paint-brush
用外行术语解释 Info-Sec [第二部分]经过@heydanny
920 讀數
920 讀數

用外行术语解释 Info-Sec [第二部分]

经过 Dhanesh Dodia3m2022/07/25
Read on Terminal Reader
Read this story w/o Javascript

太長; 讀書

现代信息安全可能很难理解。 “攻击”、“利用”和“漏洞”等术语可能不言自明,但渗透测试、EDR 和 DAST 是什么意思?为什么分配测试范围很重要?这是[本文的延续](https://hackernoon.com/explaining-info-sec-in-laymans-terms-part-i) 本文由 Hackernoon 首发。

Company Mentioned

Mention Thumbnail
featured image - 用外行术语解释 Info-Sec [第二部分]
Dhanesh Dodia HackerNoon profile picture


介绍

现代信息安全可能很难理解。 “攻击”、“利用”和“漏洞”等术语可能不言自明,但渗透测试、EDR 和 DAST 是什么意思?为什么分配测试范围很重要?


这是本文的续篇。

通过暴力解释现代信息安全

有人可以从顶楼往你头上扔砖头。这是攻击


为此,他将前往建筑工地,爬到最高楼层,拿起一块砖,瞄准并扔下。这是一种利用。


您的头部并非设计用于以给定的重量和加速度撞击砖块。这是一个漏洞。

您从建筑工地移走所有砖块,排除任何人在其上的存在,以防万一,还有上层。这就是安全。


你戴上头盔以某种方式减少撞砖的后果。这是防病毒/ EDR


在您的安全规则中,规定每个人都必须戴头盔。但工作人员没有戴头盔,继续走路。这是纸质安全


工头还活着,那个人正在向四面八方扔砖头,守望者已经在按下红色按钮。这是一个安全分析器。


您雇用了两名工头,以便在其中一名死亡的情况下,工作不会停止。这是正式的容错。


你雇佣的工头和建筑工地的砖头一样多,再加上一个。这是实际的容错。


您购买了一种可以向各个方向扔砖的设备,例如网球。这是DAST。


有人跑到工地,爬到楼上,用砖头杀了工头,现在还兴高采烈地要求给他报酬。这是一个漏洞猎人。


您购买了一个虚拟模拟器,它的功能与 DAST 相同,但无需构建结构。这是SAST。


您在投掷装置和建筑模拟器之间购买了一个反馈模块。这是IAST。


你疯狂购买并转向第三方公司寻求帮助。公司诚邀您购买知名厂商最新的混凝土搅拌机,解决砖头问题。您不在乎混凝土搅拌机和砖块是如何连接的,但您仍然会购买。现在,不仅砖可以从楼上掉下来,还有混凝土搅拌机,这使得砖的问题不那么严重了。这是集成商的参与。


你聘请了专家来检查是否有可能进入建筑工地,爬上高层,并在员工头上丢砖头。这是一个渗透测试器


渗透者不仅能用砖头十种不同的方式杀死工头,而且还破坏了整个物体,烧毁了设备,并迫使守望者互相残杀。这是一位经验丰富的渗透测试人员,没有及时分配测试范围


你做了所有可以想象和不可思议的事情,让落砖不会杀死任何人,不会破坏物体,不会烧毁设备,当然还有看守的安全带。第二天,工头从混凝土搅拌机的制动系统上掉了下来。这就是现代信息安全的现实。

https://bit.ly/3Goglsf

最后的想法

谢谢各位读者,希望大家喜欢。本文首发于此处。