在安全廠商大肆營銷的勢頭下，用戶很容易將一些術語混為一談。例如，經常混淆漏洞、威脅和攻擊。如果不同的安全廠商或從業者使用不同的詞語來傳達同一件事，難免會造成困惑，導致合作伙伴之間很難有效協同工作，最終效果大打折扣。本文介紹了七個被濫用的網絡安全術語，并舉例說明它們如何使用，供從業者參考。

缺陷(flaw)

又名：弱點

定義：缺陷是應用程序中的任何非預期功能。缺陷可能成為漏洞，但并非所有缺陷都是漏洞。該術語常用于應用程序安全。

正確使用該術語的例子：該應用程序存在一個讓用戶可以訪問客戶數據的缺陷。

錯誤使用該術語的例子：該缺陷是開發人員有意設計的。

漏洞(vulnerability)

定義：漏洞是設備、應用程序或安全軟件等資產中可以被利用的缺陷。解決漏洞是網絡安全行業最頑固、未解決或部分解決的問題之一。漏洞在攻擊過程中可以被利用。

正確使用該術語的例子：漏洞在攻擊期間被利用。

錯誤使用該術語的例子：漏洞是無害的。

發現結果(finding)

又名：發現的缺陷/瑕疵/漏洞

定義：發現結果就是確認缺陷或漏洞。靜態應用程序安全測試(SAST)工具和動態應用程序安全測試(DAST)工具可識別可能是已知漏洞、也可能不是已知漏洞的發現結果。

正確使用該術語的例子：我們的SAST工具找到了五個發現結果。

錯誤使用該術語的例子：一個發現結果是漏洞利用程序。

漏洞利用程序(exploit)

定義：漏洞利用程序是旨在利用漏洞的程序。Veracode的博文解釋，漏洞利用程序是將漏洞變為武器，以實現特定的目的。漏洞利用程序在攻擊過程中可能被用來獲取訪問權、提升權限或執行其他功能。

正確使用該術語的例子：漏洞利用程序在攻擊期間被使用。

錯誤使用該術語的例子：我們分析了軟件，證實了存在漏洞利用程序。

圖1 常被誤用的術語在攻防生命周期中的位置

威脅(threat)

定義：威脅是尚未發生的潛在攻擊。

正確使用該術語的例子：勒索軟件是我們組織面臨的一種威脅。

錯誤使用該術語的例子：發現結果是一種威脅。

攻擊(attack)

定義：攻擊是正在發生或之前發生的活躍的惡意活動。攻擊可能會利用一個或多個漏洞來達到最終目的。

正確使用該術語的例子：漏洞利用程序在攻擊期間被使用。

錯誤使用該術語的例子：攻擊是一個漏洞。

檢測(detection)

又名：警報

定義：檢測是在確定性閾值內實時或追溯識別攻擊。我們發現，提到漏洞時，檢測這個術語常常被誤認為“發現結果”。這一重要區別清楚地表明，檢測是識別攻擊，而不是識別漏洞。

正確使用該術語的例子：檢測到一起正在進行的攻擊。

錯誤使用該術語的例子：檢測是一個漏洞。

參考鏈接：https://www.forrester.com/blogs/the-top-7-most-misused-terms-in-cybersecurity/