İşte geçen haftanın en ilginç haberlerinden bazılarına, makalelere, röportajlara ve videolara genel bir bakış:
Black Hat ABD 2025
Black Hat USA 2025, Las Vegas’taki Mandalay Bay Kongre Merkezi’nde gerçekleşti. İlgili haberleri, fotoğrafları, ürün bültenlerini ve daha fazlasını keşfedin.
Aiboms yeni SBOMS: AI risk yönetiminde eksik bağlantı
Bu yardımcı net güvenlik görüşmesinde, Manifest Cyber CEO’su Marc Frankel, zehirli eğitim verileri ve Gölge AI gibi AI’ye özgü risklerin, geleneksel araçların tespit edilemediği güvenlik sorunlarına nasıl yol açabileceğini tartışıyor. Yapay zeka faturalarının (AIBOMS) SBOM’ları veri kümelerine, model ağırlıklarına ve üçüncü taraf entegrasyonlarına şeffaflık sağlamak için nasıl genişlettiğini, yönetişimi ve olay tepkisini geliştirdiğini açıklıyor.
Küçük ekipler için güvenlik aracı tuzakları: maliyet, karmaşıklık ve düşük yatırım getirisi
Net güvenlik röportajında, Scrut Automation CEO’su Aayush Choudhury, büyük işletmeler için inşa edilen birçok güvenlik aracının neden daha yalın, bulut doğal ekipler için iyi çalışmadığını tartışıyor. Sınırlı kaynaklara sahip KOBİ’ler için sadelik, entegrasyon ve otomasyonun nasıl anahtar olduğunu açıklıyor.
PQC’nin Ötesinde: Bilinmeyen için uyarlanabilir güvenlik programları oluşturmak
Bu yardımda net güvenlik görüşmesinde, Emut’taki CISO Jordan Avnaim, riske dayalı bir yaklaşım kullanarak kuantum bilgi işlem tehdidinin yönetici ekiplere nasıl iletileceğini tartışıyor. Quantum sonrası kriptografinin (PQC) neden acil ve uzun vadeli bir öncelik olduğunu açıklıyor.
Fidye yazılımı saldırılarında hedeflenen Sonicwall güvenlik duvarları, muhtemelen sıfır gün aracılığıyla
Akira fidye yazılımı ve muhtemelen sıfır gün istismarını kullanan saldırganlar, 15 Temmuz 2025’ten beri Sonicwall güvenlik duvarlarını hedefleyen tespit edildi.
Project IRE: Microsoft’un Otonom Kötü Yazılım Algılama AI Ajanı
Microsoft, ana hedefi otonom kötü amaçlı yazılım tespiti olan bir AI ajanı üzerinde çalışıyor ve şirket Salı günü yaptığı açıklamada, büyük bir potansiyel gösteriyor.
Milyonlarca Dell dizüstü bilgisayar Revault saldırılarında ısrarla geri yüklenebilir
Cisco Talos araştırmacıları, hükümet ortamlarında ve siber güvenlik endüstrisinde yaygın olarak kullanılan 100’den fazla Dell dizüstü bilgisayar modelini etkileyen bir dizi ürün yazılımı güvenlik açığı, saldırganların Windows yeniden yüklemelerinde bile sürekli erişim sağlayabilmesine izin verebilir.
Trend Micro Apex One Flaws Wild’da Patlatıldı (CVE-2025-54948, CVE-2025-54987)
Şirket, Trend Micro’nun Apex One Endpoint Güvenlik Platformunun şirket içi versiyonunu etkileyen yetkilendirilmemiş komut enjeksiyon güvenlik açıkları (CVE-2025-54948, CVE-2025-54987), Çarşamba günü uyardı.
Adobe Yamaları Kritik Adobe Experience Manager, Kamu POC ile güvenlik açıkları oluşturur
Adobe, Java Enterprise Edition’da (JEE) Adobe Experience Manager Forms için bir acil durum güvenlik güncellemesi yayınladı; bu, iki kritik güvenlik açıkını (CVE-2025-54253, CVE-2025-54254) halka açık bir konsept kanıt (POC) exploit ile düzeltti.
Microsoft, yöneticileri şiddetli değişim güvenlik deliğini takmaya çağırıyor (CVE-2025-53786)
Ayrıcalık yükseltme, hibrit yapılandırmalarda aynı hizmet prensipini (Office 365 Exchange online uygulaması) paylaşan yeni açıklanan bir güvenlik açığı olan CVE-2025-53786’dan yararlanarak gerçekleştirilebilir. (Uygulama, Exchange Server ile Çevrimiçi Exchange arasındaki iletişimi doğrulamak ve güvence altına almak için kullanılır.)
Siber güvenlik ve yazılım tanımlı araçların geliştirilmesi
Birçok otomotiv şirketinde, aynı sistem mühendislik ekipleri hem güvenlik hem de güvenlikten sorumludur. Sonuç olarak, siber güvenlik, örtük bir varsayımla yetersiz olan bir güvenlik alt kümesi olarak ele alınır: “Güvenli ise, güvenli olmalıdır.”
GPT – 5 BT ekipleri, geliştiriciler ve yapay zekanın geleceği için ne anlama geliyor?
Openai, büyük dil modelinin en yeni sürümü olan GPT – 5’i yayınladı. Artık geliştiriciler ve chatgpt kullanıcıları için kullanılabilir ve AI’nın iş ve BT ortamlarında nasıl kullanılabileceğinde bazı gerçek değişiklikler getiriyor.
Ağustos 2025 Patch Salı Tahmini: Deneyin, tekrar deneyin
Temmuz Salı günü sakin bir yama ile yavaş başladı ve 130 CVE’ye hitap etti, ancak sadece bir tane kamuya açıklandı, bu nedenle risk düşüktü. Daha sonra iki SharePoint CVE kullanıldı ve ayın geç saatlerinde sıcaklıklarla bir şeyler ısıttı. Microsoft Exchange ve Binbaşı Google ve Apple güncellemelerinde güvenlik sorunları ekleyin ve Temmuz çok aktif sona erdi.
Açık Kaynak Parola Kurtarma Yardımcı Programı Hashcat 7.0.0 Salındı
Hashcat, beş saldırı modunu ve 300’den fazla yüksek oranda optimize edilmiş karma algoritmasını destekleyen açık kaynaklı bir şifre kurtarma aracıdır. Linux, Windows ve macOS’daki CPU, GPU ve diğer donanım hızlandırıcılarında çalışır ve ölçekte dağıtılmış şifre çatlaması için özellikler içerir.
Bloodhound 8.0, saldırı yolu yönetiminde büyük yükseltmelerle çıkış yapıyor
Specterops, büyük geliştirmeler ve genişletilmiş yetenekler içeren açık kaynaklı saldırı yolu yönetim platformunun en son yinelemesi olan Bloodhound 8.0’ı piyasaya sürdü.
Açık Kaynak Sunucu Yönetim Platformu Proxmox VE 9.0 Serbest Bırak
ProxMox Sanal Çevre (VE) 9.0, hem depolama hem de ağ oluşturma yeteneklerinde ilerlemeler getirerek kritik işletme taleplerini ele alır.
SOC’de AI: Oyun değiştirici mi yoksa daha fazla gürültü mü?
Bu yardımda Net Güvenlik Videosu, Impersive Labs’ta Cyber Kıdemli Müdürü Kev Marriott, AI’yi Güvenlik Operasyon Merkezlerine (SOCS) entegre etmenin zorluklarını ve fırsatlarını araştırıyor.
Üçüncü taraf ortakları mı yoksa bombalarını işaretleme mi?
Bu yardımda net güvenlik videosunda, Cyxcel’deki teknik direktör tedarik zinciri Ngaire Elizabeth Guzzetti, ABD’li kuruluşların üçte birinin kritik riskleri ve bunun tedarik zinciri güvenliği için ne anlama geldiğini üçüncü taraf satıcılara neden güvenmediğini tartışıyor.
Risk liderlerini geceleri ne tutuyor? AI, Tarifeler ve Maliyet Kesintileri
Gartner’ın yeni bir raporuna göre, kurumsal risk liderleri en çok artan tarifeler ve ticaret gerginlikleri 2025’in ikinci yarısına doğru ilerliyor. Firmanın 223 üst düzey risk, denetim ve uyum yöneticileri anketine dayanan ikinci çeyrek ortaya çıkan risk raporu, yükselen ticaret savaşını ilk çeyrekte üçüncü sırada yer alan en iyi risk olarak sıralıyor.
Kimlik güvenliği güvenine ilişkin şaşırtıcı gerçek
BeyondId’den yeni bir rapora göre, kimlik güvenliğine en çok güvenen kuruluşlar genellikle en az hazırlıklıdır. Çalışma, kuruluşların kimlik güvenlik programları ve gerçekte nasıl davrandıkları hakkında inandıkları şey arasında rahatsız edici bir boşluk ortaya koymaktadır. Şaşırtıcı bir şekilde, en yüksek güveni ifade edenler, daha temkinli akranlarından daha az en iyi uygulamayı benimsemektir.
Ortalama küresel veri ihlali maliyeti şimdi 4.44 milyon dolar
IBM, AI benimsemesinin AI güvenliği ve yönetişimi büyük ölçüde geride bıraktığını ortaya koyan bir veri ihlali raporunun maliyetini yayınladı. AI ile ilgili bir ihlal yaşayan toplam kuruluş sayısı, araştırılan nüfusun küçük bir temsili olsa da, bu raporda ilk kez güvenlik, yönetişim ve erişim kontrolleri incelenmiştir, bu da AI’nın zaten kolay, yüksek değerli bir hedef olduğunu düşündürmektedir.
Fidye yazılımı grupları baskıyı en üst düzeye çıkarmak için dörtlü gasp
Akamai’ye göre, tehdit aktörleri fidye yazılımı kampanyalarında yeni bir dörtlü gasp taktiği kullanıyor, çift gasp en yaygın yaklaşım olmaya devam ediyor.
Çalışanlarınız geçen çeyrekte Genai Tools’a bir dosya üzerinde yüklediler
Çeyrek 2025’te Harmonic, 300’den fazla Genai ve AI ile çalışan SaaS uygulamalarında 1 milyon genai istemini ve 20.000 yüklenen dosyayı gözden geçirdi ve bulgular, hassas verilerin genai araçları aracılığıyla maruz kaldığını, birçok güvenlik liderinden korktuğunu ancak ölçülmeyi zor bulduğunu doğrulamaktadır.
Siber liderlerin% 90’ı neden ısıyı hissediyor?
Bitsight’a göre, siber liderlerin% 90’ı siber riskleri, esas olarak AI patlaması ve genişleyen saldırı yüzeyleri nedeniyle beş yıl öncesine göre daha zor buluyor. Bu tehditler aynı zamanda yüksek tükenmişlik oranlarını besliyor, siber güvenlik ve siber risk profesyonellerinin% 47’si tükenmeyi bildiriyor.
Cisos hazır olduklarını söylüyor, verileri aksini söylüyor
500 ABD merkezli BT ve güvenlik liderinin anketine dayanan yeni bir Axonius raporu, algılanan hazırlık ile güvenlik açığı ve maruz kalma yönetiminde gerçek performans arasında bir kopukluk göstermektedir. Ankete katılanların% 90’ı kuruluşlarının bir tehdit bulunduğunda hareket etmeye hazır olduğunu söylerken, sadece% 25’i güvenlik araçlarındaki verilere güvendiklerini söyledi.
Fidye yazılımı bitti, sıfır günler patlıyor ve IP kameranız bir sonraki olabilir
Siber saldırganlar, gözden kaçan ve alışılmadık ağ köşelerinde yeni yollar buluyor. Forescout’un 2025H1 tehdit incelemesi, ileri taktiklerde bir artış gösteriyor ve sıfır gün istismarları yüzde 46 ve fidye yazılımı saldırıları günde ortalama 20.
Enerji şirketleri binlerce maruz kalan hizmete kördür
SixMap’ten yeni bir rapora göre, Amerika’nın en büyük enerji sağlayıcılarının çoğu bilinen ve kullanılabilir güvenlik açıklarına maruz kalıyor ve çoğu güvenlik ekibi bile görmeyebilir.
AI kodunuzu yazabilir, ancak neredeyse yarısı güvensiz olabilir
Genai, fonksiyonel kod üretmede mükemmel olsa da, Veracode’un 80 gerçek dünya kodlama görevinde 100 LLM tarafından üretilen kodu analiz eden 2025 Genai Kod Güvenlik Raporuna göre, vakaların yüzde 45’inde güvenlik açıkları getiriyor.
Siber suçlular kişiselleşiyor ve çalışıyor
Vipre Security’ye göre, siber suçlular, kötü niyetli kampanyaları ölçekte yaymak için tanımlanamayan kimlik avı kitlerini (kimlik avı sitelerinin% 58’i) ölçekte yaymak için kullanıyorlar.
Sahtekarlık kontrolleri tüketicinin güvenini garanti etmez
Experian’a göre, şirketlerin üçte birinden fazlası sahtekarlıkla mücadele etmek için üretken yapay zeka da dahil olmak üzere AI kullandıklarını söylüyor. Sahtekarlık tehditleri daha karmaşık hale geldikçe, şirketler yatırımlarını yarısından fazlasını yeni analitik benimsemek ve müşteri karar almayı geliştirmek için AI modelleri oluşturarak hızlandırıyor.
Sahte Captchas’tan Sıçanlara: 2025’in Siber Aldatma Tehdit Trendleri
Siber suçlular yalan söylemede daha iyi hale geliyor. Bu, saldırganların yakalanmadan önce ortamlarda sessizce hareket etmek için sosyal mühendislik ve meşru araçları nasıl kullandıklarını özetleyen yeni bir Level Blue raporunun paket servisidir.
Temellere Dönüş Web Semineri: CIS Security En İyi Uygulamalarının Ekosistemi
Bu görevi desteklemek için İnternet Güvenliği Merkezi (CIS) tarafından oluşturulan bir güvenlik en iyi uygulamaları ekosistemini nasıl kullanabileceğinizi anlamak için bu isteğe bağlı web seminerini izleyin.
Siber güvenlik işleri şu anda mevcut: 5 Ağustos 2025
Siber güvenlik alanında çeşitli beceri seviyelerini kapsayan çeşitli roller sunmak için pazarı inceledik. Şu anda mevcut olan bu haftalık siber güvenlik işlerine göz atın.
Haftanın Yeni InfoSec Ürünleri: 8 Ağustos 2025
İşte geçen haftaki en ilginç ürünlere, Black Uçter, Descope, Elastik, Extrahop, LastPass ve Riverbed’in sürümlerini içeren bir göz atın.