Forrester:七個被濫用的網(wǎng)絡安全術語
在安全廠商大肆營銷的勢頭下,用戶很容易將一些術語混為一談。例如,經(jīng)?;煜┒?、威脅和攻擊。如果不同的安全廠商或從業(yè)者使用不同的詞語來傳達同一件事,難免會造成困惑,導致合作伙伴之間很難有效協(xié)同工作,最終效果大打折扣。本文介紹了七個被濫用的網(wǎng)絡安全術語,并舉例說明它們如何使用,供從業(yè)者參考。
缺陷(flaw)
又名:弱點
定義:缺陷是應用程序中的任何非預期功能。缺陷可能成為漏洞,但并非所有缺陷都是漏洞。該術語常用于應用程序安全。
正確使用該術語的例子:該應用程序存在一個讓用戶可以訪問客戶數(shù)據(jù)的缺陷。
錯誤使用該術語的例子:該缺陷是開發(fā)人員有意設計的。
漏洞(vulnerability)
定義:漏洞是設備、應用程序或安全軟件等資產(chǎn)中可以被利用的缺陷。解決漏洞是網(wǎng)絡安全行業(yè)最頑固、未解決或部分解決的問題之一。漏洞在攻擊過程中可以被利用。
正確使用該術語的例子:漏洞在攻擊期間被利用。
錯誤使用該術語的例子:漏洞是無害的。
發(fā)現(xiàn)結果(finding)
又名:發(fā)現(xiàn)的缺陷/瑕疵/漏洞
定義:發(fā)現(xiàn)結果就是確認缺陷或漏洞。靜態(tài)應用程序安全測試(SAST)工具和動態(tài)應用程序安全測試(DAST)工具可識別可能是已知漏洞、也可能不是已知漏洞的發(fā)現(xiàn)結果。
正確使用該術語的例子:我們的SAST工具找到了五個發(fā)現(xiàn)結果。
錯誤使用該術語的例子:一個發(fā)現(xiàn)結果是漏洞利用程序。
漏洞利用程序(exploit)
定義:漏洞利用程序是旨在利用漏洞的程序。Veracode的博文解釋,漏洞利用程序是將漏洞變?yōu)槲淦鳎詫崿F(xiàn)特定的目的。漏洞利用程序在攻擊過程中可能被用來獲取訪問權、提升權限或執(zhí)行其他功能。
正確使用該術語的例子:漏洞利用程序在攻擊期間被使用。
錯誤使用該術語的例子:我們分析了軟件,證實了存在漏洞利用程序。
圖1 常被誤用的術語在攻防生命周期中的位置
威脅(threat)
定義:威脅是尚未發(fā)生的潛在攻擊。
正確使用該術語的例子:勒索軟件是我們組織面臨的一種威脅。
錯誤使用該術語的例子:發(fā)現(xiàn)結果是一種威脅。
攻擊(attack)
定義:攻擊是正在發(fā)生或之前發(fā)生的活躍的惡意活動。攻擊可能會利用一個或多個漏洞來達到最終目的。
正確使用該術語的例子:漏洞利用程序在攻擊期間被使用。
錯誤使用該術語的例子:攻擊是一個漏洞。
檢測(detection)
又名:警報
定義:檢測是在確定性閾值內實時或追溯識別攻擊。我們發(fā)現(xiàn),提到漏洞時,檢測這個術語常常被誤認為“發(fā)現(xiàn)結果”。這一重要區(qū)別清楚地表明,檢測是識別攻擊,而不是識別漏洞。
正確使用該術語的例子:檢測到一起正在進行的攻擊。
錯誤使用該術語的例子:檢測是一個漏洞。
參考鏈接:https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/