מילון מונחים

עייפות התראות היא מה שקורה כאשר צוותי אבטחה או תפעול מוצפים בהתראות כל יום. עם הזמן, אנשים מתעייפים, לחוצים ומתחילים להתעלם מהן.

אבטחת API היא התהליך של הגנה על APIs, החלקים בתוכנה מודרנית שמאפשרים לתוכנות לתקשר, מפני גישה לא מורשית, ניצול או התקפות.

בדיקת אבטחת API מוצאת ומתקנת פגיעויות כמו אימות שבור או דליפות נתונים ב-APIs, חיונית להגנה על אפליקציות מודרניות ונתונים רגישים.

אבטחת יישומים היא הפרקטיקה של הגנה על תוכנה מפני פגיעויות והתקפות לאורך כל מחזור חיי הפיתוח. למד על חשיבותה, איומים נפוצים ופרקטיקות מחזור חיים לאבטחת יישומים מודרניים בסביבות ענן ומכולות.

הערכת אבטחת יישומים היא תהליך של זיהוי ותיקון פגיעויות בתוכנה. למד על מטרותיה, מרכיביה, כלים נפוצים ואתגרים כדי להגן על יישומים מאיומי סייבר.

מחזור החיים של אבטחת יישומים משלב אבטחה בכל שלב של פיתוח תוכנה - מתכנון ועיצוב ועד לפריסה ותחזוקה. למד את שלביו, את השיטות הטובות ביותר, ומדוע הוא קריטי להגנה על יישומים מודרניים.

ניהול עמדת אבטחת יישומים (ASPM) הוא פלטפורמה שנותנת לארגונים ראות ושליטה מלאה על סיכוני אבטחת היישומים שלהם לאורך כל מחזור חיי התוכנה.

בדיקת אבטחת יישומים (AST) פירושה בדיקת יישומים לאיתור חולשות שהתקפים יכולים לנצל. שיטות AST נפוצות כוללות SAST, DAST ו-IAST, המסייעות לשמור על אבטחת התוכנה בכל שלב של הפיתוח.

CI Gating הוא מנגנון אוטומטי של "עצור את הקו" בצנרת הפיתוח. הוא מעריך קוד מול מדיניות אבטחה ואיכות, וחוסם כל התחייבות שאינה עומדת בדרישות

צינור CI/CD הוא תהליך אוטומטי שמביא קוד מהמחשב הנייד של המפתח ומעביר אותו בבטחה למשתמשים. הוא בונה את הקוד, בודק אותו ומפרסם אותו ללא תלות בצעדים ידניים.

אבטחת CI/CD היא תהליך של שילוב אבטחה בצנרת האינטגרציה והפריסה הרציפה (CI/CD), מהמחויבות ועד לפריסה.

ניהול מצב אבטחת ענן (CSPM) הוא שיטת אבטחה וכלי שמנטרים באופן רציף את סביבת הענן כדי לזהות ולתקן תצורות שגויות, הפרות תאימות וסיכוני אבטחה בפלטפורמות ענן כגון AWS, Azure או Google Cloud

CNAPP (פלטפורמת הגנת יישומים ילידת ענן) היא מודל אבטחה מאוחד. היא משלבת ניהול עמידות אבטחת ענן (CSPM), הגנת עומסי עבודה בענן (CWPP), ניהול הרשאות תשתית ענן (CIEM), וניהול עמידות אבטחת יישומים (ASPM).

CVE הוא ראשי תיבות של פגיעויות וחשיפות נפוצות. זהו מערכת שעוקבת אחר פגיעויות סייבר שכבר ידועות לציבור.

אבטחת מכולות היא תהליך הגנה על יישומים במכולות (הרצים על Docker או Kubernetes) לאורך כל מחזור החיים שלהם, מבנייה ועד זמן ריצה.

CVSS היא דרך סטנדרטית לתאר כמה חמור באג אבטחה. היא נותנת לכל פגיעות ציון מ-0 עד 10 כדי שצוותים ידעו מה לתקן קודם.

DevSecOps הוא דרך עבודה שמוסיפה אבטחה לכל שלב בתהליך ה-DevOps, החל מקידוד ובדיקות ועד לפריסה ותחזוקה

הסבר פשוט על מיכלי Docker, כיצד הם פועלים ומדוע מפתחים משתמשים בהם כדי להריץ אפליקציות בעקביות בסביבות שונות.

בדיקות אבטחת יישומים דינמיות, או DAST, הן דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, שבודק את קוד המקור, DAST בודק את האבטחה על ידי סימולציה של התקפות אמיתיות כמו SQL Injection ו-Cross-Site Scripting (XSS) בסביבה חיה.

מערכת ניקוד לחיזוי ניצול (EPSS) היא תקן מבוסס נתונים שמעריך את הסבירות שנקודת תורפה מסוימת בתוכנה תנוצל בשטח.

חיוב שגוי הוא כאשר כלי אבטחה מדווח על בעיה שאינה קיימת בפועל.

אבטחת תשתית כקוד (IaC) היא תהליך של אבטחת תשתית הענן שלך על ידי סריקת קבצי הקונפיגורציה או הסקריפטים שנכתבו בשפות ספציפיות כמו Terraform, CloudFormation, Kubernetes YAML, וכו', לפני הפריסה.

בדיקת אבטחת יישומים אינטראקטיבית (IAST) היא שיטה שמשלבת SAST (בדיקת אבטחת יישומים סטטית) ו-DAST (בדיקת אבטחת יישומים דינמית) כדי למצוא פגיעויות ביישומים בצורה יעילה יותר.

זיהוי תוכנות זדוניות פירושו מציאת וחסימת תוכנות מזיקות כגון וירוסים, תוכנות כופר, רוגלות וסוסים טרויאניים על מערכות, רשתות ויישומים.

MTTR הוא מדד מפתח בתחום הסייבר שמראה כמה מהר אתם מגיבים לאיום ידוע

אימות רב-גורמי הוא שיטת אבטחה הדורשת שני סוגי אימות או יותר כדי לגשת ליישום או מערכת. MFA מוסיף שכבת הגנה נוספת, כך שלא תסתמך רק על סיסמה.

ה-NVD הוא מאגר הפגיעויות הראשי בעולם המנוהל על ידי NIST. הוא מעשיר מזהי CVE עם ציוני חומרה CVSS, סיווגי CWE ותיאורים טכניים מפורטים.

ביקורת קוד פתוח היא סקירה מקיפה של כל הרכיבים בקוד פתוח המשמשים בתוך יישום תוכנה

רשימת OWASP Top 10 מציינת את הפגיעויות החמורות ביותר באפליקציות ווב. OWASP מציעה גם משאבים מועילים כך שמפתחים וצוותי אבטחה יכולים ללמוד כיצד למצוא, לתקן ולמנוע בעיות אלו באפליקציות של היום.

פישינג הוא סוג של מתקפת הנדסה חברתית שבה תוקפים מתחזים לגורמים מהימנים כמו בנקים, שירותי ענן, עמיתים לעבודה וכו' כדי להערים על הקורבן ולגרום לו לחשוף מידע רגיש כמו סיסמאות, מספרי כרטיסי אשראי או אישורים אחרים.

RBAC, היא שיטה לניהול אבטחת מערכת על ידי הקצאת משתמשים לתפקידים ספציפיים בתוך ארגון. כל תפקיד מגיע עם סט הרשאות משלו, שקובע אילו פעולות משתמשים בתפקיד זה מורשים לבצע.

Reverse Shell הוא מעטפת מרוחקת שבה מחשב הקורבן מתחיל את החיבור למחשב התוקף.

SBOM הוא רשימת מלאי מפורטת של רכיבים המרכיבים תוכנה, כולל ספריות צד שלישי וקוד פתוח, וגרסאות מסגרת.

זיהוי סודות הוא תהליך של סריקת בסיסי קוד, מסלולי CI/CD והענן כדי לזהות סודות חשופים כגון מפתחות API, אישורים, מפתחות הצפנה או אסימונים. זה חשוב מכיוון שתוקפים, כמו בוטים למילוי אישורים או חוטפי משאבי ענן, יכולים לנצל את הסודות החשופים הללו כדי להשיג גישה לא מורשית.

תיקון משמעו תיקון או הסרת חולשות במערכות הארגון כדי להפוך אותן לבטוחות ולהפחית סיכון.

ניתוח הרכב תוכנה (SCA) הוא תהליך אבטחה שמזהה ומנהל סיכונים בספריות צד שלישי המשמשות בתוך יישום

מחזור חיי פיתוח תוכנה, או SDLC, הוא תהליך שעוזר לצוותי פיתוח לתכנן, לעצב, לבנות, לבדוק ולהשיק יישומים בצורה מאורגנת.

אבטחת שרשרת אספקה תוכנה עוסקת בשמירה על כל חלק, תהליך וכלי בטוחים לאורך כל פיתוח התוכנה, מהשורה הראשונה של הקוד ועד לפריסה הסופית.

הזרקת SQL (SQLi) היא סוג של התקפה שבה תוקפים מכניסים פקודת SQL זדונית לשדה קלט כדי לתמרן את מסד הנתונים.

SSDLC (מחזור חיי פיתוח תוכנה מאובטח) הוא הרחבה של SDLC המסורתי שמשלבת פרקטיקות אבטחה בכל שלב של פיתוח תוכנה—עיצוב, קידוד, בדיקה, פריסה ותחזוקה. מטרתו היא לזהות ולטפל בפגיעויות מוקדם, להפחית תיקונים יקרים ולהבטיח יישומים מאובטחים יותר.

SAST הוא סוג של בדיקות אבטחת יישומים שבודק את קוד המקור של היישום (הקוד המקורי שנכתב על ידי מפתחים), תלות (ספריות חיצוניות או חבילות שהקוד מסתמך עליהן), או בינאריים (קוד מהודר מוכן להרצה) לפני שהוא רץ.

Cross-Site Scripting, או XSS, הוא פגם אבטחה באתרים שמאפשר לתוקפים להוסיף סקריפטים מזיקים לדפי אינטרנט. רוב הזמן, סקריפטים אלו נכתבים ב-JavaScript.

Zero Trust הוא מושג בתחום הסייבר שמניח שאין לבטוח באף מכשיר, משתמש או יישום, אפילו אם הם בתוך היקף הרשת. הגישה ניתנת רק לאחר אימות בריאות המכשיר, זהות והקשר.

פגיעות יום אפס היא פגם אבטחה בתוכנה שהספק או המפתח גילו זה עתה, ולכן לא היה להם זמן ליצור או לשחרר תיקון. מכיוון שאין עדיין תיקון, פושעי סייבר יכולים לנצל את הפגמים הללו כדי לבצע התקפות שקשה לזהות ולעצור.

אימות דו-שלבי (2FA) הוא שיטת אבטחה שדורשת מהמשתמשים לספק שני סוגים של גורמי אימות כדי לאשר את זהותם. זה נחשב כתת-קבוצה של MFA, מכיוון ש-MFA (אימות רב-גורמי) יכול לכלול שניים או יותר גורמי אימות, בעוד ש-2FA מתייחס ספציפית לשניים בדיוק.