全文约8120字,阅读约25分钟
写在文前:
前些日整理了《安全科普:攻击篇常用安全词汇条记》,五一休假继续整理一些防御方面的词汇给新入门的同学,便于快速理解融入安全圈子。同样,各词汇来自于互联网和个人理解,作者出于对词汇权威性的担忧,仅作简单描述和解释说明而非定义,也欢迎各位同行指正。
| 目录 |
第一部分:基础词汇
什么是机密性、完整性、可用性?[1-3]
什么是资产、威胁、脆弱性、风险?[4-7]
什么是认证、授权、特权帐户、最小特权?[8-11]
什么是访问控制、安全审计、安全度量?[12-14]
什么是纵深防御、零信任、滑动标尺?[15-17]
什么是PDR、PPDR、PDRR、PPDRR?[18-21]
什么是ASA、CARTA、NTCTF?[22-24]
什么是威胁情报、TTPs、IOC?[25-27]
什么是钻石模型、Kill-Chain、ATT&CK?[28-30]
什么是安全域、微隔离?[31-32]
什么是OWASP、WASC?[33-34]
第二部分:安全运营词汇
什么是CTF夺旗赛、红蓝对抗?[35-36]
什么是红队、蓝队、紫队?[37-39]
什么是溯源、反制、复盘?[40-42]
什么是风险评估、态势感知、安全基线?[43-45]
什么是模糊测试、渗透测试、安全众测?[46-48]
什么是口令、弱口令、默认口令、密码?[49-52]
什么是BUG、补丁、安全补丁?[53-55]
什么是覆盖率、有效率、检出率、误报率、漏报率?[56-60]
什么是MTTD、MTTR?[61-62]
什么是SRC、IRT、PSIRT?[63-65]
第一部分:基础词汇
什么是机密性、完整性、可用性?[1-3]
网络安全领域中,经常会说CIA三要素,即机密性、完整性、可用性。
| 机密性 |
机密性,是指使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
| 完整性 |
完整性,是指保卫资产准确和完整的特性。用户、进程或者硬件组件具有能力,能够验证所发送或传送的东西的准确性,并且进程或硬件组件不会被以任何方式改变。
| 可用性 |
可用性,是指已授权实体一旦需要就可以访问和使用的数据或资源的特性。也是在某个考察时间内,系统能够正常运行的概率或时间占有率期望值。
什么是资产、威胁、脆弱性、风险?[4-7]
| 资产 |
资产,宽泛的理解是对组织具有价值的任何东西。在安全领域,通常说的保护信息资产,所指的更多是IT信息系统,也包括IT基础设施、网络、软硬件、数据等。
| 威胁 |
威胁,是指对资产或组织可能导致负面结果的一个事件的潜在源。威胁的分类方法很多,有直接威胁,如黑客攻击、员工破坏等;也有间接威胁,如无意识的错误、判断失误等。
| 脆弱性 |
脆弱性,是指资产中能被威胁所利用的弱点。在安全领域,大家一般说脆弱性是特指漏洞,可能是软硬件的漏洞,也可能是流程、设计等方面的漏洞。
| 风险 |
风险,是指一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。可通过事件的概率及其后果进行度量。在安全领域,更多是特指信息安全风险,由安全威胁、系统漏洞等导致的安全隐患。
什么是认证、授权、特权帐户、最小特权?[8-11]
| 认证 |
认证,在安全场景中一般指身份验证,是指通过一定的手段,完成对用户身份的确认,即验证你的凭据。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证,如登录口令、邮箱口令等;基于生物学特征的身份验证,如人脸、指纹等;基于公开密钥加密算法的身份验证,如SSL、数字签名。根据安全级别不同,也可分为单因素、双因素、多因素身份验证。
| 授权 |
授权,是指赋与某一主体可实施某些动作的权力的过程。在安全场景中一般指确定你是否有权访问资源。授权发生在系统成功验证你的身份后,最终会授予你访问资源(如信息,文件,数据库,资金,位置等等)的完全权限。简单来说,授权决定了你访问系统的能力以及达到的程度。
| 特权帐户 |
特权帐户,一般理解为具有系统最高权限的一类管理员帐户。由于特权帐户往往拥有很高的权限,如ROOT、ADMIN、DBA等,因此一旦失窃或被滥用,会给组织带来非常大的网络安全风险,所以特权账户管理(简称PAM)往往在显得十分重要。特权账户管理的原则一般包括:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能等。
| 最小特权 |
最小特权,是最小化特定权限的简称。一般理解为主体的访问权限的最低限度,即仅执行授权活动所必需的那些权利。最小特权是安全的基本原则之一,是安全实践中较为有效的降低安全风险的措施。
什么是访问控制、安全审计、安全度量?[12-14]
| 访问控制 |
访问控制,是指一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问手段。访问控制的应用措施很多,常见的网络中有路由交换实现的访问控制(列)表ACL;应用系统中主体以及主体对客体的访问权操作类型的设置或限制,如:读、写、执行、添加、修改、删除与创建。
| 安全审计 |
安全审计,可以理解为产品功能,是指对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。也可以理解为是一种检查措施,往往是事后的一种发现问题、促进优化、改进提升的手段。
| 安全度量 |
安全度量,是指为了完成对一个或几个安全属性的测量,所定义的测量形式(测量方法、计算函数或分析模型)和尺度。安全度量往往会设计很多不同的度量指标,来反映对应某些安全属性的情况。
什么是纵深防御、零信任、滑动标尺?[15-17]
| 纵深防御 |
纵深防御,英文为Defence-in-Depth,简称DiD,原本是军事领域术语,在战争学概念中,指防御地区或防御部署的纵向深度,分为战役纵深防御和战术纵深防御。在网络安全领域,理解为设置多层重叠或不同类型的安全防护措施而构成多道防线,即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生。
| 零信任 |
零信任,英文为Zero Trust,是近年来新兴起的新一代网络安全防护理念。
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权、持续监控验证的方式重新构建访问控制的信任基础,把访问者所带来的网络安全风险降到最低。
| 滑动标尺 |
滑动标尺,是网络安全滑动标尺模型的简称,英文全称为The Sliding Scale of Cyber Security。类似于信息安全CMMI能力成熟度模型,其将企业安全能力分五个阶段,分别是架构安全、被动防御、主动防御、威胁情报和反击威慑。
什么是PDR、PPDR、PDRR、PPDRR?[18-21]
| PDR |
PDR,是Protection、Detction、Response的简写,中文为保护、检测、响应,是最早的安全模型之一,早期的PDR是直线型的,还没有动态、循环的理念。PDR模型简洁精炼,抓住了安全的三个核心要素,是安全在一个特定时代的特征缩影。
| PPDR |
PPDR,它是在PDR基础上,前面加上了一个Policy,也写作P2DR,意思是围绕安全策略,开展保护、检测和响应等安全工作,是PDR模型的一个升级版,同时由直线型升级成循环型,可见在当时是一种安全理解的进步。
| PDRR |
PDRR,它也是在PDR基础上的一个升级版,为了突出强调入侵响应中的恢复动作,所以把响应分成了Response和Recovery,于是形成PDRR模型,即保护、检测、响应、恢复。PDR由三要素优化为四要素,可以看出不仅从安全视角看问题,也更多考虑业务视角,是安全理念发展的又一进步。
| PPDRR |
PPDRR,是PPDR和PDRR的融合,它是动态的、自适应的安全模型之一,也是指导安全工作的一个典型参考模型。它包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)五个主要部分。
什么是ASA、CARTA、NTCTF?[22-24]
| ASA |
ASA,英文全称Adaptive Security Architecture,中文称自适应安全架构,是由Gartner在2014年提出的安全体系,以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型。
| CARTA |
CARTA,英文全称Continuous Adaptive Risk and Trust Assessment,中文称持续自适应风险和信任评估。2017年,Gartner创造性地提出了这一全新的战略方法,即CARTA,它是ASA的升级版,强调要持续地和自适应地对风险和信任两个要素进行评估。没有零风险,也没有100%信任,需要通过持续分析、动态适应来权衡风险和信任。
| NTCTF |
NTCTF,英文全称NSA/CSS Technical Cyber Threat Framework,中文为美国国家安全局/中央安全局网络空间威胁框架,其中CTF是指网络威胁框架。它提供了一种通用语言,用于描述和交流有关网络威胁活动的信息。
什么是威胁情报、TTPs、IOC?[25-27]
| 威胁情报 |
威胁情报,是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内多数所说的威胁情报可认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
| TTPs |
TTPs,英文全称Tactics Techniques Procedures,中文为战术、技术和程序。它反映了攻击者的行为。TTPs最早源于军方,David发表的痛苦金字塔模型中,将TTPs位于痛苦金字塔的最顶端,几篇关于TTPs的文章推荐Harlan Carvey的《TTPs》和《Follow up on TTPs post》,Ryan Stillions 的文章《On TTPs》。
| IOC |
IOC,英文全称Indicators of Compromise,中文为失陷指标,Mandiant于2010年正式定义了失陷指标(IOCs)。IOC生成是以结构化的方式记录事件的特征和证物的过程。它包含从主机和网络角度的所有内容,而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名,甚至是恶意软件网络协议签名。
什么是钻石模型、Kill-Chain、ATT&CK?[28-30]
| 钻石模型 |
钻石模型,英文全称The Diamond Model,是一个针对单个安全事件分析的模型,核心就是用来描述攻击者的技战术和目的。模型建立的基本元素是入侵活动事件,每个事件都有四个核心特征:对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系,并布置成菱形,因此得名“钻石模型”。
| Kill-Chain |
Kill-Chain,亦写作Cyber-Kill-Chain,中文为网络攻击杀伤链。杀伤链源自军事领域,它是一个描述攻击环节的模型,理论上也可以用来预防此类攻击(即反杀伤链)。网络攻击杀伤链由洛克希德-马丁公司提出,用来描述针对性的分阶段攻击。杀伤链共有发现-定位-跟踪-瞄准-打击-达成目标六个环节,每一环节都是对攻击做出侦测和反应的机会。
| ATT&CK |
ATT&CK,英文全称Adversarial Tactics, Techniques, and Common Knowledge,中文为对抗性的策略、技巧和常识。
它是由美国MITRE机构2013首次提出的一套攻击行为知识库模型和框架,它将已知攻击者行为转换为结构化列表,汇总成战术和技术,并通过若干个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK Matrix for Enterprise中战术按照逻辑分布在多个矩阵中,以“初始访问”战术开始,经过“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露“、”影响“等共计12项战术。
什么是安全域、微隔离?[31-32]
| 安全域 |
安全域,是指一种具有相同安全策略的资产和资源的集合,通过区域的划分,对不同区域能更好的执行不同的、针对性的安全防护策略。在安全建设早期及传统网络里,安全域都是安全策略的主要控制措施之一,随着云计算、虚拟化等技术的兴起,网络边界的泛化、模糊和不确定性增加,安全域逐步被淡化,但其思想依然有一定的指导意义。
| 微隔离 |
微隔离,是安全域理念的升级版,顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。
什么是OWASP、WASC?[33-34]
| OWASP |
OWASP,英文全称The Open Web Application Security Project,中文称开放式Web应用程序安全项目,它是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP组织发布了一些列安全最佳实践的指南、手册、研究报告等,被业内耳熟能详的如OWASP Top10、OWASP Testing Guide、OWASP SAMM等。
| WASC |
WASC,英文全称Web Application Security Consortium。是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为WWW制定被广为接受的应用安全标准。WASC组织的关键项目之一是“Web安全威胁分类”,也就是将Web应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。
第二部分:安全运营词汇
什么是CTF夺旗赛、红蓝对抗?[35-36]
| CTF夺旗赛 |
CTF英文全称Capture The Flag,中文译作夺旗赛。在网络安全领域,是指网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。
| 红蓝对抗 |
红蓝对抗,起源于军事领域的红蓝军对抗,在网络安全领域,红蓝对抗是指一方扮演黑客进行攻击,俗称蓝军,一方扮演防御者进行防守,俗称红军,用此种形式来评估企业的安全性,有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。
什么是红队、蓝队、紫队?[37-39]
近些年,由于国家多次组织大型实战攻防演习的逐步兴起,提到红队、蓝队等词语也越来越多。一般情况参照理解如下:
| 红队 |
红队,通常是指实战攻防演习中的攻击队伍,在非实战攻防演习或企业内部,也可以称为“蓝军”或“攻击方”。
| 蓝队 |
蓝队,通常指实战攻防演习中的防守队伍。在企业内部,也可以称为“红军”或“防守方”。
| 紫队 |
紫队,通常特指在实战攻防演习中的组织方,一般也包括监理方或裁判方在内。
什么是溯源、反制、复盘?[40-42]
| 溯源 |
溯源,在网络安全领域,一般理解为针对攻击事件,追寻攻击源头的行为,溯源的目的一般为查找事实真相。在真实的网络攻击中,企业对攻击者往往只能溯源到其IP地址,或捕获到其DNS、C2地址,受资源和能力限制,多数需要依靠公安部门、网络运营商或受害用户等多种角色的参与才能真正达到溯源的目的。
| 反制 |
反制,在网络安全领域,一般理解为对攻击者的诱捕以及合法合规的进攻,反制的目的是阻止攻击者攻击或入侵行为并且对攻击者进行反向控制。反制也是威慑攻击者的手段之一。
| 复盘 |
复盘,是围棋术语,指一盘棋对局完毕后,复演该盘棋的记录,以检查对局中招法的优劣与得失关键。在网络安全领域,是指在一次红蓝对抗活动或一次安全事件之后,分析、复演此次攻防对抗过程中的双方优劣,如何改进攻击方法或防护检测措施,以便更好提升整体安全攻防能力。
什么是风险评估、态势感知、安全基线?[43-45]
| 风险评估 |
风险评估,是指风险标识、分析和评价的整个过程。风险评估属于风险管理的内容之一,是信息安全风险管理体系中的重要方法和工具。风险评估包括资产识别估价、威胁识别、脆弱性识别、风险分析、风险处置建议等内容。详细可以参考GB/T 20984 信息安全风险评估规范、GB/T 31509 信息安全风险评估实施指南。
| 态势感知 |
态势感知,最早在军事领域提出,覆盖感知、理解和预测三个层次。在网络安全领域,该概念升级为网络态势感知,旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策和预防行动。
| 安全基线 |
安全基线,是指在最佳实践基础上,结合企业IT自身情况,经过一个正式评审并通过的产品或应用的最小安全基准。安全基线狭义理解可以为各类IT产品的安全配置和管理的详细描述;广义理解可以理解为最低的安全要求。
什么是模糊测试、渗透测试、安全众测?[46-48]
| 模糊测试 |
模糊测试,英文为Fuzzing,是一个宽泛的概念,在网络安全领域,是一种令人激动的软件安全性分析方法。可以理解为通过提供一种非预期的输入并监视异常结果来发现软件漏洞的方法。它一般是一个自动或半自动的过程,这个过程反复操作目标软件为其提供处理的数据。
| 渗透测试 |
渗透测试,英文为Penetration Testing,是指以未经授权的动作绕过某一系统的安全机制的方式,检查数据处理系统的安全功能,以发现信息系统安全问题的手段。也称渗透性测试。在业内,渗透测试服务是指在授权的前提下,模拟黑客攻击对业务系统进行安全性测试,从而发现安全缺陷,降低安全风险。
| 安全众测 |
安全众测,是指在合法合规的前提下,借助众多白帽子的力量,针对目标系统在规定时间内进行漏洞悬赏的安全测试行为。安全众测与渗透测试、安全测试从测试本质上没有区别,只是在组织形式、付费形式等方面有所不同。
什么是口令、弱口令、默认口令、密码?[49-52]
| 口令 |
口令,是用于身份鉴别的秘密的字、短语、数或字符序列,通常是被默记的弱秘密,在日常生活中,口令本质上是一种身份验证机制中过关的证据,口令与密码最大的区别是口令并不真正具有机密性。
| 弱口令 |
弱口令,是指那些强度不够,容易被猜解的口令,这类口令极易出现在黑客的破解字典中,类似123456、abc123、Password这样的口令。
| 默认口令 |
默认口令,是指官方发布或出厂的产品中的初始口令,或未经修改的系统口令,一般也都默认带有官方的某种特征,如admin/admin123、tomcat/tomcat等。
| 密码 |
密码,是一种用于保护数据保密性的密码学技术,由加密算法、解密算法和密钥生成方法及相应运行过程组成。密码的理解广泛多样,在身份验证时,和口令是同一概念。
什么是BUG、补丁、安全补丁?[53-55]
| BUG |
BUG,是用来指代计算机上存在的缺陷,不仅包括软件也包括硬件。有些BUG是一种漏洞,有些BUG是功能设计、实现的不足。
| 补丁 |
补丁,是补丁程序的简称,借用在破衣服上打补丁的比喻,来形容对计算机BUG的修复措施。补丁可以从多种角度分类,如:
按照等级分可以有标准补丁、推荐补丁、安全补丁等;
按照对象的不同类型分可以有操作系统补丁、数据库补丁、中间件补丁等;
按照作用分可以有补丁集成包、单点补丁、特定版本补丁。
| 安全补丁 |
什么是覆盖率、有效率、检出率、误报率、漏报率?[56-60]
在安全建设和监控中,经常提到加强部署覆盖率,提高攻击检出率、完善规则有效率,降低误报率和漏报率。其理解如下:
| 覆盖率 |
| 有效率 |
| 检出率 |
| 误报率 |
| 漏报率 |
什么是MTTD、MTTR?[61-62]
| MTTD |
| MTTR |
什么是SRC、IRT、PSIRT?[63-65]
| SRC |
| IRT |
| PSIRT |
写在结尾:上篇有留言说wiki便于科普和传播,因此后续总结词汇时我会陆续在百度百科的词条中一并更新,感谢@sbilly老师的建议。
坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。
原文始发于微信公众号(表图):安全科普:防御篇常用安全词汇条记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论