在安全制造商肆意营销的势头下,用户很容易混淆一些术语。例如,经常混淆漏洞、威胁和攻击。如果不同的安全制造商或从业者使用不同的单词来传达同样的事情,这将不可避免地导致混乱,使合作伙伴难以有效地合作,最终的效果将大大降低。本文介绍了七个滥用的网络安全术语,并举例说明如何使用,供从业者参考。
缺陷(flaw)
又名:弱点
定义:缺陷是应用程序中的任何非预期功能。缺陷可能是漏洞,但并非所有缺陷都是漏洞。这个术语常用于应用程序安全。
正确使用这个术语的例子该应用程序存在用户访问客户数据的缺陷。
开发人员故意设计错误使用术语的例子。
漏洞(vulnerability)
定义:漏洞是可用于设备、应用程序或安全软件等资产的缺陷。解决漏洞是网络安全行业最顽固、未解决或部分解决的问题之一。漏洞可用于攻击。
正确使用这个术语的例子攻击过程中使用漏洞。
错误使用术语的例子:漏洞是无害的。
发现结果(finding)
又名:发现的缺陷/瑕疵/漏洞
定义:发现的结果是确认缺陷或漏洞。静态应用安全测试(SAST)安全测试工具和动态应用程序(DAST)可识别工具可能是已知漏洞或已知漏洞的结果。
正确使用这个术语的例子:我们的SAST工具发现了五个发现结果。
错误使用术语的例子:一个发现结果是漏洞利用程序。
漏洞利用程序(exploit)
定义:漏洞利用程序是利用漏洞的程序。Veracode博客解释说,漏洞利用程序是将漏洞变成武器,以达到特定的目的。在攻击过程中,漏洞利用程序可用于获得访问权、提高权限或执行其他功能。
正确使用术语的例子:在攻击过程中使用漏洞利用程序。
错误使用这个术语的例子:我们对软件进行了分析,证实了使用程序存在漏洞。
图1 攻防生命周期中常用的术语的位置
威胁(threat)
定义:威胁是未发生的潜在攻击。
正确使用这个术语的例子:勒索软件是我们组织面临的威胁。
用这个术语的错误例子发现结果是一种威胁。
攻击(attack)
定义:攻击是正在发生或以前发生的活跃恶意活动。攻击可以利用一个或多个漏洞来实现最终目标。
正确使用术语的例子:在攻击过程中使用漏洞利用程序。
用这个术语的错误例子:攻击是一个漏洞。
检测(detection)
又名:警报
定义:检测是在确定性阈值内实时或可追溯性识别攻击。当我们发现漏洞时,检测术语通常被误认为是发现结果。这一重要区别清楚地表明,检测是识别攻击,而不是识别漏洞。
正确使用这个术语的例子:检测正在进行的攻击。
错误使用这个术语的例子:检测是一个漏洞。
参考链接:https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/