A
Alert Fatigue
Hälytysväsymys on ilmiö, jossa turvallisuus- tai operatiiviset tiimit hukkuvat päivittäisiin hälytyksiin. Ajan myötä ihmiset väsyvät, stressaantuvat ja alkavat jättää ne huomiotta.
API Security
API-turvallisuus on prosessi, jossa suojataan API:t, modernin ohjelmiston osat, jotka mahdollistavat sovellusten välisen viestinnän, luvattomalta pääsyltä, väärinkäytöltä tai hyökkäyksiltä.
API Security Testing
API-tietoturvatestaus löytää ja korjaa haavoittuvuuksia, kuten rikkinäisen todennuksen tai tietovuodot API:ssa, mikä on olennaista nykyaikaisten sovellusten ja arkaluontoisten tietojen suojaamiseksi.
Application Security
Sovellusturvallisuus on käytäntö suojata ohjelmistoja haavoittuvuuksilta ja hyökkäyksiltä koko SDLC:n ajan. Opi sen merkitys, yleiset uhat ja elinkaarikäytännöt nykyaikaisten sovellusten suojaamiseksi pilvi- ja konttiympäristöissä.
Application Security Assessment
Sovelluksen tietoturva-arviointi on prosessi, jossa tunnistetaan ja korjataan ohjelmistojen haavoittuvuuksia. Opi sen tavoitteet, osat, yleiset työkalut ja haasteet suojellaksesi sovelluksia kyberuhkilta.
Application Security Life Cycle
Sovellusturvallisuuden elinkaari integroi turvallisuuden jokaisessa ohjelmistokehityksen vaiheessa - suunnittelusta ja suunnittelusta käyttöönottoon ja ylläpitoon. Opi sen vaiheet, parhaat käytännöt ja miksi se on kriittinen nykyaikaisten sovellusten suojaamiseksi.
Application Security Posture Management (ASPM)
Application Security Posture Management (ASPM) on alusta, joka antaa organisaatioille täydellisen näkyvyyden ja hallinnan sovellusturvariskeihinsä koko ohjelmiston elinkaaren ajan.
Application Security Testing
Sovellusten tietoturvatestaus (AST) tarkoittaa sovellusten tarkistamista heikkouksien varalta, joita hyökkääjät voisivat käyttää. Yleisiä AST-menetelmiä ovat SAST, DAST ja IAST, jotka auttavat pitämään ohjelmistot turvassa kehityksen jokaisessa vaiheessa.
C
CI Gating
CI-porttien käyttö on automatisoitu "pysäytä linja" -mekanismi kehitysputkessa. Se arvioi koodia turvallisuus- ja laatupolitiikkojen perusteella, estäen kaikki sitoumukset, jotka eivät täytä vaatimuksia.
CI/CD Pipeline
CI/CD-putki on automatisoitu prosessi, joka vie koodin kehittäjän kannettavalta tietokoneelta turvallisesti käyttäjille. Se rakentaa koodin, testaa sen ja ottaa sen käyttöön ilman manuaalisia vaiheita.
CI/CD security
CI/CD-turvallisuus on prosessi, jossa turvallisuus integroidaan jatkuvan integraation ja jatkuvan käyttöönoton (CI/CD) putkeen, alkaen sitoutumisesta käyttöönottoon.
Cloud Security Posture Management (CSPM)
Pilviturvallisuuden asennonhallinta (CSPM) on turvallisuusmenetelmä ja työkalusarja, joka jatkuvasti valvoo pilviympäristöä havaitakseen ja korjatakseen virheellisiä asetuksia, vaatimustenmukaisuuden rikkomuksia ja turvallisuusriskejä pilvialustoilla kuten AWS, Azure tai Google Cloud.
Cloud-Native Application Protection Platform (CNAPP)
CNAPP (Pilvinatiivinen sovellussuojausalusta) on yhtenäinen turvallisuusmalli. Se yhdistää pilviturvallisuuden asennonhallinnan (CSPM), pilvikuormituksen suojauksen (CWPP), pilvi-infrastruktuurin oikeuksien hallinnan (CIEM) ja sovellusturvallisuuden asennonhallinnan (ASPM).
Common Vulnerabilities and Exposures (CVE)
CVE tarkoittaa yleisiä haavoittuvuuksia ja altistuksia. Se on järjestelmä, joka seuraa julkisesti tunnettuja kyberturvallisuuden haavoittuvuuksia.
Container Security
Konttiturvallisuus on prosessi, jossa suojataan konttipohjaisia sovelluksia (jotka toimivat Dockerissa tai Kubernetesissa) niiden koko elinkaaren ajan, rakentamisesta ajonaikaan.
CVSS (Common Vulnerability Scoring System)
CVSS on standardi tapa kertoa, kuinka vakava tietoturvavirhe on. Se antaa jokaiselle haavoittuvuudelle pisteet 0:sta 10:een, jotta tiimit tietävät, mitä korjata ensin.
D
DevSecOps
DevSecOps on työtapa, joka lisää turvallisuutta jokaiseen DevOps-prosessin vaiheeseen, alkaen koodauksesta ja testauksesta ja jatkuen käyttöönottoon ja ylläpitoon.
Docker Container
Yksinkertainen selitys Docker-konteista, niiden toiminnasta ja miksi kehittäjät käyttävät niitä sovellusten ajamiseen johdonmukaisesti eri ympäristöissä.
Dynamic Application Security Testing (DAST)
Dynaaminen sovellusturvatestaus, eli DAST, on tapa tarkistaa sovelluksen turvallisuus sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa turvallisuutta simuloimalla todellisia hyökkäyksiä, kuten SQL-injektioita ja Cross-Site Scripting (XSS) -hyökkäyksiä, reaaliaikaisessa ympäristössä.
I
Infrastructure as Code (IaC) Security
Infrastructure as Code (IaC) -turvallisuus on prosessi, jossa pilvi-infrastruktuuri suojataan skannaamalla konfiguraatiotiedostot tai skriptit, jotka on kirjoitettu tietyillä kielillä kuten Terraform, CloudFormation, Kubernetes YAML, jne., ennen käyttöönottoa.
Interactive Application Security Testing (IAST)
Interaktiivinen sovellusturvatestaus (IAST) on menetelmä, joka yhdistää SAST:n (Static Application Security Testing) ja DAST:n (Dynamic Application Security Testing) löytääkseen sovellusten haavoittuvuudet tehokkaammin.
M
Malware Detection
Haittaohjelmien havaitseminen tarkoittaa haitallisen ohjelmiston, kuten virusten, kiristysohjelmien, vakoiluohjelmien ja troijalaisten, löytämistä ja estämistä järjestelmissä, verkoissa ja sovelluksissa.
Mean Time to Remediation (MTTR)
MTTR on keskeinen kyberturvallisuusmittari, joka osoittaa, kuinka nopeasti reagoit tunnettuun uhkaan
MFA (Multi-Factor Authentication)
Monivaiheinen todennus on turvallisuusmenetelmä, joka vaatii kaksi tai useampia todennustapoja sovelluksen tai järjestelmän käyttöön. MFA lisää ylimääräisen suojakerroksen, joten et luota pelkästään salasanaan.
O
Open Source Audit
Avoimen lähdekoodin auditointi on kattava tarkastelu kaikista ohjelmistosovelluksessa käytetyistä avoimen lähdekoodin komponenteista
OWASP Top 10
OWASP Top 10 listaa vakavimmat web-sovellusten haavoittuvuudet. OWASP tarjoaa myös hyödyllisiä resursseja, joiden avulla kehittäjät ja turvallisuustiimit voivat oppia löytämään, korjaamaan ja estämään näitä ongelmia nykypäivän sovelluksissa.
R
RBAC (Role-Based Access Control)
RBAC on menetelmä järjestelmän turvallisuuden hallintaan määrittämällä käyttäjille tietyt roolit organisaatiossa. Jokaisella roolilla on oma joukko oikeuksia, jotka määrittävät, mitä toimia kyseisen roolin käyttäjät saavat suorittaa.
Reverse Shell
Käänteinen shell on etäshell, jossa uhrin tietokone aloittaa yhteyden hyökkääjän tietokoneeseen.
S
SBOM
SBOM on yksityiskohtainen luettelo ohjelmiston komponenteista, mukaan lukien kolmannen osapuolen ja avoimen lähdekoodin kirjastot sekä kehysversiot.
Secret Detection
Salaisuuksien havaitseminen on prosessi, jossa skannataan koodikantoja, CI/CD-putkia ja pilviä paljastuneiden salaisuuksien, kuten API-avainten, tunnistetietojen, salausavainten tai tunnusten, tunnistamiseksi. Tämä on tärkeää, koska hyökkääjät, kuten tunnistetietojen täyttöbotit tai pilviresurssien kaappaajat, voivat käyttää näitä paljastuneita salaisuuksia saadakseen luvattoman pääsyn.
Security Remediation
Korjaaminen tarkoittaa heikkouksien korjaamista tai poistamista organisaation järjestelmistä niiden turvaamiseksi ja riskin vähentämiseksi.
Shift Left Security
Software Composition Analysis (SCA)
Ohjelmiston koostumusanalyysi (SCA) on turvallisuusprosessi, joka tunnistaa ja hallitsee riskejä sovelluksessa käytetyissä kolmannen osapuolen kirjastoissa.
Software Development Life Cycle (SDLC)
Ohjelmistokehityksen elinkaari, eli SDLC, on prosessi, joka auttaa kehitystiimejä suunnittelemaan, suunnittelemaan, rakentamaan, testaamaan ja julkaisemaan sovelluksia järjestelmällisesti.
Software Supply Chain Security
Ohjelmistojen toimitusketjun turvallisuus tarkoittaa jokaisen osan, prosessin ja työkalun turvaamista ohjelmistokehityksen aikana, ensimmäisestä koodirivistä lopulliseen käyttöönottoon.
SQL Injection (SQLi)
SQL-injektio (SQLi) on hyökkäystyyppi, jossa hyökkääjät syöttävät haitallisia SQL-lauseita syöttökenttään manipuloidakseen tietokantaa.
SSDLC
SSDLC (Secure Software Development Life Cycle) on perinteisen SDLC:n laajennus, joka sisällyttää turvallisuuskäytännöt ohjelmistokehityksen jokaiseen vaiheeseen—suunnittelu, koodaus, testaus, käyttöönotto ja ylläpito. Sen tavoitteena on tunnistaa ja käsitellä haavoittuvuuksia varhaisessa vaiheessa, vähentää kalliita korjauksia ja varmistaa turvallisemmat sovellukset.
Static Application Security Testing (SAST)
SAST on eräänlainen sovellusturvatestaus, joka tarkistaa sovelluksen lähdekoodin (kehittäjien kirjoittama alkuperäinen koodi), riippuvuudet (ulkopuoliset kirjastot tai paketit, joihin koodi tukeutuu) tai binääritiedostot (käännetty koodi, joka on valmis ajettavaksi) ennen sen suorittamista.
Z
Zero Trust
Zero Trust on kyberturvallisuuden käsite, joka olettaa, ettei mitään laitetta, käyttäjää tai sovellusta tule luottaa, vaikka ne olisivat verkon sisäpuolella. Pääsy myönnetään vasta laitteen terveyden, identiteetin ja kontekstin tarkistamisen jälkeen.
Zero-Day Vulnerability
Nollapäivähaavoittuvuus on ohjelmiston tietoturva-aukko, jonka myyjä tai kehittäjä on juuri löytänyt, joten heillä ei ole ollut aikaa luoda tai julkaista korjausta. Koska korjausta ei ole vielä saatavilla, verkkorikolliset voivat hyödyntää näitä aukkoja käynnistääkseen hyökkäyksiä, joita on vaikea havaita ja pysäyttää.