Siber güvenlik dünyasında sık kullanılan terimler ve kısaca açıklamalarını vereceğimiz bu makalede eklemek istedikleriniz olursa açıklamalarıyla birlikte yorum kısmında belirtiniz.
Klasikler
CIA
Ayrıca AIC, ICA veya CIA Triad olarak da bilinir. Bunun anlamı tabi ki ABD merkezi istihbarat teşkilatı değil, birçok kişi tarafından Siber Güvenliğin temel dayanakları olarak kabul edilen Gizlilik, Bütünlük ve Kullanılabilirlik(Confidentiality, Integrity, and Availability) anlamına geliyor.
CVE
Common Vulnerabilities and Exposures. CVE’ler, yaygın olarak bilinen yazılım ve sistem güvenlik açıkları ve zafiyetlerdir. Mitre Corporation, CVE’lerin listesini tutar ve kontrol eder.
CWE
Common Weakness Enumeration. CWE’ler, yazılım zayıflıklarını ve güvenlik açıklarını, etki veya yürütmedeki benzerliklere göre sınıflandırmanın bir yoludur.
CVSS
Common Vulnerability Scoring System. CVSS puanları, tüm CVE’lere verilir. Puanlama oldukça karmaşıktır ve sistem şu anda 3.1 sürümündedir.
NVD
National Vulnerability Database.. Ulusal Standartlar ve Teknoloji Enstitüsü-National Institute of Standards and Technology (NIST) tarafından oluşturulan NVD, Mitre CVE listesiyle senkronize edilmiş bir veritabanıdır.
Araçlar
VM
Vulnerability Management- Güvenlik Açığı Yönetimi, ancak aynı zamanda bir diğer potansiyel kullanım olarak Sanal Makine . Bazı yaygın zafiyet tarama araçları arasında Nessus , Nmap , Qualys VM ve Rapid7’nin Nexpose’u bulunur .
EDR
Endpoint Detection & Response-Uç Nokta Tespiti ve Yanıtı. Bu araç sınıfı, ana bilgisayarlara yüklenen uç nokta aracılarını ve bunları yönetmek için altyapıyı içerir. Yaygın örnekler Crowdstrike , Microsoft Defender ATP ve Carbon Black’dir .
SIEM
Security Information and Event Management.-Güvenlik Bilgileri ve Etkinlik Yönetimi. Bir SIEM’in birincil işlevi, çeşitli veri kaynaklarındaki anormallikleri toplamak, normalleştirmek, ilişkilendirmek, toplamak ve saptamaktır. SIEM örnekleri için: Splunk , QRadar ve LogRythm
SOAR
Security Orchestration, Automation, and Response.-Güvenlik Düzenleme, Otomasyon ve Yanıt. SOAR’ın gerçek tanımı biraz gevşektir, ancak genellikle kuruluşların üç temel alanda güvenlik süreçlerinin işlenmesini kolaylaştırmasına olanak tanıyan herhangi bir teknoloji, çözüm veya önceden var olan araç koleksiyonlarına atıfta bulunur; tehdit ve güvenlik açığı yönetimi, olay müdahalesi ve güvenlik işlemleri otomasyonu. SOAR’lar hakkında daha önce de yazmıştım . Bkz Cortex XSOAR , Phantom ve kulvar .
CS
Hayır, Bilgisayar Bilimi değil, CS Container Security- Kapsayıcı Güvenliği anlamına gelir. Sıcak ve büyüyen bir AppSec alt kümesi olan Container Security, her şeyle ilgilenir (genellikle güvende olduğunuzdan emin olmak için docker görüntülerinizi ve katmanlarınızı tarar . Bkz. Sysdig ve StackRox
SCA
Software Composition Analysis-Yazılım Bileşimi Analizi. Bu araçlar ailesi, yazılım bağımlılıklarınızı taramak ve açık kaynak kitaplıklarından bilinen güvenlik açıklarını devralmadığınızdan emin olmak için kullanılır. Bkz. Snyk , Sonarqube ve Ochrona
SAST
Static Application Security Testing.-Statik Uygulama Güvenliği Testi. SAST, herhangi bir şekilde statik kod analizi, derleme öncesi / sonrası içerir ve yanlış yapılandırmalar, mantık hataları ve aslında herhangi bir kod çalıştırmadan çıkarılabilecek diğer sorunlar gibi şeyleri arayabilir. Bkz Veracode , Checkmarx ve haydut .
DAST
Başka bir AST, bu sefer Dynamic Application Security Testing-Dinamik Uygulama Güvenliği Testine bakıyoruz. DAST araçları, çalışan kodu aktif olarak test ettikleri için SAST’ın ötesine geçer. DAST, SQL enjeksiyonu, Siteler Arası Komut Dosyası ve daha fazlası gibi sorunları yakalamak için iyidir. Nikto ve Burp örnek araçlardır.
GRC
Governance, Risk, and Compliance-Yönetim, Risk ve Uyum. GRC araçları oldukça geniş bir yelpazeye yayılabilir ve çoğunlukla, küçük şirketlerin genellikle gözden kaçırarak atlatabilecekleri ek düzenleme ve uyumluluk gereksinimlerine uymak zorunda olan büyük halka açık şirketler tarafından kullanılır. Bkz ServiceNow GRC , Riskonnect ve IBM OpenPages .
CASB
Cloud Access Security Broker. Bulut Erişim Güvenliği Aracısı. Bu, kullanıcılar ve buluta erişim arasında bir aracı görevi gören ve etkinliği izleyen ve kullanım politikalarını uygulayan bir hizmet veya uygulamadır. Bak Netskope , Bitglass ve ForcePoint .
TIP
Threat Intelligence Platform/ProviderTehdit İstihbarat Platformu / Sağlayıcısı. İPUCU, tehdit istihbaratını ve bununla ilişkili aktörler, kampanyalar, olaylar, imzalar ve daha fazlası gibi varlıkları yöneten bir hizmettir. TIP liderleri arasında Anomoli ve Kaydedilmiş Gelecek yer alır .
ITAM
BT Varlık Yönetimi. AM, Siber Güvenlik ile klasik BT arasındaki sınırı bulanıklaştırır. Eski “bilmediklerinizi koruyamazsınız” atasözüyle, AM’nin neden önemli olduğu ve kendi kategorisinin yanı sıra diğer araç kategorilerinde de bir önemi olduğu açık olmalıdır. Axonius’a bakın .
Ayrıca ITAM’ın bir adım ötesine geçebilir ve varlık keşfine bakabiliriz. Yeterince büyük kuruluşlar için, hangi IP, etki alanları, sertifikalar ve hizmetlerin kendilerine ait olduğunu bulmak göz korkutucu olabilir. Expanse buna bir örnek olabilir.
CMDB
Configuration Management Database-Yapılandırma Yönetimi Veritabanı. CMDB’ler, donanım ve yazılım varlıkları ile bunların yapılandırma ayrıntılarını depolamak için kullanılır. Yaygın CMDB’ler ServiceNow ve BMC Helix’tir .
CSP
Cloud Service Provider-CSP, bir Bulut Hizmet Sağlayıcısıdır. Bu kesinlikle bir siber güvenlik aracının kapsamı dışındadır, ancak yine de sıkça kullanılan bir kısaltmadır. Üç büyük CSP, Amazon Web Services (AWS), Google Cloud Platform (GCP) ve Azure’dur.
AV
Antivirüs. Virüsten koruma araçları genellikle ana bilgisayarlara dağıtılır ve kötü amaçlı yazılımları tespit etmek, korumak, önlemek ve bildirmek için kullanılır. McAfee , Norton ve Kaspersky ⚠️ en iyi bilinenlerdir.
IDS / IPS
Intrusion Detection Systems and Intrusion Protection Systems. Saldırı Tespit Sistemleri ve Saldırı Önleme Sistemleri. Ayrıca burada kapsayıcı kısaltmalara (HIDS / HIPS / NIDS / NIPS) Host / Network dahil ediyorum. Bu araç sınıfı, bir saldırının gerçekleşip gerçekleşmediğini belirlemek için bir sensör ve bir analiz motoru içerir ve ardından saldırıyı önlemeye çalışır veya uyarır. Bkz Trend Micro TippingPoint ve McAfee MGPnı .
WAF
Web Application Firewall-Web Uygulaması Güvenlik Duvarı. WAF’ler, geleneksel güvenlik duvarlarına benzer şekilde hareket eder, ancak ağ trafiğine, kurallarına veya paketlerine bakmak yerine, web uygulamalarına karşı saldırılara karşı koruma sağlamak için HTTP isteklerini inceler. Örnekler: Check out CloudFlare , Signal Science ve imperva .
Kanunlar ve Politikalar
GDPR
The General Data Protection Regulation -Genel Veri Koruma Yönetmeliği, AB vatandaşlarının verilerini ve gizliliğini korumak için 2016 yılında yayınlanan AB yasasıdır. Önceki yasaların çoğunun ötesine geçer ve ihlaller ciddi para cezalarına neden olabilir.
HIPAA
Health Insurance Portability and Accountability -Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası 1996 yılında yürürlüğe girmiştir ve kişisel tıbbi bilgilerin nasıl korunması gerektiğini belirtir.
HITECH
Health Information Technology for Economic and Clinical Health -Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi Yasası, elektronik sağlık kayıtları daha yaygın hale geldikçe HIPAA’da ortaya konulan mevzuatın çoğunu genişletti.
CFAA
Computer Fraud and Abuse-Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası 1986 yılında yürürlüğe girdi ve birçok yönden “hacklemek” anlamına gelen şeyi yasadışı hale getirerek “bir bilgisayara yetkisiz erişim veya yetkilendirilmiş erişimi aşmadan bilerek erişim” olarak yeniden tanımladı.
Meslekler
CIO
Chief Information Officer-Bilişim Kurulu Başkanı. CIO’ların işi, bir şirketin hedeflerine ulaşmasına yardımcı olmak için kullanılan tüm verileri, BT’yi ve sistemleri desteklemektir. CIO, genellikle bir şirketteki veriler için en yüksek otoritedir ve çoğu zaman güvenlik rolü de oynar.
CISO
Chief Information Security Officer-Bilgi Güvenliği Sorumlusu. CISO, tüm şirket varlıklarını korumakla görevlidir. Genellikle CIO ya da CEO’ya rapor verir.
CSO
Chief Security Officer.-Güvenlik görevlisi şefi. Genellikle CISO ile eş anlamlıdır.
SOC
Security Operation Center.-Güvenlik Operasyon Merkezi. Bir SOC, bir kuruluştaki siber güvenlik olaylarının tespitini, analizini ve yanıtlarını yöneten iş birimidir.
Sertifikalar
CISSP
Certified Information Systems Security Professional-Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı. (ISC) 2 tarafından oluşturulan CISSP, günümüzde yaygın olan en gelişmiş siber güvenlik sertifikalarından biridir. Genellikle üst düzey pozisyonlar için bir gerekliliktir veya çok istenir.
CEH
Certified Ethical Hacker-Sertifikalı Etik Hacker. EC-Council tarafından sunulan CEH, sistem güvenliğinin nasıl değerlendirileceğini ve sistemlerin ve kuruluşların sızma testlerinin nasıl gerçekleştirileceğini kapsar.
OSCP
Offensive Security Certified Professional-Saldırgan Güvenlik Sertifikalı Profesyonel. CEH’e benzer şekilde Offensive Security tarafından sunulan OSCP, sızma testine odaklanmıştır. Bazıları tarafından CEH’den daha pratiğe ve uygulamaya yönelik konular içerdiği düşünülmektedir.
Karışık
OSINT
Open-Source Intelligence-Açık Kaynak İstihbaratı. OSINT, bir istihbarat bağlamında kullanılmak üzere halka açık kaynaklardan toplanan verilerdir. Koleksiyonunun tipik olarak pasif olması avantajına sahiptir.
ASR
Attack Surface Reduction-Saldırı Yüzeyini Azaltma. Attack Surface Management-Saldırı Yüzeyi Yönetimi (ASM) olarak da bilinen ASR, savunmasız harici saldırı yüzeyini azaltmak amacıyla harici dijital varlıkların sürekli keşfi, envanteri, korelasyonu, izlenmesi ve potansiyel olarak önceliklendirilmesidir.
APT
Advanced Persistent Threat.-Gelişmiş Kalıcı Tehdit. Bu tür bir düşman tipik olarak bir ulus-devlettir veya en azından birinin sponsorudur. Kalıcılıkları, becerileri ve kaynakları açısından dikkat çekicidirler.
IOC
Indicator of Compromise.-Uzlaşma Göstergesi. Bu, bir güvenlik ihlaline işaret eden herhangi bir sinyal, imza veya başka bir kanıt olabilir.
MITRE ATT&CK
ATT & CK, Adversarial Tactics, Techniques, and Common Knowledge-Tartışmalı Taktikler, Teknikler ve Ortak Bilgi anlamına gelir. Tehdit avcıları, pentestçiler ve mavi ekipler tarafından saldırıları daha iyi sınıflandırmak ve bir kuruluşun riskini ölçmek için kullanılan bir taktik ve teknikler matrisidir.
TPP
Tactics, Techniques and Procedures-Taktikler, Teknikler ve Prosedürler. Yukarıdaki MITRE ATT & CK ile ilgili olarak TPP, kötü niyetli kişilerin saldırıları gerçekleştirmek için kullandığı yöntemleri, araçları ve kalıpları ifade eder.
OT
Operational Technology-Operasyonel Teknoloji. Bu belirsiz terminoloji, fiziksel sistemleri kontrol etmek için kullanılan işletim teknolojilerini temsil etmek için kullanılır. Bu fiziksel sistemler, üretim ekipmanından kritik altyapıya kadar su arıtma, elektrik ve trafik altyapısı gibi herhangi bir şey olabilir.
IoT
Internet of Things-Nesnelerin interneti. IoT tamamen bir güvenlik odağı olmasa da, konuyla ilgili ve büyüyen bir endişe kaynağıdır. Bu küçük, ucuz cihazlar, varsa, genellikle sıkı güvenlik kontrolleriyle birlikte gelir. Saldırı yüzeylerinde sömürülebilir bir zayıf halka olarak şirketler için ciddi bir tehdit oluşturabilirler.
İzinler
DAC
Discretionary Access Control- İsteğe bağlı erişim kontrolü. Bu sistemdeki izinler, bir nesnenin sahibinin o nesneye ilişkin izinleri diğer kullanıcılara iletebilmesi açısından isteğe bağlıdır.
MAC
Mandatory Access Control.-Zorunlu Erişim Kontrolü. Bu sistemde erişim ilkeleri, nesne sahibi yerine bir yönetici tarafından merkezi olarak kontrol edilir.
RBAC
Role-based Access Control-Rol Tabanlı Erişim Kontrolü. Bu sistemde izinler, doğrudan kullanıcılara atanan izinler yerine kullanıcılara atanan roller tarafından belirlenir. Bu yaklaşım, önceki modellerden daha iyi ölçeklenir.
ABAC
Attribute-based Access Control.-Nitelik Tabanlı Erişim Kontrolü. Bu sistemde izinler, öznitelikleri bir araya getiren ilkeler aracılığıyla rafine edilir. Bu model aynı zamanda Boole mantığını da destekleyerek önceki modellerin bazılarından daha esnek olmasını sağlar.
Saldırılar
XSS
Cross-site Scripting.-Siteler Arası Komut Dosyası. Bu saldırı en çok, saklanan veya yansıtılan kullanıcı girdisinin (Javascript içeren) tarayıcıya, tarayıcının kodu istemci adına yürütmesine neden olacak şekilde korunmasız bir şekilde sunulduğu web uygulamalarında bulunur.
SQLI
SQL Injection-SQL Enjeksiyonu. Bu saldırı, bir SQL veritabanına gönderilen ve yürütülen temizlenmemiş kullanıcı girdisinden yararlanır. Little Bobby Table daima aklınızda bulundurun.
XSRF
Cross-site Request Forgery-Siteler Arası İstek Sahteciliği. Bu tür bir saldırı, güvenilir bir kullanıcının oturumunu bir uygulama için kötüye kullanma avantajından yararlanır ve onun adına bir istekte bulunur. Kullanıcıların bir web sitesine olan güvenini sömüren XSS’nin aksine, XSRF, tarayıcının bir siteye olan güvenini kullanır.
XXE
XML External Entities-XML Harici Varlıklar. Bu saldırıda saldırgan, XML işlemcinin güvenle değerlendirdiği kötü amaçlı bağlantılar içeren bir XML belgesi gönderir. Bu, uzaktan kod yürütülmesine, hizmet reddine veya bilginin açığa çıkmasına neden olabilir.
RCE
Remote Code Execution.-Uzaktan Kod Yürütme. Bir saldırgan uzaktan bir ana bilgisayar üzerinde rastgele kod çalıştırabilir.
DOS / DDOS
Denial of Service/Distributed Denial of Service-Hizmet Reddi / Dağıtılmış Hizmet Reddi. Yine, bunlar zorunlu olarak bir saldırı türünden çok bir saldırının sonucudur. DOS tarzı bir saldırı yapmanın birçok yolu vardır. Yoğun trafik, verimsiz işlevleri hedeflemek veya XML bombası gibi kötü amaçlı yükler göndermek, DOS’a neden olmanın yollarıdır.