Slovník

2FA

Dvoufaktorové ověřování (2FA) je bezpečnostní metoda, která vyžaduje, aby uživatelé poskytli dva typy ověřovacích faktorů k potvrzení své identity. Je považováno za podmnožinu MFA, protože MFA (vícefaktorové ověřování) může zahrnovat dva nebo více ověřovacích faktorů, zatímco 2FA znamená konkrétně dva.

Alert Fatigue

Únava z výstrah nastává, když jsou týmy bezpečnosti nebo provozu zaplaveny výstrahami každý den. Postupem času se lidé unaví, vystresují a začnou je ignorovat.

API Security

API zabezpečení je proces ochrany API, částí moderního softwaru, které umožňují aplikacím komunikovat, před neoprávněným přístupem, zneužitím nebo útoky.

API Security Testing

Testování zabezpečení API nachází a opravuje zranitelnosti, jako je narušené ověřování nebo úniky dat v API, což je nezbytné pro ochranu moderních aplikací a citlivých dat.

Application Security

Zabezpečení aplikací je praxe ochrany softwaru před zranitelnostmi a útoky v celém SDLC. Naučte se jeho důležitost, běžné hrozby a praktiky životního cyklu pro zabezpečení moderních aplikací v cloudových a kontejnerových prostředích.

Application Security Assessment

Hodnocení bezpečnosti aplikace je proces identifikace a opravy zranitelností v softwaru. Naučte se jeho cíle, komponenty, běžné nástroje a výzvy k ochraně aplikací před kybernetickými hrozbami.

Application Security Life Cycle

Životní cyklus zabezpečení aplikací integruje bezpečnost do každé fáze vývoje softwaru—od plánování a návrhu až po nasazení a údržbu. Naučte se jeho fáze, osvědčené postupy a proč je kritický pro ochranu moderních aplikací.

Application Security Posture Management (ASPM)

Application Security Posture Management (ASPM) je platforma, která organizacím poskytuje úplnou viditelnost a kontrolu nad jejich riziky v oblasti zabezpečení aplikací v celém životním cyklu softwaru.

Application Security Testing

Testování bezpečnosti aplikací (AST) znamená kontrolu aplikací na slabiny, které by útočníci mohli využít. Běžné metody AST zahrnují SAST, DAST a IAST, které pomáhají udržovat software bezpečný v každé fázi vývoje.

CI Gating

CI Gating je automatizovaný mechanismus „stop-the-line“ v rámci vývojového procesu. Vyhodnocuje kód podle bezpečnostních a kvalitativních politik a blokuje jakýkoli commit, který nesplňuje požadavky.

CI/CD Pipeline

CI/CD pipeline je automatizovaný proces pro přenos kódu z vývojářova laptopu a jeho bezpečné nasazení k uživatelům. Sestavuje kód, testuje ho a nasazuje bez spoléhání na manuální kroky.

CI/CD security

Bezpečnost CI/CD je proces integrace bezpečnosti do pipeline Continuous Integration a Continuous Deployment (CI/CD), od commitu po nasazení.

Cloud Security Posture Management (CSPM)

Správa bezpečnostního postavení cloudu (CSPM) je bezpečnostní metoda a sada nástrojů, která nepřetržitě monitoruje cloudové prostředí za účelem detekce a opravy nesprávné konfigurace, porušení souladu a bezpečnostních rizik na cloudových platformách, jako jsou AWS, Azure nebo Google Cloud.

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (Platforma pro ochranu cloudově nativních aplikací) je jednotný bezpečnostní model. Kombinuje správu bezpečnostního postavení cloudu (CSPM), ochranu cloudových pracovních zátěží (CWPP), správu oprávnění cloudové infrastruktury (CIEM) a správu bezpečnostního postavení aplikací (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE znamená Common Vulnerabilities and Exposures. Je to systém, který sleduje kybernetické zranitelnosti, které jsou již veřejně známé.

Container Security

Bezpečnost kontejnerů je proces ochrany aplikací v kontejnerech (běžících na Dockeru nebo Kubernetes) během jejich celého životního cyklu, od sestavení po běh.

CVSS (Common Vulnerability Scoring System)

CVSS je standardní způsob, jak říci, jak špatná je bezpečnostní chyba. Každé zranitelnosti přiděluje skóre od 0 do 10, aby týmy věděly, co opravit jako první.

DevSecOps

DevSecOps je způsob práce, který přidává bezpečnost do každého kroku procesu DevOps, počínaje kódováním a testováním a pokračuje nasazením a údržbou.

Docker Container

Jednoduché vysvětlení Docker kontejnerů, jak fungují a proč je vývojáři používají k provozování aplikací konzistentně napříč prostředími.

Dynamic Application Security Testing (DAST)

Dynamické testování bezpečnosti aplikací, nebo DAST, je způsob, jak zkontrolovat bezpečnost aplikace, zatímco běží. Na rozdíl od SAST, který se zaměřuje na zdrojový kód, DAST testuje bezpečnost simulací skutečných útoků, jako je SQL Injection a Cross-Site Scripting (XSS) v reálném prostředí.

EPSS Score (Exploit Prediction Scoring System)

Exploit Prediction Scoring System (EPSS) je standard založený na datech, který odhaduje pravděpodobnost, že konkrétní softwarová zranitelnost bude zneužita v praxi.

False Positives

Falešně pozitivní je, když bezpečnostní nástroj hlásí problém, který ve skutečnosti neexistuje.

Infrastructure as Code (IaC) Security

Zabezpečení infrastruktury jako kód (IaC) je proces zabezpečení vaší cloudové infrastruktury skenováním konfiguračních souborů nebo skriptů napsaných v konkrétních jazycích jako Terraform, CloudFormation, Kubernetes YAML atd., před nasazením.

Interactive Application Security Testing (IAST)

Interaktivní testování bezpečnosti aplikací (IAST) je metoda, která kombinuje SAST (Statické testování bezpečnosti aplikací) a DAST (Dynamické testování bezpečnosti aplikací) pro efektivnější nalezení zranitelností aplikací.

Malware Detection

Detekce malwaru znamená nalezení a blokování škodlivého softwaru, jako jsou viry, ransomware, spyware a trojské koně na systémech, sítích a aplikacích.

Mean Time to Remediation (MTTR)

MTTR je klíčová metrika kybernetické bezpečnosti, která ukazuje, jak rychle reagujete na známou hrozbu

MFA (Multi-Factor Authentication)

Vícefaktorová autentizace je bezpečnostní metoda, která vyžaduje dva nebo více typů ověření pro přístup k aplikaci nebo systému. MFA přidává další vrstvu ochrany, takže se nespoléháte pouze na heslo.

National Vulnerability Database (NVD)

NVD je hlavní světové úložiště dat o zranitelnostech, které spravuje NIST. Obohacuje identifikátory CVE o skóre závažnosti CVSS, klasifikace CWE a podrobné technické popisy.

Open Source Audit

Audit open source je komplexní přezkum všech open-source komponent používaných v softwarové aplikaci

OWASP Top 10

OWASP Top 10 uvádí nejzávažnější zranitelnosti webových aplikací. OWASP také nabízí užitečné zdroje, aby se vývojáři a bezpečnostní týmy mohli naučit, jak tyto problémy najít, opravit a předcházet jim v dnešních aplikacích.

Phishing

Phishing je typ útoku sociálního inženýrství, při kterém se útočníci vydávají za důvěryhodné entity, jako jsou banky, cloudové služby, kolegové atd., aby obelstili oběť a přiměli ji odhalit její citlivé informace, jako jsou hesla, čísla kreditních karet nebo jiné přihlašovací údaje.

RBAC (Role-Based Access Control)

RBAC je metoda správy bezpečnosti systému přiřazováním uživatelů ke specifickým rolím v rámci organizace. Každá role má vlastní sadu oprávnění, která určují, jaké akce mohou uživatelé v této roli provádět.

Reverse Shell

Reverzní shell je vzdálený shell, kde počítač oběti zahajuje připojení k počítači útočníka.

SBOM

SBOM je podrobný inventář komponent, které tvoří software, včetně knihoven třetích stran a open-source knihoven a verzí frameworků.

Secret Detection

Detekce tajemství je proces skenování kódových základů, CI/CD pipeline a cloudu za účelem identifikace odhalených tajemství, jako jsou API klíče, přihlašovací údaje, šifrovací klíče nebo tokeny. To je klíčové, protože útočníci, jako jsou boti pro vyplňování přihlašovacích údajů nebo únosci cloudových zdrojů, mohou tato odhalená tajemství zneužít k získání neoprávněného přístupu.

Security Remediation

Náprava znamená opravu nebo odstranění slabin v systémech organizace, aby byly bezpečné a snížilo se riziko.

Shift Left Security

Software Composition Analysis (SCA)

Analýza složení softwaru (SCA) je bezpečnostní proces, který identifikuje a spravuje rizika v knihovnách třetích stran používaných v aplikacích.

Software Development Life Cycle (SDLC)

Životní cyklus vývoje softwaru, nebo SDLC, je proces, který pomáhá vývojovým týmům plánovat, navrhovat, vytvářet, testovat a spouštět aplikace organizovaným způsobem.

Software Supply Chain Security

Bezpečnost softwarového dodavatelského řetězce se týká udržení bezpečnosti každé části, procesu a nástroje během vývoje softwaru, od prvního řádku kódu až po finální nasazení.

SQL Injection (SQLi)

SQL Injection (SQLi) je typ útoku, při kterém útočníci vloží škodlivý SQL příkaz do vstupního pole, aby manipulovali s databází.

SSDLC

SSDLC (Secure Software Development Life Cycle) je rozšířením tradičního SDLC, které integruje bezpečnostní praktiky do každé fáze vývoje softwaru—návrh, kódování, testování, nasazení a údržba. Jeho cílem je identifikovat a řešit zranitelnosti včas, čímž se snižují náklady na opravy a zajišťují bezpečnější aplikace.

Static Application Security Testing (SAST)

SAST je typ testování bezpečnosti aplikací, který kontroluje zdrojový kód aplikace (původní kód napsaný vývojáři), závislosti (externí knihovny nebo balíčky, na které se kód spoléhá) nebo binární soubory (zkompilovaný kód připravený k běhu) před jeho spuštěním.

XSS (Cross-Site Scripting)

Cross-Site Scripting, nebo XSS, je bezpečnostní chyba na webových stránkách, která umožňuje útočníkům přidávat škodlivé skripty na webové stránky. Většinou jsou tyto skripty napsány v JavaScriptu.

Zero Trust

Zero Trust je koncept kybernetické bezpečnosti, který předpokládá, že žádné zařízení, uživatel nebo aplikace by neměly být důvěryhodné, i když jsou uvnitř síťového perimetru. Přístup je udělen pouze po ověření zdraví zařízení, identity a kontextu.

Zero-Day Vulnerability

Zranitelnost nultého dne je softwarová bezpečnostní chyba, kterou dodavatel nebo vývojář právě objevil, takže neměli čas vytvořit nebo vydat opravu. Protože zatím neexistuje žádná oprava, mohou kyberzločinci využít těchto chyb k zahájení útoků, které je těžké odhalit a zastavit.