XDR
通常指以检测和响应技术为核心的网络安全策略的统称,包括EDR、NDR、MDR等 。
安全运营
贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节,实行系统的管理方法和流程 , 将各个环节的安全防控作用有机结合,保障整个业务的安全性 。
威胁情报
根据Gartner的定义,威胁情报是某种基于证据的知识 , 包括上下文、机制、标示、含义和能够执行的建议 , 这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持 。根据使用对象的不同,威胁情报主要分为人读情报和机读情报 。
TTP
主要包括三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标,作为威胁情报的一种重要组成部分 , TTP可为安全分析人员提供决策支撑 。
IOC
中文名为失陷标示:用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等 。
目前而言,IOC是应用最为广泛的威胁情报,因为其效果最为直接 。一经匹配,则意味着存在已经失陷的主机 。
上下文
从文章的上下文引申而来 , 主要是指某项威胁指标的关联信息,用于实现更加精准的安全匹配和检测 。
STIX
STIX是一种描述网络威胁信息的结构化语言,能够以标准化和结构化的方式获取更广泛的网络威胁信息,常用于威胁情报的共享与交换,目前在全球范围内使用最为广泛 。
STIX在定义了8中构件的1.0版本基础上 , 已经推出了定义了12中构件的2.0版本 。
杀伤链
杀伤链最早来源于军事领域,用于描述进攻一方各个阶段的状态 。
在网络安全领域 , 这一概念最早由洛克希德-马丁公司提出,英文名称为Kill Chain,也称作网络攻击生命周期,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵 。
ATT&CK
可以简单理解为描述攻击者技战术的知识库 。
MITRE在2013年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为 。
ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示 。
钻石模型
钻石模型在各个领域的应用都十分广泛,在网络安全领域,钻石模型首次建立了一种将科学原理应用于入侵分析的正式方法:
可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法 。
这种科学的方法和简单性可以改善分析的效率、效能和准确性 。
关联分析
又称关联挖掘,就是在交易数据、关系数据或其他信息载体中 , 查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构 。
在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘,找出其中潜在的入侵行为 。
态势感知
是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基?。?从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地 。
探针
也叫作网络安全探针或者安全探针 , 可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志 , 发现异常行为,并对可能到来的攻击发出预警 。
网络空间测绘
用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备 。
相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法 , 来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像 。
SOAR
全称Security Orchestration, Automation and Response,意即安全编排自动化与响应,主要通过剧本化、流程化的指令,对入侵行为采取的一系列自动化或者半自动化响应处置动作 。
UEBA
全称为User and Entity Behavior Analytics,即用户实体行为分析,一般通过大数据分析的方法 , 分析用户以及IT实体的行为,从而判断是否存在非法行为 。
内存保护
内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制 。内存保护的主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间 。
推荐阅读
- 考研数一不考离散数学吗
- 哥的偏旁部首是什么 哥的偏旁部首是什么意思
- 怎么养肝好?不妨喝碗冬瓜汤
- 交通标志可分为哪几类
- 自费社保一年需交多少 没有单位的个人居民如何交社保
- 哈弗f7落地价 看看报价吧,教你低价购车
- QQ飞车手游S8鹿力大仙怎么获得 鹿力大仙宠物技能羁绊介绍
- 盛情款待什么意思
- 猫薄荷和薄荷的区别 猫薄荷和薄荷有什么区别