Sanasto

Hälytysväsymys on ilmiö, jossa turvallisuus- tai operatiiviset tiimit hukkuvat päivittäisiin hälytyksiin. Ajan myötä ihmiset väsyvät, stressaantuvat ja alkavat jättää ne huomiotta.

API-turvallisuus on prosessi, jossa suojataan API:t, modernin ohjelmiston osat, jotka mahdollistavat sovellusten välisen viestinnän, luvattomalta pääsyltä, väärinkäytöltä tai hyökkäyksiltä.

API-turvatestaus löytää ja korjaa haavoittuvuuksia, kuten rikkinäisen autentikoinnin tai tietovuodot API:ssa, mikä on välttämätöntä nykyaikaisten sovellusten ja arkaluontoisten tietojen suojaamiseksi.

Sovellusturvallisuus on käytäntö suojata ohjelmistoja haavoittuvuuksilta ja hyökkäyksiltä koko SDLC:n ajan. Opi sen merkitys, yleiset uhat ja elinkaarikäytännöt nykyaikaisten sovellusten suojaamiseksi pilvi- ja konttiympäristöissä.

Sovelluksen tietoturva-arviointi on prosessi, jossa tunnistetaan ja korjataan ohjelmistojen haavoittuvuuksia. Opi sen tavoitteet, osat, yleiset työkalut ja haasteet suojellaksesi sovelluksia kyberuhkilta.

Sovelluksen tietoturvaelinkaari integroi tietoturvan jokaiseen ohjelmistokehityksen vaiheeseen1suunnittelusta ja suunnittelusta käyttöönottoon ja ylläpitoon. Tutustu sen vaiheisiin, parhaisiin käytäntöihin ja miksi se on kriittinen nykyaikaisten sovellusten suojaamiseksi.

Application Security Posture Management (ASPM) on alusta, joka antaa organisaatioille täydellisen näkyvyyden ja hallinnan sovellusturvariskeihinsä koko ohjelmiston elinkaaren ajan.

Sovellusten tietoturvatestaus (AST) tarkoittaa sovellusten tarkistamista heikkouksien varalta, joita hyökkääjät voisivat käyttää. Yleisiä AST-menetelmiä ovat SAST, DAST ja IAST, jotka auttavat pitämään ohjelmistot turvassa kehityksen jokaisessa vaiheessa.

CI-porttien käyttö on automatisoitu "pysäytä linja" -mekanismi kehitysputkessa. Se arvioi koodia turvallisuus- ja laatupolitiikkojen perusteella, estäen kaikki sitoumukset, jotka eivät täytä vaatimuksia.

CI/CD-putki on automatisoitu prosessi, joka vie koodin kehittäjän kannettavalta tietokoneelta turvallisesti käyttäjille. Se rakentaa koodin, testaa sen ja ottaa sen käyttöön ilman manuaalisia vaiheita.

CI/CD-turvallisuus on prosessi, jossa turvallisuus integroidaan jatkuvan integraation ja jatkuvan käyttöönoton (CI/CD) putkeen, alkaen sitoutumisesta käyttöönottoon.

Pilviturvallisuuden asennonhallinta (CSPM) on turvallisuusmenetelmä ja työkalusarja, joka jatkuvasti valvoo pilviympäristöä havaitakseen ja korjatakseen virheellisiä asetuksia, vaatimustenmukaisuuden rikkomuksia ja turvallisuusriskejä pilvialustoilla kuten AWS, Azure tai Google Cloud.

CNAPP (Pilvipohjainen sovellusten suojausalusta) on yhtenäinen turvallisuusmalli. Se yhdistää pilviturvallisuuden asennonhallinnan (CSPM), pilvikuormituksen suojauksen (CWPP), pilvi-infrastruktuurin oikeuksien hallinnan (CIEM) ja sovellusturvallisuuden asennonhallinnan (ASPM).

CVE tarkoittaa yleisiä haavoittuvuuksia ja altistuksia. Se on järjestelmä, joka seuraa kyberturvallisuuden haavoittuvuuksia, jotka ovat jo yleisesti tunnettuja.

Konttiturvallisuus on prosessi, jossa suojataan konttipohjaisia sovelluksia (jotka toimivat Dockerissa tai Kubernetesissa) niiden koko elinkaaren ajan, rakentamisesta ajonaikaan.

CVSS on standardi tapa kertoa, kuinka vakava tietoturvavirhe on. Se antaa jokaiselle haavoittuvuudelle pisteet 0:sta 10:een, jotta tiimit tietävät, mitä korjata ensin.

DevSecOps on työtapa, joka lisää turvallisuutta jokaiseen DevOps-prosessin vaiheeseen, alkaen koodauksesta ja testauksesta ja jatkuen käyttöönottoon ja ylläpitoon.

Yksinkertainen selitys Docker-konteista, niiden toiminnasta ja miksi kehittäjät käyttävät niitä sovellusten ajamiseen johdonmukaisesti eri ympäristöissä.

Dynaaminen sovellusten tietoturvatestaus, eli DAST, on tapa tarkistaa sovelluksen tietoturva sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa tietoturvaa simuloimalla todellisia hyökkäyksiä, kuten SQL-injektioita ja Cross-Site Scripting (XSS) -hyökkäyksiä, reaaliaikaisessa ympäristössä.

Exploit Prediction Scoring System (EPSS) on tietoon perustuva standardi, joka arvioi todennäköisyyttä, että tiettyä ohjelmistohaavoittuvuutta hyödynnetään luonnossa.

Väärä positiivinen on tilanne, jossa tietoturvatyökalu raportoi ongelmasta, jota ei todellisuudessa ole.

Infrastructure as Code (IaC) -turvallisuus on prosessi, jossa pilvi-infrastruktuuri suojataan skannaamalla konfiguraatiotiedostot tai skriptit, jotka on kirjoitettu tietyillä kielillä kuten Terraform, CloudFormation, Kubernetes YAML, jne., ennen käyttöönottoa.

Interaktiivinen sovellusturvatestaus (IAST) on menetelmä, joka yhdistää SAST:n (staattinen sovellusturvatestaus) ja DAST:n (dynaaminen sovellusturvatestaus) löytääkseen sovellusten haavoittuvuudet tehokkaammin.

Haittaohjelmien havaitseminen tarkoittaa haitallisen ohjelmiston, kuten virusten, kiristysohjelmien, vakoiluohjelmien ja troijalaisten, löytämistä ja estämistä järjestelmissä, verkoissa ja sovelluksissa.

MTTR on keskeinen kyberturvallisuusmittari, joka osoittaa, kuinka nopeasti reagoit tunnettuun uhkaan

Monivaiheinen todennus on turvallisuusmenetelmä, joka vaatii kaksi tai useampia todennustapoja sovelluksen tai järjestelmän käyttöön. MFA lisää ylimääräisen suojakerroksen, joten et luota pelkästään salasanaan.

NVD on maailman ensisijainen haavoittuvuustietojen arkisto, jota ylläpitää NIST. Se rikastaa CVE-tunnisteita CVSS-vakavuuspisteillä, CWE-luokituksilla ja yksityiskohtaisilla teknisillä kuvauksilla.

Avoimen lähdekoodin auditointi on kattava tarkastelu kaikista ohjelmistosovelluksessa käytetyistä avoimen lähdekoodin komponenteista

OWASP Top 10 listaa vakavimmat web-sovellusten haavoittuvuudet. OWASP tarjoaa myös hyödyllisiä resursseja, joiden avulla kehittäjät ja turvallisuustiimit voivat oppia löytämään, korjaamaan ja ehkäisemään näitä ongelmia nykypäivän sovelluksissa.

Tietojenkalastelu on eräänlainen sosiaalisen manipuloinnin hyökkäys, jossa hyökkääjät esiintyvät luotettavina tahoina, kuten pankkeina, pilvipalveluina, työtovereina jne., huijatakseen uhria paljastamaan arkaluontoisia tietojaan, kuten salasanan, luottokortin numeron tai muita tunnistetietoja.

RBAC on menetelmä järjestelmän turvallisuuden hallintaan määrittämällä käyttäjille tietyt roolit organisaatiossa. Jokaisella roolilla on oma joukko oikeuksia, jotka määrittävät, mitä toimia kyseisen roolin käyttäjät saavat suorittaa.

Käänteinen shell on etäshell, jossa uhrin tietokone aloittaa yhteyden hyökkääjän tietokoneeseen.

SBOM on yksityiskohtainen inventaario ohjelmiston muodostavista komponenteista, mukaan lukien kolmannen osapuolen ja avoimen lähdekoodin kirjastot sekä kehysversiot.

Salaisuuksien havaitseminen on prosessi, jossa skannataan koodikantoja, CI/CD-putkia ja pilviä paljastuneiden salaisuuksien, kuten API-avainten, tunnistetietojen, salausavainten tai tunnusten, tunnistamiseksi. Tämä on tärkeää, koska hyökkääjät, kuten tunnistetietojen täyttöbotit tai pilviresurssien kaappaajat, voivat hyödyntää näitä paljastuneita salaisuuksia saadakseen luvattoman pääsyn.

Korjaaminen tarkoittaa heikkouksien korjaamista tai poistamista organisaation järjestelmistä niiden turvaamiseksi ja riskin vähentämiseksi.

Ohjelmiston koostumusanalyysi (SCA) on turvallisuusprosessi, joka tunnistaa ja hallitsee riskejä sovelluksessa käytetyissä kolmannen osapuolen kirjastoissa.

Ohjelmistokehityksen elinkaari, eli SDLC, on prosessi, joka auttaa kehitystiimejä suunnittelemaan, suunnittelemaan, rakentamaan, testaamaan ja julkaisemaan sovelluksia järjestelmällisesti.

Ohjelmistojen toimitusketjun turvallisuus tarkoittaa jokaisen osan, prosessin ja työkalun turvaamista koko ohjelmistokehityksen ajan, ensimmäisestä koodirivistä lopulliseen käyttöönottoon.

SQL-injektio (SQLi) on hyökkäystyyppi, jossa hyökkääjät syöttävät haitallisia SQL-lauseita syöttökenttään manipuloidakseen tietokantaa.

SSDLC (Secure Software Development Life Cycle) on perinteisen SDLC:n laajennus, joka sisällyttää turvallisuuskäytännöt ohjelmistokehityksen jokaiseen vaiheeseen—suunnittelu, koodaus, testaus, käyttöönotto ja ylläpito. Sen tavoitteena on tunnistaa ja käsitellä haavoittuvuuksia varhaisessa vaiheessa, vähentää kalliita korjauksia ja varmistaa turvallisemmat sovellukset.

SAST on eräänlainen sovellusturvatestaus, joka tarkistaa sovelluksen lähdekoodin (kehittäjien kirjoittama alkuperäinen koodi), riippuvuudet (ulkopuoliset kirjastot tai paketit, joihin koodi tukeutuu) tai binääritiedostot (käännetty koodi, joka on valmis ajettavaksi) ennen sen suorittamista.

Cross-Site Scripting eli XSS on verkkosivustojen tietoturvahaavoittuvuus, joka mahdollistaa hyökkääjien haitallisten skriptien lisäämisen verkkosivuille. Useimmiten nämä skriptit on kirjoitettu JavaScriptillä.

Zero Trust on kyberturvallisuuden käsite, joka olettaa, ettei mitään laitetta, käyttäjää tai sovellusta tule luottaa, vaikka ne olisivat verkon sisäpuolella. Pääsy myönnetään vasta laitteen terveyden, identiteetin ja kontekstin tarkistamisen jälkeen.

Nollapäivähaavoittuvuus on ohjelmiston tietoturva-aukko, jonka myyjä tai kehittäjä on juuri löytänyt, joten heillä ei ole ollut aikaa luoda tai julkaista korjausta. Koska korjausta ei ole vielä saatavilla, verkkorikolliset voivat hyödyntää näitä aukkoja käynnistääkseen hyökkäyksiä, joita on vaikea havaita ja pysäyttää.

Kaksivaiheinen tunnistautuminen (2FA) on turvallisuusmenetelmä, joka vaatii käyttäjiä antamaan kaksi erilaista tunnistautumistekijää henkilöllisyytensä vahvistamiseksi. Sitä pidetään MFA:n (monivaiheinen tunnistautuminen) alaryhmänä, koska MFA voi sisältää kaksi tai useampia vahvistustekijöitä, kun taas 2FA tarkoittaa tarkalleen kahta.