渗透测试行业术语2

渗透测试行业术语2

1.风控：

也称大数据风控，是指利用大数据分析的方法判断业务可能存在的安全风险，目 前该技术主要用于金融信贷领域，防止坏账的发生。

2.渗透测试:

为了证明网络防御按照预期计划正常运行而提供的一种机制，通常会邀请专业公 司的攻击团队，按照一定的规则攻击既定目标，从而找出其中存在的漏洞或者其 他安全隐患，并出具测试报告和整改建议。 其目的在于不断提升系统的安全性。

3.安全众测:

借助众多白帽子的力量，针对目标系统在规定时间内进行漏洞悬赏测试。 您在收到有效的漏洞后，按漏洞风险等级给予白帽子一定的奖励。通常情况下是 按漏洞付费，性价比较高。 同时，不同白帽子的技能研究方向可能不同，在进行测试的时候更为全面。

4.内生安全:

由奇安信集团董事长齐向东在 2019 北京网络安全大会上首次提出，指的是不断 从信息化系统内生长出的安全能力，能伴随业务的增长而持续提升，持续保证业 务安全。 内生安全有三个特性，即依靠信息化系统与安全系统的聚合、业务数据与安全数 据的聚合以及 IT 人才和安全人才的聚合，从信息化系统的内部，不断长出自适 应、自主和自成长的安全能力。

5.内生安全框架:

为推动内生安全的落地，奇安信推出了内生安全框架。 该框架从顶层视角出发，支撑各行业的建设模式从"局部整改外挂式"，走向"深 度融合体系化"；从工程实现的角度，将安全需求分步实施，逐步建成面向未来 的安全体系；内生安全框架能够输出实战化、体系化、常态化的安全能力，构建 出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全 防御体系。 内生安全框架包含了总结出了 29 个安全区域场景和 79 类安全组件。

6.PPDR:

英文全称为 Policy Protection Detection Response，翻译为策略、防护、检测和响 应。 主要以安全策略为核心，通过一致性检查、流量统计、异常分析、模式匹配以及 基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。

7.CARTA:

全称为 Continuous Adaptive Risk and Trust Assessment，即持续自适应风险与信任 评估旨在通过动态智能分析来评估用户行为，放弃追求完美的安全，不能要求零 风险，不要求 100%信任，寻求一种 0 和 1 之间的风险与信任的平衡。 CARTA 战略是一个庞大的体系，其包括大数据、AI、机器学习、自动化、行为 分析、威胁检测、安全防护、安全评估等方面。

8.SASE:

全称为 Secure Access Service Edge，即安全访问服务边缘，Gartner 将其定义为一 种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续 评估风险/信任的服务。 实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统 或边缘计算场地相关联。

9.SDL:

全称为 Security Development Lifecycle，翻译为安全开发生命周期，是一个帮助 开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开 发过程，最早由微软提出。

10.DevSecOps:

全称为 Development Security Operations，可翻译为安全开发与运维。 它强调在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性，制定自 动安全防护计划，并贯穿始终，实现持续 IT 防护。

11.代码审计:

顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或 者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐 条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施 和建议。

12.NTLM:

验证 NTLM(NT LAN Manager)是微软公司开发的一种身份验证机制，从 NT4 开始就 一直使用，主要用于本地的帐号管理。

13.MTTD:

平均检测时间。

14.MTTR:

平均响应时间。 227.CVE 全称 Common Vulnerabilities and Exposures，由于安全机构 Mitre 维护一个国际通 用的漏洞唯一编号方案，已经被安全业界广泛接受的标准。

15.数据脱敏：

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护，主要用于数据的共享和交易等涉及大范围数据流动的场景。

16.GDPR:

《通用数据保护条例》（General Data Protection Regulation，简称 GDPR）为欧 洲联盟的条例，前身是欧盟在 1995 年制定的《计算机数据保护法》。

17.CCPA:

美国加利福尼亚州消费者隐私保护法案。

18.SRC:

即 Security Response Center，中文名为安全应急响应中心，主要职责为挖掘并公 开收集机构存在的漏洞和其他安全隐患。

19.CISO:

有时也被叫做 CSO，即首席信息安全官，为机构的主要安全负责人

20.CASB:

全称 Cloud Access Security Broker，即云端接入安全代理。作为部署在客户和云 服务商之间的安全策略控制点，是在访问基于云的资源时企业实施的安全策略。

21.爬虫:

网络爬虫（又称为网页蜘蛛，网络机器人，在 FOAF 社区中间，更经常的称为网 页追逐者），是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。

22.防爬:

意为防爬虫，主要是指防止网络爬虫从自身网站中爬取信息。网络爬虫是一种按 照一定的规则，自动地抓取网络信息的程序或者脚本。

23.安全资源池：

安全资源池是多种安全产品虚拟化的集合，涵盖了服务器终端、网络、业务、数 据等多种安全能力。

24.IAM:

全称为 Identity and Access Management，即身份与访问管理，经常也被叫做身份 认证。

25.Access Control list(ACL):

访问控制列表。

26.多因子认证:

主要区别于单一口令认证的方式，要通过两种以上的认证机制之后，才能得到授 权，使用计算机资源。 例如，用户要输入 PIN 码，插入银行卡，最后再经指纹比对，通过这三种认证 方式，才能获得授权。这种认证方式可以降低单一口令失窃的风险，提高安全性。

27.特权账户管理:

简称 PAM。由于特权账户往往拥有很高的权限，因此一旦失窃或被滥用，会给 机构带来非常大的网络安全风险。所以，特权账户管理往往在显得十分重要。 其主要原则有：杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现 最小权限访问模型、对这些凭证执行的活动实现审计功能。

28.零信任:

零信任并不是不信任，而是作为一种新的身份认证和访问授权理念，不再以网络 边界来划定可信或者不可信，而是默认不相信任何人、网络以及设备，采取动态 认证和授权的方式，把访问者所带来的的网络安全风险降到最低。

29.SDP:

全称为 Software Defined Perimeter，即软件定义边界，由云安全联盟基于零信任 网络提出，是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。

30.Security as a Service：

安全即服务，通常可理解为以 SaaS 的方式，将安全能力交付给客户。

31.同态加密:

同态加密是一类具有特殊自然属性的加密方法，此概念是 Rivest 等人在 20 世纪 70 年代首先提出的，与一般加密算法相比，同态加密除了能实现基本的加密操 作之外，还能实现密文间的多种计算功能。

32.量子计算:

是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式，目前已经 逐渐应用于加密和通信传输。

33.可信计算:

是一项由可信计算组（可信计算集群，前称为 TCPA）推动和开发的技术。 可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算 平台，以提高系统整体的安全性。

34.拟态防御:

核心实现是一种基于网络空间内生安全机理的动态异构冗余构造（Dynamic Heterogeneous Redundancy，DHR)，为应对网络空间中基于未知漏洞、后门或病 毒木马等的未知威胁，提供具有普适创新意义的防御理论和方法。

35.区块链:

英文名为 blockchain，它是一个共享数据库，存储于其中的数据或信息，具有"不 可伪造"、"全程留痕"、"可以追溯"、"公开透明"、"集体维护"等特征。

36.远程浏览器:

鉴于浏览器往往成为黑客攻击的入口，因此将浏览器部署在远程的一个"浏览器 服务器池"中。 这样一来，这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的， 从而使得客户所在网络的暴露面大大降低。 这种服务也类似于虚拟桌面、云手机等产品。

37.云手机:

云手机采用全新的 VMI（Virtual Mobile Infrastructure 虚拟移动设施，与 PC 云桌 面类似）技术，为员工提供一个独立的移动设备安全虚拟手机，业务应用和数据 仅在服务端运行和存储，个人终端上仅做加密流媒体呈现和触控，从而有效保障 企业数据的安全性。

38.钻石模型:

钻石模型在各个领域的应用都十分广泛，在网络安全领域，钻石模型首次建立了 一种将科学原理应用于入侵分析的正式方法： 可衡量、可测试和可重复------提供了一个对攻击活动进行记录、(信息)合成、关 联的简单、正式和全面的方法。 这种科学的方法和简单性可以改善分析的效率、效能和准确性。

39.关联分析:

又称关联挖掘，就是在交易数据、关系数据或其他信息载体中，查找存在于项目 集合或对象集合之间的频繁模式、关联、相关性或因果结构。 在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘，找出其中 潜在的入侵行为。

40.态势感知:

是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础， 从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式， 最终是为了决策与行动，是安全能力的落地。

41.探针:

也叫作网络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在 网络拓扑的关键节点上，用于收集和分析流量和日志，发现异常行为，并对可能 到来的攻击发出预警。

42.网络空间测绘:

用搜索引擎技术来提供交互，让人们可以方便的搜索到网络空间上的设备。 相对于现实中使用的地图，用各种测绘方法描述和标注地理位置，用主动或被动 探测的方法，来绘制网络空间上设备的网络节点和网络连接关系图，及各设备的画像。

43.SOAR:

全称 Security Orchestration, Automation and Response，意即安全编排自动化与响 应，主要通过剧本化、流程化的指令，对入侵行为采取的一系列自动化或者半自 动化响应处置动作。

44.UEBA:

全称为 User and Entity Behavior Analytics，即用户实体行为分析，一般通过大数 据分析的方法，分析用户以及 IT 实体的行为，从而判断是否存在非法行为。

45.内存保护:

内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的 主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间。

46.RASP:

全称为 Runtime application self-protection，翻译成应用运行时自我保护。 在 2014 年时由 Gartner 提出，它是一种新型应用安全保护技术，它将保护程序像 疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击， 使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对 其进行防御，而不需要进行人工干预。

47.包检测:

对于流量包、数据包进行拆包、检测的行为。

48.深度包检测:

Deep Packet Inspection，缩写为 DPI，又称完全数据包探测（complete packet inspection）或信息萃取（Information eXtraction，IX），是一种计算机网络数据 包过滤技术，用来检查通过检测点之数据包的数据部分（亦可能包含其标头）， 以搜索不匹配规范之协议、病毒、垃圾邮件、入侵迹象。

49.全流量检测:

全流量主要体现在三个"全"上，即全流量采集与保存，全行为分析以及全流量 回溯。通过全流量分析设备，实现网络全流量采集与保存、全行为分析与全流量 回溯，并提取网络元数据上传到大数据分析平台实现更加丰富的功能。

50.元数据:

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历 史数据、资源查找、文件记录等功能。

51.欺骗检测:

以构造虚假目标来欺骗并诱捕攻击者，从而达到延误攻击节奏，检测和分析攻击 行为的目的。

52.微隔离:

顾名思义是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合 云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业 数据中心网络内部后的横向平移。

53.逆向:

常见于逆向工程或者逆向分析，简单而言，一切从产品中提取原理及设计信息并 应用于再造及改进的行为，都是逆向工程。在网络安全中，更多的是调查取证、 恶意软件分析等。

54.无代理安全:

在终端安全或者虚拟化安全防护中，往往需要在每一台主机或者虚机上安装 agent（代理程序）来实现，这种方式往往需要消耗大量的资源。 而无代理安全则不用安装 agent，可以减少大量的部署运维工作，提升管理效率。

55.CWPP:

全称 Cloud Workload Protection Platform，意为云工作负载保护平台，主要是指对 云上应用和工作负载（包括虚拟主机和容器主机上的工作负载）进行保护的技术， 实现了比过去更加细粒度的防护，是现阶段云上安全的最后一道防线。

56.CSPM:

云安全配置管理，能够对基础设施安全配置进行分析与管理。这些安全配置包括 账号特权、网络和存储配置、以及安全配置（如加密设置）。如果发现配置不合 规，CSPM 会采取行动进行修正。

57.东西向流量:

通常指数据中心内部不同主机之间互相通信所产生的的流量。

58.规则库:

网络安全的核心数据库，类似于黑白名单，用于存储大量安全规则，一旦访问行 为和规则库完成匹配，则被认为是非法行为。所以有人也将规则库比喻为网络空 间的法律。

59.下一代:

网络安全领域经常用到，用于表示产品或者技术有较大幅度的创新，在能力上相 对于传统方法有明显的进步，通常缩写为 NG（Next Gen）。 例如 NGFW（下一代防火墙）、NGSOC（下一代安全管理平台）等。

60.大数据安全分析:

区别于传统被动规则匹配的防御模式，以主动收集和分析大数据的方法，找出其 中可能存在的安全威胁，因此也称数据驱动安全。

61.EPP:

全称为 Endpoint Protection Platform，翻译为端点保护平台，部署在终端设备上的 安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁，通常 与 EDR 进行联动。

62.EDR:

全称 Endpoint Detection & Response，即端点检测与响应，通过对端点进行持续 检测，同时通过应用程序对操作系统调用等异常行为分析，检测和防护未知威胁， 最终达到杀毒软件无法解决未知威胁的目的。

63.NDR:

全称 Network Detection & Response，即网络检测与响应，通过对网络侧流量的持 续检测和分析，帮助企业增强威胁响应能力，提高网络安全的可见性和威胁免疫力。

64.安全可视化:

指在网络安全领域中的呈现技术，将网络安全加固、检测、防御、响应等过程中 的数据和结果转换成图形界面，并通过人机交互的方式进行搜索、加工、汇总等 操作的理论、方法和技术。

65.NTA:

网络流量分析（NTA）的概念是 Gartner 于 2013 年首次提出的，位列五种检测高 级威胁的手段之一。 它融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以 检测企业网络中的可疑行为，尤其是失陷后的痕迹。

66.MDR:

全称 Managed Detection & Response，即托管检测与响应，依靠基于网络和主机 的检测工具来识别恶意模式。 此外，这些工具通常还会从防火墙之内的终端收集数据，以便更全面地监控网络 活动。

67.应急响应:

通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后 所采取的措施。 166.XDR 通常指以检测和响应技术为核心的网络安全策略的统称，包括 EDR、NDR、MDR 等。

68.安全运营:

贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节，实 行系统的管理方法和流程，将各个环节的安全防控作用有机结合，保障整个业务 的安全性。

69.威胁情报:

根据 Gartner 的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标 示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危 害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根 据使用对象的不同，威胁情报主要分为人读情报和机读情报。

70.TTP:

主要包括三要素，战术 Tactics、技术 Techniques 和过程 Procedures，是描述高级 威胁组织及其攻击的重要指标，作为威胁情报的一种重要组成部分，TTP 可为安 全分析人员提供决策支撑。

71.IOC:

中文名为失陷标示：用以发现内部被 APT 团伙、木马后门、僵尸网络控制的失 陷主机，类型上往往是域名、URL: 等。 目前而言，IOC 是应用最为广泛的威胁情报，因为其效果最为直接。一经匹配， 则意味着存在已经失陷的主机。

72.上下文:

从文章的上下文引申而来，主要是指某项威胁指标的关联信息，用于实现更加精 准的安全匹配和检测。

73.STIX:

STIX 是一种描述网络威胁信息的结构化语言，能够以标准化和结构化的方式获 取更广泛的网络威胁信息，常用于威胁情报的共享与交换，目前在全球范围内使用最为广泛。 STIX 在定义了 8 中构件的 1.0 版本基础上，已经推出了定义了 12 中构件的 2.0 版本。

74.杀伤链:

杀伤链最早来源于军事领域，用于描述进攻一方各个阶段的状态。 在网络安全领域，这一概念最早由洛克希德-马丁公司提出，英文名称为 Kill Chain，也称作网络攻击生命周期，包括侦查追踪、武器构建、载荷投递、漏洞 利用、安装植入、命令控制、目标达成等七个阶段，来识别和防止入侵。

75.ATT&CK:

可以简单理解为描述攻击者技战术的知识库。 MITRE 在 2013 年推出了该模型，它是根据真实的观察数据来描述和分类对抗行 为。ATT&CK 将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成 战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息 的可信自动化交换（TAXII）来表示。