logo

Sanasto

Vahvista pilviturvallisuuden tietämystäsi. Sanastomme tarjoaa selkeät määritelmät keskeisille CNAPP-, turvallisuusaseman ja pilvinatiivin turvallisuuden termeille auttaaksesi sinua navigoimaan modernissa sovellussuojauksessa.

#

2FA

Kaksivaiheinen tunnistautuminen (2FA) on turvallisuusmenetelmä, joka vaatii käyttäjiä antamaan kaksi erilaista tunnistautumistekijää henkilöllisyytensä vahvistamiseksi. Sitä pidetään MFA:n (monivaiheinen tunnistautuminen) alaryhmänä, koska MFA voi sisältää kaksi tai useampia vahvistustekijöitä, kun taas 2FA tarkoittaa tarkalleen kahta.

A

Alert Fatigue

Hälytysväsymys on ilmiö, jossa turvallisuus- tai operatiiviset tiimit hukkuvat päivittäisiin hälytyksiin. Ajan myötä ihmiset väsyvät, stressaantuvat ja alkavat jättää ne huomiotta.

API Security

API-turvallisuus on prosessi, jossa suojataan API:t, modernin ohjelmiston osat, jotka mahdollistavat sovellusten välisen viestinnän, luvattomalta pääsyltä, väärinkäytöltä tai hyökkäyksiltä.

API Security Testing

API-turvatestaus löytää ja korjaa haavoittuvuuksia, kuten rikkinäisen autentikoinnin tai tietovuodot API:ssa, mikä on välttämätöntä nykyaikaisten sovellusten ja arkaluontoisten tietojen suojaamiseksi.

Application Security

Sovellusturvallisuus on käytäntö suojata ohjelmistoja haavoittuvuuksilta ja hyökkäyksiltä koko SDLC:n ajan. Opi sen merkitys, yleiset uhat ja elinkaarikäytännöt nykyaikaisten sovellusten suojaamiseksi pilvi- ja konttiympäristöissä.

Application Security Assessment

Sovelluksen tietoturva-arviointi on prosessi, jossa tunnistetaan ja korjataan ohjelmistojen haavoittuvuuksia. Opi sen tavoitteet, osat, yleiset työkalut ja haasteet suojellaksesi sovelluksia kyberuhkilta.

Application Security Life Cycle

Sovelluksen tietoturvaelinkaari integroi tietoturvan jokaiseen ohjelmistokehityksen vaiheeseen1suunnittelusta ja suunnittelusta käyttöönottoon ja ylläpitoon. Tutustu sen vaiheisiin, parhaisiin käytäntöihin ja miksi se on kriittinen nykyaikaisten sovellusten suojaamiseksi.

Application Security Posture Management (ASPM)

Application Security Posture Management (ASPM) on alusta, joka antaa organisaatioille täydellisen näkyvyyden ja hallinnan sovellusturvariskeihinsä koko ohjelmiston elinkaaren ajan.

Application Security Testing

Sovellusten tietoturvatestaus (AST) tarkoittaa sovellusten tarkistamista heikkouksien varalta, joita hyökkääjät voisivat käyttää. Yleisiä AST-menetelmiä ovat SAST, DAST ja IAST, jotka auttavat pitämään ohjelmistot turvassa kehityksen jokaisessa vaiheessa.

C

CI Gating

CI-porttien käyttö on automatisoitu "pysäytä linja" -mekanismi kehitysputkessa. Se arvioi koodia turvallisuus- ja laatupolitiikkojen perusteella, estäen kaikki sitoumukset, jotka eivät täytä vaatimuksia.

CI/CD Pipeline

CI/CD-putki on automatisoitu prosessi, joka vie koodin kehittäjän kannettavalta tietokoneelta turvallisesti käyttäjille. Se rakentaa koodin, testaa sen ja ottaa sen käyttöön ilman manuaalisia vaiheita.

CI/CD security

CI/CD-turvallisuus on prosessi, jossa turvallisuus integroidaan jatkuvan integraation ja jatkuvan käyttöönoton (CI/CD) putkeen, alkaen sitoutumisesta käyttöönottoon.

Cloud Security Posture Management (CSPM)

Pilviturvallisuuden asennonhallinta (CSPM) on turvallisuusmenetelmä ja työkalusarja, joka jatkuvasti valvoo pilviympäristöä havaitakseen ja korjatakseen virheellisiä asetuksia, vaatimustenmukaisuuden rikkomuksia ja turvallisuusriskejä pilvialustoilla kuten AWS, Azure tai Google Cloud.

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (Pilvipohjainen sovellusten suojausalusta) on yhtenäinen turvallisuusmalli. Se yhdistää pilviturvallisuuden asennonhallinnan (CSPM), pilvikuormituksen suojauksen (CWPP), pilvi-infrastruktuurin oikeuksien hallinnan (CIEM) ja sovellusturvallisuuden asennonhallinnan (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE tarkoittaa yleisiä haavoittuvuuksia ja altistuksia. Se on järjestelmä, joka seuraa kyberturvallisuuden haavoittuvuuksia, jotka ovat jo yleisesti tunnettuja.

Container Security

Konttiturvallisuus on prosessi, jossa suojataan konttipohjaisia sovelluksia (jotka toimivat Dockerissa tai Kubernetesissa) niiden koko elinkaaren ajan, rakentamisesta ajonaikaan.

CVSS (Common Vulnerability Scoring System)

CVSS on standardi tapa kertoa, kuinka vakava tietoturvavirhe on. Se antaa jokaiselle haavoittuvuudelle pisteet 0:sta 10:een, jotta tiimit tietävät, mitä korjata ensin.

D

DevSecOps

DevSecOps on työtapa, joka lisää turvallisuutta jokaiseen DevOps-prosessin vaiheeseen, alkaen koodauksesta ja testauksesta ja jatkuen käyttöönottoon ja ylläpitoon.

Docker Container

Yksinkertainen selitys Docker-konteista, niiden toiminnasta ja miksi kehittäjät käyttävät niitä sovellusten ajamiseen johdonmukaisesti eri ympäristöissä.

Dynamic Application Security Testing (DAST)

Dynaaminen sovellusten tietoturvatestaus, eli DAST, on tapa tarkistaa sovelluksen tietoturva sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa tietoturvaa simuloimalla todellisia hyökkäyksiä, kuten SQL-injektioita ja Cross-Site Scripting (XSS) -hyökkäyksiä, reaaliaikaisessa ympäristössä.

E

EPSS Score (Exploit Prediction Scoring System)

Exploit Prediction Scoring System (EPSS) on tietoon perustuva standardi, joka arvioi todennäköisyyttä, että tiettyä ohjelmistohaavoittuvuutta hyödynnetään luonnossa.

F

False Positives

Väärä positiivinen on tilanne, jossa tietoturvatyökalu raportoi ongelmasta, jota ei todellisuudessa ole.

I

Infrastructure as Code (IaC) Security

Infrastructure as Code (IaC) -turvallisuus on prosessi, jossa pilvi-infrastruktuuri suojataan skannaamalla konfiguraatiotiedostot tai skriptit, jotka on kirjoitettu tietyillä kielillä kuten Terraform, CloudFormation, Kubernetes YAML, jne., ennen käyttöönottoa.

Interactive Application Security Testing (IAST)

Interaktiivinen sovellusturvatestaus (IAST) on menetelmä, joka yhdistää SAST:n (staattinen sovellusturvatestaus) ja DAST:n (dynaaminen sovellusturvatestaus) löytääkseen sovellusten haavoittuvuudet tehokkaammin.

M

Malware Detection

Haittaohjelmien havaitseminen tarkoittaa haitallisen ohjelmiston, kuten virusten, kiristysohjelmien, vakoiluohjelmien ja troijalaisten, löytämistä ja estämistä järjestelmissä, verkoissa ja sovelluksissa.

Mean Time to Remediation (MTTR)

MTTR on keskeinen kyberturvallisuusmittari, joka osoittaa, kuinka nopeasti reagoit tunnettuun uhkaan

MFA (Multi-Factor Authentication)

Monivaiheinen todennus on turvallisuusmenetelmä, joka vaatii kaksi tai useampia todennustapoja sovelluksen tai järjestelmän käyttöön. MFA lisää ylimääräisen suojakerroksen, joten et luota pelkästään salasanaan.

N

National Vulnerability Database (NVD)

NVD on maailman ensisijainen haavoittuvuustietojen arkisto, jota ylläpitää NIST. Se rikastaa CVE-tunnisteita CVSS-vakavuuspisteillä, CWE-luokituksilla ja yksityiskohtaisilla teknisillä kuvauksilla.

O

Open Source Audit

Avoimen lähdekoodin auditointi on kattava tarkastelu kaikista ohjelmistosovelluksessa käytetyistä avoimen lähdekoodin komponenteista

OWASP Top 10

OWASP Top 10 listaa vakavimmat web-sovellusten haavoittuvuudet. OWASP tarjoaa myös hyödyllisiä resursseja, joiden avulla kehittäjät ja turvallisuustiimit voivat oppia löytämään, korjaamaan ja ehkäisemään näitä ongelmia nykypäivän sovelluksissa.

P

Phishing

Tietojenkalastelu on eräänlainen sosiaalisen manipuloinnin hyökkäys, jossa hyökkääjät esiintyvät luotettavina tahoina, kuten pankkeina, pilvipalveluina, työtovereina jne., huijatakseen uhria paljastamaan arkaluontoisia tietojaan, kuten salasanan, luottokortin numeron tai muita tunnistetietoja.

R

RBAC (Role-Based Access Control)

RBAC on menetelmä järjestelmän turvallisuuden hallintaan määrittämällä käyttäjille tietyt roolit organisaatiossa. Jokaisella roolilla on oma joukko oikeuksia, jotka määrittävät, mitä toimia kyseisen roolin käyttäjät saavat suorittaa.

Reverse Shell

Käänteinen shell on etäshell, jossa uhrin tietokone aloittaa yhteyden hyökkääjän tietokoneeseen.

S

SBOM

SBOM on yksityiskohtainen inventaario ohjelmiston muodostavista komponenteista, mukaan lukien kolmannen osapuolen ja avoimen lähdekoodin kirjastot sekä kehysversiot.

Secret Detection

Salaisuuksien havaitseminen on prosessi, jossa skannataan koodikantoja, CI/CD-putkia ja pilviä paljastuneiden salaisuuksien, kuten API-avainten, tunnistetietojen, salausavainten tai tunnusten, tunnistamiseksi. Tämä on tärkeää, koska hyökkääjät, kuten tunnistetietojen täyttöbotit tai pilviresurssien kaappaajat, voivat hyödyntää näitä paljastuneita salaisuuksia saadakseen luvattoman pääsyn.

Security Remediation

Korjaaminen tarkoittaa heikkouksien korjaamista tai poistamista organisaation järjestelmistä niiden turvaamiseksi ja riskin vähentämiseksi.

Shift Left Security

Software Composition Analysis (SCA)

Ohjelmiston koostumusanalyysi (SCA) on turvallisuusprosessi, joka tunnistaa ja hallitsee riskejä sovelluksessa käytetyissä kolmannen osapuolen kirjastoissa.

Software Development Life Cycle (SDLC)

Ohjelmistokehityksen elinkaari, eli SDLC, on prosessi, joka auttaa kehitystiimejä suunnittelemaan, suunnittelemaan, rakentamaan, testaamaan ja julkaisemaan sovelluksia järjestelmällisesti.

Software Supply Chain Security

Ohjelmistojen toimitusketjun turvallisuus tarkoittaa jokaisen osan, prosessin ja työkalun turvaamista koko ohjelmistokehityksen ajan, ensimmäisestä koodirivistä lopulliseen käyttöönottoon.

SQL Injection (SQLi)

SQL-injektio (SQLi) on hyökkäystyyppi, jossa hyökkääjät syöttävät haitallisia SQL-lauseita syöttökenttään manipuloidakseen tietokantaa.

SSDLC

SSDLC (Secure Software Development Life Cycle) on perinteisen SDLC:n laajennus, joka sisällyttää turvallisuuskäytännöt ohjelmistokehityksen jokaiseen vaiheeseen—suunnittelu, koodaus, testaus, käyttöönotto ja ylläpito. Sen tavoitteena on tunnistaa ja käsitellä haavoittuvuuksia varhaisessa vaiheessa, vähentää kalliita korjauksia ja varmistaa turvallisemmat sovellukset.

Static Application Security Testing (SAST)

SAST on eräänlainen sovellusturvatestaus, joka tarkistaa sovelluksen lähdekoodin (kehittäjien kirjoittama alkuperäinen koodi), riippuvuudet (ulkopuoliset kirjastot tai paketit, joihin koodi tukeutuu) tai binääritiedostot (käännetty koodi, joka on valmis ajettavaksi) ennen sen suorittamista.

X

XSS (Cross-Site Scripting)

Cross-Site Scripting eli XSS on verkkosivustojen tietoturvahaavoittuvuus, joka mahdollistaa hyökkääjien haitallisten skriptien lisäämisen verkkosivuille. Useimmiten nämä skriptit on kirjoitettu JavaScriptillä.

Z

Zero Trust

Zero Trust on kyberturvallisuuden käsite, joka olettaa, ettei mitään laitetta, käyttäjää tai sovellusta tule luottaa, vaikka ne olisivat verkon sisäpuolella. Pääsy myönnetään vasta laitteen terveyden, identiteetin ja kontekstin tarkistamisen jälkeen.

Zero-Day Vulnerability

Nollapäivähaavoittuvuus on ohjelmiston tietoturva-aukko, jonka myyjä tai kehittäjä on juuri löytänyt, joten heillä ei ole ollut aikaa luoda tai julkaista korjausta. Koska korjausta ei ole vielä saatavilla, verkkorikolliset voivat hyödyntää näitä aukkoja käynnistääkseen hyökkäyksiä, joita on vaikea havaita ja pysäyttää.