hedef listelerine göre ölçeklendirmesine olanak tanıyan çok yönlü bir temel görevi görür.
Açık kaynaklı yazılım: CRA’dan sonra ilk organizasyon denemesi
Açık kaynaklı yazılım (OSS) endüstrisi, küresel altyapı için çekirdek yazılımı geliştiriyor; öyle ki, bazı özel yazılım devleri bile bulut hizmetleri için Linux sunucularını benimsiyor.
Krizde siber güvenlik: Gelecek olana hazır mıyız?
Bu Help Net Security videosunda, Corpay’in CISO’su James Edgar, siber güvenlik durumu, endişeler, zorluklar ve sağlam bir savunma programı oluşturmaya yönelik diğer hususlara ilişkin içgörüleri ortaya koyuyor.
Şu anda mevcut olan siber güvenlik işleri: 5 Kasım 2024
Siber güvenlik alanında çeşitli beceri seviyelerini kapsayan çeşitli rolleri size sunmak için piyasayı araştırdık. Şu anda mevcut olan bu haftalık siber güvenlik işlerine göz atın.
Rapor: Uygulayıcıların Sesi 2024 – Sır Güvenliğinin Gerçek Durumu
Bu çalışmada GitGuardian ve CyberArk, 1000 kuruluş genelinde sır yönetiminin katı gerçekliğini ortaya koyuyor.
Haftanın yeni infosec ürünleri: 8 Kasım 2024
Atakama, Authlete, Symbiotic Security ve Zywave’in piyasaya sürdüğü geçen haftanın en ilginç ürünlerine bir bakalım.