infosec risk:信息安全风险
wake up call:敲响警钟
SDL:Security Development Lifecycle
DLP :资料外泄防护
NTA:网络流量分析
with respect to:关于
IAM:Identity and Access Management (IAM) 是一种 Web
CNAME:A记录就是把一个域名解析到一个IP地址(Address,特制数字IP地址),CNAME记录就是把域名解析到另外一个域名(类似文字IP地址)
Access Proxy, AP:访问代理
Access Control Engine, ACE:访问控制引擎
Access Control List,ACL:访问控制列表
Remote Procedure Calls, RPC:远程过程调用
domain-specific language, DSL:领域特定语言,用来表达ACL使其同时兼顾可读性和可扩展性
Identifier For Vendor, IDFV:苹果的Vendor标识符,安卓设备使用企业移动管理(EMM)应用提供的设备ID
RADIUS :一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 服务器:负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。
Managed Non-Privileged Client, MNP:受控无特权客户端
Remote Method Invocation,RMI:远程方法调用,Java应用程序可能使用
Proxy Auto-Config,PAC:代理自动配置
Service Mesh:微服务架构
Sidecar模式:一种单节点、多容器的应用设计形式。Sidecar主张以额外的容器来扩展或增强主容器,而这个额外的容器被称为Sidecar容器。
2FA:双因子认证,是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。
单向认证和双向认证:https://blog.csdn.net/duanbokan/article/details/50847612,差别在于是否发送客户端的证书和公钥,回传用客户端公钥加密
OAuth2:OAuth2是一个全世界范围内广泛应用的认证标准,基于该标准实现的SSO单点登录可以使各个业务系统无需关心用户的登录认证流程,只需在用户完整授权认证之后向资源服务器(Resource server)请求自己所需的用户和权限信息,并专注于业务逻辑即可。优点:高可控的资源访问粒度,完善的用户信息隔离功能,能有效保障用户的信息安全。缺点:对接流程较长,需要开发人员理解各个概念,使用不当可能会造成安全漏洞。
LDAP:LDAP(Light Directory Access Protocol)实际上是基于X.500标准的轻量级目录访问协议,认证流程是业务系统向目录服务请求用户的认证信息,然后自身来决定是否分配资源。优点:对接简单,使用范围很广,能快速应用到生产环境,大量系统均有对接此协议。缺点:所有业务系统都会直接接触用户包含密码在内的所有信息,如业务系统不可信或存在漏洞,会对用户信息安全造成很大的风险
JWT:JWT(JSON Web Token)是一种安全标准,基本思路是用户通过认证之后,服务端会产生一个加密的Token并返回给用户,服务器验证Token的合法性后即可向用户下发受保护的资源。优点:JWT与其他验证方式最大的区别是服务端可以不存储任何会话标识,会话的标识、过期时间、加密方式等都存储在客户端所持有的Token中。这种验证方式很容易做水平扩展。缺点:不便于对已颁发出去的Token做控制,若要实现对已颁发的特定token做控制就必须在服务端对其持久化,这违背了JWT设计的初衷
CMDB :Configuration Management Database 配置管理数据库,存储与管理企业IT架构中设备的各种配置信息,它与所有服务支持和服务交付流程都紧密相联,支持这些流程的运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。
IAM:Identity and Access Management,即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
SPIFFE: the Secure Production Identity Framework For Everyone, provides a secure identity, in the form of a specially crafted X.509 certificate, to every workload in a modern production environment. SPIFFE removes the need for application-level authentication and complex network-level ACL configuration.
cyber exposure:网络暴露
ATT&CK:将世界上真实发生的各种威胁手段转化成可以被统一描述的语言字典,让我们能够更好的了解我们的对手,为开展数字风险防护工作提供决策支持。更重要的是能够全面的了解威胁组织在攻击阶段能够利用的手段,如研究泄露的源代码、暴露的用户名密码等凭证信息、冒充品牌进行钓鱼、并最终利用暴露的IT基础设施的脆弱性开展攻击等。http://blog.nsfocus.net/threat-modeling-model-attck/
UEBA:用户及实体行为分析。作为目前异常发现的重要分析技术,无论是用户整体 IT 环境的态势感知(和 SIEM 融合,或在 SOC 中),还是结合数据防泄漏 (DLP) 等内部人员安全方案进行更精准的异常定位,都是不可或缺的一项重要能力。
