在安全廠商大肆營(yíng)銷的勢(shì)頭下，用戶很容易將一些術(shù)語(yǔ)混為一談。例如，經(jīng)?；煜┒?、威脅和攻擊。如果不同的安全廠商或從業(yè)者使用不同的詞語(yǔ)來傳達(dá)同一件事，難免會(huì)造成困惑，導(dǎo)致合作伙伴之間很難有效協(xié)同工作，最終效果大打折扣。本文介紹了七個(gè)被濫用的網(wǎng)絡(luò)安全術(shù)語(yǔ)，并舉例說明它們?nèi)绾问褂?，供從業(yè)者參考。

缺陷(flaw)

又名：弱點(diǎn)

定義：缺陷是應(yīng)用程序中的任何非預(yù)期功能。缺陷可能成為漏洞，但并非所有缺陷都是漏洞。該術(shù)語(yǔ)常用于應(yīng)用程序安全。

正確使用該術(shù)語(yǔ)的例子：該應(yīng)用程序存在一個(gè)讓用戶可以訪問客戶數(shù)據(jù)的缺陷。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：該缺陷是開發(fā)人員有意設(shè)計(jì)的。

漏洞(vulnerability)

定義：漏洞是設(shè)備、應(yīng)用程序或安全軟件等資產(chǎn)中可以被利用的缺陷。解決漏洞是網(wǎng)絡(luò)安全行業(yè)最頑固、未解決或部分解決的問題之一。漏洞在攻擊過程中可以被利用。

正確使用該術(shù)語(yǔ)的例子：漏洞在攻擊期間被利用。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：漏洞是無害的。

發(fā)現(xiàn)結(jié)果(finding)

又名：發(fā)現(xiàn)的缺陷/瑕疵/漏洞

定義：發(fā)現(xiàn)結(jié)果就是確認(rèn)缺陷或漏洞。靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)工具可識(shí)別可能是已知漏洞、也可能不是已知漏洞的發(fā)現(xiàn)結(jié)果。

正確使用該術(shù)語(yǔ)的例子：我們的SAST工具找到了五個(gè)發(fā)現(xiàn)結(jié)果。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：一個(gè)發(fā)現(xiàn)結(jié)果是漏洞利用程序。

漏洞利用程序(exploit)

定義：漏洞利用程序是旨在利用漏洞的程序。Veracode的博文解釋，漏洞利用程序是將漏洞變?yōu)槲淦?，以?shí)現(xiàn)特定的目的。漏洞利用程序在攻擊過程中可能被用來獲取訪問權(quán)、提升權(quán)限或執(zhí)行其他功能。

正確使用該術(shù)語(yǔ)的例子：漏洞利用程序在攻擊期間被使用。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：我們分析了軟件，證實(shí)了存在漏洞利用程序。

圖1 常被誤用的術(shù)語(yǔ)在攻防生命周期中的位置

威脅(threat)

定義：威脅是尚未發(fā)生的潛在攻擊。

正確使用該術(shù)語(yǔ)的例子：勒索軟件是我們組織面臨的一種威脅。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：發(fā)現(xiàn)結(jié)果是一種威脅。

攻擊(attack)

定義：攻擊是正在發(fā)生或之前發(fā)生的活躍的惡意活動(dòng)。攻擊可能會(huì)利用一個(gè)或多個(gè)漏洞來達(dá)到最終目的。

正確使用該術(shù)語(yǔ)的例子：漏洞利用程序在攻擊期間被使用。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：攻擊是一個(gè)漏洞。

檢測(cè)(detection)

又名：警報(bào)

定義：檢測(cè)是在確定性閾值內(nèi)實(shí)時(shí)或追溯識(shí)別攻擊。我們發(fā)現(xiàn)，提到漏洞時(shí)，檢測(cè)這個(gè)術(shù)語(yǔ)常常被誤認(rèn)為“發(fā)現(xiàn)結(jié)果”。這一重要區(qū)別清楚地表明，檢測(cè)是識(shí)別攻擊，而不是識(shí)別漏洞。

正確使用該術(shù)語(yǔ)的例子：檢測(cè)到一起正在進(jìn)行的攻擊。

錯(cuò)誤使用該術(shù)語(yǔ)的例子：檢測(cè)是一個(gè)漏洞。

參考鏈接：https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/