Bảng thuật ngữ

Mệt mỏi vì cảnh báo là tình trạng xảy ra khi các nhóm bảo mật hoặc vận hành bị ngập trong các cảnh báo mỗi ngày. Theo thời gian, mọi người trở nên mệt mỏi, căng thẳng và bắt đầu bỏ qua chúng.

Bảo mật API là quá trình bảo vệ các API, các phần của phần mềm hiện đại cho phép ứng dụng giao tiếp, khỏi truy cập trái phép, lạm dụng hoặc tấn công.

Kiểm tra Bảo mật API tìm và sửa các lỗ hổng như xác thực bị hỏng hoặc rò rỉ dữ liệu trong API, rất cần thiết để bảo vệ ứng dụng hiện đại và dữ liệu nhạy cảm.

Bảo mật ứng dụng là thực hành bảo vệ phần mềm khỏi các lỗ hổng và tấn công trong toàn bộ vòng đời phát triển phần mềm (SDLC). Tìm hiểu tầm quan trọng của nó, các mối đe dọa phổ biến và các thực hành vòng đời để bảo vệ các ứng dụng hiện đại trong môi trường đám mây và container.

Đánh giá bảo mật ứng dụng là quá trình xác định và khắc phục các lỗ hổng trong phần mềm. Tìm hiểu mục tiêu, thành phần, công cụ phổ biến và thách thức để bảo vệ ứng dụng khỏi các mối đe dọa mạng.

Vòng đời bảo mật ứng dụng tích hợp bảo mật vào mọi giai đoạn phát triển phần mềm—từ lập kế hoạch và thiết kế đến triển khai và bảo trì. Tìm hiểu các giai đoạn, thực tiễn tốt nhất và lý do tại sao nó quan trọng đối với việc bảo vệ các ứng dụng hiện đại.

Quản lý Tư thế An ninh Ứng dụng (ASPM) là một nền tảng cung cấp cho các tổ chức khả năng hiển thị và kiểm soát hoàn toàn các rủi ro an ninh ứng dụng của họ trong suốt vòng đời phần mềm.

Kiểm tra bảo mật ứng dụng (AST) có nghĩa là kiểm tra ứng dụng để tìm các điểm yếu mà kẻ tấn công có thể lợi dụng. Các phương pháp AST phổ biến bao gồm SAST, DAST và IAST, giúp giữ cho phần mềm an toàn ở mọi giai đoạn phát triển.

CI Gating là một cơ chế tự động "dừng dây chuyền" trong quy trình phát triển. Nó đánh giá mã nguồn dựa trên các chính sách bảo mật và chất lượng, chặn bất kỳ cam kết nào không đạt tiêu chuẩn.

Một đường dẫn CI/CD là một quy trình tự động để lấy mã từ máy tính xách tay của nhà phát triển và vận chuyển an toàn đến người dùng. Nó xây dựng mã, kiểm tra và triển khai mà không cần dựa vào các bước thủ công.

Bảo mật CI/CD là quá trình tích hợp bảo mật vào quy trình Tích hợp Liên tục và Triển khai Liên tục (CI/CD), từ cam kết đến triển khai

Quản lý Tư thế Bảo mật Đám mây (CSPM) là phương pháp và bộ công cụ bảo mật liên tục giám sát môi trường đám mây để phát hiện và sửa chữa cấu hình sai, vi phạm tuân thủ và rủi ro bảo mật trên các nền tảng đám mây như AWS, Azure hoặc Google Cloud

CNAPP (Nền tảng bảo vệ ứng dụng gốc đám mây) là một mô hình bảo mật hợp nhất. Nó kết hợp Quản lý tư thế bảo mật đám mây (CSPM), Bảo vệ khối lượng công việc đám mây (CWPP), Quản lý quyền cơ sở hạ tầng đám mây (CIEM), và Quản lý tư thế bảo mật ứng dụng (ASPM).

CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là một hệ thống theo dõi các lỗ hổng an ninh mạng đã được công khai.

Bảo mật Container là quá trình bảo vệ các ứng dụng được container hóa (chạy trên Docker hoặc Kubernetes) trong suốt vòng đời của chúng, từ xây dựng đến thời gian chạy.

CVSS là một cách tiêu chuẩn để đánh giá mức độ nghiêm trọng của lỗi bảo mật. Nó cung cấp cho mỗi lỗ hổng một điểm từ 0 đến 10 để các nhóm biết cần sửa chữa gì trước.

DevSecOps là một phương thức làm việc bổ sung bảo mật vào từng bước của quy trình DevOps, bắt đầu từ việc mã hóa và kiểm thử và tiếp tục qua triển khai và bảo trì

Một giải thích đơn giản về các container Docker, cách chúng hoạt động và lý do các nhà phát triển sử dụng chúng để chạy ứng dụng nhất quán trên các môi trường.

Kiểm tra bảo mật ứng dụng động, hay DAST, là một cách để kiểm tra bảo mật của ứng dụng khi nó đang chạy. Không giống như SAST, vốn xem xét mã nguồn, DAST kiểm tra bảo mật bằng cách mô phỏng các cuộc tấn công thực tế như SQL Injection và Cross-Site Scripting (XSS) trong môi trường trực tiếp.

Hệ thống Đánh giá Dự đoán Khai thác (EPSS) là một tiêu chuẩn dựa trên dữ liệu ước tính khả năng một lỗ hổng phần mềm cụ thể sẽ bị khai thác trong thực tế.

Dương tính giả là khi một công cụ bảo mật báo cáo một vấn đề không thực sự tồn tại.

Bảo mật Hạ tầng như Mã (IaC) là quá trình bảo vệ hạ tầng đám mây của bạn bằng cách quét các tệp cấu hình hoặc script được viết bằng các ngôn ngữ cụ thể như Terraform, CloudFormation, Kubernetes YAML, v.v., trước khi triển khai.

Kiểm tra bảo mật ứng dụng tương tác (IAST) là phương pháp kết hợp SAST (Kiểm tra bảo mật ứng dụng tĩnh) và DAST (Kiểm tra bảo mật ứng dụng động) để tìm các lỗ hổng ứng dụng hiệu quả hơn.

Phát hiện phần mềm độc hại có nghĩa là tìm và chặn phần mềm có hại như virus, ransomware, phần mềm gián điệp và trojan trên hệ thống, mạng và ứng dụng.

MTTR là chỉ số an ninh mạng quan trọng cho thấy bạn phản ứng nhanh chóng như thế nào với một mối đe dọa đã biết

Xác thực đa yếu tố là một phương pháp bảo mật yêu cầu hai hoặc nhiều loại xác minh để truy cập vào một ứng dụng hoặc hệ thống. MFA thêm một lớp bảo vệ bổ sung, vì vậy bạn không chỉ dựa vào mật khẩu

NVD là kho lưu trữ chính về dữ liệu lỗ hổng trên thế giới do NIST duy trì. Nó làm giàu các định danh CVE với điểm số mức độ nghiêm trọng CVSS, phân loại CWE và mô tả kỹ thuật chi tiết.

Kiểm toán Mã nguồn Mở là một đánh giá toàn diện về tất cả các thành phần mã nguồn mở được sử dụng trong một ứng dụng phần mềm

OWASP Top 10 liệt kê những lỗ hổng nghiêm trọng nhất của ứng dụng web. OWASP cũng cung cấp các tài nguyên hữu ích để các nhà phát triển và đội ngũ an ninh có thể học cách tìm, sửa chữa và ngăn chặn những vấn đề này trong các ứng dụng ngày nay.

Phishing là một loại tấn công kỹ thuật xã hội, nơi kẻ tấn công giả danh các thực thể đáng tin cậy như ngân hàng, dịch vụ đám mây, đồng nghiệp, v.v. để lừa nạn nhân tiết lộ thông tin nhạy cảm của họ như mật khẩu, số thẻ tín dụng hoặc các thông tin đăng nhập khác.

RBAC là một phương pháp quản lý bảo mật hệ thống bằng cách gán người dùng vào các vai trò cụ thể trong một tổ chức. Mỗi vai trò đi kèm với một tập hợp quyền riêng, quyết định những hành động mà người dùng trong vai trò đó được phép thực hiện.

Shell đảo ngược là một shell từ xa nơi máy tính của nạn nhân bắt đầu kết nối với máy tính của kẻ tấn công.

SBOM là danh sách chi tiết các thành phần tạo nên một phần mềm, bao gồm các thư viện bên thứ ba và mã nguồn mở, và phiên bản khung.

Phát hiện bí mật là quá trình quét các cơ sở mã, các đường dẫn CI/CD và đám mây để xác định các bí mật bị lộ như khóa API, thông tin đăng nhập, khóa mã hóa hoặc token. Điều này rất quan trọng vì kẻ tấn công, chẳng hạn như bot nhồi nhét thông tin đăng nhập hoặc kẻ chiếm đoạt tài nguyên đám mây, có thể lợi dụng những bí mật bị lộ này để truy cập trái phép.

Khắc phục có nghĩa là sửa chữa hoặc loại bỏ các điểm yếu trong hệ thống của tổ chức để làm cho chúng an toàn và giảm rủi ro.

Phân tích Thành phần Phần mềm (SCA) là quy trình bảo mật để xác định và quản lý rủi ro trong các thư viện bên thứ ba được sử dụng trong ứng dụng

Vòng đời phát triển phần mềm, hay SDLC, là một quy trình giúp các nhóm phát triển lập kế hoạch, thiết kế, xây dựng, kiểm tra và triển khai ứng dụng một cách có tổ chức.

Bảo mật chuỗi cung ứng phần mềm là việc giữ an toàn cho mọi phần, quy trình và công cụ trong suốt quá trình phát triển phần mềm, từ dòng mã đầu tiên đến triển khai cuối cùng.

SQL Injection (SQLi) là một loại tấn công mà kẻ tấn công nhập câu lệnh SQL độc hại vào trường nhập liệu để thao túng cơ sở dữ liệu.

SSDLC (Vòng đời phát triển phần mềm an toàn) là một phần mở rộng của SDLC truyền thống, tích hợp các thực hành bảo mật vào mọi giai đoạn phát triển phần mềm—thiết kế, mã hóa, kiểm thử, triển khai và bảo trì. Mục tiêu của nó là xác định và giải quyết các lỗ hổng sớm, giảm thiểu chi phí sửa chữa và đảm bảo ứng dụng an toàn hơn.

SAST là một loại kiểm tra bảo mật ứng dụng kiểm tra mã nguồn của ứng dụng (mã gốc do các nhà phát triển viết), các phụ thuộc (thư viện hoặc gói bên ngoài mà mã dựa vào), hoặc các tệp nhị phân (mã đã biên dịch sẵn sàng chạy) trước khi nó chạy.

Cross-Site Scripting, hay XSS, là một lỗ hổng bảo mật trên các trang web cho phép kẻ tấn công thêm các script độc hại vào trang web. Phần lớn các script này được viết bằng JavaScript.

Zero Trust là một khái niệm an ninh mạng cho rằng không thiết bị, người dùng, hay ứng dụng nào nên được tin tưởng, ngay cả khi nằm trong phạm vi mạng. Quyền truy cập chỉ được cấp sau khi xác minh tình trạng thiết bị, danh tính và ngữ cảnh.

Lỗ hổng Zero-Day là một lỗi bảo mật phần mềm mà nhà cung cấp hoặc nhà phát triển vừa phát hiện ra, vì vậy họ chưa có thời gian để tạo hoặc phát hành bản vá. Vì chưa có bản sửa lỗi nào, tội phạm mạng có thể lợi dụng những lỗ hổng này để thực hiện các cuộc tấn công khó phát hiện và ngăn chặn.

Xác thực Hai Yếu tố (2FA) là một phương pháp bảo mật yêu cầu người dùng cung cấp hai loại yếu tố xác thực để xác nhận danh tính của họ. Nó được coi là một phần của MFA, vì MFA (Xác thực Nhiều Yếu tố) có thể bao gồm hai hoặc nhiều yếu tố xác minh, trong khi 2FA cụ thể nghĩa là chính xác hai yếu tố.