İşte geçen haftanın en ilginç haberlerinden bazılarına, makalelere, röportajlara ve videolara genel bir bakış:
Apple, hedeflenen iPhone saldırılarında kullanılan sıfır günlük delikleri (CVE-2025-31200, CVE-2025-31201)
Apple, iOS/iPados, macOS, TVOS ve Visionolar için, “iOS üzerindeki belirli hedeflenen bireylere karşı son derece karmaşık bir saldırıda” sömürülen iki sıfır gün güvenlik açıkını (CVE-2025-31200, CVE-2025-31201) düzelten acil durum güncellemeleri yayınladı.
Şirketler birleştiğinde, siber tehditleri de öyle
CISO’lar için birleşme ve devralmalar (M&A) hem potansiyel hem de risk getirin. Bu anlaşmalar büyümeyi sağlayabilir, ancak işlemi rayından çıkarabilecek ciddi siber güvenlik tehditlerinin kapısını da açarlar.
Windows NTLM Güvenlik Açığı Birden Fazla Saldırı Kampanyalarında Kullanıldı (CVE-2025-24054)
Microsoft’un geçen ay boyunca yamalar yayınladığı bir Windows NTLM karma açıklama kırılganlığı olan CVE-2025-24054, Polonya ve Romanya’daki hükümeti ve özel kurumları hedefleyen kampanyalarda tehdit aktörleri tarafından kaldırıldı.
AI iş akışlarında saklanan sessiz veri ihlali
AI günlük iş iş akışlarına gömüldükçe, veri maruz kalma riski artar. Hızlı sızıntılar nadir istisnalar değildir. Çalışanların büyük dil modellerini nasıl kullandıklarının doğal bir sonucudur. Cisos bunu ikincil bir endişe olarak ele alamaz.
Cozy Bear, şarap tatma davetleriyle AB diplomatlarını hedefliyor (tekrar)
Apt29 (aka Cozy Bear, yani gece yarısı Blizzard), bir kez daha, Avrupa diplomatlarını şarap tatma etkinliklerine sahte davetiyelerle hedefliyor.
Siber Esneklik Yasası kapsamında dijital ürünlerin güvence altına alınması
Bu yardımda net güvenlik röportajında, Codific’in kurucu ortağı Dr. Dag Flachet, Siber Dayanıklılık Yasası’nın (CRA) şirketler için ne anlama geldiğini ve düzenleyici karmaşıklık ve kuruluşlar üzerindeki etkisi açısından GDPR ile nasıl karşılaştırıldığını açıklıyor.
Saldırganlar tarafından sömürülen Sonicwall SMA100 güvenlik açığı (CVE-2021-20035)
Sonicwall Güvenli Mobil Erişim (SMA) 100 Serisi aletlerini etkileyen eski bir güvenlik açığı olan CVE-2021-20035, saldırganlar tarafından kullanılmaktadır.
Finansman Belirsizliği, Miter’in CVE programının sonunu heceleyebilir
Ortak güvenlik açıkları ve maruziyetlerin (CVE) programının geleceği dengede asılıdır: onu yöneten kar amacı gütmeyen ABD organizasyonu olan Miter, onu korumalarına yardımcı olan ABD federal finansmanını kaybedebilir.
AI ajanları hayduta gittiğinde, serpinti işletmeye çarpar
Bu yardımda net güvenlik görüşmesinde, Autorabit’teki CTO olan Jason Lord, gerçek dünya sistemlerine entegre edilmiş AI ajanlarının ortaya koyduğu siber güvenlik risklerini tartışıyor.
Hertz Veri İhlali: ABD, AB, İngiltere, Avustralya ve Kanada’daki müşteriler etkilendi
Amerikan otomobil kiralama şirketi Hertz, geçen yıl bir fidye yazılımı çetesi tarafından Cleo Zero-Day güvenlik açıklarından sömürülmesine bağlı bir veri ihlali yaşadı.
Siber suçlu gruplar, operasyonları ölçeklendirmek, sürdürmek için kurumsal yapıları kucaklar
Netarx CEO’su Sandy Kronenberg, bu net güvenlik görüşmesinde, siber suçlu grupların operasyonları ölçeklendirmek, yetenekleri korumak ve tespitten kaçınmak için kurumsal yapıları ve çalışan teşviklerini nasıl benimsediğini tartışıyor.
Nagios Log Server’da Sabit Kritik Kusurlar
Nagios Güvenlik Ekibi, popüler kurumsal günlük yönetimi ve analiz platformu Nagios günlük sunucusunu etkileyen üç kritik güvenlik açığını düzeltti.
İnceleme: Nesnelerin uygulamalı endüstriyel interneti
Uygulamalı Endüstriyel Nesnelerin İnterneti, özellikle endüstriyel IoT (IIOT) sistemlerini oluşturan ve güvence altına alan profesyoneller için tasarlanmış pratik bir rehberdir.
Paket Halüsinasyon: LLMS dikkatsiz geliştiricilere kötü amaçlı kod teslim edebilir
LLMS’in var olmayan “halüsinasyon” kod paketleri eğilimi, “slopsquatting” olarak adlandırılan yeni bir tedarik zinciri saldırısının temeli olabilir (Python Yazılım Vakfı’ndaki güvenlik geliştiricisi Seth Larson’un izniyle).
Tirreno: Açık kaynaklı sahtekarlık önleme platformu
Tirreno, çevrimiçi platformları, web uygulamalarını, SaaS ürünlerini, dijital toplulukları, mobil uygulamaları, intranetleri ve e-ticaret web sitelerini izlemek için evrensel bir analiz aracı olarak tasarlanmış açık kaynaklı bir sahtekarlık önleme platformudur.
İngiltere’nin telefon hırsızlığı krizi dijital güvenlik için bir uyandırma çağrısıdır
Telefon hırsızlığı artık Londra’da yaygın. Met polisi kısa süre önce, 50 milyon sterlinlik ticareti yönlendiren organize suç ağlarında çöktüğü için haftada 1.000 çalıntı telefonu ele geçirdiğini açıkladı. Ulusal olarak, vakalar yılda 83.900’e iki katına çıktı.
Inside PlugValley: Hizmet Olarak Bu AI Vishing nasıl çalışıyor
Bu yardımda net güvenlik videosunda, Fortra’daki tehdit intel analisti Alexis Ober, şu anda Hizmet Olarak AI ile çalışan Vishing sunan tehdit oyuncusu grubu Plugvalley’i tartışıyor.
Sektöre Göre Sektör: Veri ihlalleri alt çizgileri nasıl yıkıyor
Veri ihlalleri endüstriler arasında yükseliyor, sağlık hizmetlerine, finansmana ve perakende satışa özellikle zorlanıyor. Hasar, finansal, operasyonel ve itibardan ötürü kayıp verilerin ötesine geçer.
Siber güvenlik için stratejik yapay zeka hazırlığı: yutturmaca gerçeğe
Siber güvenlikte yapay zeka hazırlığı, en son araç ve teknolojilere sahip olmaktan daha fazlasını içerir; Stratejik bir zorunluluktur.
Baş Hukuk Memurları Siber Güvenlik Gözetiminde Başlıyor
Bu yardımda Net Güvenlik Videosu, Kurumsal Danışman Derneği (ACC) Vakfı İcra Direktörü Jennifer Chen, küresel olarak, baş hukuk memurlarının (CLOS) siber güvenlik stratejisinde ne kadar ayrılmaz liderler haline geldiğini, liderlik pozisyonlarını tuttuğunu ve sık sık siber güvenlik stratejilerini şirket kuruluna bildirdiğini tartışıyor.
Kimlik Doğrulamanın Geleceği: Neden Şifre Yol Yolu
Şimdiye kadar, çoğu CISO katılıyorum: Şifreler kimlik doğrulama zincirindeki en zayıf bağlantıdır. Tahmin edilmesi kolay, yönetilmesi zor ve sürekli olarak yeniden kullanıldı.
Neden daha kısa SSL/TLS Sertifikası ömürleri önemlidir?
Dijital sertifikalar, kullandığınız web sitelerinin, uygulamaların ve hizmetlerin yasal olduğunu ve verilerinizin güvenli olduğunu sessizce doğrulayan internetin unung kahramanlarıdır. Yıllarca, aylarca ve bazı durumlarda yıllar boyunca maksimum geçerlilik terimi germe ile sertifikalara yaslandık.
Firmaların% 94’ü Pentesting’in gerekli olduğunu söylüyor, ancak çok azı doğru yapıyor
Kobalt’a göre, kuruluşlar sömürülebilir güvenlik açıklarının yarısından daha azını düzeltirken, Genai uygulama kusurlarının sadece% 21’i çözüldü.
Tarayıcı uzantıları neredeyse her çalışanı potansiyel bir saldırı vektörü haline getiriyor
Layerx’e göre, neredeyse her çalışanın tarayıcısında mevcut olmasına rağmen, uzantılar güvenlik ekipleri tarafından nadiren izlenir veya onun tarafından kontrol edilir.
Kuruluşlar uyumlu olmayı göze alamaz
SecureFrame’ye göre, uyumsuzluk kuruluşlara uyum programlarını korumaktan 2,71 kat daha fazla mal olabilir.
Siber güvenlik işleri şu anda mevcut: 15 Nisan 2025
Siber güvenlik alanında çeşitli beceri seviyelerini kapsayan çeşitli roller sunmak için pazarı inceledik. Şu anda mevcut olan bu haftalık siber güvenlik işlerine göz atın.
Küresel gerginlik montajı sırasında enerji sektörü artışına karşı siber tehditler
Enerji sektörünü hedefleyen siber saldırılar, bir dizi jeopolitik ve teknolojik faktör tarafından yönlendiriliyor.
Safeline Bot Yönetimi: Cloudflare’ye kendi kendine barındırılan alternatif
Safeline, özerkliğe, görünürlüğe ve özelleştirilebilirliğe değer veren kuruluşlar için tasarlanmış açık kaynaklı, kendi kendine barındırılmış bir web uygulaması güvenlik duvarı (WAF) ve ters vekildir.
Haftanın Yeni InfoSec Ürünleri: 18 Nisan 2025
İşte geçen hafta en ilginç ürünlere, Cato Networks, Cyware, Emit, PlexTrac ve SeemPicity’den yayınlar içeren bir göz atın.