銷售團隊張口閉口都是“協(xié)同效應”和“范式轉換”，而技術專業(yè)人士則總是在談論“下一代”、“破壞性”以及“前沿技術”。但是無論這些聰明人說過多少次“我會利用這些技術解決⋯⋯問題”，他們都很難實現(xiàn)將“利用”這一動詞轉化為實際效應。

[[222891]]

同樣地，信息安全領域也存在一些經(jīng)常被濫用的流行語。只要是安全領域中的一員，你就一定會對它們有所耳聞。接下來，就為大家介紹10個被過度濫用以至于令人產(chǎn)生逆反的流行詞。當然，僅供參考。

1. 網(wǎng)絡(Cyber)

你一定聽說過“網(wǎng)絡空間”、“網(wǎng)絡安全”、“網(wǎng)絡防御”、“網(wǎng)絡犯罪”、“網(wǎng)絡軍隊”、“網(wǎng)絡用戶”以及“網(wǎng)絡偵察”等詞匯。“Cyber”一詞可以說是一個非常好用的前綴，能夠用來指代在線世界的任何事物。但是顯然，它已經(jīng)被過度濫用了，以至于產(chǎn)生出來的詞匯也失去了所有意義。例如，當電子商務和在線零售能夠更好地為人們所理解時，我們沒有理由將其稱之為“網(wǎng)絡購物”。

“Cyber”最初是一個非常有用的前綴，用來表達跨越技術和社會界限的概念。例如，“網(wǎng)絡安全”一詞就能夠幫助人們理解“安全”的概念是如何應用于人們所使用的技術之中的。然而，如今這種將所有互聯(lián)網(wǎng)相關事物添加上“網(wǎng)絡”前綴的做法，已經(jīng)大大削弱了其最初意義。

事實上，當人們習慣接受添加“Cyber”前綴的詞匯之后，一旦遇到使用“釣魚攻擊”或“虛假信息”等詞匯來描述針對關鍵基礎設施的攻擊時，就無法再引起人們對當前所面臨的挑戰(zhàn)的理解。我們都知道，“不同的問題需要不同的解決方案”，但是，當它們都被貼上“Cyber”的標簽之后，就更難識別出能夠用于解決它們的方法了。

2. 人工智能(AI)

我們被許諾了一個未來世界，在這個世界中充斥著各類智能機器人，它們能夠完成當前社會所有需要人工完成的事情。安全的未來取決于自動化，但這并不意味著每個執(zhí)行復雜分析和計算的安全技術都是人工智能。

“此外，在描述安全技術能做什么時，“機器學習”、“深度學習”以及“人工智能”越來越多地被用作同義詞。這是一種非常危險的做法!“機器學習”讓我們可以使用多種算法和模型來訪問和控制數(shù)據(jù)，并使用相同的數(shù)據(jù)來優(yōu)化模型，而無需明確地編程。“深度學習”是“機器學習“的一個子集，即使用復雜且龐大的神經(jīng)網(wǎng)絡進行機器學習。但是兩者(即機器學習和深度學習)都是“人工智能”的子集，它們可以在一定情境下互換使用，來改進安全防御和對抗的效率。此外，深度學習也使得機器學習能夠實現(xiàn)眾多的應用，并拓展了人工智能的領域范圍。

3. 高級持續(xù)性威脅(APT)

最初，“APT”代表“高級持續(xù)性威脅”。但是如今，越來越多的人開始將其指向那些沒有被防御者注意到的攻擊類型。沒錯，這些攻擊確實是一種威脅，且具備一定的“持續(xù)性”，因為攻擊者通常需要在目標基礎設施中潛伏很長一段時間，但是這些攻擊卻鮮少屬于“高級”類別。仔細觀察最近的頭條新聞不難發(fā)現(xiàn)，大多數(shù)攻擊都是通過網(wǎng)絡釣魚郵件或者糟糕的密碼操作實現(xiàn)的，算不上“高級”威脅。

此外，“APT”也已經(jīng)成為解釋“為什么組織沒有注意到正在發(fā)生的攻擊，或是阻止攻擊者造成重大破壞”的借口。他們習慣用“APT”一詞作為回避現(xiàn)實問題的說辭，而不是真正地去重視信息安全，以及認真對待網(wǎng)絡防御舉措。如今，“APT”一詞儼然已經(jīng)變成像“我們會認真對待安全問題”一樣假大空的說辭。

4. 威脅情報(Threat intelligence)

分析公司Gartner將“威脅情報”定義為“一種基于證據(jù)的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應”。

這個解釋確實十分拗口難懂，可能很多人仍然不解其意，不知道這些詞匯(Threat intelligence)組合在一起究竟意味著什么?

其實，簡單來說，情報就是線索，威脅情報就是為了還原已發(fā)生的攻擊和預測未發(fā)生的攻擊所需要的一切線索。“所謂的威脅情報就是幫助我們發(fā)現(xiàn)威脅，并進行處置的相應知識。這種知識就是我們所說的威脅情報”。我們日常接觸的漏洞庫、指紋庫以及IP信譽庫等都屬于威脅情報的一部分。

但是在網(wǎng)絡威脅情報領域，混淆一直存在，“威脅信息”往往被當做了成品情報。在這種情況下，原始數(shù)據(jù)往往也被標識為“情報”，用于整合事件數(shù)據(jù)的日志文件和系統(tǒng)信息也被重新標記為“威脅情報”。事實上，收集和分析數(shù)據(jù)是遠遠不夠的，雖然情報過程從威脅信息收集開始，但信息收集僅僅，僅僅只是個起始點而已。從大量獲取信息，到產(chǎn)出成品情報之間，還有好長好長的一段路要走，二者之間簡直是質的不同。

散布各處的1000個點，那是信息。但以某種形式連接各點顯示出上下文(指具體威脅存在的環(huán)境或起作用的場景)和關聯(lián)度，那就是情報了。這些情報可用于為未來攻擊做應對準備，支撐以前未知的風險，將精力專注到正確的領域。它還能幫助你從事件響應的角度理解發(fā)生了什么，為什么會發(fā)生，以及怎樣發(fā)生的。

為了防止“語境化情報”(Contextualized intelligence)為安全工作增添不和諧的聲音，從而造成“反效果”，讓我們禁止“網(wǎng)絡威脅情報”這一流行語吧。

5. 下一代(next-generation)

如今，人們習慣將每一款新推行和發(fā)布的產(chǎn)品稱之為“下一代”，信息安全領域自然也不例外。這無疑會產(chǎn)生問題，“下一代”一詞曾經(jīng)代表的是技術進步，它反映了一個問題是如何解決的。但不幸的是，如今看起來市場上所有現(xiàn)存的安全技術都稱之為“下一代”。

“下一代”一詞顯然也被過度濫用了，如今，重新設計了用戶界面，添加了用戶友好型特征以及處理更多流量、用戶和端點能力的產(chǎn)品都自稱為“下一代”。這一詞匯必須被重新定義，來指代那么能夠處理新威脅的新型架構和方法。

否則，下一波創(chuàng)新浪潮下推出的創(chuàng)新產(chǎn)品應該如何命名?“下下一代”嗎?事實上，這也解釋了為什么現(xiàn)在所有的一切都與“人工智能”有關。

6. 云(cloud)

如今，一切都在云端。但是這究竟意味著什么呢?意味著你把一個文件或應用從自己的設備上遷移到別人的設備上?如果應用程序在虛擬機上運行，或者數(shù)據(jù)存儲在不同的數(shù)據(jù)中心服務器上也沒有關系?；A設施即服務(LaaS)、軟件即服務(SaaS)以及平臺即服務(PaaS)這三種云模型都能為您提供服務。

實際上，這一術語掩蓋了許多棘手的問題，例如如何保障環(huán)境安全，如何保護數(shù)據(jù)以及如何控制正在使用應用程序的人。利用別人的基礎設施并不意味著你所有的問題都消失不見了。當談論到云應用程序時，“網(wǎng)絡邊界”的概念會大為不同，而且，一旦你脫離數(shù)據(jù)中心的安全性，就會面臨許多不同的身份驗證和認證挑戰(zhàn)。

技術鐘擺正在從“云計算”轉向“邊緣計算”，在這種情況下，你就需要依靠自己的本地數(shù)據(jù)中心——即你自己的計算機以及你自己的存儲設備了。也許，現(xiàn)在是時候“去云化”(de-cloud)了。

7. 數(shù)據(jù)驅動(data-driven)

數(shù)據(jù)收集的爆炸性增長意味著我們都已經(jīng)淹沒于數(shù)據(jù)之中。傳感器、應用程序日志、系統(tǒng)事件以及業(yè)務細節(jié)都能夠被分析來發(fā)現(xiàn)各種模式。實際上，每一種安全技術——無論它是用于查看惡意軟件樣本和事件數(shù)據(jù)以檢測惡意活動，還是用于檢查訪問日志和登錄嘗試來發(fā)現(xiàn)賬戶接管行為和漏洞——都是數(shù)據(jù)驅動的。

擁有數(shù)據(jù)并不一定意味著能夠從中挖掘出有價值的見解。當然，也有一些方法能夠顯示收集到的有價值數(shù)據(jù)。但是數(shù)據(jù)庫或日志的存在并不一定會產(chǎn)生“‘數(shù)據(jù)驅動”的安全產(chǎn)品。正如“威脅情報”需要情境(上下文)一樣，“數(shù)據(jù)驅動”也需要這些信息正在以實際的方式被使用方可。

8. 實時(Real-time)

實時是一種安全承諾，它表示事物發(fā)生過程中的實際時間，隨著技術的日益精進，對于效率的要求也越來越高。如今，安全性比以往更加依賴數(shù)據(jù)驅動，因為現(xiàn)在收集的數(shù)據(jù)量比以往多出了很多。但是，分析數(shù)據(jù)和執(zhí)行有效負載都需要時間，不管時間窗口(time window，由時間驅動的窗口)有多小多高效。

隨著分析成為安全的重要組成部分，“實時“出現(xiàn)了很多問題，尤其是在整合用戶模式時。我更傾向于“接近實時”，因為它會更為真實，它承認在收集信息并以合理方式呈現(xiàn)信息時存在滯后。

什么是窗口(Window)：

在流處理應用中，數(shù)據(jù)是連續(xù)不斷的，因此我們不可能等到所有數(shù)據(jù)都到了才開始處理。當然我們可以每來一個消息就處理一次，但是有時我們需要做一些聚合類的處理，例如：在過去的1分鐘內有多少用戶點擊了我們的網(wǎng)頁。在這種情況下，我們必須定義一個窗口，用來收集最近一分鐘內的數(shù)據(jù)，并對這個窗口內的數(shù)據(jù)進行計算。

9. 思想領袖(Thought leader)

“思想領袖“是指具有權威和影響力的人。許多人將這一頭銜視為獲得專業(yè)成就的標志。事實上，信息安全領域存在很多思想領袖，但并非所有人都站在行業(yè)的前沿位置。有些人能夠緊跟潮流、技術和哲學的發(fā)展趨勢，但是也有一些人只擅長使用流行語，并在網(wǎng)絡泡沫中推行自己的理念。

思想領袖存在各種形式，包括通過記者訪問分享見解和想法;發(fā)布專題文章;定期在信息安全會議上發(fā)表演講;或是聚集一些志同道合的人，共同分享和解決問題等。

如果你信任的某個人說另一個人是一名“思想領袖“，那么這種評估會比某人的自我評估要更為準確的多。”思想領袖“本身并沒有不好，但是信息安全是一個“你做了什么比你說了什么更具影響力”的領域。

10. 可操作性(actionable)

這是一個真正不具備任何意義的詞。但這并不能阻止“可操作性“一詞被頻繁應用于各種情境之中。在大多數(shù)情況下，該詞的目的是強調企業(yè)的防御者可以用其所選擇的技術做的一些事情。而事實上，一切都應該是可操作的!防御者不希望安全情報或安全產(chǎn)品對威脅或問題無法做出任何反應。沒人希望看到任何一場安全意外并感慨，“哇，事情就這樣發(fā)生了!”他們希望能夠回應這些意外，并了解究竟發(fā)生了什么事情。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文