İşte geçen haftanın en ilginç haberlerinden, makalelerinden, röportajlarından ve videolarından bazılarına genel bir bakış:
Cl0p, MOVEit hack’inden sonra gasp müzakeresi için kuralları duyurdu
Cl0p siber şantaj ekibi, MOVEit Transfer çözümündeki bir güvenlik açığından yararlanarak verilerini çaldıkları birçok kuruluşun kendileriyle iletişime geçmek için 14 Haziran’a kadar süreleri olduğunu veya adlarını özel sızıntı sayfalarında yayınlayacaklarını söylüyor.
0mega fidye yazılımı çetesi taktik değiştiriyor
Bir dizi fidye yazılımı çetesi, hedeflerin dosyalarını şifrelemek için kötü amaçlı yazılım kullanmayı bıraktı ve ödeme almak için bir veri hırsızlığı/gasp yaklaşımına geçti; Düşük profilli ve görünüşte pek aktif olmayan bir tehdit aktörü olan 0mega, bunların arasında görünüyor.
Haziran 2023 Salı Yaması tahmini: Apple’ı unutmayın
Microsoft tarafından ele alınan CVE’lerin aydan aya tuhaf modeli Salı Mayıs Yaması ile devam etti.
GitHub’da kontrol etmeniz gereken 20 siber güvenlik projesi
Özel katkıda bulunanlar tarafından geliştirilen ve sürdürülen açık kaynaklı GitHub siber güvenlik projeleri, güvenlik uygulamalarını geliştirmek için değerli araçlar, çerçeveler ve kaynaklar sağlar.
AI: Düzenlemeyi yorumlama ve iyi uygulamaları uygulama
İşletmeler yıllardır yapay zeka kullanıyor ve makine öğrenimi (ML) modelleri genellikle açık kaynak havuzlarından alınıp işletmeye özel sistemlere yerleştirilmiş olsa da, model kaynağı ve güvencesi her zaman zorunlu olarak belgelenmedi veya şirket politikasına dahil edilmedi.
Chrome’da yamalı sıfır gün istismarı (CVE-2023-3079)
Google, saldırganlar tarafından istismar edilen Chrome tarayıcısında (CVE-2023-3079) yüksek önem dereceli bir güvenlik açığını düzeltti.
Geliştiricilerin güvenliği sevmesi nasıl sağlanır?
Geliştiriciler ve güvenlik ekipleri arasındaki gerilim hikayeleri, yazılım endüstrisinin uzun süredir devam eden bir özelliğidir ve güvenliğin genellikle yarattığının algılandığı sürtüşmeden kaynaklanır.
Dolandırıcılar metin şifrelerini nasıl baltalar?
Bu Help Net Security videosunda, Sinch’te Kimlik Doğrulama ve Numara Bilgileri Başkanı Lee Suker, şifrelerden ve SMS OTP’den uzaklaşmanın teknoloji faktörlerinden çok insan faktörleriyle ilgili olduğundan bahsediyor.
Zoom, gizlilik geliştirmelerini ve araçlarını duyuruyor
Zoom, kullanıcıların verileri ve gizlilik tercihleri üzerinde kontrol sahibi olmasını sağlamak için yeni bir dizi gizlilik geliştirmesi ve aracı tanıttı.
Kurumsal güvenlik ve gizlilik için büyük dil modellerinden (LLM’ler) yararlanma
Kurumsal dünyada, LLM’ler paha biçilmez varlıklar olabilir. Uygulanıyorlar ve müşteri hizmetleri, iç iletişim, veri analizi, tahmine dayalı modelleme ve çok daha fazlasında toplu olarak iş yapma şeklimizi değiştiriyorlar.
Üretken yapay zekanın veri yönetişimi ve uyumluluğu üzerindeki etkisi
Bu Help Net Security videosunda, Securiti.ai Yapay Zekadan Sorumlu Başkan Yardımcısı Michael Rinehart, üretken yapay zekanın yeterince konuşulmayan karanlık bir yanından bahsediyor.
Google, geçiş anahtarlarını Google Workspace hesaplarına genişletir
Google, geçiş anahtarlarını Mayıs ayı başlarında tüketicilere sunduktan sonra şimdi bunları Google Workspace ve Google Cloud hesapları için kullanıma sunuyor.
Çalışanlarınızı gözetliyor musunuz? Şirketinizi saldırı riskine sokuyor olabilirsiniz.
Çalışanlarınızı izliyor musunuz? Soru, “Ağabey” ve her şeyi gören ya da her şeyi bilen bir varlık hakkında düşünceler uyandırsa da, düşündüğünüz kadar uğursuz değil.
Siber güvenlik eğitim programlarında gerçekçi simülasyonları benimsemek
Bu Help Net Security videosunda, Security Innovation CEO’su Ed Adams, siber güvenlik eğitimindeki değişiklikleri tartışıyor. 2020’de %36’ya kıyasla şirketlerin %60’ı artık siber güvenlik eğitim programlarına gerçekçi simülasyonları dahil ediyor.
Okumanız gereken 9 ücretsiz siber güvenlik teknik incelemesi
Kayıt gerektirmeyen bu ücretsiz siber güvenlik teknik incelemeleri listesi, çok çeşitli yaygın siber riskleri (fidye yazılımı, DDoS saldırıları, sosyal ağ hesaplarının ele geçirilmesi) kapsar.
Verizon 2023 Veri İhlali Araştırmaları Raporu: İhlallerin %74’ü insan unsurunu içeriyor
Verizon Business, 16.312 güvenlik olayını ve 5.199 ihlali analiz eden 16. yıllık Veri İhlali Araştırma Raporu’nun (2023 DBIR) sonuçlarını yayınladı.
2023’te DDoS saldırılarının gelişimi
Arelion Baş Müjdecisi Mattias Fridström, bu Help Net Security videosunda 2023’teki DDoS tehdit ortamı hakkında konuşuyor.
Şirket, Barracuda ESG cihazlarını değiştirin
Barracuda Networks, fiziksel E-posta Güvenliği Ağ Geçidi (ESG) cihazları çalıştıran müşterilerini “yama sürümü seviyesinden bağımsız olarak” bunları hemen değiştirmeye çağırıyor.
Yeni bir sofistike dijital dolandırıcılık dalgası Avrupa’yı vuruyor
Sumsub’a göre, zorunlu doğrulama ve derin sahte vakalar Birleşik Krallık ve kıta Avrupa’sında endişe verici oranlarda artıyor.
Kitabın tanıtımı: Bir Küçük İşletme Siber Güvenlik Programı Oluşturma, İkinci Baskı
Bu Help Net Security video röportajında, CIS Kontrol Elçisi, CIS Alan Watkins, yeni kitabı Küçük İşletme Siber Güvenlik Programı Yaratmak, İkinci Baskı hakkında konuşuyor.
ABB Aspect bina yönetim sisteminde yamalanan yüksek riskli güvenlik açıkları
Prism Infosec, ABB tarafından geliştirilen Aspect Control Engine bina yönetim sisteminde (BMS) iki yüksek riskli güvenlik açığı belirledi.
CISO’lar tehdit araştırmasından çok iş stratejisine odaklanır
Nuspire’a göre CISO’lar ve ITDM’ler (BT güvenliği karar vericileri) en çok iş, BT ve güvenlik programı stratejisiyle meşgul olmaya devam ediyor, ancak 2022’ye kıyasla tehdit araştırması, farkındalık ve avlanma için daha az zaman harcıyorlar.
Mevcut SaaS güvenlik stratejileri yeterince ileri gitmiyor
Adaptive Shield’e göre, son zamanlardaki birçok ihlal ve veri sızıntısı SaaS uygulamalarına bağlandı.
Kamu sektörü uygulamaları daha yüksek güvenlik açığı oranları gösteriyor
Veracode’a göre, kamu sektörü kuruluşları tarafından geliştirilen uygulamalar, özel sektör tarafından oluşturulan uygulamalardan daha fazla güvenlik açığına sahip olma eğilimindedir.
Yapay zeka güvenliği ve siber güvenlikte kadınların yükselişi üzerine Katie Boswell
Bugünün AI devrimi, ticari ve kişisel kullanım için yeni fikirlerle sürekli olarak büyüyor. Ancak, bu yeni modelleri yeni endüstrilere entegre etmek, bu sağlam sistemler için çok fazla risk de getirir.
Haftanın yeni infosec ürünleri: 9 Haziran 2023
İşte 1Password, Datadog, Enveedo, Lacework ve NinjaOne’dan çıkan sürümleri içeren, geçen haftanın en ilginç ürünlerine bir göz atın.