מילון מונחים

2FA

אימות דו-שלבי (2FA) הוא שיטת אבטחה שדורשת מהמשתמשים לספק שני סוגים של גורמי אימות כדי לאשר את זהותם. זה נחשב כתת-קבוצה של MFA, מכיוון ש-MFA (אימות רב-גורמי) יכול לכלול שניים או יותר גורמי אימות, בעוד ש-2FA מתייחס ספציפית לשניים בדיוק.

Alert Fatigue

עייפות התראות היא מה שקורה כאשר צוותי אבטחה או תפעול מוצפים בהתראות כל יום. עם הזמן, אנשים מתעייפים, לחוצים ומתחילים להתעלם מהן.

API Security

אבטחת API היא התהליך של הגנה על APIs, החלקים בתוכנה מודרנית שמאפשרים לתוכנות לתקשר, מפני גישה לא מורשית, ניצול או התקפות.

API Security Testing

בדיקת אבטחת API מוצאת ומתקנת פגיעויות כמו אימות שבור או דליפות נתונים ב-APIs, חיונית להגנה על אפליקציות מודרניות ונתונים רגישים.

Application Security

אבטחת יישומים היא הפרקטיקה של הגנה על תוכנה מפני פגיעויות והתקפות לאורך כל מחזור חיי הפיתוח. למד על חשיבותה, איומים נפוצים ופרקטיקות מחזור חיים לאבטחת יישומים מודרניים בסביבות ענן ומכולות.

Application Security Assessment

הערכת אבטחת יישומים היא תהליך של זיהוי ותיקון פגיעויות בתוכנה. למד על מטרותיה, מרכיביה, כלים נפוצים ואתגרים כדי להגן על יישומים מאיומי סייבר.

Application Security Life Cycle

מחזור החיים של אבטחת יישומים משלב אבטחה בכל שלב של פיתוח תוכנה - מתכנון ועיצוב ועד לפריסה ותחזוקה. למד את שלביו, את השיטות הטובות ביותר, ומדוע הוא קריטי להגנה על יישומים מודרניים.

Application Security Posture Management (ASPM)

ניהול עמדת אבטחת יישומים (ASPM) הוא פלטפורמה שנותנת לארגונים ראות ושליטה מלאה על סיכוני אבטחת היישומים שלהם לאורך כל מחזור חיי התוכנה.

Application Security Testing

בדיקת אבטחת יישומים (AST) פירושה בדיקת יישומים לאיתור חולשות שהתקפים יכולים לנצל. שיטות AST נפוצות כוללות SAST, DAST ו-IAST, המסייעות לשמור על אבטחת התוכנה בכל שלב של הפיתוח.

CI Gating

CI Gating הוא מנגנון אוטומטי של "עצור את הקו" בצנרת הפיתוח. הוא מעריך קוד מול מדיניות אבטחה ואיכות, וחוסם כל התחייבות שאינה עומדת בדרישות

CI/CD Pipeline

צינור CI/CD הוא תהליך אוטומטי שמביא קוד מהמחשב הנייד של המפתח ומעביר אותו בבטחה למשתמשים. הוא בונה את הקוד, בודק אותו ומפרסם אותו ללא תלות בצעדים ידניים.

CI/CD security

אבטחת CI/CD היא תהליך של שילוב אבטחה בצנרת האינטגרציה והפריסה הרציפה (CI/CD), מהמחויבות ועד לפריסה.

Cloud Security Posture Management (CSPM)

ניהול מצב אבטחת ענן (CSPM) הוא שיטת אבטחה וכלי שמנטרים באופן רציף את סביבת הענן כדי לזהות ולתקן תצורות שגויות, הפרות תאימות וסיכוני אבטחה בפלטפורמות ענן כגון AWS, Azure או Google Cloud

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (פלטפורמת הגנת יישומים ילידת ענן) היא מודל אבטחה מאוחד. היא משלבת ניהול עמידות אבטחת ענן (CSPM), הגנת עומסי עבודה בענן (CWPP), ניהול הרשאות תשתית ענן (CIEM), וניהול עמידות אבטחת יישומים (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE הוא ראשי תיבות של פגיעויות וחשיפות נפוצות. זהו מערכת שעוקבת אחר פגיעויות סייבר שכבר ידועות לציבור.

Container Security

אבטחת מכולות היא תהליך הגנה על יישומים במכולות (הרצים על Docker או Kubernetes) לאורך כל מחזור החיים שלהם, מבנייה ועד זמן ריצה.

CVSS (Common Vulnerability Scoring System)

CVSS היא דרך סטנדרטית לתאר כמה חמור באג אבטחה. היא נותנת לכל פגיעות ציון מ-0 עד 10 כדי שצוותים ידעו מה לתקן קודם.

DevSecOps

DevSecOps הוא דרך עבודה שמוסיפה אבטחה לכל שלב בתהליך ה-DevOps, החל מקידוד ובדיקות ועד לפריסה ותחזוקה

Docker Container

הסבר פשוט על מיכלי Docker, כיצד הם פועלים ומדוע מפתחים משתמשים בהם כדי להריץ אפליקציות בעקביות בסביבות שונות.

Dynamic Application Security Testing (DAST)

בדיקות אבטחת יישומים דינמיות, או DAST, הן דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, שבודק את קוד המקור, DAST בודק את האבטחה על ידי סימולציה של התקפות אמיתיות כמו SQL Injection ו-Cross-Site Scripting (XSS) בסביבה חיה.

EPSS Score (Exploit Prediction Scoring System)

מערכת ניקוד לחיזוי ניצול (EPSS) היא תקן מבוסס נתונים שמעריך את הסבירות שנקודת תורפה מסוימת בתוכנה תנוצל בשטח.

False Positives

חיוב שגוי הוא כאשר כלי אבטחה מדווח על בעיה שאינה קיימת בפועל.

Infrastructure as Code (IaC) Security

אבטחת תשתית כקוד (IaC) היא תהליך של אבטחת תשתית הענן שלך על ידי סריקת קבצי הקונפיגורציה או הסקריפטים שנכתבו בשפות ספציפיות כמו Terraform, CloudFormation, Kubernetes YAML, וכו', לפני הפריסה.

Interactive Application Security Testing (IAST)

בדיקת אבטחת יישומים אינטראקטיבית (IAST) היא שיטה שמשלבת SAST (בדיקת אבטחת יישומים סטטית) ו-DAST (בדיקת אבטחת יישומים דינמית) כדי למצוא פגיעויות ביישומים בצורה יעילה יותר.

Malware Detection

זיהוי תוכנות זדוניות פירושו מציאת וחסימת תוכנות מזיקות כגון וירוסים, תוכנות כופר, רוגלות וסוסים טרויאניים על מערכות, רשתות ויישומים.

Mean Time to Remediation (MTTR)

MTTR הוא מדד מפתח בתחום הסייבר שמראה כמה מהר אתם מגיבים לאיום ידוע

MFA (Multi-Factor Authentication)

אימות רב-גורמי הוא שיטת אבטחה הדורשת שני סוגי אימות או יותר כדי לגשת ליישום או מערכת. MFA מוסיף שכבת הגנה נוספת, כך שלא תסתמך רק על סיסמה.

National Vulnerability Database (NVD)

ה-NVD הוא מאגר הפגיעויות הראשי בעולם המנוהל על ידי NIST. הוא מעשיר מזהי CVE עם ציוני חומרה CVSS, סיווגי CWE ותיאורים טכניים מפורטים.

Open Source Audit

ביקורת קוד פתוח היא סקירה מקיפה של כל הרכיבים בקוד פתוח המשמשים בתוך יישום תוכנה

OWASP Top 10

רשימת OWASP Top 10 מציינת את הפגיעויות החמורות ביותר באפליקציות ווב. OWASP מציעה גם משאבים מועילים כך שמפתחים וצוותי אבטחה יכולים ללמוד כיצד למצוא, לתקן ולמנוע בעיות אלו באפליקציות של היום.

Phishing

פישינג הוא סוג של מתקפת הנדסה חברתית שבה תוקפים מתחזים לגורמים מהימנים כמו בנקים, שירותי ענן, עמיתים לעבודה וכו' כדי להערים על הקורבן ולגרום לו לחשוף מידע רגיש כמו סיסמאות, מספרי כרטיסי אשראי או אישורים אחרים.

RBAC (Role-Based Access Control)

RBAC, היא שיטה לניהול אבטחת מערכת על ידי הקצאת משתמשים לתפקידים ספציפיים בתוך ארגון. כל תפקיד מגיע עם סט הרשאות משלו, שקובע אילו פעולות משתמשים בתפקיד זה מורשים לבצע.

Reverse Shell

Reverse Shell הוא מעטפת מרוחקת שבה מחשב הקורבן מתחיל את החיבור למחשב התוקף.

SBOM

SBOM הוא רשימת מלאי מפורטת של רכיבים המרכיבים תוכנה, כולל ספריות צד שלישי וקוד פתוח, וגרסאות מסגרת.

Secret Detection

זיהוי סודות הוא תהליך של סריקת בסיסי קוד, מסלולי CI/CD והענן כדי לזהות סודות חשופים כגון מפתחות API, אישורים, מפתחות הצפנה או אסימונים. זה חשוב מכיוון שתוקפים, כמו בוטים למילוי אישורים או חוטפי משאבי ענן, יכולים לנצל את הסודות החשופים הללו כדי להשיג גישה לא מורשית.

Security Remediation

תיקון משמעו תיקון או הסרת חולשות במערכות הארגון כדי להפוך אותן לבטוחות ולהפחית סיכון.

Shift Left Security

Software Composition Analysis (SCA)

ניתוח הרכב תוכנה (SCA) הוא תהליך אבטחה שמזהה ומנהל סיכונים בספריות צד שלישי המשמשות בתוך יישום

Software Development Life Cycle (SDLC)

מחזור חיי פיתוח תוכנה, או SDLC, הוא תהליך שעוזר לצוותי פיתוח לתכנן, לעצב, לבנות, לבדוק ולהשיק יישומים בצורה מאורגנת.

Software Supply Chain Security

אבטחת שרשרת אספקה תוכנה עוסקת בשמירה על כל חלק, תהליך וכלי בטוחים לאורך כל פיתוח התוכנה, מהשורה הראשונה של הקוד ועד לפריסה הסופית.

SQL Injection (SQLi)

הזרקת SQL (SQLi) היא סוג של התקפה שבה תוקפים מכניסים פקודת SQL זדונית לשדה קלט כדי לתמרן את מסד הנתונים.

SSDLC

SSDLC (מחזור חיי פיתוח תוכנה מאובטח) הוא הרחבה של SDLC המסורתי שמשלבת פרקטיקות אבטחה בכל שלב של פיתוח תוכנה—עיצוב, קידוד, בדיקה, פריסה ותחזוקה. מטרתו היא לזהות ולטפל בפגיעויות מוקדם, להפחית תיקונים יקרים ולהבטיח יישומים מאובטחים יותר.

Static Application Security Testing (SAST)

SAST הוא סוג של בדיקות אבטחת יישומים שבודק את קוד המקור של היישום (הקוד המקורי שנכתב על ידי מפתחים), תלות (ספריות חיצוניות או חבילות שהקוד מסתמך עליהן), או בינאריים (קוד מהודר מוכן להרצה) לפני שהוא רץ.

XSS (Cross-Site Scripting)

Cross-Site Scripting, או XSS, הוא פגם אבטחה באתרים שמאפשר לתוקפים להוסיף סקריפטים מזיקים לדפי אינטרנט. רוב הזמן, סקריפטים אלו נכתבים ב-JavaScript.

Zero Trust

Zero Trust הוא מושג בתחום הסייבר שמניח שאין לבטוח באף מכשיר, משתמש או יישום, אפילו אם הם בתוך היקף הרשת. הגישה ניתנת רק לאחר אימות בריאות המכשיר, זהות והקשר.

Zero-Day Vulnerability

פגיעות יום אפס היא פגם אבטחה בתוכנה שהספק או המפתח גילו זה עתה, ולכן לא היה להם זמן ליצור או לשחרר תיקון. מכיוון שאין עדיין תיקון, פושעי סייבר יכולים לנצל את הפגמים הללו כדי לבצע התקפות שקשה לזהות ולעצור.