安全术语

当您开始开发开发旅程时，使用通用语言并与安全团队共享共同概念很重要。为了帮助您入门，以下是一些行业术语和概念，您将直接在指南中需要一些术语和概念，但是随着您扩大知识，您将需要所有这些术语和概念。

Owasp和Nist＃

Owasp（打开Web应用程序安全项目）和nist（美国国家标准技术研究所，美国）是两个用于安全工具，资源和研究的大量资源。

安全姿势＃

组织的安全姿势是整个技术组织的总体安全状态，包括软件，网络，数据，供应商风险，依赖性安全性，漏洞管理等。知道您的安全姿势对于了解您如何应对各种类型的安全威胁（例如数据泄露）的风险至关重要，并且可以让您知道要进行措施以及紧急情况。

攻击矢量和攻击表面＃

一个攻击向量都是入侵者可以使用的任何方法来访问您的系统和信息。例如，如果/何时将密钥授予GitHub，则其他人使用该密钥访问服务，则暴露的凭据将被视为攻击向量。这攻击表面都是所有攻击向量。例如，暴露的凭据，任何未加密的数据等等将是您组织的攻击表面。

周长＃

一个周长是防止访问的障碍，类似于您在自然墙壁或已建造的墙壁等的物理安全性中看到的障碍，以防止进入。在这种情况下，墙壁将是将公共和私人网络，防火墙，访问控件等分开的地方。

安全漏洞＃

一个安全漏洞每当有人获得未经授权的任何形式的访问时，包括网络或应用程序访问。

数据泄露＃

一个数据泄露是否将机密信息发布给公共资源。常见的例子是信用卡号，政府ID号，地址和其他识别信息。释放可能是无意的或有意的。请注意安全漏洞和数据泄露之间的区别：安全漏洞是获得访问的获得（“闯入”），并且数据泄露是从确保其确保的地方获取信息（“盗窃”，也称为渗透）。

开发＃

一个开发是利用漏洞的代码。

相信＃

建立相信是验证资源或用户是被要求的人。受信任资源的一个示例可能是验证应用程序修补程序或更新来自预期的来源，或者试图访问数据的用户与预期的人或实体相关联。

零信任＃

尽管还有其他模型，近年来零信任是已成为行业标准的安全模型。实际上，我们在Pagerduty练习它。简而言之，零信任是持续授权的模型。它不假定，由于用户能够访问某些数据或设备，因此该用户应该在那里，因此始终提示用户以访问其凭据以供访问。例如，在零信任环境中，一个用户来自的网络不会授予假定的访问权限，例如如果用户通过公司VPN连接，则所有访问请求仍然需要进行身份验证。

威胁行为者＃

威胁行为者您预期的个人或团体的类型最有可能违反您的安全措施。例如，您可能会发现自己最有可能被直接定位的脚本打击，而是针对您正在使用的服务或所在的区域。

风险管理＃

风险管理是否正在进行的过程是确定您组织中的安全风险以及如何预防，减轻和解决它们。首先要确定与各种资产（例如个人信息）相关的风险，并确定它们成为攻击重点的可能性以及攻击发生的影响，如果发生攻击的影响。

白帽子与黑帽子＃

通常参考黑客，一个白帽黑客是一个人允许所有者许可并告知所有者发现的所有漏洞的人。相反，黑帽黑客是测试系统安全性的人，通常是故意违反该系统的，未经所有者的许可，并且没有告知他们发现的漏洞。例如，白帽子黑客或小组可能是为进行笔测试的安全咨询，而黑帽子黑客可能试图窃取客户信用卡信息。快速注意，您也可能会遇到这个学期灰色帽子，这是一个违反安全性但没有黑帽子攻击者的恶意意图的人。

白盒与黑匣子＃

黑盒子当系统仅通过其行为而知道，基本上是其输入和输出，而无需了解其构建方式（例如AWS vs GCP）。另一方面，白盒是当您知道系统的体系结构时。这些术语通常用于参考测试，当您测试未知系统和白盒测试正在测试已知系统时，黑匣子测试是在该测试中。

红队，蓝色队，紫色团队＃

类似于白帽子黑客，红色团队经过许可，专门从事违反安全性。安全团队通常会进行红色团队练习，以模拟外部攻击者为了获取其目标的任何可能性，例如安全数据。在另一侧是蓝色团队，专门从事防御安全。蓝色团队练习可能是对红队练习的防御性反应，但它们也可能是其他审核等事情。当红色团队和蓝色团队协调时，它被称为紫色团队。