随着安全厂商营销的势头,用户很容易混淆一些术语。例如,漏洞、威胁和攻击经常被混淆。如果不同的安全厂商或从业者用不同的词语来传达同一个东西,难免会造成混乱,使合作伙伴之间难以有效地协同工作,最终的效果也会大打折扣。本文介绍了七个被滥用的网络安全术语,并提供了从业者如何使用它们的示例。缺陷(flaw)又名:Weakness定义:缺陷是应用程序中任何非预期的功能。缺陷可以成为漏洞,但并非所有缺陷都是漏洞。该术语通常用于应用程序安全。正确使用该术语的示例:该应用程序存在允许用户访问客户数据的缺陷。误用该术语的示例:缺陷是开发人员故意设计的。漏洞定义:漏洞是设备、应用程序或安全软件等资产中可被利用的缺陷。解决漏洞是网络安全行业中最持久、未解决或部分解决的问题之一。在攻击过程中可以利用漏洞。正确使用该术语的示例:在攻击期间利用漏洞。误用该术语的示例:漏洞是无害的。发现(finding)又称为:发现缺陷/瑕疵/漏洞定义:发现结果是确认的缺陷或漏洞。静态应用程序安全测试(SAST)工具和动态应用程序安全测试(DAST)工具可识别可能是已知漏洞也可能不是已知漏洞的发现。正确使用该术语的示例:我们的SAST工具发现了五个发现。误用该术语的示例:一项发现是一种利用。exploit的定义:exploit是设计用来利用漏洞的程序。Veracode的博客文章解释说,漏洞利用是为特定目的利用漏洞的武器。漏洞可用于在攻击期间获得访问权限、提升权限或执行其他功能。正确使用该术语的示例:在攻击过程中使用漏洞。滥用该术语的示例:我们分析了软件并确认存在漏洞利用。图1.攻击和防御生命周期中常用误用术语的位置。威胁定义:威胁是尚未发生的潜在攻击。正确使用该术语的示例:勒索软件对我们的组织构成威胁。误用该术语的示例:发现是一种威胁。攻击定义:攻击是正在发生或之前已经发生的主动恶意活动。攻击可能会利用一个或多个漏洞来实现其最终目标。正确使用该术语的示例:在攻击过程中使用漏洞。误用该术语的示例:攻击是漏洞。检测又名:警报定义:检测是在确定性阈值内实时或回顾性地识别攻击。我们发现,在提及漏洞时,检测一词经常被误解为“发现”。这一重要区别清楚地表明,检测是关于识别攻击,而不是漏洞。正确使用该术语的示例:检测正在进行的攻击。误用术语的示例:检测是一个漏洞。参考链接:https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/
