资讯安全和资料私隐术语表

为了更好地帮助您理解我们在解释如何保护您的信息时使用Alchemer的术语,我们创建了一个术语表。它绝不是详尽无遗的,因为新的术语和类型的攻击不断涌现。

一个

访问控制-管理用户访问和使用资源的手段和机制。有三种主要的访问控制形式:DAC、MAC和RBAC。DAC (Discretionary Access Control)通过使用对象上的访问控制列表(Access Control list)来管理访问,访问控制列表指示哪些用户被授予(或拒绝)该对象上的特定特权或权限。MAC(强制访问控制)通过给每个主题和对象分配一个分类或许可级别标签来限制访问;然后,通过限制对那些具有与对象相同或更高标签的主题的访问来控制资源的使用。RBAC(角色基础访问控制)通过使用作业标签控制访问,作业标签被分配了完成相关作业任务所需的权限和特权。(也称为授权。)

反病毒(反恶意软件)-一种安全程序,旨在监视系统的恶意软件。一旦检测到恶意软件,反病毒程序将试图从系统中删除违规项,或者可能只是隔离文件,供管理员进一步分析。重要的是保持反病毒软件检测数据库的最新,以便有最好的机会检测已知形式的恶意软件。

杀毒软件-一种监视计算机系统或网络通信中已知的恶意代码实例,然后试图删除或隔离违规项目的软件程序。(也被称为恶意软件扫描器。)大多数反病毒(AV)产品使用模式识别或签名匹配系统来检测已知恶意代码的存在。一些反病毒产品已经采用了潜在的技术来检测新的和未知的恶意软件。这些技术包括异常检测(即监视违反特定规则的程序)、行为检测(即监视具有不同于系统正常行为基线的行为的程序)和启发式检测(即监视显示已知为已确认的恶意软件的行为的程序;这是一种技术剖析)。

APT(高级持续威胁)-一种安全漏洞,使攻击者能够在很长一段时间内访问或控制系统,而系统的所有者通常不知道该漏洞。APT通常利用大量未知漏洞或零日攻击,这使得攻击者即使在某些攻击载体被阻止的情况下也能保持对目标的访问。

资产-任何用于完成业务任务的东西。资产包括有形的和无形的项目,如设备、软件代码、数据、设施、人员、市场价值和舆论。

身份验证-证明个人的过程是一个声称的身份。身份验证是AAA服务概念的第一个元素,它包括身份验证、授权和计费。身份验证发生在标识的初始步骤之后(即声明标识)。认证是通过提供一个或多个认证因素来完成的——类型1:你知道的东西(例如密码、PIN或组合),类型2:你拥有的东西(例如智能卡、RSA SecureID FOB或USB驱动器),类型3:你是什么(例如生物特征——指纹、虹膜扫描、视网膜扫描、手部几何形状、签名验证、语音识别和击键动力学)。

授权-安全机制确定和执行认证用户被授权在计算机系统内做什么。主要的授权形式是DAC、MAC和RBAC。DAC(自由访问控制)使用ACL(访问控制列表)管理每个资源对象上的访问,其中列出了用户以及授予或拒绝他们的权限或特权。MAC(强制访问控制)使用主题和对象上的分类或许可标签来管理访问,只有那些具有同等或更高许可的主题才被允许访问资源。RBAC(基于角色的访问控制)使用作业角色的标签管理访问,该作业角色被授予完成特定作业或角色所需的权限和特权。

B

备份—在独立的物理存储设备或在线/云存储解决方案上创建数据副本。备份是防止数据丢失的唯一保险。通过备份,损坏或丢失的数据文件可以恢复。备份应该定期创建,比如每天。一个常见的策略是基于3-2-1规则:你应该有三份数据副本——原始数据和两份备份数据;您应该使用两种不同类型的媒体(如物理媒体(如硬盘或磁带)和云存储解决方案),不要将数据的三份副本存储在一个平面(即备份应存储在场外)。重要的是要将用于灾难恢复的备份存储在非站点位置,以确保它们不会被可能破坏主要生产位置的同一事件破坏。但是,可以保留额外的现场备份,以解决小问题,如意外文件删除或硬盘驱动器故障。

BCP(业务持续策划)-用于解决威胁核心业务任务的问题的业务管理计划。(也称为业务连续性管理。)BCP的目标是防止关键任务流程因违约或事故而受损时的失败。一旦核心业务任务稳定下来,BCP规定了使环境恢复正常状态的程序。当正常的安全策略未能阻止危害的发生,但危害尚未达到完全中断关键任务进程的程度(这将触发灾难恢复进程(Disaster Recovery Process, DRP))时,将使用BCP。

行为监测—记录系统及其用户的事件和活动。将记录的事件与安全策略和行为基线进行比较,以评估遵从性和/或发现违规行为。行为监视可以包括跟踪趋势、设置阈值和定义响应。趋势跟踪可以揭示什么时候错误增加需要技术支持服务,什么时候出现异常负载水平表明存在恶意代码,或者什么时候生产工作级别增加表明需要扩展容量。阈值用于定义活动或事件的级别,这些级别以上的活动或事件需要作出响应。低于阈值的水平被记录,但不触发响应。应对措施可以是解决冲突、处理违规、防止停机或提高能力。

黑名单-一种安全机制,禁止在已知的恶意或不受欢迎的软件列表上执行这些程序。黑名单是已知的恶意文件或不需要的特定文件的列表。禁止执行列表中的任何程序,而默认情况下允许执行任何其他程序,无论是良性的还是恶意的。(见白名单)。

分组密码—一种对称加密算法,将数据划分为固定长度的分段,然后对每个块进行加解密操作。将数据集划分为块的动作使算法能够加密任何大小的数据。

僵尸网络-一组被恶意代码破坏的无辜计算机,其目的是运行远程控制代理,使攻击者能够远程利用系统资源,以执行非法或犯罪行为。这些行为包括DoS泛洪攻击、托管虚假Web服务、欺骗DNS、传输垃圾邮件、窃听网络通信、记录VOIP通信以及试图破解加密或密码散列。僵尸网络可以由数十台到100多万台个人电脑组成。僵尸网络是机器人网络的缩写形式。

错误-软件编码或硬件设计或构造上的错误或错误。bug表示系统中的缺陷或漏洞,可以被攻击者发现并用作妥协点。攻击通常使用模糊技术(即随机测试工具)来定位之前未知的bug,以便设计新的漏洞。

自带设备-公司的安全政策,规定员工是否可以将自己的设备带入工作环境,这些设备是否可以连接到公司网络,以及该连接在多大程度上允许与公司资源交互。BYOD政策的范围可以从完全禁止个人设备被带进工厂,到允许任何设备连接到公司网络,并完全访问公司的所有资源。通常,BYOD策略对哪些设备可以在公司财产上使用进行了合理的安全限制,并严格限制了对公司敏感网络资源的访问。BYOD应解决诸如数据所有权、资产跟踪、地理位置、补丁和升级、安全应用程序(如恶意软件扫描仪、防火墙和IDS)、存储分段、适当与不适当的应用程序、上板、下板、因损坏而修复/更换、法律问题、内部调查、执法调查和取证等问题。

C

加州消费者隐私法案) - CCPA让加州消费者对企业收集的个人信息有更多的控制权,CCPA的规定为如何实施该法律提供了指导。隐私权包括了解企业收集的个人信息以及这些信息如何被使用和共享的权利;有权删除从他们那里收集的个人信息(一些例外);选择不出售个人信息的权利;以及行使CCPA权利时不受歧视的权利。

密文-由加密的加密功能产生的不可理解的、看似随机的数据形式。当使用选定的密钥通过加密过程转换数据集时,通过对称算法产生密文。通过使用加密过程中使用的相同对称加密算法和密钥执行解密过程,密文可以转换回其原始形式(即纯文本)。(又称密码学。)

“点击劫持”-欺骗受害者点击网址、按钮或其他屏幕对象的恶意技术,而不是用户想要或感知到的。点击劫持可以以多种方式执行;其中一种方法是将一个网页透明地加载到另一个可见的页面后面,通过这种方式,明显的链接和要单击的对象都是facade,所以单击一个明显的链接实际上会导致隐藏页面的链接被选中。

云计算-透过远程服务向公众或内部提供计算服务的方法。大多数云计算系统都基于远程虚拟化,其中提供给客户的应用程序或操作环境托管在云提供商的计算机硬件上。云解决方案的范围很广,包括软件应用程序(例如电子邮件和文档编辑)、自定义代码托管(即执行平台和web服务)以及完整的系统替换(例如主机数据库或文件存储的远程虚拟服务)。(参见SaaS、PaaS和IaaS。)大多数形式的云计算被认为是公共云,因为它们是由第三方提供的。然而,私有云(内部托管)、社区云(一组公司的私有托管云)、托管私有云(云服务器由第三方拥有和管理,但托管在客户的设施中)和混合云(公共和私有的混合)也是可选的。

计算机网络防御-建立安全周界和内部安全需求,目的是保护网络免受网络攻击、入侵和其他侵犯。CND由安全策略定义,可以使用漏洞评估和穿透测试措施进行压力测试。

饼干-指未经授权的计算机、网络和技术攻击者的恰当术语,而不是误用的术语“黑客”。然而,这个术语在媒体中并没有被广泛使用;因此,尽管存在术语滥用的问题,但黑客一词已经变得更加突出。(见黑客。)

关键基础设施-对一个组织或国家至关重要的物理或虚拟系统和资产。如果这些系统遭到破坏,后果将是灾难性的。如果一个组织的关键任务过程被中断,这可能导致组织停止存在。如果一个国家的关键基础设施被摧毁,将对国家安全、经济稳定、公民安全和健康、交通和通信产生严重的负面影响。

CVE(常见漏洞和暴露)-一个由MITRE组织为公众利益运营的攻击、利用和妥协的在线数据库。它包括任何类型的计算机系统或软件产品已知的任何和所有攻击和滥用。通常,在供应商承认问题或发布更新或补丁解决问题之前很久,新的攻击和漏洞就已经记录在CVE中。

密码学-在静止数据和传输数据上应用数学过程,以提供机密性、身份验证、完整性和不可否认性等安全好处。密码学包括三个主要组成部分:对称加密、非对称加密和哈希。对称加密用于提供机密性。非对称加密用于提供安全的对称密钥生成、安全的对称密钥交换(通过使用接收方公钥创建的数字信封)、源验证、接收方验证/控制、数字签名(哈希和使用发送方私钥的组合)和数字证书(提供第三方身份验证服务)。哈希是一种从输入数据集生成表示值的加密操作。可以比较前后散列,以检测完整性的保护或违反。

网络攻击-任何违反逻辑环境安全边界的企图。攻击可以集中在收集信息、破坏业务流程、利用缺陷、监视目标、中断业务任务、提取价值、破坏逻辑或物理资产或利用系统资源支持对其他目标的攻击。网络攻击可以通过利用公开的服务中的漏洞,欺骗用户打开具有传染性的附件,甚至通过无害的网站访问自动安装利用工具来发起。(也被称为路过下载。)

网络生态系统-计算机、网络、通信途径、软件、数据和用户的集合,构成本地专用网络或全球互联网络。它是软件运行、数据操作和交换的数字环境。

网络间谍-为了泄露数据或披露内部/私人/机密信息而侵犯组织隐私和安全的不道德行为。网络间谍活动可以由个人、组织或政府进行,其直接目的是对被侵犯的实体造成伤害,从而使个人、组织或政府受益。

网络安全—为连接到Internet的组织网络设计、实施和维护安全所做的努力。它结合了逻辑/技术、物质和以人员为重点的对抗措施、保障措施和安全管制。组织的网络安全应该在安全策略中定义,通过评估技术(如漏洞评估和渗透测试)进行验证,并随着组织的发展和新威胁的发现而随着时间的推移进行修订、更新和改进。

网络团队-一组专业或业余渗透测试专家,他们的任务是评估和潜在改善组织的安全立场。常见的网络团队包括红队、蓝队和紫/白队。红队常被用作多队渗透测试(即安全评估)的一部分,负责攻击蓝队防守的目标。紫队或白队被用作进攻/红队和防守/蓝队之间的参考;或者这个团队可以被用作红方和蓝方团队的结果和活动的解释器,以便在最终结果中最大化他们的效率。

D

数据泄露-机密信息的披露、机密信息的访问、数据资产的破坏或私有IT环境的滥用。一般来说,数据泄露会导致内部数据被外部实体未经授权访问。

数据完整性—验证数据未被修改,因此是原始的、完整的和完好的安全好处。完整性是通过使用加密哈希来验证的。哈希算法生成一个固定长度的输出,称为哈希值、指纹或MAC(消息验证码),该输出来自输入数据,但不包含输入数据。这使得哈希是一个单向操作。一个散列在事件发生前计算,另一个散列在事件发生后计算(一个事件可以是存储的时间框架(即静止数据)或传输的发生(即传输中的数据);然后使用XOR布尔操作比较这两个散列。如果两个散列完全匹配(即XOR结果为零),则数据保持了完整性。但是,如果两个散列不完全匹配(即XOR结果是非零值),则在事件期间数据的某些内容发生了更改。

数据挖掘-分析和/或搜索数据以找到相关、意义或价值的项目的活动。数据挖掘的结果被称为元数据。数据挖掘可以是对单个重要数据项的发现,对大量数据项的总结或概述,或者对一组数据项的整合或澄清。

数据失窃-故意窃取数据的行为。数据盗窃可以通过数据丢失(物理盗窃)或数据泄漏(逻辑盗窃)事件发生。数据丢失是指存储设备丢失或被盗。当数据的副本被未经授权的实体拥有时,就会发生数据泄漏。

DDoS(分布式拒绝服务)攻击—试图阻止对资源的访问和使用的攻击。这是对可用性的侵犯。DDOS(或称DDOS)是DoS攻击(参见DoS)的一种变体,包括泛洪攻击、连接耗尽和资源需求。DDOS和DOS的区别在于攻击流量可能来自多个来源,也可能被多个中间系统反射或反弹。DDoS攻击的目的是大幅放大攻击级别,使其超过单个攻击系统所能产生的级别,从而使更大、更受保护的受害者过载。DDoS攻击通常使用僵尸网络。(参见僵尸网络)。

解密-将密文(即由加密的密码学功能产生的不可理解的和看似随机的数据形式)转换回其原始的明文或明文形式的行为。当使用选定的密钥通过加密过程转换数据集时,通过对称加密算法产生密文。通过使用加密过程中使用的相同的对称加密算法和相同的密钥执行解密过程,可以将密文转换回其原始形式(即明文)。

数字证书-证明身份或提供身份验证的方法,通常是通过被称为证书颁发机构的受信任第三方实体。数字证书基于x.509 v3标准。它是由证书颁发机构的私钥签署的主体的公钥,并阐明文本信息,如发行者、主体身份、创建日期、到期日期、算法、序列号和拇指指纹(即哈希值)。

数字取证-在法律程序中收集用作证据的数字信息的方法。数字取证专注于从计算机系统和/或网络中收集、保存和分析脆弱和易变的数据。与安全漏洞和/或犯罪行为相关的计算机数据常常与来自商业功能和个人活动的标准良性数据混杂在一起。因此,在遵守证据规则的同时,为确保收集到的证据在法庭上可被接受,数字取证可能会面临适当收集相关证据的挑战。

DLP(数据丢失预防)-一套旨在防止数据丢失及/或数据泄漏的保安机制。数据丢失是指存储设备丢失或被盗,数据泄露是指数据的副本被非法占有。在这两种情况下,不应该访问数据的人都可以访问数据。DLP旨在通过各种技术防止此类事件的发生,例如对资源的严格访问控制、阻止使用电子邮件附件、阻止向外部系统交换网络文件、阻止剪切粘贴、禁止使用社交网络和加密存储的数据。

非军事区(DMZ)-私有网络的一个网段或子网,在这里承载资源,供公众从因特网访问。使用防火墙将DMZ与私有网络隔离,并使用防火墙防止来自Internet的明显滥用和攻击。DMZ可以在两种主要配置中部署。一种方法是经过筛选的子网配置,其结构为I-F-DMZ-F-LAN(即internet,然后是防火墙,然后是DMZ,然后是另一个防火墙,然后是私有LAN)。第二种方法是多主机防火墙配置,它具有一个具有三个接口的单个防火墙的结构,一个连接到Internet,第二个连接到DMZ,第三个连接到私有LAN。

DOS(拒绝服务)—试图阻止对资源的访问和使用的攻击。这是对可用性的侵犯。DOS(或DOS)攻击包括泛洪攻击、连接耗尽和资源需求。泛洪攻击向目标发送大量的网络流量,使网络设备和服务器处理原始负载的能力过载。连接耗尽会重复向目标发起连接请求,消耗所有与连接相关的系统资源,从而阻止建立或维护任何其他连接。资源需求DoS重复地从服务器请求资源,以使服务器太忙而无法响应其他请求。

驾车下载-一种基于Web的攻击,它基于访问恶意或受损害/中毒的网站的简单行为而自动发生。通过利用Web浏览器的默认特性来执行移动代码(通常是JavaScript)来实现驱动下载,几乎没有安全限制。驱车下载可以安装跟踪工具、远程访问后门、僵尸网络代理、击键记录器或其他形式的恶意工具。在大多数情况下,基于驱动下载的感染的发生不会被用户/受害者注意到。

E

窃听-偷听交易、通信、数据传输或对话的行为。窃听既可以指网络链路上的数据包捕获(也称为嗅探或数据包捕获),也可以指使用麦克风(或用耳朵听)进行音频记录。

编码-将明文或明文(即正常标准数据的原始形式)转换为密文(即由加密的加密功能产生的难以理解的和看似随机的数据形式)的行为。当使用选定的密钥(即加密或编码)通过加密过程对数据集进行转换时,对称加密算法就产生了密文。通过使用相同的对称加密算法和加密过程中使用的相同密钥(即解密或解码)执行解密过程,密文可以转换回其原始形式(即明文)。

加密密钥—对称加密算法用来控制加解密过程的密码值。密钥是由其二进制位数的长度定义的数字。一般来说,密钥长度越长,提供的安全性(即防止机密性被破坏)就越高。键的长度还决定了键空间,键空间是可以从中选择键的二进制数字之间的全0和全1的值范围。

F

防火墙—安全工具,这可能是一种用于过滤网络流量的硬件或软件解决方案。防火墙基于隐式拒绝立场,默认情况下所有流量都被阻止。可以定义规则、过滤器或acl来指示允许哪些流量通过防火墙。高级防火墙可以根据用户身份验证、协议、头值甚至有效负载内容做出允许/拒绝的决定。

取证-检查日志、配置和其他可用的细节,以确定恶意行为者已经采取了哪些步骤来渗透或破坏系统。用作IRP的一部分。

G

通用数据保护条例- GDPR由欧盟(EU)起草并通过,该法规影响任何地方的组织,只要他们针对或收集与欧盟人相关的数据。该法案的出台是为了使整个单一市场的数据保护法标准化,并让身处日益增长的数字经济中的人们在如何使用个人信息方面拥有更大的控制权。该条例的范围涉及个人数据、数据处理和数据控制。

H

黑客-具备分析程序代码或计算机系统、修改其功能或操作以及改变其能力和能力的知识和技能的人。黑客可能是道德的和授权的(最初的定义),也可能是恶意的和未经授权的(该术语的修改但当前的用法)。黑客可以是熟练的程序员,也可以是对系统或漏洞的细节知之甚少或一无所知,但能够遵循指示的人;在本例中,它们被称为脚本kiddy。

黑客入侵-攻击者攻击的原因或信仰,而不是某种形式的个人利益。黑客主义通常被攻击者视为一种抗议或为他们所认为的“权利”或“正义”而战的形式。然而,在大多数情况下,当受害者的技术或数据被滥用、伤害或销毁时,这仍然是一种非法活动。

蜜罐-攻击者的陷阱或诱饵。蜜罐用于分散攻击者的注意力,以防止他们攻击实际的生产系统。这是一个虚假的系统,它被配置成生产系统的外观和功能,并被定位在可能被寻找连接或攻击点的未经授权实体遇到的位置。蜜罐可能包含虚假数据,以诱使攻击者花费大量时间和精力攻击和利用虚假系统。蜜罐还可以发现新的攻击或攻击者的身份。

IaaS (IaaS)-一种云计算服务,在这种服务中,提供商向客户提供在其计算环境中构建虚拟网络的能力。IaaS解决方案使客户能够选择将哪些操作系统安装到虚拟机/节点以及网络结构(包括虚拟交换机、路由器和防火墙的使用)。它还提供了在虚拟机上运行软件或自定义代码的完全自由。IaaS解决方案是所有云计算服务中最灵活的;它允许客户在自己的本地设施中显著减少硬件。它是云计算服务中最昂贵的形式。

身份克隆-身份盗窃的一种形式,攻击者冒充受害者的身份,然后试图以被盗的身份生活和行事。身份克隆通常是为了隐藏攻击者的出生国或犯罪记录,以便获得工作、信贷或其他有担保的金融工具。

身份欺诈-身份盗窃的一种形式,在这种交易中,通常是金融交易,使用窃取的另一个人的身份进行交易。欺诈是由攻击者冒充他人造成的。

身份盗窃-身份盗窃和身份欺诈是指所有类型的犯罪,在这些犯罪中,某人以某种涉及欺诈或欺骗的方式错误地获取和使用他人的个人数据,通常是为了经济利益。

入侵检测系统-一种安全工具,试图检测入侵者的存在或安全违规的发生,以便通知管理员,启用更详细或更集中的日志记录,甚至触发响应,如断开会话或阻止IP地址。IDS被认为是一种更被动的安全工具,因为它在已经发生的妥协之后才检测出来,而不是阻止它们成功。

信息安全政策-一个组织的安全策略和目标的书面记录。安全策略通常由标准、策略(或sop -标准操作程序)和指导方针组成。所有硬件、软件、设施和人员都必须遵守组织的安全政策条款。(也称为安全策略。)

内部威胁-雇员或其他形式的内部人员可能对组织的稳定或安全构成风险的可能性或潜力。内部人员拥有物理访问和逻辑访问(通过他们的网络登录凭证)。这是外部攻击者在发起恶意攻击之前必须首先获得的两种访问权限,而内部人员已经拥有这两种访问权限。因此,如果内部人员叛变或被诱骗造成伤害,那么内部人员的风险可能比外部人员更大。

入侵防御系统-一种安全工具,它试图检测破坏目标安全的企图,然后阻止攻击成功。IPS被认为是一种更主动的安全工具,因为它试图主动响应潜在的威胁。IPS可以阻断IP地址、关闭服务、阻断端口和断开会话,还可以通知管理员。

互联网服务提供商(ISP)-为个人或公司提供互联网连接的组织。一些网络服务供应商提供的附加服务不仅仅是连接,如电子邮件,网络托管和域名注册。

J

JBOH (JavaScript-Binding-Over-HTTP)-一种针对android的移动设备攻击,使攻击者能够在受攻击的设备上发起任意代码的执行。JBOH攻击经常发生或通过被破坏或恶意的应用程序进行。

K

键盘记录器-任何一种方式,通过这种方式,受害者的击键被记录在他们输入到物理键盘的时候。键盘记录程序可以是一种软件解决方案,也可以是一种硬件设备,用于捕获用户可能输入的任何内容,包括密码、秘密问题的答案或电子邮件、聊天和文档中的细节和信息。

l

局域网(Local Area Network)-设备的互连(即网络),包含在一个有限的地理区域内(通常是一个单一的建筑物)。对于一个典型的局域网,所有的网线或互连媒体都由组织拥有和控制,不像广域网(广域网),互连媒体由第三方拥有。

链接顶-将链接重定向到中间商或聚合站点或位置,而不是链接所指向的原始站点,这可能是不道德的做法。例如,一个新闻聚合服务发布的链接看起来似乎指向他们发布的文章的原始来源,但当用户通过搜索或社交网络发现这些链接时,这些链接会重定向到聚合站点,而不是文章的原始来源。

恶意软件-为造成损害、泄露信息或以其他方式破坏系统安全或稳定而编写的任何代码。恶意软件包括各种类型的恶意程序,包括病毒、蠕虫、特洛伊木马、逻辑炸弹、后门、远程访问木马(RAT)、rootkit、勒索软件和间谍软件/广告软件。

O

局外人的威胁-外部实体,如前雇员、竞争对手甚至不满意的客户,可能对组织的稳定或安全构成风险的可能性或潜力。在发起恶意攻击之前,外部人员通常必须获得对目标的逻辑或物理访问权限。

外包—从外部实体获取服务的行为。外包不是执行某些任务和内部功能,而是使组织能够利用可以付费提供服务的外部实体。外包通常用于获得最佳服务级别的服务,而不是满足于足够好的内部操作。由于将内部信息和数据暴露给外部,它可能代价高昂,并增加了组织的安全风险。

开放Web应用程序安全项目-一个专注于理解网络技术和开发的互联网社区。他们的目标是帮助任何拥有网站的人通过防御性编程、设计和配置来提高网站的安全性。他们的方法包括了解攻击,以便知道如何防御它们。OWASP提供了大量与网站漏洞评估和发现相关的工具和实用程序,以及大量与所有web安全相关的培训和参考材料。

P

PaaS(平台即服务)-一种云计算服务,提供商向客户提供操作定制代码或应用程序的能力。PaaS操作符决定提供哪些操作系统或执行环境。PaaS系统不允许客户更改操作系统、给操作系统打补丁或更改虚拟网络空间。PaaS系统允许客户减少在其本地设施中的硬件部署,并利用按需计算(也称为随走随付)。

包嗅探-从数据网络通信中收集帧或包的行为。此活动允许评估头内容以及网络通信的有效负载。包嗅探需要将网络接口卡置于混杂模式,以便禁用MAC(媒体访问控制)地址过滤器,否则将丢弃任何不打算用于特定本地网络接口的网络通信。(也被称为嗅探或偷听。)

补丁-更新或更改操作系统或应用程序。补丁通常用于修复已部署代码中的缺陷或bug,以及引入新的特性和功能。在实现之前测试所有更新和补丁是一种良好的安全实践,并尝试保持补丁的最新状态,以获得具有最少已知缺陷和漏洞的最新版本的代码。

补丁管理-与研究、测试、批准和安装计算机系统更新和补丁有关的管理活动,包括固件、操作系统和应用程序。补丁是通过应用供应商发布的新代码对现有软件产品进行更新、更正、改进或扩展。补丁管理是安全管理的重要组成部分,以防止停机、最小化漏洞和防止新的未经测试的更新干扰生产力。

支付卡窃贼-当插入POS(销售点)支付系统时,用于读取自动取款机、借记卡或信用卡内容的恶意设备。撇脂器可以是内部组件,也可以是外部添加物。攻击者会试图使用任何手段将他们的撇链器嵌入支付系统,该支付系统最有可能不被发现,从而从受害者那里收集最多的财务信息。(参见POS入侵。)

笔测试-一种安全评估的方法,由安全和攻击专家执行自动化工具和手动开发。这是一种高级的安全评估形式,只应该在具有成熟安全基础设施的环境中使用。渗透测试将使用与犯罪黑客相同的工具、技术和方法,因此,它可能导致停机和系统损坏。然而,这种评估可以通过发现基于人类(即社会工程)或物理攻击概念的自动化工具不可见的缺陷来帮助保护网络。(也被称为渗透测试或道德黑客。)

网络钓鱼-试图从受害者那里收集信息的社会工程攻击。网络钓鱼攻击可以通过电子邮件、短信、社交网络或智能手机应用程序进行。网络钓鱼攻击的目标可能是获取登录凭证、信用卡信息、系统配置细节,或其他公司、网络、计算机或个人身份信息。网络钓鱼攻击通常会成功,因为它们模仿来自可信实体或团体的合法通信,如来自银行或零售网站的虚假邮件。

PKI(公开密码匙基础设施)-使用加密概念支持安全通信、存储和作业任务的安全框架(即配方)。PKI解决方案是对称加密、非对称加密、哈希和基于数字证书的身份验证的组合。

POS(销售点)入侵-攻击者可以进入零售网点的POS(销售点)设备,从而获得支付卡信息和其他客户详细信息。POS入侵可以发生在传统的实体零售店和任何在线零售网站上。(参见支付卡skimmers。)

R

Ransomware-一种恶意软件,通常通过强大的加密将受害者的数据作为人质保存在他们的电脑上。随后是要求以比特币(一种无法追踪的数字货币)的形式支付,以便将捕获数据的控制权交还给用户。

恢复-使系统恢复正常状态的过程。恢复或恢复过程可能涉及在重新安装操作系统和应用程序之前对主存储设备进行格式化,以及将备份中的数据复制到重新安装的系统上。

风险评估-评估一个组织的风险状态的过程。风险评估通常是通过列出所有资产的清单,为每个资产指定一个价值,然后考虑对每个资产的任何潜在威胁来启动的。评估威胁的暴露因子(EF)(即威胁造成损害可能造成的损失数量)和发生频率(即aro -年化发生率),以便计算称为ALE(年化损失预期)的相对风险值。最大的ALE表示组织最大的关注点或风险。

风险管理-执行风险评估和评估风险应对措施的过程,以减轻或以其他方式处理已识别的风险。应选择可以消除或减少风险、将风险分配或转移给他人(即外包或购买保险)或避免和威慑风险的对策、保障措施或安全控制措施。目标是将风险降低到可接受或可容忍的水平。

年代

SaaS(软件即服务)-一种云计算服务,其中提供商向客户提供使用所提供应用程序的能力。SaaS的例子包括在线电子邮件服务或在线文档编辑系统。SaaS解决方案的用户只能使用所提供的应用程序并进行微小的配置调整。SaaS提供者负责维护应用程序。

沙盒-一种隔离应用程序、代码或整个操作系统以执行测试或评估的方法。沙盒限制了可用于受约束项目的操作和资源。这允许使用隔离的项目进行评估,同时防止对主机系统或相关数据或存储设备造成任何伤害或损坏。

监控和数据采集-一种复杂的机制,用于收集数据和物理世界的度量,并对被监视系统执行测量或管理操作,以实现自动化的大型复杂的现实过程,如石油精炼、核能发电或水过滤。SCADA可以提供对非常大的复杂系统的自动化控制,无论是集中在一个物理位置还是跨越很长的距离。

安全控制-任何安全响应策略的一部分,用于解决威胁,以降低风险。(也被称为对策或保障措施。)

安全边界—执行特定安全策略和规则的网络或私有环境的边界。安全边界内的系统和用户被迫遵守本地安全规则,而安全边界外的任何东西则不受此类限制。安全周界防止外部实体和内部实体之间可能违反或威胁内部系统安全的任何交互。

安全信息和事件管理-对组织的安全进行持续监测和评估的正式程序。SIEM有助于自动识别不符合安全策略的系统,并将任何违反安全的事件通知IRT(事件响应小组)。

社会工程-针对人而非技术的攻击。这种类型的攻击是心理上的,目的是获取信息或逻辑或物理环境的访问权。社会工程攻击可以通过诱骗工作人员在送货时扶着门协助进入设施,通过诱骗用户向虚假的技术支持人员透露他们的帐户证书来进入网络,或通过鼓励工作人员将机密材料剪切粘贴到电子邮件或社交网络帖子中来获得数据文件的副本。

垃圾邮件-一种不需要的或未经请求的信息或通信形式,通常通过电子邮件接收,但也通过短信、社交网络或VoIP发生。大多数垃圾邮件是广告,但有些可能包括恶意代码、恶意超链接或恶意附件。

鱼叉式网络钓鱼-一种社会工程攻击形式,针对与银行或零售网站等在线实体已有数字关系的受害者。鱼叉式网络钓鱼信息通常是电子邮件,尽管也有短信和VoIP鱼叉式网络钓鱼攻击,它们看起来完全像来自可信实体的合法通信。该攻击诱骗受害者点击一个超链接访问一个公司网站,结果被重定向到由攻击者操作的虚假网站。虚假网站的外观和操作通常与合法网站相似,其重点是让受害者提供登录凭证和其他潜在的个人身份信息,如安全问题的答案、账号、社会安全号码、邮寄地址、电子邮件地址和/或电话号码。鱼叉式网络钓鱼攻击的目标是窃取身份信息,以接管账户或窃取身份。

恶搞(欺骗)-伪造通信或互动来源的身份的行为。欺骗IP地址、MAC地址和电子邮件地址是可能的。

间谍软件-一种监控用户活动并将其报告给外部第三方的恶意软件。间谍软件可以是合法的,因为它是由广告和营销机构操作的,目的是收集客户的人口统计数据。然而,间谍软件也可以由攻击者使用数据收集工具来窃取身份,或了解受害者的足够信息,以其他方式伤害他们。

供应链-将原始材料或原材料转化为交付给客户的成品过程中相关组织的路径。供应链的中断可能会导致最终产品的生产立即终止,或者这种影响可能不会被注意到,直到已经在整个供应链上运输的材料耗尽。

T

TFA(双因素认证)-使用两个认证因素证明身份的方法,通常被认为比任何单因素认证更强。多因素认证的一种形式。有效的认证因素包括类型1:你知道的东西,如密码和pin;类型2:你拥有的东西,如智能卡或OTP(一次性密码)设备;第三种:你是谁,比如指纹或视网膜扫描(又名生物识别)。

威胁评估-评估可能对资产或组织造成伤害的操作、事件和行为的过程。威胁评估是风险评估和管理的一个组成部分。(也称为威胁建模和威胁清单。)

特洛伊木马(特洛伊)-恶意软件的一种形式,恶意有效载荷被嵌入到一个良性的主机文件中。受害者被骗相信,被检索的唯一文件是可见的良性宿主。然而,当受害者使用主机文件时,恶意负载就会自动沉积到他们的计算机系统中。

U

未经授权的访问-任何违反公司安全政策的访问或使用计算机系统、网络或资源,或当个人或用户没有明确授予访问或使用资源或系统的授权时。

V

VPN(虚拟专用网)-系统或网络之间的通信链路,通常是加密的,以提供安全的、私有的、隔离的通信路径。

病毒-一种恶意软件的形式,经常附加到一个主机文件或MBR(主引导记录)作为寄生虫。当主机文件或MBR被访问时,它会激活病毒,使其感染其他对象。大多数病毒通过计算机内部和计算机之间的人类活动传播。病毒通常被设计为破坏或破坏数据,但不同的病毒以不同的速率、速度或目标实施攻击。例如,一些病毒试图尽快销毁计算机上的文件,而另一些病毒可能需要几个小时或几天才能完成。其他可能只针对图像或Word文档(.doc/.docx)。

Vishing-一种通过网络电话进行的网络钓鱼攻击。在这种攻击中,攻击者使用VoIP系统能够拨打任何电话号码,而无需支付任何电话费。攻击者经常伪造他们的来电显示,以欺骗受害者,使其相信他们收到的电话来自合法或可信的来源,如银行、零售网点、执法部门或慈善机构。受害者不需要自己使用VoIP,就可以通过他们的电话系统受到vishing攻击。(见钓鱼。)

脆弱性-资产或安全保护中任何可能导致威胁造成伤害的弱点。它可能是编码中的缺陷、配置中的错误、范围或能力的限制、体系结构、设计或逻辑中的错误或对有效系统及其功能的巧妙滥用。

W

白名单-一种安全机制,禁止执行任何不在预先批准的软件清单上的程序。白名单通常是已批准软件的文件名、路径、文件大小和哈希值的列表。任何不在列表上的代码,无论是良性的还是恶意的,都不能在受保护的系统上执行。(参见黑名单)。

无线网络-一种使用无线电波而不是电缆支持网络通信的方法。目前的Wi-Fi或无线网络技术是基于IEE 802.11标准及其众多修订,该标准解决了速度、频率、身份验证和加密等问题。

蠕虫-一种专注于复制和传播的恶意软件。蠕虫是一种自我包含的恶意程序,它试图复制自己并传播到其他系统。一般来说,蠕虫造成的破坏是间接的,是由于蠕虫的复制和分发活动消耗了所有的系统资源。蠕虫可以被用来在它遇到的每个系统上存放其他形式的恶意软件。

X

Y

Z

僵尸—与僵尸网络的恶意概念有关的术语。术语僵尸可以用来指僵尸网络恶意软件代理的宿主系统,也可以指恶意软件代理本身。如果是前者,那么僵尸就是根据来自外部和远程黑客的指令执行任务的系统。如果是后者,僵尸就是执行诸如DoS泛滥、SPAM传输、窃听VoIP电话或伪造DNS解析等恶意行为的工具,它是僵尸网络的一员。