安全從業(yè)者除了外部人員眼中的神秘本鸣,更有同行才了解的行話,下面這些行話你都掌握了嗎壮莹?
一翅帜、攻擊篇
1.攻擊工具
肉雞
所謂“肉雞”是一種很形象的比喻,比喻那些可以被攻擊者控制的電腦命满、手機涝滴、服務器或者其他攝像頭、路由器等智能設備周荐,用于發(fā)動網絡攻擊狭莱。 例如在2016年美國東海岸斷網事件中僵娃,黑客組織控制了大量的聯(lián)網攝像頭用于發(fā)動網絡攻擊概作,這些攝像頭則可被稱為“肉雞”。
僵尸網絡
僵尸網絡 Botnet 是指采用一種或多種傳播手段默怨,將大量主機感染病毒讯榕,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。 僵尸網絡是一個非常形象的比喻匙睹,眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著愚屁,成為被攻擊者執(zhí)行各類惡意活動(DDOS、垃圾郵件等)利用的一種基礎設施痕檬。
木馬
就是那些表面上偽裝成了正常的程序霎槐,但是當這些程序運行時,就會獲取系統(tǒng)的整個控制權限梦谜。
有很多黑客就是熱衷使用木馬程序來控制別人的電腦丘跌,比如灰鴿子袭景、Gh0st、PcShare等等闭树。
網頁木馬
表面上偽裝成普通的網頁或是將惡意代碼直接插入到正常的網頁文件中耸棒,當有人訪問時,網頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬服務端植入到訪問者的電腦上來自動執(zhí)行將受影響的客戶電腦變成肉雞或納入僵尸網絡报辱。
Rootkit
Rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權限与殃,可以理解成WINDOWS下的system或者管理員權限)訪問權限的工具。 通常碍现,攻擊者通過遠程攻擊的方式獲得root訪問權限幅疼,或者是先使用密碼猜解(破解)的方式獲得對系統(tǒng)的普通訪問權限,進入系統(tǒng)后昼接,再通過對方系統(tǒng)存在的安全漏洞獲得系統(tǒng)的root或system權限衣屏。 然后,攻擊者就會在對方的系統(tǒng)中安裝Rootkit辩棒,以達到自己長久控制對方的目的狼忱,Rootkit功能上與木馬和后門很類似,但遠比它們要隱蔽一睁。
蠕蟲病毒
它是一類相對獨立的惡意代碼钻弄,利用了聯(lián)網系統(tǒng)的開放性特點,通過可遠程利用的漏洞自主地進行傳播者吁,受到控制終端會變成攻擊的發(fā)起方窘俺,嘗試感染更多的系統(tǒng)。 蠕蟲病毒的主要特性有:自我復制能力复凳、很強的傳播性瘤泪、潛伏性、特定的觸發(fā)性育八、很大的破壞性对途。
震網病毒
又名Stuxnet病毒,是第一個專門定向攻擊真實世界中基礎(能源)設施的“蠕蟲”病毒髓棋,比如核電站实檀,水壩,國家電網按声。 作為世界上首個網絡“超級破壞性武器”膳犹,Stuxnet的計算機病毒已經感染了全球超過 45000個網絡,其目標伊朗的鈾濃縮設備遭到的攻擊最為嚴重签则。
勒索病毒
主要以郵件须床、程序木馬、網頁掛馬的形式進行傳播渐裂。該病毒性質惡劣豺旬、危害極大余赢,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密哈垢,被感染者一般無法解密妻柒,必須拿到解密的私鑰才有可能破解。
挖礦木馬
一種將PC耘分、移動設備甚至服務器變?yōu)榈V機的木馬举塔,通常由挖礦團伙植入,用于挖掘比特幣從而賺取利益求泰。
攻擊載荷
攻擊載荷(Payload)是系統(tǒng)被攻陷后執(zhí)行的多階段惡意代碼央渣。 通常攻擊載荷附加于漏洞攻擊模塊之上,隨漏洞攻擊一起分發(fā)渴频,并可能通過網絡獲取更多的組件芽丹。
嗅探器(Sniffer)
就是能夠捕獲網絡報文的設備或程序。嗅探器的正當用處在于分析網絡的流量卜朗,以便找出所關心的網絡中潛在的問題拔第。
惡意軟件
被設計來達到非授權控制計算機或竊取計算機數(shù)據(jù)等多種惡意行為的程序。
間諜軟件
一種能夠在用戶不知情的情況下场钉,在其電腦蚊俺、手機上安裝后門,具備收集用戶信息逛万、監(jiān)聽泳猬、偷拍等功能的軟件。
后門
這是一種形象的比喻宇植,入侵者在利用某些方法成功的控制了目標主機后得封,可以在對方的系統(tǒng)中植入特定的程序,或者是修改某些設置指郁,用于訪問忙上、查看或者控制這臺主機。
這些改動表面上是很難被察覺的坡氯,就好象是入侵者偷偷的配了一把主人房間的鑰匙晨横,或者在不起眼處修了一條暗道,可以方便自身隨意進出箫柳。
通常大多數(shù)木馬程序都可以被入侵者用于創(chuàng)建后門(BackDoor)。
弱口令
指那些強度不夠啥供,容易被猜解的悯恍,類似123,abc這樣的口令(密碼)伙狐。
漏洞
漏洞是在硬件涮毫、軟件瞬欧、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)罢防。 奇安信集團董事長齊向東在《漏洞》一書中指出艘虎,軟件的缺陷是漏洞的一個主要來源,缺陷是天生的咒吐,漏洞是不可避免的野建。
遠程命令執(zhí)行漏洞
由于系統(tǒng)設計實現(xiàn)上存在的漏洞,攻擊者可能通過發(fā)送特定的請求或數(shù)據(jù)導致在受影響的系統(tǒng)上執(zhí)行攻擊者指定的任意命令恬叹。
0day漏洞
0day漏洞最早的破解是專門針對軟件的候生,叫做WAREZ,后來才發(fā)展到游戲绽昼,音樂唯鸭,影視等其他內容的。 0day中的0表示Zero硅确,早期的0day表示在軟件發(fā)行后的24小時內就出現(xiàn)破解版本目溉。 在網絡攻防的語境下,0day漏洞指那些已經被攻擊者發(fā)現(xiàn)掌握并開始利用菱农,但還沒有被包括受影響軟件廠商在內的公眾所知的漏洞停做,這類漏洞對攻擊者來說有完全的信息優(yōu)勢,由于沒有漏洞的對應的補丁或臨時解決方案大莫,防守方不知道如何防御蛉腌,攻擊者可以達成最大可能的威脅。
1day漏洞
指漏洞信息已公開但仍未發(fā)布補丁的漏洞只厘。此類漏洞的危害仍然較高烙丛,但往往官方會公布部分緩解措施,如關閉部分端口或者服務等羔味。
Nday漏洞
指已經發(fā)布官方補丁的漏洞河咽。通常情況下,此類漏洞的防護只需更新補丁即可赋元,但由于多種原因忘蟹,導致往往存在大量設備漏洞補丁更新不及時,且漏洞利用方式已經在互聯(lián)網公開搁凸,往往此類漏洞是黑客最常使用的漏洞媚值。 例如在永恒之藍事件中枢劝,微軟事先已經發(fā)布補丁治专,但仍有大量用戶中招休偶。
2.攻擊方法
掛馬
就是在別人的網站文件里面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里黄伊,以使瀏覽者中馬驼鞭。
挖洞
指漏洞挖掘搓侄。
加殼
就是利用特殊的算法锭吨,將EXE可執(zhí)行程序或者DLL動態(tài)連接庫文件的編碼進行改變(比如實現(xiàn)壓縮初家、加密),以達到縮小文件體積或者加密程序編碼坷牛,甚至是躲過殺毒軟件查殺的目的罕偎。 目前較常用的殼有UPX,ASPack京闰、PePack颜及、PECompact、UPack忙干、免疫007器予、木馬彩衣等等。
溢出
簡單的解釋就是程序對輸入數(shù)據(jù)沒有執(zhí)行有效的邊界檢測而導致錯誤捐迫,后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令乾翔。
緩沖區(qū)溢出
攻擊者向一個地址區(qū)輸入這個區(qū)間存儲不下的大量字符。在某些情況下施戴,這些多余的字符可以作為“執(zhí)行代碼”來運行反浓,因此足以使攻擊者不受安全措施限制而獲得計算機的控制權。
注入
Web安全頭號大敵赞哗。攻擊者把一些包含攻擊代碼當做命令或者查詢語句發(fā)送給解釋器雷则,這些惡意數(shù)據(jù)可以欺騙解釋器,從而執(zhí)行計劃外的命令或者未授權訪問數(shù)據(jù)肪笋。 注入攻擊漏洞往往是應用程序缺少對輸入進行安全性檢查所引起的月劈。注入漏洞通常能在SQL查詢、LDAP查詢藤乙、OS命令猜揪、程序參數(shù)等中出現(xiàn)。
SQL注入
注入攻擊最常見的形式坛梁,主要是指Web應用程序對用戶輸入數(shù)據(jù)的合法性沒有判斷或過濾不嚴而姐,攻擊者可以在Web應用程序中事先定義好的查詢語句的結尾上添加額外的SQL語句,在管理員不知情的情況下實現(xiàn)非法操作划咐,以此來實現(xiàn)欺騙數(shù)據(jù)庫服務器執(zhí)行非授權的任意查詢或其他操作拴念,導致數(shù)據(jù)庫信息泄露或非授權操作數(shù)據(jù)表。
注入點
即可以實行注入的地方褐缠,通常是一個涉及訪問數(shù)據(jù)庫的應用鏈接政鼠。根據(jù)注入點數(shù)據(jù)庫的運行帳號的權限的不同,你所得到的權限也不同送丰。
軟件脫殼
顧名思義缔俄,就是利用相應的工具,把在軟件“外面”起保護作用的“殼”程序去除器躏,還文件本來面目俐载,這樣再修改文件內容或進行分析檢測就容易多了。
免殺
就是通過加殼登失、加密遏佣、修改特征碼、加花指令等等技術來修改程序揽浙,使其逃過殺毒軟件的查殺状婶。
暴力破解
簡稱“爆破”。黑客對系統(tǒng)中賬號的每一個可能的密碼進行高度密集的自動搜索馅巷,從而破壞安全并獲得對計算機的訪問權限膛虫。
洪水攻擊
是黑客比較常用的一種攻擊技術,特點是實施簡單钓猬,威力巨大稍刀,大多是無視防御的。 從定義上說敞曹,攻擊者對網絡資源發(fā)送過量數(shù)據(jù)時就發(fā)生了洪水攻擊账月,這個網絡資源可以是router,switch澳迫,host局齿,application等。 洪水攻擊將攻擊流量比作成洪水橄登,只要攻擊流量足夠大抓歼,就可以將防御手段打穿。 DDoS攻擊便是洪水攻擊的一種拢锹。
SYN攻擊
利用操作系統(tǒng)TCP協(xié)調設計上的問題執(zhí)行的拒絕服務攻擊谣妻,涉及TCP建立連接時三次握手的設計。
DoS攻擊
拒絕服務攻擊面褐。攻擊者通過利用漏洞或發(fā)送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問拌禾。
DDoS
分布式DOS攻擊,常見的UDP展哭、SYN湃窍、反射放大攻擊等等,就是通過許多臺肉雞一起向你發(fā)送一些網絡請求信息匪傍,導致你的網絡堵塞而不能正常上網您市。
抓雞
即設法控制電腦,將其淪為肉雞役衡。
端口掃描
端口掃描是指發(fā)送一組端口掃描消息茵休,通過它了解到從哪里可探尋到攻擊弱點,并了解其提供的計算機網絡服務類型,試圖以此侵入某臺計算機榕莺。
花指令
通過加入不影響程序功能的多余匯編指令俐芯,使得殺毒軟件不能正常的判斷病毒文件的構造。說通俗點就是“殺毒軟件是從頭到腳按順序來識別病毒钉鸯。如果我們把病毒的頭和腳顛倒位置吧史,殺毒軟件就找不到病毒了”。
反彈端口
有人發(fā)現(xiàn)唠雕,防火墻對于連入的連接往往會進行非常嚴格的過濾贸营,但是對于連出的連接卻疏于防范。 于是岩睁,利用這一特性钞脂,反彈端口型軟件的服務端(被控制端)會主動連接客戶端(控制端),就給人“被控制端主動連接控制端的假象捕儒,讓人麻痹大意冰啃。
網絡釣魚
攻擊者利用欺騙性的電子郵件或偽造的 Web 站點等來進行網絡詐騙活動。 詐騙者通常會將自己偽裝成網絡銀行肋层、在線零售商和信用卡公司等可信的品牌亿笤,騙取用戶的私人信息或郵件賬號口令。 受騙者往往會泄露自己的郵箱栋猖、私人資料净薛,如信用卡號、銀行卡賬戶蒲拉、身份證號等內容肃拜。
魚叉攻擊
魚叉攻擊是將用魚叉捕魚形象的引入到了網絡攻擊中,主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊雌团,具有更高的成功可能性燃领。 不同于撒網式的網絡釣魚,魚叉攻擊往往更加具備針對性锦援,攻擊者往往“見魚而使叉”猛蔽。 為了實現(xiàn)這一目標,攻擊者將嘗試在目標上收集盡可能多的信息灵寺。通常曼库,組織內的特定個人存在某些安全漏洞。
釣鯨攻擊
捕鯨是另一種進化形式的魚叉式網絡釣魚略板。它指的是針對高級管理人員和組織內其他高級人員的網絡釣魚攻擊毁枯。 通過使電子郵件內容具有個性化并專門針對相關目標進行定制的攻擊。
水坑攻擊
顧名思義叮称,是在受害者必經之路設置了一個“水坑(陷阱)”种玛。 最常見的做法是藐鹤,黑客分析攻擊目標的上網活動規(guī)律,尋找攻擊目標經常訪問的網站的弱點赂韵,先將此網站“攻破”并植入攻擊代碼娱节,一旦攻擊目標訪問該網站就會“中招”。
嗅探
嗅探指的是對局域網中的數(shù)據(jù)包進行截取及分析右锨,從中獲取有效信息括堤。
APT攻擊
Advanced Persistent Threat碌秸,即高級可持續(xù)威脅攻擊绍移,指某組織在網絡上對特定對象展開的持續(xù)有效的攻擊活動。 這種攻擊活動具有極強的隱蔽性和針對性讥电,通常會運用受感染的各種介質蹂窖、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊恩敌。
C2
C2 全稱為Command and Control瞬测,命令與控制,常見于APT攻擊場景中纠炮。作動詞解釋時理解為惡意軟件與攻擊者進行交互月趟,作名詞解釋時理解為攻擊者的“基礎設施”。
供應鏈攻擊
是黑客攻擊目標機構的合作伙伴恢口,并以該合作伙為跳板孝宗,達到滲透目標用戶的目的。 一種常見的表現(xiàn)形式為耕肩,用戶對廠商產品的信任因妇,在廠商產品下載安裝或者更新時進行惡意軟件植入進行攻擊。 所以猿诸,在某些軟件下載平臺下載的時候婚被,若遭遇捆綁軟件,就得小心了梳虽!
社會工程學
一種無需依托任何黑客軟件址芯,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術窜觉。 通俗而言是指利用人的社會學弱點實施網絡攻擊的一整套方法論谷炸,其攻擊手法往往出乎人意料。 世界第一黑客凱文·米特尼克在《反欺騙的藝術》中曾提到竖螃,人為因素才是安全的軟肋淑廊。很多企業(yè)、公司在信息安全上投入大量的資金特咆,最終導致數(shù)據(jù)泄露的原因季惩,往往卻是發(fā)生在人本身录粱。
拿站
指得到一個網站的最高權限,即得到后臺和管理員名字和密碼画拾。
提權
指得到你本沒得到的權限啥繁,比如說電腦中非系統(tǒng)管理員就無法訪問一些C盤的東西,而系統(tǒng)管理員就可以青抛,通過一定的手段讓普通用戶提升成為管理員旗闽,讓其擁有管理員的權限,這就叫提權蜜另。
滲透
就是通過掃描檢測你的網絡設備及系統(tǒng)有沒有安全漏洞适室,有的話就可能被入侵,就像一滴水透過一塊有漏洞的木板举瑰,滲透成功就是系統(tǒng)被入侵捣辆。
橫移
指攻擊者入侵后,從立足點在內部網絡進行拓展此迅,搜尋控制更多的系統(tǒng)汽畴。
跳板
一個具有輔助作用的機器,利用這個主機作為一個間接工具耸序,來入侵其他主機忍些,一般和肉雞連用。
網馬
就是在網頁中植入木馬坎怪,當打開網頁的時候就運行了木馬程序罢坝。
黑頁
黑客攻擊成功后,在網站上留下的黑客入侵成功的頁面芋忿,用于炫耀攻擊成果炸客。
暗鏈
看不見的網站鏈接,“暗鏈”在網站中的鏈接做得非常隱蔽戈钢,短時間內不易被搜索引擎察覺痹仙。 它和友情鏈接有相似之處,可以有效地提高網站權重殉了。
拖庫
拖庫本來是數(shù)據(jù)庫領域的術語开仰,指從數(shù)據(jù)庫中導出數(shù)據(jù)。 在網絡攻擊領域薪铜,它被用來指網站遭到入侵后众弓,黑客竊取其數(shù)據(jù)庫文件。
撞庫
撞庫是黑客通過收集互聯(lián)網已泄露的用戶和密碼信息隔箍,生成對應的字典表谓娃,嘗試批量登陸其他網站后,得到一系列可以登錄的用戶蜒滩。 很多用戶在不同網站使用的是相同的帳號密碼滨达,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址奶稠,這就可以理解為撞庫攻擊。
暴庫
入侵網站的一種手法捡遍,通過惡意代碼讓網站爆出其一些敏感數(shù)據(jù)來锌订。
CC攻擊
即Challenge Collapsar,名字來源于對抗國內安全廠商綠盟科技早期的抗拒絕服務產品黑洞画株,攻擊者借助代理服務器生成指向受害主機的涉及大量占用系統(tǒng)資源的合法請求辆飘,耗盡目標的處理資源,達到拒絕服務的目的谓传。
Webshell
Webshell就是以asp蜈项、php、jsp或者cgi等網頁文件形式存在的一種命令執(zhí)行環(huán)境良拼,也可以將其稱做是一種網頁后門战得,可以上傳下載文件,查看數(shù)據(jù)庫庸推,執(zhí)行任意程序命令等。
跨站攻擊
通常簡稱為XSS浇冰,是指攻擊者利用網站程序對用戶輸入過濾不足贬媒,輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼,從而盜取用戶資料肘习、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式际乘。
中間人攻擊
中間人攻擊是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間漂佩,通過攔截正常的網絡通信數(shù)據(jù)脖含,并進行數(shù)據(jù)篡改和嗅探,而這臺計算機就稱為“中間人”投蝉。
薅羊毛
指網賺一族利用各種網絡金融產品或紅包活動推廣下線抽成賺錢养葵,又泛指搜集各個銀行等金融機構及各類商家的優(yōu)惠信息,以此實現(xiàn)盈利的目的瘩缆。這類行為就被稱之為薅羊毛关拒。
商業(yè)電子郵件攻擊(BEC)
也被稱為“變臉詐騙”攻擊后裸,這是針對高層管理人員的攻擊舌仍,攻擊者通常冒充(盜用)決策者的郵件,來下達與資金又沾、利益相關的指令熟尉;或者攻擊者依賴社會工程學制作電子郵件归露,說服/誘導高管短時間進行經濟交易。
電信詐騙
是指通過電話斤儿、網絡和短信方式剧包,編造虛假信息腮考,設置騙局,對受害人實施遠程玄捕、非接觸式詐騙踩蔚,誘使受害人打款或轉賬的犯罪行為,通常以冒充他人及仿冒枚粘、偽造各種合法外衣和形式的方式達到欺騙的目的馅闽。
殺豬盤
網絡流行詞,電信詐騙的一種馍迄,是一種網絡交友誘導股票投資福也、賭博等類型的詐騙方式,“殺豬盤”則是“從業(yè)者們”自己起的名字攀圈,是指放長線“養(yǎng)豬”詐騙暴凑,養(yǎng)得越久,詐騙得越狠赘来。
ARP攻擊
ARP協(xié)議的基本功能就是通過目標設備的IP地址现喳,查詢目標設備的MAC地址,以保證通信的進行犬辰。 基于ARP協(xié)議的這一工作特性嗦篱,黑客向對方計算機不斷發(fā)送有欺詐性質的ARP數(shù)據(jù)包,數(shù)據(jù)包內包含有與當前設備重復的Mac地址幌缝,使對方在回應報文時灸促,由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。
欺騙攻擊
網絡欺騙的技術主要有:HONEYPOT和分布式HONEYPOT涵卵、欺騙空間技術等浴栽。 主要方式有:IP欺騙、ARP欺騙轿偎、 DNS欺騙典鸡、Web欺騙、電子郵件欺騙贴硫、源路由欺騙(通過指定路由椿每,以假冒身份與其他主機進行合法通信或發(fā)送假報文,使受攻擊主機出現(xiàn)錯誤動作)英遭、地址欺騙(包括偽造源地址和偽造中間站點)等间护。
Shellcode
一段可被操作系統(tǒng)無需特別定位處理的指令,通常在利用軟件漏洞后執(zhí)行的惡意代碼挖诸,shellcode為二進制的機器碼汁尺,因為經常讓攻擊者獲得shell而得名。
物理攻擊
通俗理解多律,即采用物理接觸而非技術手段達到網絡入侵的目的痴突,最常見的表現(xiàn)形式為插U盤搂蜓。 著名的震網病毒事件即通過插U盤的形式,感染了伊朗核設施辽装。
3.攻擊者
黑產
網絡黑產帮碰,指以互聯(lián)網為媒介,以網絡技術為主要手段拾积,為計算機信息系統(tǒng)安全和網絡空間管理秩序殉挽,甚至國家安全、社會政治穩(wěn)定帶來潛在威脅(重大安全隱患)的非法行為拓巧。 例如非法數(shù)據(jù)交易產業(yè)斯碌。
暗網
暗網是利用加密傳輸、P2P對等網絡肛度、多點中繼混淆等傻唾,為用戶提供匿名的互聯(lián)網信息訪問的一類技術手段,其最突出的特點就是匿名性承耿。
黑帽黑客
以非法目的進行黑客攻擊的人冠骄,通常是為了經濟利益。他們進入安全網絡以銷毀瘩绒、贖回猴抹、修改或竊取數(shù)據(jù),或使網絡無法用于授權用戶锁荔。 這個名字來源于這樣一個歷史:老式的黑白西部電影中,惡棍很容易被電影觀眾識別蝙砌,因為他們戴著黑帽子阳堕,而“好人”則戴著白帽子。
白帽黑客
是那些用自己的黑客技術來進行合法的安全測試分析的黑客择克,測試網絡和系統(tǒng)的性能來判定它們能夠承受入侵的強弱程度恬总。
紅帽黑客
事實上最為人所接受的說法叫紅客。 紅帽黑客以正義肚邢、道德壹堰、進步、強大為宗旨骡湖,以熱愛祖國贱纠、堅持正義、開拓進取為精神支柱响蕴,紅客通常會利用自己掌握的技術去維護國內網絡的安全谆焊,并對外來的進攻進行還擊。
紅隊
通常指攻防演習中的攻擊隊伍浦夷。
藍隊
通常指攻防演習中的防守隊伍辖试。
紫隊
攻防演習中新近誕生的一方辜王,通常指監(jiān)理方或者裁判方。
二罐孝、防守篇
1.軟硬件
加密機
主機加密設備呐馆,加密機和主機之間使用TCP/IP協(xié)議通信,所以加密機對主機的類型和主機操作系統(tǒng)無任何特殊的要求莲兢。
CA證書
為實現(xiàn)雙方安全通信提供了電子認證汹来。 在因特網、公司內部網或外部網中怒见,使用數(shù)字證書實現(xiàn)身份識別和電子信息加密俗慈。 數(shù)字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認證遣耍。
SSL證書
SSL證書是數(shù)字證書的一種闺阱,類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本舵变。 因為配置在服務器上酣溃,也稱為SSL服務器證書。
防火墻
主要部署于不同網絡或網絡安全域之間的出口纪隙,通過監(jiān)測赊豌、限制、更改跨越防火墻的數(shù)據(jù)流绵咱,盡可能地對外部屏蔽網絡內部的信息碘饼、結構和運行狀況,有選擇地接受外部訪問悲伶。
IDS
入侵檢測系統(tǒng)艾恼,用于在黑客發(fā)起進攻或是發(fā)起進攻之前檢測到攻擊,并加以攔截麸锉。 IDS是不同于防火墻钠绍。防火墻只能屏蔽入侵,而IDS卻可以在入侵發(fā)生以前花沉,通過一些信息來檢測到即將發(fā)生的攻擊或是入侵并作出反應柳爽。
NIDS
是Network Intrusion Detection System的縮寫,即網絡入侵檢測系統(tǒng)碱屁,主要用于檢測Hacker或Cracker 磷脯。 通過網絡進行的入侵行為。NIDS的運行方式有兩種忽媒,一種是在目標主機上運行以監(jiān)測其本身的通信信息争拐,另一種是在一臺單獨的機器上運行以監(jiān)測所有網絡設備的通信信息,比如Hub、路由器架曹。
IPS
全稱為Intrusion-Prevention System隘冲,即入侵防御系統(tǒng),目的在于及時識別攻擊程序或有害代碼及其克隆和變種绑雄,采取預防措施展辞,先期阻止入侵,防患于未然万牺。 或者至少使其危害性充分降低罗珍。入侵預防系統(tǒng)一般作為防火墻 和防病毒軟件的補充來投入使用。
殺毒軟件
也稱反病毒軟件或防毒軟件脚粟,是用于消除電腦病毒覆旱、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。
反病毒引擎
通俗理解核无,就是一套判斷特定程序行為是否為病毒程序(包括可疑的)的技術機制扣唱。 例如奇安信自主研發(fā)的QOWL貓頭鷹反病毒引擎。
防毒墻
區(qū)別于部署在主機上的殺毒軟件团南,防毒墻的部署方式與防火墻類似噪沙,主要部署于網絡出口,用于對病毒進行掃描和攔截吐根,因此防毒墻也被稱為反病毒網關正歼。
老三樣
通常指IDS、防火墻和反病毒三樣歷史最悠久安全產品拷橘。
告警
指網絡安全設備對攻擊行為產生的警報局义。
誤報
也稱為無效告警,通常指告警錯誤冗疮,即把合法行為判斷成非法行為而產生了告警旭咽。 目前,由于攻擊技術的快速進步和檢測技術的限制赌厅,誤報的數(shù)量非常大,使得安全人員不得不花費大量時間來處理此類告警轿塔,已經成為困擾并拉低日常安全處置效率的主要原因特愿。
漏報
通常指網絡安全設備沒有檢測出非法行為而沒有產生告警。一旦出現(xiàn)漏報勾缭,將大幅增加系統(tǒng)被入侵的風險揍障。
NAC
全稱為Network Access Control,即網絡準入控制俩由,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業(yè)安全造成危害毒嫡。 借助NAC,客戶可以只允許合法的幻梯、值得信任的終端設備(例如PC兜畸、服務器努释、PDA)接入網絡,而不允許其它設備接入咬摇。
漏掃
即漏洞掃描伐蒂,指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測肛鹏,發(fā)現(xiàn)可利用漏洞的一種安全檢測(滲透攻擊)行為逸邦。
UTM
即Unified Threat Management,中文名為統(tǒng)一威脅管理在扰,最早由IDC于2014年提出缕减,即將不同設備的安全能力(最早包括入侵檢測、防火墻和反病毒技術)芒珠,集中在同一網關上桥狡,實現(xiàn)統(tǒng)一管理和運維。
網閘
網閘是使用帶有多種控制功能的固態(tài)開關讀寫介質妓局,連接兩個獨立主機系統(tǒng)的信息安全設備总放。 由于兩個獨立的主機系統(tǒng)通過網閘進行隔離,只有以數(shù)據(jù)文件形式進行的無協(xié)議擺渡好爬。
堡壘機
運用各種技術手段監(jiān)控和記錄運維人員對網絡內的服務器局雄、網絡設備、安全設備存炮、數(shù)據(jù)庫等設備的操作行為炬搭,以便集中報警、及時處理及審計定責穆桂。
數(shù)據(jù)庫審計
能夠實時記錄網絡上的數(shù)據(jù)庫活動宫盔,對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性管理,對數(shù)據(jù)庫遭受到的風險行為進行告警享完,對攻擊行為進行阻斷灼芭。 它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報般又,用來幫助用戶事后生成合規(guī)報告彼绷、事故追根溯源,同時加強內外部數(shù)據(jù)庫網絡行為記錄茴迁,提高數(shù)據(jù)資產安全寄悯。
DLP
數(shù)據(jù)防泄漏,通過數(shù)字資產的精準識別和策略制定堕义,主要用于防止企業(yè)的指定數(shù)據(jù)或信息資產以違反安全策略規(guī)定的形式流出企業(yè)猜旬。
VPN
虛擬專用網,在公用網絡上建立專用網絡,進行加密通訊洒擦,通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問椿争。
SD-WAN
即軟件定義廣域網,這種服務用于連接廣闊地理范圍的企業(yè)網絡秘遏、數(shù)據(jù)中心丘薛、互聯(lián)網應用及云服務。 這種服務的典型特征是將網絡控制能力通過軟件方式云化邦危。 通常情況下洋侨,SD-WAN都集成有防火墻、入侵檢測或者防病毒能力倦蚪。并且從目前的趨勢來看希坚,以安全為核心設計的SD-WAN正在嶄露頭角,包括奇安信陵且、Fortinet等多家安全廠商開始涉足該領域裁僧,并提供了較為完備的內生安全設計。
路由器
是用來連接不同子網的中樞慕购,它們工作于OSI7層模型的傳輸層和網絡層聊疲。 路由器的基本功能就是將網絡信息包傳輸?shù)剿鼈兊哪康牡亍R恍┞酚善鬟€有訪問控制列表(ACLs)沪悲,允許將不想要的信息包過濾出去获洲。 許多路由器都可以將它們的日志信息注入到IDS系統(tǒng)中,并且自帶基礎的包過濾(即防火墻)功能殿如。
網關
通常指路由器贡珊、防火墻、IDS涉馁、VPN等邊界網絡設備门岔。
WAF
即Web Application Firewall,即Web應用防火墻烤送,是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品寒随。
SOC
即Security Operations Center,翻譯為安全運行中心或者安全管理平臺帮坚,通過建立一套實時的資產風險模型牢裳,協(xié)助管理員進行事件分析、風險分析叶沛、預警管理和應急響應處理的集中安全管理系統(tǒng)。
LAS
日志審計系統(tǒng)忘朝,主要功能是提供日志的收集灰署、檢索和分析能力,可為威脅檢測提供豐富的上下文。
NOC
即Network Operations Center溉箕,網絡操作中心或網絡運行中心晦墙,是遠程網絡通訊的管理、監(jiān)視和維護中心肴茄,是網絡問題解決晌畅、軟件分發(fā)和修改、路由、域名管理、性能監(jiān)視的焦點贺归。
SIEM
即Security Information and Event Management泽裳,安全信息和事件管理,負責從大量企業(yè)安全控件洪灯、主機操作系統(tǒng)、企業(yè)應用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù),并進行分析和報告入热。
上網行為管理
是指幫助互聯(lián)網用戶控制和管理對互聯(lián)網使用的設備。 其包括對網頁訪問過濾晓铆、上網隱私保護勺良、網絡應用控制、帶寬流量管理骄噪、信息收發(fā)審計尚困、用戶行為分析等。
蜜罐(Honeypot)
是一個包含漏洞的系統(tǒng)腰池,它摸擬一個或多個易受攻擊的主機尾组,給黑客提供一個容易攻擊的目標。 由于蜜罐沒有其它任務需要完成示弓,因此所有連接的嘗試都應被視為是可疑的讳侨。 蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間奏属。 蜜罐類產品包括蜜網跨跨、蜜系統(tǒng)、蜜賬號等等囱皿。
沙箱
沙箱是一種用于安全的運行程序的機制勇婴。它常常用來執(zhí)行那些非可信的程序。 非可信程序中的惡意代碼對系統(tǒng)的影響將會被限制在沙箱內而不會影響到系統(tǒng)的其它部分嘱腥。
沙箱逃逸
一種識別沙箱環(huán)境耕渴,并利用靜默、欺騙等技術齿兔,繞過沙箱檢測的現(xiàn)象
網絡靶場
主要是指通過虛擬環(huán)境與真實設備相結合橱脸,模擬仿真出真實賽博網絡空間攻防作戰(zhàn)環(huán)境础米,能夠支撐攻防演練、安全教育添诉、網絡空間作戰(zhàn)能力研究和網絡武器裝備驗證試驗平臺屁桑。
2.技術與服務
加密技術
加密技術包括兩個元素:算法和密鑰。 算法是將普通的文本與一串數(shù)字(密鑰)的結合栏赴,產生不可理解的密文的步驟蘑斧,密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。 密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種须眷。相應地竖瘾,對數(shù)據(jù)加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)柒爸。對稱加密的加密密鑰和解密密鑰相同准浴,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密捎稚。
黑名單
顧名思義乐横,黑名單即不好的名單,凡是在黑名單上的軟件今野、IP地址等葡公,都被認為是非法的。
白名單
與黑名單對應条霜,白名單即“好人”的名單催什,凡是在白名單上的軟件、IP等宰睡,都被認為是合法的蒲凶,可以在計算機上運行。
內網
通俗的講就是局域網拆内,比如網吧旋圆、校園網、公司內部網等都屬于此類麸恍。 查看IP地址灵巧,如果是在以下三個范圍之內,就說明我們是處于內網之中的:10.0.0.0—10.255.255.255抹沪,172.16.0.0—172.31.255.255刻肄,192.168.0.0—192.168.255.255
外網
直接連入INTERNET(互連網),可以與互連網上的任意一臺電腦互相訪問融欧。
邊界防御
以網絡邊界為核心的防御模型敏弃,以靜態(tài)規(guī)則匹配為基礎,強調把所有的安全威脅都擋在外網噪馏。
南北向流量
通常指數(shù)據(jù)中心內外部通信所產生的的流量权她。
東西向流量
通常指數(shù)據(jù)中心內部不同主機之間互相通信所產生的的流量虹茶。
規(guī)則庫
網絡安全的核心數(shù)據(jù)庫,類似于黑白名單隅要,用于存儲大量安全規(guī)則,一旦訪問行為和規(guī)則庫完成匹配董济,則被認為是非法行為步清。所以有人也將規(guī)則庫比喻為網絡空間的法律。
下一代
網絡安全領域經常用到虏肾,用于表示產品或者技術有較大幅度的創(chuàng)新廓啊,在能力上相對于傳統(tǒng)方法有明顯的進步,通撤夂溃縮寫為NG(Next Gen)谴轮。 例如NGFW(下一代防火墻)、NGSOC(下一代安全管理平臺)等吹埠。
大數(shù)據(jù)安全分析
區(qū)別于傳統(tǒng)被動規(guī)則匹配的防御模式第步,以主動收集和分析大數(shù)據(jù)的方法,找出其中可能存在的安全威脅缘琅,因此也稱數(shù)據(jù)驅動安全粘都。 該理論最早由奇安信于2015年提出。
EPP
全稱為Endpoint Protection Platform刷袍,翻譯為端點保護平臺翩隧,部署在終端設備上的安全防護解決方案,用于防止針對終端的惡意軟件、惡意腳本等安全威脅呻纹,通常與EDR進行聯(lián)動堆生。
EDR
全稱Endpoint Detection & Response,即端點檢測與響應雷酪,通過對端點進行持續(xù)檢測淑仆,同時通過應用程序對操作系統(tǒng)調用等異常行為分析,檢測和防護未知威脅太闺,最終達到殺毒軟件無法解決未知威脅的目的糯景。
NDR
全稱Network Detection & Response,即網絡檢測與響應省骂,通過對網絡側流量的持續(xù)檢測和分析蟀淮,幫助企業(yè)增強威脅響應能力,提高網絡安全的可見性和威脅免疫力钞澳。
安全可視化
指在網絡安全領域中的呈現(xiàn)技術怠惶,將網絡安全加固、檢測轧粟、防御策治、響應等過程中的數(shù)據(jù)和結果轉換成圖形界面脓魏,并通過人機交互的方式進行搜索、加工通惫、匯總等操作的理論茂翔、方法和技術。
NTA
網絡流量分析(NTA)的概念是Gartner于2013年首次提出的履腋,位列五種檢測高級威脅的手段之一珊燎。 它融合了傳統(tǒng)的基于規(guī)則的檢測技術,以及機器學習和其他高級分析技術遵湖,用以檢測企業(yè)網絡中的可疑行為悔政,尤其是失陷后的痕跡。
MDR
全稱Managed Detection & Response延旧,即托管檢測與響應谋国,依靠基于網絡和主機的檢測工具來識別惡意模式。 此外迁沫,這些工具通常還會從防火墻之內的終端收集數(shù)據(jù)芦瘾,以便更全面地監(jiān)控網絡活動。
應急響應
通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施弯洗。
XDR
通常指以檢測和響應技術為核心的網絡安全策略的統(tǒng)稱旅急,包括EDR、NDR牡整、MDR等藐吮。
安全運營
貫穿產品研發(fā)、業(yè)務運行逃贝、漏洞修復谣辞、防護與檢測、應急響應等一系列環(huán)節(jié)沐扳,實行系統(tǒng)的管理方法和流程泥从,將各個環(huán)節(jié)的安全防控作用有機結合,保障整個業(yè)務的安全性沪摄。
威脅情報
根據(jù)Gartner的定義躯嫉,威脅情報是某種基于證據(jù)的知識,包括上下文杨拐、機制祈餐、標示、含義和能夠執(zhí)行的建議哄陶,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關帆阳,可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。根據(jù)使用對象的不同屋吨,威脅情報主要分為人讀情報和機讀情報蜒谤。
TTP
主要包括三要素山宾,戰(zhàn)術Tactics、技術Techniques和過程Procedures鳍徽,是描述高級威脅組織及其攻擊的重要指標资锰,作為威脅情報的一種重要組成部分,TTP可為安全分析人員提供決策支撐阶祭。
IOC
中文名為失陷標示:用以發(fā)現(xiàn)內部被APT團伙台妆、木馬后門、僵尸網絡控制的失陷主機胖翰,類型上往往是域名、URL等切厘。 目前而言萨咳,IOC是應用最為廣泛的威脅情報,因為其效果最為直接疫稿。一經匹配培他,則意味著存在已經失陷的主機。
上下文
從文章的上下文引申而來遗座,主要是指某項威脅指標的關聯(lián)信息舀凛,用于實現(xiàn)更加精準的安全匹配和檢測。
STIX
STIX是一種描述網絡威脅信息的結構化語言途蒋,能夠以標準化和結構化的方式獲取更廣泛的網絡威脅信息猛遍,常用于威脅情報的共享與交換,目前在全球范圍內使用最為廣泛号坡。 STIX在定義了8中構件的1.0版本基礎上懊烤,已經推出了定義了12中構件的2.0版本。
殺傷鏈
殺傷鏈最早來源于軍事領域宽堆,用于描述進攻一方各個階段的狀態(tài)腌紧。 在網絡安全領域,這一概念最早由洛克希德-馬丁公司提出畜隶,英文名稱為Kill Chain壁肋,也稱作網絡攻擊生命周期,包括偵查追蹤籽慢、武器構建浸遗、載荷投遞、漏洞利用嗡综、安裝植入乙帮、命令控制、目標達成等七個階段极景,來識別和防止入侵察净。
ATT&CK
可以簡單理解為描述攻擊者技戰(zhàn)術的知識庫驾茴。 MITRE在2013年推出了該模型,它是根據(jù)真實的觀察數(shù)據(jù)來描述和分類對抗行為氢卡。 ATT&CK將已知攻擊者行為轉換為結構化列表锈至,將這些已知的行為匯總成戰(zhàn)術和技術,并通過幾個矩陣以及結構化威脅信息表達式(STIX)译秦、指標信息的可信自動化交換(TAXII)來表示峡捡。
鉆石模型
鉆石模型在各個領域的應用都十分廣泛,在網絡安全領域筑悴,鉆石模型首次建立了一種將科學原理應用于入侵分析的正式方法: 可衡量们拙、可測試和可重復——提供了一個對攻擊活動進行記錄、(信息)合成阁吝、關聯(lián)的簡單砚婆、正式和全面的方法。 這種科學的方法和簡單性可以改善分析的效率突勇、效能和準確性装盯。
關聯(lián)分析
又稱關聯(lián)挖掘,就是在交易數(shù)據(jù)甲馋、關系數(shù)據(jù)或其他信息載體中埂奈,查找存在于項目集合或對象集合之間的頻繁模式、關聯(lián)定躏、相關性或因果結構账磺。 在網絡安全領域主要是指將不同維度、類型的安全數(shù)據(jù)進行關聯(lián)挖掘共屈,找出其中潛在的入侵行為绑谣。
態(tài)勢感知
是一種基于環(huán)境的、動態(tài)拗引、整體地洞悉安全風險的能力借宵,是以安全大數(shù)據(jù)為基礎,從全局視角提升對安全威脅的發(fā)現(xiàn)識別矾削、理解分析壤玫、響應處置能力的一種方式,最終是為了決策與行動哼凯,是安全能力的落地欲间。
探針
也叫作網絡安全探針或者安全探針,可以簡單理解為賽博世界的攝像頭断部,部署在網絡拓撲的關鍵節(jié)點上猎贴,用于收集和分析流量和日志,發(fā)現(xiàn)異常行為,并對可能到來的攻擊發(fā)出預警她渴。
網絡空間測繪
用搜索引擎技術來提供交互达址,讓人們可以方便的搜索到網絡空間上的設備。 相對于現(xiàn)實中使用的地圖趁耗,用各種測繪方法描述和標注地理位置沉唠,用主動或被動探測的方法,來繪制網絡空間上設備的網絡節(jié)點和網絡連接關系圖苛败,及各設備的畫像满葛。
SOAR
全稱Security Orchestration, Automation and Response,意即安全編排自動化與響應罢屈,主要通過劇本化嘀韧、流程化的指令,對入侵行為采取的一系列自動化或者半自動化響應處置動作缠捌。
UEBA
全稱為User and Entity Behavior Analytics乳蛾,即用戶實體行為分析,一般通過大數(shù)據(jù)分析的方法鄙币,分析用戶以及IT實體的行為,從而判斷是否存在非法行為蹂随。
內存保護
內存保護是操作系統(tǒng)對電腦上的內存進行訪問權限管理的一個機制十嘿。內存保護的主要目的是防止某個進程去訪問不是操作系統(tǒng)配置給它的尋址空間。
RASP
全稱為Runtime application self-protection岳锁,翻譯成應用運行時自我保護绩衷。 在2014年時由Gartner提出,它是一種新型應用安全保護技術激率,它將保護程序像疫苗一樣注入到應用程序中咳燕,應用程序融為一體,能實時檢測和阻斷安全攻擊乒躺,使應用程序具備自我保護能力招盲,當應用程序遭受到實際攻擊傷害,就可以自動對其進行防御嘉冒,而不需要進行人工干預曹货。
包檢測
對于流量包、數(shù)據(jù)包進行拆包讳推、檢測的行為顶籽。
深度包檢測
Deep Packet Inspection,縮寫為 DPI银觅,又稱完全數(shù)據(jù)包探測(complete packet inspection)或信息萃壤癖ァ(Information eXtraction,IX),是一種計算機網絡數(shù)據(jù)包過濾技術镊绪,用來檢查通過檢測點之數(shù)據(jù)包的數(shù)據(jù)部分(亦可能包含其標頭)匀伏,以搜索不匹配規(guī)范之協(xié)議、病毒、垃圾郵件稻轨、入侵跡象挟纱。
全流量檢測
全流量主要體現(xiàn)在三個“全”上,即全流量采集與保存摧找,全行為分析以及全流量回溯。 通過全流量分析設備牢硅,實現(xiàn)網絡全流量采集與保存蹬耘、全行為分析與全流量回溯,并提取網絡元數(shù)據(jù)上傳到大數(shù)據(jù)分析平臺實現(xiàn)更加豐富的功能减余。
元數(shù)據(jù)
元數(shù)據(jù)(Metadata)综苔,又稱中介數(shù)據(jù)、中繼數(shù)據(jù)位岔,為描述數(shù)據(jù)的數(shù)據(jù)(data about data)如筛,主要是描述數(shù)據(jù)屬性(property)的信息,用來支持如指示存儲位置抒抬、歷史數(shù)據(jù)杨刨、資源查找、文件記錄等功能擦剑。
欺騙檢測
以構造虛假目標來欺騙并誘捕攻擊者妖胀,從而達到延誤攻擊節(jié)奏,檢測和分析攻擊行為的目的惠勒。
微隔離
顧名思義是細粒度更小的網絡隔離技術赚抡,能夠應對傳統(tǒng)環(huán)境、虛擬化環(huán)境纠屋、混合云環(huán)境涂臣、容器環(huán)境下對于東西向流量隔離的需求,重點用于阻止攻擊者進入企業(yè)數(shù)據(jù)中心網絡內部后的橫向平移售担。
逆向
常見于逆向工程或者逆向分析肉康,簡單而言,一切從產品中提取原理及設計信息并應用于再造及改進的行為灼舍,都是逆向工程吼和。 在網絡安全中,更多的是調查取證骑素、惡意軟件分析等炫乓。
無代理安全
在終端安全或者虛擬化安全防護中刚夺,往往需要在每一臺主機或者虛機上安裝agent(代理程序)來實現(xiàn),這種方式往往需要消耗大量的資源末捣。 而無代理安全則不用安裝agent侠姑,可以減少大量的部署運維工作,提升管理效率箩做。
CWPP
全稱Cloud Workload Protection Platform莽红,意為云工作負載保護平臺,主要是指對云上應用和工作負載(包括虛擬主機和容器主機上的工作負載)進行保護的技術邦邦,實現(xiàn)了比過去更加細粒度的防護安吁,是現(xiàn)階段云上安全的最后一道防線。
CSPM
云安全配置管理燃辖,能夠對基礎設施安全配置進行分析與管理鬼店。這些安全配置包括賬號特權、網絡和存儲配置黔龟、以及安全配置(如加密設置)妇智。如果發(fā)現(xiàn)配置不合規(guī),CSPM會采取行動進行修正氏身。
CASB
全稱Cloud Access Security Broker巍棱,即云端接入安全代理。作為部署在客戶和云服務商之間的安全策略控制點蛋欣,是在訪問基于云的資源時企業(yè)實施的安全策略拉盾。
防爬
意為防爬蟲,主要是指防止網絡爬蟲從自身網站中爬取信息豁状。網絡爬蟲是一種按照一定的規(guī)則,自動地抓取網絡信息的程序或者腳本倒得。
安全資源池
安全資源池是多種安全產品虛擬化的集合泻红,涵蓋了服務器終端、網絡霞掺、業(yè)務谊路、數(shù)據(jù)等多種安全能力。
IAM
全稱為Identity and Access Management菩彬,即身份與訪問管理缠劝,經常也被叫做身份認證。
4A
即認證Authentication骗灶、授權Authorization惨恭、賬號Account、審計Audit耙旦,即融合統(tǒng)一用戶賬號管理脱羡、統(tǒng)一認證管理、統(tǒng)一授權管理和統(tǒng)一安全審計四要素后的解決方案將,涵蓋單點登錄(SSO)等安全功能锉罐。
Access Control list(ACL)
訪問控制列表帆竹。
多因子認證
主要區(qū)別于單一口令認證的方式,要通過兩種以上的認證機制之后脓规,才能得到授權栽连,使用計算機資源。 例如侨舆,用戶要輸入PIN碼秒紧,插入銀行卡,最后再經指紋比對态罪,通過這三種認證方式噩茄,才能獲得授權。這種認證方式可以降低單一口令失竊的風險复颈,提高安全性绩聘。
特權賬戶管理
簡稱PAM。由于特權賬戶往往擁有很高的權限耗啦,因此一旦失竊或被濫用凿菩,會給機構帶來非常大的網絡安全風險。所以帜讲,特權賬戶管理往往在顯得十分重要衅谷。 其主要原則有:杜絕特權憑證共享、為特權使用賦以個人責任似将、為日常管理實現(xiàn)最小權限訪問模型获黔、對這些憑證執(zhí)行的活動實現(xiàn)審計功能。
零信任
零信任并不是不信任在验,而是作為一種新的身份認證和訪問授權理念玷氏,不再以網絡邊界來劃定可信或者不可信,而是默認不相信任何人腋舌、網絡以及設備盏触,采取動態(tài)認證和授權的方式,把訪問者所帶來的的網絡安全風險降到最低块饺。
SDP
全稱為Software Defined Perimeter赞辩,即軟件定義邊界,由云安全聯(lián)盟基于零信任網絡提出授艰,是圍繞某個應用或某一組應用創(chuàng)建的基于身份和上下文的邏輯訪問邊界辨嗽。
Security as a Service
安全即服務,通郴刺冢可理解為以SaaS的方式召庞,將安全能力交付給客戶岛心。
同態(tài)加密
同態(tài)加密是一類具有特殊自然屬性的加密方法,此概念是Rivest等人在20世紀70年代首先提出的篮灼,與一般加密算法相比忘古,同態(tài)加密除了能實現(xiàn)基本的加密操作之外,還能實現(xiàn)密文間的多種計算功能诅诱。
量子計算
是一種遵循量子力學規(guī)律調控量子信息單元進行計算的新型計算模式髓堪,目前已經逐漸應用于加密和通信傳輸。
可信計算
是一項由可信計算組(可信計算集群娘荡,前稱為TCPA)推動和開發(fā)的技術干旁。 可信計算是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺,以提高系統(tǒng)整體的安全性炮沐。
擬態(tài)防御
核心實現(xiàn)是一種基于網絡空間內生安全機理的動態(tài)異構冗余構造(Dynamic Heterogeneous Redundancy争群,DHR),為應對網絡空間中基于未知漏洞大年、后門或病毒木馬等的未知威脅换薄,提供具有普適創(chuàng)新意義的防御理論和方法。
區(qū)塊鏈
英文名為blockchain翔试,它是一個共享數(shù)據(jù)庫轻要,存儲于其中的數(shù)據(jù)或信息,具有“不可偽造”垦缅、“全程留痕”冲泥、“可以追溯”、“公開透明”壁涎、“集體維護”等特征凡恍。
遠程瀏覽器
鑒于瀏覽器往往成為黑客攻擊的入口,因此將瀏覽器部署在遠程的一個“瀏覽器服務器池”中怔球。 這樣一來嚼酝,這些瀏覽器所在的服務器跟用戶所在環(huán)境中的終端和網絡是隔離的,從而使得客戶所在網絡的暴露面大大降低庞溜。 這種服務也類似于虛擬桌面、云手機等產品碑定。
云手機
云手機采用全新的VMI(Virtual Mobile Infrastructure虛擬移動設施流码,與PC云桌面類似)技術,為員工提供一個獨立的移動設備安全虛擬手機延刘,業(yè)務應用和數(shù)據(jù)僅在服務端運行和存儲漫试,個人終端上僅做加密流媒體呈現(xiàn)和觸控,從而有效保障企業(yè)數(shù)據(jù)的安全性碘赖。
風控
也稱大數(shù)據(jù)風控驾荣,是指利用大數(shù)據(jù)分析的方法判斷業(yè)務可能存在的安全風險外构,目前該技術主要用于金融信貸領域,防止壞賬的發(fā)生播掷。
滲透測試
為了證明網絡防御按照預期計劃正常運行而提供的一種機制审编,通常會邀請專業(yè)公司的攻擊團隊,按照一定的規(guī)則攻擊既定目標歧匈,從而找出其中存在的漏洞或者其他安全隱患垒酬,并出具測試報告和整改建議。 其目的在于不斷提升系統(tǒng)的安全性件炉。
安全眾測
借助眾多白帽子的力量勘究,針對目標系統(tǒng)在規(guī)定時間內進行漏洞懸賞測試。 您在收到有效的漏洞后斟冕,按漏洞風險等級給予白帽子一定的獎勵口糕。通常情況下是按漏洞付費,性價比較高磕蛇。 同時景描,不同白帽子的技能研究方向可能不同,在進行測試的時候更為全面孤里。
內生安全
由奇安信集團董事長齊向東在2019北京網絡安全大會上首次提出伏伯,指的是不斷從信息化系統(tǒng)內生長出的安全能力,能伴隨業(yè)務的增長而持續(xù)提升捌袜,持續(xù)保證業(yè)務安全说搅。 內生安全有三個特性,即依靠信息化系統(tǒng)與安全系統(tǒng)的聚合虏等、業(yè)務數(shù)據(jù)與安全數(shù)據(jù)的聚合以及IT人才和安全人才的聚合弄唧,從信息化系統(tǒng)的內部,不斷長出自適應霍衫、自主和自成長的安全能力候引。
內生安全框架
為推動內生安全的落地,奇安信推出了內生安全框架敦跌。 該框架從頂層視角出發(fā)澄干,支撐各行業(yè)的建設模式從“局部整改外掛式”,走向“深度融合體系化”柠傍;從工程實現(xiàn)的角度麸俘,將安全需求分步實施,逐步建成面向未來的安全體系惧笛;內生安全框架能夠輸出實戰(zhàn)化从媚、體系化、常態(tài)化的安全能力患整,構建出動態(tài)防御拜效、主動防御喷众、縱深防御、精準防護紧憾、整體防控到千、聯(lián)防聯(lián)控的網絡安全防御體系。 內生安全框架包含了總結出了29個安全區(qū)域場景和 79類安全組件稻励。
PPDR
英文全稱為Policy Protection Detection Response父阻,翻譯為策略、防護望抽、檢測和響應加矛。 主要以安全策略為核心,通過一致性檢查煤篙、流量統(tǒng)計斟览、異常分析、模式匹配以及基于應用辑奈、目標苛茂、主機、網絡的入侵檢查等方法進行安全漏洞檢測鸠窗。
CARTA
全稱為Continuous Adaptive Risk and Trust Assessment妓羊,即持續(xù)自適應風險與信任評估旨在通過動態(tài)智能分析來評估用戶行為,放棄追求完美的安全稍计,不能要求零風險躁绸,不要求100%信任,尋求一種0和1之間的風險與信任的平衡臣嚣。 CARTA戰(zhàn)略是一個龐大的體系净刮,其包括大數(shù)據(jù)、AI硅则、機器學習淹父、自動化、行為分析怎虫、威脅檢測暑认、安全防護、安全評估等方面大审。
SASE
全稱為Secure Access Service Edge蘸际,即安全訪問服務邊緣,Gartner將其定義為一種基于實體的身份饥努、實時上下文捡鱼、企業(yè)安全/合規(guī)策略八回,以及在整個會話中持續(xù)評估風險/信任的服務酷愧。 實體的身份可與人員驾诈、人員組(分支辦公室)、設備溶浴、應用乍迄、服務、物聯(lián)網系統(tǒng)或邊緣計算場地相關聯(lián)士败。
SDL
全稱為Security Development Lifecycle闯两,翻譯為安全開發(fā)生命周期,是一個幫助開發(fā)人員構建更安全的軟件和解決安全合規(guī)要求的同時降低開發(fā)成本的軟件開發(fā)過程谅将,最早由微軟提出漾狼。
DevSecOps
全稱為Development Security Operations,可翻譯為安全開發(fā)與運維饥臂。 它強調在DevOps計劃剛啟動時就要邀請安全團隊來確保信息的安全性逊躁,制定自動安全防護計劃,并貫穿始終隅熙,實現(xiàn)持續(xù) IT 防護稽煤。
代碼審計
顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患囚戚,或者有編碼不規(guī)范的地方酵熙,通過自動化工具或者人工審查的方式,對程序源代碼逐條進行檢查和分析驰坊,發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞匾二,并提供代碼修訂措施和建議。
NTLM驗證
NTLM(NT LAN Manager)是微軟公司開發(fā)的一種身份驗證機制庐橙,從NT4開始就一直使用假勿,主要用于本地的帳號管理。
MTTD
平均檢測時間态鳖。
MTTR
平均響應時間转培。
CVE
全稱Common Vulnerabilities and Exposures,由于安全機構Mitre維護一個國際通用的漏洞唯一編號方案浆竭,已經被安全業(yè)界廣泛接受的標準浸须。
軟件加殼
“殼”是一段專門負責保護軟件不被非法修改或反編譯的程序。 它們一般都是先于程序運行邦泄,拿到控制權删窒,然后完成它們保護軟件的任務。 經過加殼的軟件在跟蹤時已無法看到其真實的十六進制代碼顺囊,因此可以起到保護軟件的目的肌索。
CNVD
國家信息安全漏洞共享平臺,由國家計算機應急響應中心CNCERT維護特碳,主要負責統(tǒng)一收集诚亚、管理國內的漏洞信息晕换,其發(fā)布的漏洞編號前綴也為CNVD。
數(shù)據(jù)脫敏
數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形站宗,實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護闸准,主要用于數(shù)據(jù)的共享和交易等涉及大范圍數(shù)據(jù)流動的場景。
GDPR
《通用數(shù)據(jù)保護條例》(General Data Protection Regulation梢灭,簡稱GDPR)為歐洲聯(lián)盟的條例夷家,前身是歐盟在1995年制定的《計算機數(shù)據(jù)保護法》。
CCPA
美國加利福尼亞州消費者隱私保護法案敏释。
SRC
即Security Response Center库快,中文名為安全應急響應中心,主要職責為挖掘并公開收集機構存在的漏洞和其他安全隱患钥顽。
CISO
有時也被叫做CSO缺谴,即首席信息安全官,為機構的主要安全負責人耳鸯。
IPC管道
為了更好地控制和處理不同進程之間的通信和數(shù)據(jù)交換湿蛔,系統(tǒng)會通過一個特殊的連接管道來調度整個進程。
SYN包
TCP連接的第一個包县爬,非常小的一種數(shù)據(jù)包阳啥。SYN攻擊包括大量此類的包,由于這些包看上去來自實際不存在的站點财喳,因此無法有效進行處理察迟。
IPC$
是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道耳高,可以通過驗證用戶名和密碼獲得相應的權限扎瓶,在遠程管理計算機和查看計算機的共享資源時使用攀细。
shell
指的是一種命令指行環(huán)境狭园,是系統(tǒng)與用戶的交換方式界面。簡單來說搁宾,就是系統(tǒng)與用戶“溝通”的環(huán)境碌燕。 我們平時常用到的DOS误证,就是一個shell。(Windows2000是cmd.exe)
ARP
地址解析協(xié)議(Address Resolution Protocol)此協(xié)議將網絡地址映射到硬件地址修壕。
