Термины и аббревиатуры информационной безопасности

A

AAL :

Authenticator Assurance Level

ATM Adaptation Layer

Authenticator Assurance Level

AAL это условная величина, которая характеризует защищённость транзакции аутентификации.

Чем выше AAL тем более защищённым является процесс аутентификации.

Более защищённая аутентификация требует, чтобы злоумышленники обладали лучшими возможностями и расходовали больше ресурсов для успешного подрыва процесса аутентификации.

Аутентификация при более высоких AAL может эффективно снизить риск атак.

AAL1 обеспечивает некоторую уверенность в том, что заявитель контролирует Аутентификатор, привязанный к учетной записи подписчика.

AAL1 требует либо однофакторной, либо многофакторной аутентификации с использованием широкого спектра доступных технологий аутентификации.

Успешная аутентификация требует, чтобы заявитель доказал владение аутентификатором и контроль над ним с помощью защищенного протокола аутентификации.

AAL2 обеспечивает высокую уверенность в том, что заявитель контролирует Аутентификатор(ы), привязанный к счету подписчика.

Доказательство наличия и контроля двух различных факторов аутентификации требуется с помощью протокола (протоколов) безопасной аутентификации. Утвержденные криптографические методы требуются в AAL2 и выше.

AAL3 обеспечивает очень высокую уверенность в том, что заявитель контролирует Аутентификатор(ы), привязанный к счету подписчика.

Аутентификация в AAL3 основана на доказательстве владения ключом с помощью криптографического протокола.

Аутентификация AAL3 требует аппаратного аутентификатора и аутентификатора, обеспечивающего устойчивость к олицетворению верификатора; одно и то же устройство может выполнять оба этих требования.

Для того чтобы пройти аутентификацию в AAL3, заявители должны доказать наличие и контроль двух различных факторов аутентификации с помощью протокола(протоколов) безопасной аутентификации.

Требуются одобренные криптографические методы.

ATM Adaptation Layer

уровень адаптации ATM — правила, определяющие способ подготовки информации для передачи по сети ATM. Один из уровней ATM.

Задача AAL — разбиение потока данных на ATM-ячейки и его обратная сборка.

Классы:

wiki

AAL2 :

Authenticator Assurance Level 2

ATM Adaptation Layer 2

ATM Adaptation Layer 2

это уровень адаптации ATM для асинхронного метода передачи данных (ATM), использующийся в основном в телекоммуникациях.

Например, она используется для интерфейсов Iu в Универсальной мобильной телекоммуникационной системе, а также для передачи цифрового голоса.

Стандартными спецификациями, связанными с AAL2, являются стандарты ITU I.363.2 и I366.1.

wiki

AC - Access Control

«Контроль доступа» — В области физической безопасности и информационной безопасности Контроль доступа (АС) - это избирательное ограничение доступа к месту или другому ресурсу, в то время как управление доступом описывает процесс.

Акт доступа может означать потребление, вход или использование.

Разрешение на доступ к ресурсу называется авторизацией.

Блокировки и учетные данные для входа - это два аналогичных механизма контроля доступа.

wiki

AD - Active Directory

«Активный каталог» — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server.

Первоначально создавалась, как LDAP -совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.

Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.

Хранит данные и настройки среды в централизованной базе данных.

Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

wiki

API - Application Programming Interface

Программный интерфейс приложения, интерфейс прикладного программирования — описание способов (набор классов, процедур, функций, структур или констант), которыми одна компьютерная программа может взаимодействовать с другой программой.

Обычно входит в описание какого-либо интернет-протокола (например, RFC), программного каркаса (фреймворка) или стандарта вызовов функций операционной системы).

Часто реализуется отдельной программной библиотекой или сервисом операционной системы.

Используется программистами при написании всевозможных приложений.

Читайте также статьи: «Тестирование API» и «Учебник по тестированию»

wiki

APT - Advanced Persistent Threat

«развитая устойчивая угроза» также целевая кибератака — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных).

Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем.

APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений.

Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой.

Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени.

APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».

wiki

ATM - Asynchronous Transfer Mode

асинхронный способ передачи данных) — сетевая высокопроизводительная технология коммутации и мультиплексирования пакетов.

Пакеты представляют собой ячейки (англ. cell) фиксированного размера в 53 байта, где первые 5 байт используются под заголовок.

Является разновидностью быстрой коммутации пакетов (англ. fast packet switching).

В отличие от синхронного способа передачи данных ( STM — англ. synchronous transfer mode), ATM лучше приспособлен для предоставления услуг передачи данных с сильно различающимся или изменяющимся битрейтом.

wiki

Authentication

Аутентификация — процедура проверки подлинности, например:

проверка подлинности пользователя путём сравнения введённого им пароля (для указанного логина) с паролем, сохранённым в базе данных пользовательских логинов;

подтверждение подлинности электронного письма путём проверки цифровой подписи письма по открытому ключу отправителя;

проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

В русском языке термин применяется, в основном, в области информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной.

Обычно она проводится с помощью криптографических способов.

Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

wiki

Authorization

Авторизация — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.

Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

Авторизацию не следует путать с аутентификацией — процедурой проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла.

Авторизация же производит контроль доступа к различным ресурсам системы в процессе работы легальных пользователей после успешного прохождения ими аутентификации.

wiki

AV - Anti Virus

Антивирусная программа (антивирус, средство антивирусной защиты, средство обнаружения вредоносных программ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

wiki

BC

BC - Backup Copy

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

wiki

bcrypt — адаптивная криптографическая хеш-функция формирования ключа, используемая для защищенного хранения паролей.

Разработчики: Нильс Провос и David Mazières.

Функция основана на шифре Blowfish, впервые представлена на USENIX в 1999 году.

Для защиты от атак с помощью радужных таблиц bcrypt использует соль (salt); кроме того, функция является адаптивной, время её работы легко настраивается и её можно замедлить, чтобы усложнить атаку перебором.

Шифр Blowfish отличается от многих алгоритмов вычислительно сложной фазой подготовки ключей шифрования.

Провос и Mazières воспользовались этой особенностью, но изменили алгоритм подготовки ключей, получив шифр «Eksblowfish» (expensive key schedule Blowfish).

Количество раундов в подготовке ключей должно быть степенью двойки; конкретная степень может задаваться при использовании bcrypt.

Изначально реализовано в функции crypt в OpenBSD .

Существуют реализации для Java , Python , Nim, C# , Ruby , Perl, PHP , Node.js , Go и некоторых других.

wiki

BFS - Brute-force search

Полный перебор или метод «грубой силы» — метод решения математических задач.

Относится к классу методов поиска решения исчерпыванием всевозможных вариантов.

Сложность полного перебора зависит от количества всех возможных решений задачи. Если пространство решений очень велико, то полный перебор может не дать результатов в течение нескольких лет или даже столетий.

Любая задача из класса NP может быть решена полным перебором. При этом, даже если вычисление целевой функции от каждого конкретного возможного решения задачи может быть осуществлено за полиномиальное время, в зависимости от количества всех возможных решений полный перебор может потребовать экспоненциального времени работы.

В криптографии на вычислительной сложности полного перебора основывается оценка криптостойкости шифров.

В частности, шифр считается криптостойким, если не существует метода «взлома» существенно более быстрого чем полный перебор всех ключей.

Криптографические атаки, основанные на методе полного перебора, являются самыми универсальными, но и самыми долгими.

C

CA - Certificate Authority

В криптографии центр сертификации или удостоверяющий центр — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен.

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

wiki

Ciphertext - Шифротекст

Шифротекст, шифртекст — результат операции шифрования .

Часто также используется вместо термина «криптограмма», хотя последний подчёркивает сам факт передачи сообщения, а не шифрования.

COA - Ciphertext-only attack

— один из основных способов криптоанализа. Предполагается что криптоаналитику известен только набор шифротекстов, целью является получение как можно большего количества открытых текстов, соответствующих имеющимся шифротекстам, или ещё лучше — ключа, использованного при шифровании. Шифротексты могут быть получены простым перехватом сообщений по открытым каналам связи. Данный вид атаки является слабым и неудобным.

CPA - Chosen-plaintext attack

Атака на основе подобранного открытого текста — один из основных способов криптоаналитического вскрытия.

Криптоаналитик обладает определённым числом открытых текстов и соответствующих шифротекстов, кроме того, он имеет возможность зашифровать несколько предварительно выбранных открытых текстов

CPNI - Customer Proprietary Network Information

Информация о собственной сети клиента - это данные, собранные телекоммуникационными компаниями о телефонных звонках потребителя.

Она включает в себя время, дату, продолжительность и номер назначения каждого вызова, тип сети, на которую подписывается потребитель, и любую другую информацию, которая появляется в телефонном счете потребителя.

Телемаркетеры или агенты по обслуживанию клиентов, работающие от имени телефонных компаний, должны пройти дополнительный уровень аутентификации клиентов (как правило, PIN-код или последние четыре сохраненных способа оплаты) и запросить согласие клиента на получение доступа к платежной информации или до использования или обмена этой информацией для любых целей, включая, но не ограничиваясь апсейл предложением или любым изменение услуг.

Обычно это делается в начале разговора телемаркетера с телефонным абонентом.

wiki

CVE - Common Vulnerabilities and Exposures

база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер[1], описание и ряд общедоступных ссылок с описанием.

Поддержкой CVE занимается организация MITRE.

Финансированием проекта CVE занимается US-CERT.

Особенности:

Один идентификатор для одной уязвимости.

Стандартизированное описание уязвимостей.

Бесплатная загрузка и использование.

wiki

D

DAA Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учетных данных пользователя веб-браузера.

Аналогичный метод используется в рамках VoIP-протокола SIP для аутентификации сервером обращения со стороны клиента, т.е. оконечного терминала. Данный метод отправляет по сети хеш-сумму логина, пароля, адреса сервера и случайных данных, и предоставляет больший уровень защиты, чем базовая аутентификация, при которой данные отправляются в открытом виде.

Технически, аутентификация по дайджесту представляет собой применение криптографической хеш-функции MD5 к секрету пользователя с использованием случайных значений для затруднения криптоанализа и предотвращения replay-атак. Работает на уровне протокола HTTP.

Это более продвинутый вариант HTTP Аутентификации.

Подробнее про дайджест-аутентификацию читайте в статье HTTP Digest Authentication

DH . Diffie–Hellman

Протокол Диффи - Хеллмана — криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи.

Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.

Схема открытого распределения ключей, предложенная Диффи и Хеллманом, произвела настоящую революцию в мире шифрования, так как снимала основную проблему классической криптографии — проблему распределения ключей.

В чистом виде алгоритм Диффи — Хеллмана уязвим для модификации данных в канале связи, в том числе для атаки «Man-in-the-middle (человек посередине)» , поэтому схемы с его использованием применяют дополнительные методы односторонней или двусторонней аутентификации.

DoS attack Denial-of-service attack - «отказ в обслуживании»

— хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён.

Отказ атакуемой системы может быть и шагом к получению доступа (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

wiki

DDoS attack Distributed Denial-of-service attack - Распределённая DoS атака

— входящий трафик, наводняющий жертву, исходит из многих различных источников.

Это фактически делает невозможным остановить атаку, просто заблокировав один источник.

DoS-или DDoS-атака аналогична группе людей, толпящихся у входа в магазин, что затрудняет доступ законным клиентам и тем самым нарушает торговлю.

Также по теме:

Защита сайта от DDoS-атак

Система защиты от DDOS атак - Syncookied

DDOS wikipedia

E

Encipher - зашифровать

Сконвертировать обычный текст в шифротекст с помощью криптографии.

Синонимы: encode, encrypt

F

FAL - Federation Assurance Level

«Уровень Обеспечения Федерации» —

FAL описывает требования к тому, как создаются и защищаются утверждения для данной транзакции.

Эти уровни могут быть запрошены RP или необходимы конфигурацией как RP, так и IdP для данной транзакции.

Уровни Обеспечения Федерации
FAL Требование
1 Подтвержение носителя, подписанное поставщиком идентификационной информации (IdP)
2 Подтвержение носителя, подписанное IdP и зашифрованное RP
3 Holder of key assertion, подписанное IdP и зашифрованное to RP

pages.nist.gov

FQDN - Fully Qualified Domain Name

«Полностью определённое имя домена» — имя домена, не имеющее неоднозначностей в определении.

Включает в себя имена всех родительских доменов иерархии DNS.

В DNS и, что особенно существенно, в файлах зоны[en], FQDN завершаются точкой (например, example.com.), то есть включают корневое доменное имя, которое является безымянным (то есть пустым).

Различие между FQDN и доменным именем появляется при именовании доменов второго, третьего уровня и так далее.

Для получения FQDN требуется обязательно указать в имени домены более высокого уровня (например, sample является доменным именем, однако FQDN имя выглядит как sample.gtw-02.office4.example.com.).

В DNS-записях доменов (для перенаправления, почтовых серверов и так далее) всегда используются FQDN.

Максимальный размер FQDN — 255 байт, с ограничением в 63 байта на каждое имя домена.

wiki

H

HSM - Hardware security module

Аппаратный модуль безопасности (АМБ) - это физическое вычислительное устройство, которое защищает цифровые ключи и управляет ими, выполняет функции шифрования и дешифрования цифровых подписей, строгой аутентификации и другие криптографические функции.

Эти модули традиционно поставляются в виде подключаемой платы или внешнего устройства, которое подключается непосредственно к компьютеру или сетевому серверу.

Аппаратный модуль безопасности содержит один или несколько защищенных криптопроцессорных чипов.

Подробнее в статье: HSM

wiki

I

IAL - Identity Assurance Level

Уровень Обеспечения Идентичности

pages.nist.gov

IAM , IdM , IdAM - Identity and Access Management

Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM, IdAM или IAM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.

В нем рассматривается необходимость обеспечения надлежащего доступа к ресурсам во все более разнородных технологических средах и удовлетворения все более строгих требований к соблюдению требований.

Подробнее можете изучить эту тему в статье

«Identity and Access Management»

wiki

IdP , IDP - Identity Provider

Поставщик идентификационной информации - это системный объект, который создает, поддерживает и управляет идентификационной информацией для принципалов, а также предоставляет услуги аутентификации проверяющим приложениям в Федерации или распределенной сети.

Поставщики идентификационной информации предлагают аутентификацию пользователей в качестве услуги.

Приложения проверяющей стороны, такие как веб-приложения, передают этап проверки подлинности пользователя доверенному поставщику удостоверений.

Такое приложение проверяющей стороны называется федеративным, то есть оно потребляет федеративную идентификацию.

Поставщик идентификационной информации - это «надежный поставщик, который позволяет вам использовать единый вход (SSO) для доступа к другим веб-сайтам».

SSO повышает удобство использования, уменьшая усталость паролей. Он также обеспечивает лучшую безопасность за счет уменьшения потенциальной поверхности атаки.

Поставщики идентификационной информации могут облегчить соединение между ресурсами облачных вычислений и пользователями, тем самым уменьшая необходимость повторной аутентификации пользователей при использовании мобильных и роуминговых приложений.

Список IDP для AWS

wiki

IOE - Internet of Evertything

Чаще употребляется термин IoT - Internet of Things

IoT - Internet of Things

«Интернет вещей» - концепция сети передачи данных между физическими объектами («вещами»), оснащёнными встроенными средствами и технологиями для взаимодействия друг с другом или с внешней средой.

Предполагается, что организация таких сетей способна перестроить экономические и общественные процессы, исключить из части действий и операций необходимость участия человека.

Концепция сформулирована в 1999 году как осмысление перспектив широкого применения средств радиочастотной идентификации для взаимодействия физических предметов между собой и с внешним окружением.

Наполнение концепции многообразным технологическим содержанием и внедрение практических решений для её реализации начиная с 2010-х годов считается устойчивой тенденцией в информационных технологиях, прежде всего, благодаря повсеместному распространению беспроводных сетей, появлению облачных вычислений, развитию технологий межмашинного взаимодействия, началу активного перехода на IPv6 и освоению программно-определяемых сетей.

wiki

iPaaS - Integration Platform as a Service

Набор облачных сервисов, позволяющих клиентам разрабатывать, выполнять и управлять интеграционными потоками между разрозненными приложениями.

В рамках облачной модели интеграции iPaaS клиенты управляют разработкой и развертыванием интеграций без установки или управления каким-либо аппаратным или промежуточным программным обеспечением.

wiki

IPC - Infrastructure Protection Center

Центр защиты инфраструктуры - термин, используемый канадским правительством вместо

SOC

ISOC - Information Security Operations Center

Операционный центр информационной безопасности - это комплекс, где корпоративные информационные системы ( веб-сайты , приложения, базы данных , центры обработки данных и серверы, сети, настольные компьютеры и другие конечные точки) контролируются, оцениваются и защищаются.

Там где это понятно из контекста вместо ISOC для краткости пользуются аббревиатурой SOC - Security Operations Center

Этот термин можно трактовать следующим образом: SOC – это централизованная корпоративная команда мониторинга безопасности, созданная в целях снижения рисков организации путем использования технологий и процессов для обнаружения инцидентов, их локализации, анализа и снижения ущерба

wiki

K

KPA - Known-plaintext attack

Атака на основе открытых текстов - вид криптоанализа, при котором в шифротексте присутствуют стандартные отрывки, смысл которых заранее известен аналитику. Во время Второй мировой войны английские криптоаналитики называли такие отрывки «подсказками» (англ. crib — подсказка, шпаргалка)

L

LDAP - Lightweight Directory Access Protocol

«легковесный протокол доступа к каталогам» — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP.

LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP.

Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем (DN — англ. Distinguished Name).

Уникальное имя может выглядеть, например, следующим образом:

«cn=Иван Петров,ou=Сотрудники,dc=example,dc=com».

Уникальное имя состоит из одного или нескольких относительных уникальных имён (RDN — англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение.

На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева.

Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы (schema). В схеме определено, какие атрибуты являются для данного класса обязательными, а какие — необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

wiki

M

MFA - Multi-factor authentication

Многофакторная аутентификация (МФА) — расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».

К категориям таких доказательств относят:

Знание — информация, которую знает субъект. Например пароль, ПИН-код.

Владение — вещь, которой обладает субъект. Например электронная или магнитная карта, токен, флеш-память.

Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, капиллярные узоры, последовательность ДНК.

wiki

MITM - Man-in-the-middle attack

Атака посредника, или атака «человек посередине» — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.

Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Одним из примеров атак типа «человек посередине» является активное прослушивание, при котором злоумышленник устанавливает независимые связи с жертвами и передаёт сообщения между ними.

Тем самым он заставляет жертв поверить, что они разговаривают непосредственно друг с другом через частную связь, фактически же весь разговор управляется злоумышленником.

Злоумышленник должен уметь перехватывать все передаваемые между двумя жертвами сообщения, а также вводить новые.

В большинстве случаев это довольно просто, например, злоумышленник может вести себя как «человек посередине» в пределах диапазона приёма беспроводной точки доступа (Wi-Fi).

Данная атака направлена на обход взаимной аутентификации или отсутствие таковой и может увенчаться успехом только тогда, когда злоумышленник имеет возможность выдать себя за каждую конечную точку либо оставаться незамеченным в качестве промежуточного узла.

Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак.

Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации.

wiki

N

NAS - Network-attached storage

является сервером для хранения данных на файловом уровне.

По сути, представляет собой компьютер с некоторым дисковым массивом, подключённый к сети (обычно локальной) и поддерживающий работу по принятым в ней протоколам.

Несколько таких компьютеров могут быть объединены в одну систему.

wiki

O

OAuth

OAuth — открытый протокол (схема) авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль.

Подробнее про принцип авторизации с помощью OAuth читайте в статье OAuth

RFC6849 RFC8252

wiki

OIDC

OpenID Connect - Стандартизированный уровень идентификации для аутентификации, использующий OAuth2 (не путать с OpenID, который обеспечивает только аутентификацию, или чистым Oauth2, который обеспечивает только авторизацию).

В то время как OIDC использует OAuth2 для авторизации, он также пользуется (некоторые сказали бы, злоупотребляет) OAuth2 авторизацией для выполнения задач аутентификации.

OSINT

Open source intelligence - Разведка на основе открытых источников.

Разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.

В разведывательном сообществе термин «открытый источник разведывательных данных» (англ. open information source), который указывает на общедоступность источника (в отличие от секретных источников и источников с ограниченным использованием), но он не связан с понятиями «просто источник информации» (англ. open source information; OSIF), означающий любую находящуюся в пространстве СМИ информацию.

Это понятие не тождественно «публичной разведке» (англ. public intelligence). Также его не стоит путать с понятием «открытое программное обеспечение» (англ. open-source software).

По утверждениям аналитика ЦРУ Шермана Кента 1947 года, политики получают из открытых источников до 80 процентов информации, необходимой им для принятия решений в мирное время.

Позднее генерал-лейтенант Самуэль Уилсон, который был руководителем РУМО США в 1976—1977 годах, отмечал, что «90 процентов разведданных приходит из открытых источников и только 10 — за счёт работы агентуры».

P

PACS - Physical Access Control System

Система контроля и управления доступом (СКУД) — совокупность программно-аппаратных технических средств контроля и средств управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через «точки прохода»: двери, ворота, КПП.

Основная задача — управление доступом на заданную территорию:

кого пускать

в какое время

на какую территорию

Включая также:

Дополнительные задачи:

На особо ответственных объектах сеть устройств СКУД выполняется физически не связанной с другими информационными сетями.

wiki

PAM - Privileged Account Management

это часть системы управления идентификацией и доступом ( IAM ), которая занимается исключительно защитой привилегированных учетных записей на предприятии, включая учетные записи операционных систем, баз данных, серверов, приложений, виртуальных машин и сетевых устройств.

PKI - Public key infrastructure

Инфраструктура открытых ключей (ИОК) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей.

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

закрытый ключ (private key) известен только его владельцу; удостоверяющий центр создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;

никто не доверяет друг другу, но все доверяют удостоверяющему центру; удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

wiki

PoLP - Principle of Least Privilege

Принцип наименьших привилегий, также известный как принцип минимальных привилегий (англ. Principle of least privilege) или просто минимальные привилегии, в информационной безопасности, информатике и других областях — принцип организации доступа к ресурсам, когда в тот или иной уровень абстракции от вычислительной среды, каждый модуль (такой, как процесс, пользователь или программа, которые мы рассматриваем) должны иметь доступ к такой информации и ресурсам, которые минимально необходимы для успешного выполнения его рабочей цели.

Это означает давать пользователю только те привилегии, которые являются абсолютно необходимыми для того, чтобы сделать свою работу. Например, пользователю который занимается резервным копированием не нужно устанавливать любое другое программное обеспечение, кроме того, что ему необходимо для работы. Любые другие привилегии, например как установка программного обеспечения и так далее должны быть заблокированы. Принцип распространяется также на пользователей персонального компьютера дома, где они должны работать в учетной записи обычного пользователя и открывать свою учетную запись администратора (защищённую паролем) только тогда, когда ситуация требует этого.

Применительно к пользователям, принцип наименьшего допуска, означает предоставление пользователям только минимально необходимых возможностей при работе с операционной системой и приложениями.

wiki

PTH - Pass the hash

один из видов атаки повторного воспроизведения. Она позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.

Этот метод может быть использован против любого сервера/сервиса, использующего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы.

Q

qop - Quality of Protection

Опция для HTTP Digest Authentication. Может принимать значения "auth" или "auth-int". Влияет на то как создается хэш.

Если поставить в "auth" будет использоваться только запрошенный URI. Если в "auth-int" то также будет использовано тело запроса.

rfc2617

R

RA - Replay Attack

Атака повторного воспроизведения - атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая как пароль или биометрические данные могут быть записаны и использованы позднее для имитации аутентичности.

RC - Race Condition

Состояние гонки - также конкуренция или неопределённость параллелизма — ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода.

Своё название ошибка получила от похожей ошибки проектирования электронных схем (см. Гонки сигналов ).

Термин состояние гонки относится к инженерному жаргону и появился вследствие неаккуратного дословного перевода английского эквивалента.

В более строгой академической среде принято использовать термин неопределённость параллелизма.

Состояние гонки — «плавающая» ошибка (гейзенбаг), проявляющаяся в случайные моменты времени и «пропадающая» при попытке её локализовать.

wiki

RP - Relying Party

Проверяющая сторона - это компьютерный термин, используемый для обозначения сервера, предоставляющего доступ к защищенному программному приложению.

Приложения на основе утверждений, где утверждение - это заявление, которое субъект делает о себе для установления доступа, также называются приложениями проверяющей стороны (RP).

RP также можно назвать "приложениями, поддерживающими утверждения" и "приложениями, основанными на утверждениях", а веб-приложения и службы могут быть RP

С помощью службы маркеров безопасности (STS) RP перенаправляет клиентов на STS, который аутентифицирует клиента и выдает ему маркер безопасности, содержащий набор утверждений о личности клиента, которые он может представить RP.

Вместо того чтобы приложение аутентифицировало пользователя напрямую, RP может извлечь эти утверждения из токена и использовать их для задач, связанных с идентификацией.

Стандарт OpenID определяет ситуацию, в которой сотрудничающий сайт может выступать в качестве RP, позволяя пользователю входить на несколько сайтов, используя один набор учетных данных.

Пользователь выигрывает от того, что ему не нужно делиться своими учетными данными для входа с несколькими сайтами, а операторы сотрудничающего сайта избегают необходимости разрабатывать свой собственный механизм входа.

Приложение, демонстрирующее концепцию проверяющей стороны, - это программное обеспечение, работающее на мобильных устройствах, которое может использоваться не только для предоставления пользователю доступа к программным приложениям, но и для безопасного доступа к зданию, без необходимости каждый раз вводить свои учетные данные.

wiki

RT - Rainbow Table

Радужная таблица — специальный вариант таблиц поиска (англ. lookup table) для обращения криптографических хеш-функций, использующий механизм разумного компромисса между временем поиска по таблице и занимаемой памятью (англ. time-memory tradeoff).

Радужные таблицы используются для вскрытия паролей, преобразованных при помощи сложнообратимой хеш-функции, а также для атак на симметричные шифры на основе известного открытого текста.

Использование функции формирования ключа с применением соли делает эту атаку неосуществимой.

Радужные таблицы являются развитием более раннего и простого алгоритма, предложенного Мартином Хеллманом .

wiki

S

SAC - Security Analytics Center

Центр аналитики безопасности - альтернативное название для

SOC

SDC - Security Defence Center

Центр защиты безопасности - ещё одно альтернативное название для

SOC

SEM - Security event management

дисциплина компьютерной безопасности, использующая средства проверки данных для централизации хранения и интерпретации журналов или событий, генерируемых другим программным обеспечением, работающим в сети

wiki

SIEM - Security information and event management

объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.

Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.

wiki

SIM - Security Information Management

это циклический процесс, включающий в себя:

wiki

SOC - Security Operations Center

Оперативный центр безопасности- это централизованное подразделение, которое занимается вопросами безопасности на организационном и техническом уровне.

SOC в здании или объекте-это центральное место, откуда персонал контролирует объект, используя технологию обработки данных.

Как правило, SOC оснащен для контроля доступа и управления освещением, сигнализацией и шлагбаумами транспортных средств.

Более узким термином, относящимся непосредственно к IT является ISOC

Аналогичные и похожие термины:

wiki

SSL - Secure Sockets Layer

Уровень защищённых сокетов — Устаревший криптографический протокол, который подразумевает более безопасную связь.

Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (англ. Voice over IP — VoIP) в таких приложениях, как электронная почта, интернет-факс и др. В 2014 году правительство США сообщило об уязвимости в текущей версии протокола. SSL должен быть исключён из работы в пользу TLS

SSL изначально разработан компанией Netscape Communications для добавления протокола HTTPS в свой веб-браузер Netscape Navigator.

Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS .

В разговорной речи иногда имеют в виду TLS, а говорят SSL.

Читайте также:

Подключение SSL к сайту

Выпуск и установка SSL-сертификатов от Let's Encrypt на VPS

wiki

SSO - Single sign-on

Технология единого входа — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.

Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

wiki

STM - Synchronous Transfer Mode

Синхронный способ передачи данных

T

TLS - Transport Layer Security — Протокол защиты транспортного уровня), как и его предшественник SSL — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет.

TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP).

TLS-протокол основан на спецификации протокола SSL версии 3.0. Сейчас развитием стандарта TLS занимается IETF. Последнее обновление протокола было в RFC 5246 (август 2008) и RFC 6176 (март 2011).

Протоколы SSL и TLS
ПротоколДата публикацииСостояние
SSL 1.0не публиковалсяне публиковался
SSL 2.01995Признан устаревшим в 2011 году (RFC 6176)
SSL 3.01996Признан устаревшим в 2015 году (RFC 7568)
TLS 1.01999Признан устаревшим в 2020 году
TLS 1.12006Признан устаревшим в 2020 году
TLS 1.22008
TLS 1.32018

TOFU - Trust on First Use

TUFU - Trust upon First Use

Доверие при первом использовании -это схема аутентификации , используемая клиентским программным обеспечением, которое должно установить доверительные отношения с неизвестной или еще не доверенной конечной точкой.

В модели TOFU клиент попытается найти идентификатор конечной точки, обычно либо открытый идентификационный ключ конечной точки, либо отпечаток указанного идентификационного ключа, в своей локальной базе данных доверия.

Если для конечной точки еще не существует идентификатора, клиентское программное обеспечение либо предложит пользователю подтвердить, что он проверил подлинность предполагаемого идентификатора, либо, если предполагается, что ручная проверка в протоколе невозможна, клиент просто доверяет данному идентификатору и записывает доверительные отношения в свою базу данных доверия.

Если в последующем соединении от противоположной конечной точки будет получен другой идентификатор, клиентское программное обеспечение сочтет его ненадежным.

U

UKM - Universal Key Manager

Проприетарное программное обеспечение для управления ключами SSH жизненного цикла для предприятий, разрабатываемое компанией SSH Security Systems

ssh.com

V

VPC - Virtual private cloud

Виртуальное частное облако - это настраиваемый по требованию пул общих вычислительных ресурсов, выделяемых в среде публичного облака, обеспечивающий определенный уровень изоляции между различными организациями (далее обозначаемыми как пользователи), использующими эти ресурсы.

Изоляция между одним пользователем VPC и всеми другими пользователями того же облака (другими пользователями VPC, а также другими пользователями общедоступного облака) обычно достигается путем выделения частной IP-подсети и виртуальной коммуникационной конструкции (такой как VLAN или набор зашифрованных каналов связи) для каждого пользователя.

В VPC ранее описанный механизм, обеспечивающий изоляцию в облаке, сопровождается функцией VPN (опять же, выделенной для каждого пользователя VPC), которая обеспечивает посредством аутентификации и шифрования удаленный доступ организации к ее ресурсам VPC.

С введением описанных уровней изоляции организация, использующая эту услугу, фактически работает в «виртуально частном» облаке (то есть, как если бы облачная инфраструктура не была совместно использована другими пользователями), и отсюда название VPC.

VPC чаще всего используется в контексте облачной инфраструктуры как сервис.

В этом контексте поставщик инфраструктуры, предоставляющий базовую инфраструктуру публичного облака, и поставщик, реализующий услугу VPC через эту инфраструктуру, могут быть разными поставщиками.

wiki

VPN - Virtual Private Network

«Виртуальная частная сеть» — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет).

Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например по публичным сетям) уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

wiki

Другие словари:

Словарь по математике

Аббревиатуры ядерной энергетики

Термины RFID индустрии - на английском языке

Словарь по физике

Похожие статьи
Кибербезопасность
Словарь терминов и список аббревиатур кибербезопасности
Авторизация / аутентификация
OAuth
Новости ИБ
Компании
Подключение SSL к сайту
Выпуск и установка SSL-сертификатов от Let's Encrypt на VPS
Автоматическая SSH-авторизация по ключу
Настройка DKIM
Защита сайта от DDoS-атак
Система защиты от DDOS атак - Syncookied
Контакты и сотрудничество:
Рекомендую наш хостинг beget.ru
Пишите на info@urn.su если Вы:
1. Хотите написать статью для нашего сайта или перевести статью на свой родной язык.
2. Хотите разместить на сайте рекламу, подходящуюю по тематике.
3. Реклама на моём сайте имеет максимальный уровень цензуры. Если Вы увидели рекламный блок недопустимый для просмотра детьми школьного возраста, вызывающий шок или вводящий в заблуждение - пожалуйста свяжитесь с нами по электронной почте
4. Нашли на сайте ошибку, неточности, баг и т.д. ... .......
5. Статьи можно расшарить в соцсетях, нажав на иконку сети: