Siber Güvenlik Dünyasında Haftanın Enleri #9

Haftanın Haber(ler)i:

Bu hafta enlere girmeyi başaran iki haberimiz var. Birini seçmekte zorlandığım için ikisini birden sizlerle paylaşmak istedim. Arada böyle kaçamaklar yapabiliriz değil mi 😊

1 - Zoom ve Uçtan Uca Güvenlik:

Daha önce sizlerle Zoom'un ücretsiz kullanıcılara uçtan uca şifreleme sağlamayacağını, bunun sebebi olarak da suç örgütlerinin kullanımını engellemek olduğu haberini paylaşmıştık. Bu duruma çok fazla tepki gösterilmiş olacak ki ücretsiz kullanan ve ikinci bir faktörle kimlik doğrulaması yapan kişiler  (örn. cep telefonu doğrulaması) için de uçtan uca şifreleme özelliğinin geldiği açıklandı. Bu doğrulamayı yapmadan kullananlar için yine yol göründü :)

Devamı burada.

2 - Terzi Kendi Söküğünü Dikemezmiş:

Hacking araçları ve siber silahlar üreten CIA''in özel bir bölümü gizli bilgilerin sızdırılmasına engel olamadı. Zayıf güvenlik önlemleri aldıkları belirtilen haberde sızma işleminin eski CIA çalışanları tarafından yapıldığı aktarılıyor. Gizliliği iliklerine kadar yaşayan bir kuruluşun gerekli önlemleri almaması iki şeyi akıllara getiriyor. Güvenlik politikaları uygulamak ve süreçlerle entegre etmek gerçekten emek ve dikkat isteyen bir konu ve CIA bu konuda zorlanmış. Ya da tüm güvenlik önlemleri alınmış ancak sızdıranlar da içeri sızmışlar 😊 Zaman gösterecek diyeceğim ama ne yazık ki göstermeyecek. :)

Devamı burada.

Haftanın Makalesi:

Bulut kullanımı ve hizmetleri her geçen gün artıyor. Tabi güvenlik endişeleri de aynı oranda artıyor. Peki bulut üzerinde konumlandırılan sistemleriniz için hangi güvenlik kontrollerini uygulamalısınız? Mastercard firması olan Riskrecon bu soruya cevap veriyor. Amazon Web Servisleri (AWS) için risk değerlendirmesi yapabileceğiniz ve kontrolleri nasıl uygulayacağınızı anlatan makaleye ve toolkit'e buradan ulaşabilirsiniz. Toolkit üzerinde yer alan sorulardan bazıları ise aşağıdaki gibi.

• Is the AWS Organizations service used for managing all AWS accounts?
• Are separate AWS accounts being used for different development stages? (Dev, Staging, Production)
• Is a dedicated AWS account being used for security audit and logging functions?
• Does each Root account have multi-factor authentication (MFA) enabled and no active access keys?
• Has the Root account been used in the last 7 days?
• Does any AWS account have an IAM role that has not been used in > 90 days? (Or never used)
• Do all RDS instances use IAM based authentication for database access?
• Is the AWS Secrets Manager or SSM Parameter Store being used for secrets management?
• Do any security groups permit non-HTTP service access from the Internet?
• Are private subnets being used for internal servers, databases and other resources?
• Are resources deployed within AWS using infrastructure as code (IaC) such as Terraform or CloudFormation?
• Has an AWS specific incident response plan been created and tested?
• Are servers and databases hosted within AWS accessed through a secure remote access solution?

Haftanın İpucu:

Siber güvenlik, adli bilişim ve olay müdahale alanlarında ücretsiz online eğitimleri bir arada bulabileceğiniz bu sayfaya mutlaka göz atın.

Haftanın Yatırım Hikayesi:

API güvenliği üzerine çalışan start-up firma Salt Security 20 Milyon$ yatırım aldı. Bulut hizmetlerin ve uzaktan çalışma modellerinin artmasıyla birlikte API kullanımı da online işlemlerin merkezinde yer almaya başladı. Akamai'nin 2018 yılında yayınlanan raporuna göre web trafiğinin %83'ü API'ler üzerinde gerçekleşiyor. Gartner'a göre ise 2021 yılında web uygulamalarının %90'ı API üzerinden ataklara maruz kalacak. Durum böyle olunca API güvenliği de ön plana çıkmaya başladı.  Salt Security, büyük veri ve yapay zekayı kullanarak API kullanımını izleyip anormal davranışları tespit edebiliyor ve geleneksel olmayan güvenlik önlemleri uyguluyor. 

Detaylar burada.

Haftanın Nedir'i:

OWASP API Security listesinde ilk 10 nedir?

1. Broken Object Level Authorization
2. Broken User Authentication
3. Excessive Data Exposure
4. Lack of Resources & Rate Limiting
5. Broken Function Level Authorization
6. Mass Assignment
7. Security Misconfiguration
8. Injection
9. Improper Assets Management
10. Insufficient Logging & Monitoring

***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür.