lundi, 6 février 2023

Bilan de la semaine : Log4Shell persiste, directive NIS2 adoptée, LastPass violé (à nouveau)

Voici un résumé de certaines des actualités, articles, interviews et vidéos les plus intéressants de la semaine dernière :

Les 200 mots de passe les plus courants en 2022 sont mauvais, mkay ?
Selon la dernière liste de NordPass des 200 mots de passe les plus courants en 2022, « password » est le choix le plus populaire, suivi de « 123456 », « 123456789 », « guest » et « qwerty ».

Pre-auth RCE dans Oracle Combination Middleware utilisé dans la nature (CVE-2021-35587)
Un défaut de pré-authentification RCE (CVE-2021-35587) dans Oracle Gain Access To Manager (OAM) qui a été réparé en janvier 2022 est exploité par des attaquants dans la nature, a confirmé la Cybersecurity and Facilities Security Agency en ajoutant la vulnérabilité à son catalogue Understood Exploited Vulnerabilities (KEV).

Les applications mobiles de prêt prédateur obtiennent des données, dérangent les utilisateurs et leurs contacts
Les chercheurs de Lookout ont découvert près de 300 applications Android et iOS qui incitent les victimes à conditions de prêt injustes, exfiltrer les informations utilisateur excessives des appareils mobiles, puis les utiliser pour faire pression et faire honte aux victimes pour le remboursement.

LastPass, GoTo annoncent un incident de sécurité
LastPass et sa filiale GoTo (anciennement LogMeIn) ont en fait révélé avoir subi un incident de sécurité et, dans le cas de LastPass, une possible violation de données.

Toutes les données volées de Medibank ont ​​coulé, l’Australie augmente au maximum frais pour violation d’informations
Le fournisseur d’assurance médicale australien Medibank a vérifié qu’un autre lot de données client prises lors de la récente violation a été divulgué.

La sécurité du cloud commence par absolument pas de confiance
Dans cette interview pour Aid Internet Security, Mark Ruchie, CISO chez Entrust, discute de la sécurité du cloud et de la nécessité de ne pas faire confiance pour assurer une protection globale du cloud.

Les tendances en matière de cybersécurité que les organisations vont bientôt gérer
Dans cette interview avec Assistance net Security, Brad Jones, vice-président de la sécurité des détails chez Seagate Innovation, parle des schémas de cybersécurité auxquels les organisations seront bientôt confrontées, en particulier concernant la mauvaise configuration du cloud, la catégorie de données, les vulnérabilités des applications logicielles et les lacunes en matière de capacités de cybersécurité.

L’impact des licenciements sur la cyber-résilience de votre organisation
Dans cette interview avec Help Web Security, Ben Smith, Field CTO chez NetWitness, explique comment la vague de les licenciements ont en fait eu un impact sur la cyber-durabilité de nombreuses organisations, mais quels sont également les dangers que les organisations doivent connaître en ces temps de crise.

Comment trouver des violations de données secrètes et découvrir les risques dans votre approvisionnement chaîne
La chaîne d’approvisionnement d’une entreprise ressemble au système nerveux d’un corps : un maillage de fabricants, de fournisseurs, de sous-traitants, d’entreprises de prestation de services et même d’outils de codage et de coopération interconnectés.

7 totalement gratuit c ressources de cybersécurité à ajouter à vos favoris
7 ressources de cybersécurité totalement gratuites à ajouter à vos favoris.

Comment les caractéristiques des attaques de phishing évoluent
Dans cette vidéo Help Net Security, Alex Paquette, COO chez Ironscales, passe en revue l’effet en ce qui concerne le temps et l’énergie nécessaires pour résister à l’assaut sans fin et en constante évolution des attaques de phishing.

L’origine des gadgets IoT est particulièrement importante
Récemment, des politiciens britanniques ont appelé le gouvernement fédéral à sévir contre l’utilisation des dispositifs de sécurité de 2 sociétés chinoises, Hikvision et Dahua, qui sont déjà sur la liste noire de Washington.

Les cybercriminels tirent parti des cyberattaques sur le thème de la Coupe du Monde de la FIFA
Le battage médiatique et la popularité de la Coupe du Monde de la FIFA ont en fait attiré des publics du monde entier. Et cela, à son tour, attire une variété de cybercriminels, qui souhaitent profiter de la diversité des fans et des organisations participantes pour gagner rapidement de l’argent.

Comment une prévention efficace de la fraude peut obliger les fraudeurs à investir davantage dans leurs attaques
Dans cette vidéo d’Assistance Net Security, David Fletcher, SVP chez ClearSale, explique comment une méthode efficace de prévention de la fraude peut obliger les fraudeurs à investir davantage dans l’attaque, ce qui rend moins attrayant d’utiliser et éventuellement de modifier le retour sur investissement de l’ATO.

Ingénierie de la cybersécurité sous la Federal Trade Commission
Lorsque la Federal Trade Commission (FTC) publie de nouvelles réglementations ou des modifications de celles existantes, les implications peuvent ne pas être apparentes pour l’entreprise type ou les employés de l’entreprise.

De nombreuses entreprises Global 2000 n’ont pas de sécurité de domaine appropriée
CSC a publié son 3e rapport annuel sur la sécurité des domaines qui a découvert 3 sur 4 Forbes Global 2 000 entreprises n’ont pas adopté les procédures de sécurité de domaine cruciales, ce qui les expose à une forte menace de menaces de sécurité.

Les RSSI des sociétés d’investissement aident à accélérer les startups de cybersécurité
Dans ce Help Web Security video, Frank Kim, CISO-in-Residence chez YL Ventures, parle du rôle croissant des CISO dans les sociétés d’investissement financier et comment leur rôle en tant que conseillers aide à stimuler les startups de cybersécurité.

À faire ne négligez pas les dangers pour la sécurité des données cloud sans fin
Au cours des deux dernières décennies, la technologie a progressé pour permettre aux entreprises de collecter, stocker et utiliser d’énormes quantités de données de manière simple et économique.

33 % des attaques dans le cloud tirent parti de l’accès aux informations d’identification
Elastic a publié le rapport Elastic Global Risk Report 2022, détaillant la nature évolutive des menaces de cybersécurité, ainsi que l’élégance accrue du cloud et les attaques liées aux endpoints.

Identifier les lieux essentiels risques de fraude tout au long de la crise économique
Dans cette vidéo Assistance Web Security, Ari Jacoby, PDG de Deduce, explique comment les cybercriminels voient les périodes de ralentissement comme une ouverture pour exploiter les vulnérabilités potentielles.

Priorités des RSSI pour l’année à venir
BlueFort Security a en effet annoncé les résultats de son enquête auprès des RSSI 2022, qui a révélé que si les RSSI sont toujours confrontés à des défis en matière d’exposition, d’intelligence et de contrôle, 47 % se concentrent de manière proactive sur la transformation numérique et la migration vers le cloud.

Pourquoi les universités K-12 ne sont-elles pas disposées à signaler les cyberincidents ?
Dans cette vidéo d’Assistance Net Security, Stan Golubchik , PDG de ContraForce, fait part de ses inquiétudes concernant le manque de signalement des incidents cybernétiques dans les systèmes scolaires de la maternelle à la 12e année.

Le Conseil de l’UE adopte l’instruction NIS2
Le Conseil européen a adopté législation pour un niveau typique élevé de cybersécurité dans tout le européenne, afin de renforcer encore la résilience et les capacités de réaction aux incidents des secteurs public et privé et de l’UE dans son ensemble.

Les clients recherchent la commodité sans compromettre la sécurité
Dans cette vidéo Help Web Security, Aubrey Turner, conseiller exécutif chez Ping Identity, explique comment les consommateurs veulent un confort en un clic avec une sécurité renforcée.

Un an plus tard, Log4Shell est toujours là
72 % des entreprises restent sensibles à la vulnérabilité Log4Shell au 1er octobre 2022, a révélé la dernière étude de télémétrie de Tenable, basée sur les informations recueillies à partir de plus de 500 millions de tests.

Voici la offre : Uptycs pour toute l’année 2023 pour 1 $
Les clients font évoluer leur cybersécurité avec Uptycs. Maintenant, pour seulement un dollar, vous pouvez aussi changer de vitesse.

Produits Infosec du mois : novembre 2022
Voici un aperçu des produits les plus intéressants du mois dernier, y compris les versions de : Abnormal Security, Acronis, Bearer, Bitdefender, Clumio, Cohesity, Flashpoint, Forescout, ForgeRock, ImmuniWeb, Keyo, Lacework, LOKKER, Mitek, NAVEX, OneSpan, Personality, Picus Security, Qualys, SecureAuth , Solvo, Sonrai Security, Spring Labs, Tanium, Tresorit et Vanta.

Nouveaux produits infosec de la semaine : 2 décembre 2022
Voici un aperçu des produits les plus intrigants de la semaine dernière, y compris les versions d’Adaptive Guard, Datadog, Delinea, Fortinet, LogicGate, Coastline et Pattern Micro.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici