在安全廠商大肆營銷的勢頭下，用戶很容易將一些術(shù)語混為一談。例如，經(jīng)?；煜┒?、威脅和攻擊。如果不同的安全廠商或從業(yè)者使用不同的詞語來傳達同一件事，難免會造成困惑，導(dǎo)致合作伙伴之間很難有效協(xié)同工作，最終效果大打折扣。本文介紹了七個被濫用的網(wǎng)絡(luò)安全術(shù)語，并舉例說明它們?nèi)绾问褂茫臉I(yè)者參考。

缺陷(flaw)

又名：弱點

定義：缺陷是應(yīng)用程序中的任何非預(yù)期功能。缺陷可能成為漏洞，但并非所有缺陷都是漏洞。該術(shù)語常用于應(yīng)用程序安全。

正確使用該術(shù)語的例子：該應(yīng)用程序存在一個讓用戶可以訪問客戶數(shù)據(jù)的缺陷。

錯誤使用該術(shù)語的例子：該缺陷是開發(fā)人員有意設(shè)計的。

漏洞(vulnerability)

定義：漏洞是設(shè)備、應(yīng)用程序或安全軟件等資產(chǎn)中可以被利用的缺陷。解決漏洞是網(wǎng)絡(luò)安全行業(yè)最頑固、未解決或部分解決的問題之一。漏洞在攻擊過程中可以被利用。

正確使用該術(shù)語的例子：漏洞在攻擊期間被利用。

錯誤使用該術(shù)語的例子：漏洞是無害的。

發(fā)現(xiàn)結(jié)果(finding)

又名：發(fā)現(xiàn)的缺陷/瑕疵/漏洞

定義：發(fā)現(xiàn)結(jié)果就是確認缺陷或漏洞。靜態(tài)應(yīng)用程序安全測試(SAST)工具和動態(tài)應(yīng)用程序安全測試(DAST)工具可識別可能是已知漏洞、也可能不是已知漏洞的發(fā)現(xiàn)結(jié)果。

正確使用該術(shù)語的例子：我們的SAST工具找到了五個發(fā)現(xiàn)結(jié)果。

錯誤使用該術(shù)語的例子：一個發(fā)現(xiàn)結(jié)果是漏洞利用程序。

漏洞利用程序(exploit)

定義：漏洞利用程序是旨在利用漏洞的程序。Veracode的博文解釋，漏洞利用程序是將漏洞變?yōu)槲淦?，以實現(xiàn)特定的目的。漏洞利用程序在攻擊過程中可能被用來獲取訪問權(quán)、提升權(quán)限或執(zhí)行其他功能。

正確使用該術(shù)語的例子：漏洞利用程序在攻擊期間被使用。

錯誤使用該術(shù)語的例子：我們分析了軟件，證實了存在漏洞利用程序。

圖1 常被誤用的術(shù)語在攻防生命周期中的位置

威脅(threat)

定義：威脅是尚未發(fā)生的潛在攻擊。

正確使用該術(shù)語的例子：勒索軟件是我們組織面臨的一種威脅。

錯誤使用該術(shù)語的例子：發(fā)現(xiàn)結(jié)果是一種威脅。

攻擊(attack)

定義：攻擊是正在發(fā)生或之前發(fā)生的活躍的惡意活動。攻擊可能會利用一個或多個漏洞來達到最終目的。

正確使用該術(shù)語的例子：漏洞利用程序在攻擊期間被使用。

錯誤使用該術(shù)語的例子：攻擊是一個漏洞。

檢測(detection)

又名：警報

定義：檢測是在確定性閾值內(nèi)實時或追溯識別攻擊。我們發(fā)現(xiàn)，提到漏洞時，檢測這個術(shù)語常常被誤認為“發(fā)現(xiàn)結(jié)果”。這一重要區(qū)別清楚地表明，檢測是識別攻擊，而不是識別漏洞。

正確使用該術(shù)語的例子：檢測到一起正在進行的攻擊。

錯誤使用該術(shù)語的例子：檢測是一個漏洞。

參考鏈接：https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/