● 157 entries

Защита и операции

Агрегация логовСбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
Активная защитаСтратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
Антивирус (AV)ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
Антивирус нового поколения (NGAV)Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
Базовая конфигурация безопасностиЗадокументированный минимально приемлемый набор настроек безопасности, которому должна соответствовать любая система данного типа перед вводом в продакшен.
Белый хакерСпециалист по безопасности, применяющий наступательные навыки только с явного разрешения, чтобы находить и сообщать об уязвимостях для их исправления защитниками.
Внутренняя угроза (insider)Риск того, что действующий или бывший сотрудник, подрядчик или партнёр с легитимным доступом использует его во вред, умышленно или по неосторожности.
Воздействие (Impact, тактика MITRE)Тактика MITRE ATT&CK (TA0040), охватывающая техники нарушения доступности или целостности систем, данных и бизнес-процессов.
Выполнение (тактика MITRE)Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе.
Государственный субъектПоддерживаемый государством или связанный с ним субъект угроз, ведущий кибероперации для стратегических, разведывательных, военных или экономических целей.
Детектирование песочницы / эмулятораАнти-аналитические техники в ВПО, которые распознают, что хост — это аналитическая песочница, эмулятор или виртуальная машина, и отказываются исполнять полезную нагрузку, чтобы скрыться от обнаружения.
Детектирующие средства контроляМеры безопасности, предназначенные для выявления вредоносной активности, нарушений политик или аномалий и оповещения о них уже после их возникновения в среде.
Доступ к учётным данным (Credential Access)Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
Закрепление (Persistence)Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
Запрос Splunk SPLЗапрос на языке Splunk Search Processing Language для фильтрации, преобразования, корреляции и визуализации машинных данных в целях детектирования, hunting и отчётности.
Изоляция конечной точкиДействие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
Индикатор атаки (IoA)Поведенческое свидетельство того, что злоумышленник прямо сейчас совершает попытку вторжения, ориентированное на намерения и технику, а не на постфактумные артефакты.
Индикатор компрометации (IoC)Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
Карантин (конечная точка)Действие endpoint-безопасности, которое переносит подозрительный файл из исходного места в контролируемое и обезвреженное хранилище — выполнить его нельзя, но можно проанализировать или восстановить.
Киберразведка угроз (CTI)Основанное на доказательствах знание о противниках, их мотивах и методах, используемое для принятия защитных решений и приоритизации мер контроля.
Компенсирующие средства контроляАльтернативные защитные меры, обеспечивающие эквивалентный уровень защиты, когда основной или требуемый контроль невозможно реализовать.
Корректирующие средства контроляМеры безопасности, применяемые после инцидента для ограничения ущерба, устранения угрозы и восстановления систем до заведомо исправного состояния.
Корреляция логовСвязывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
Латеральное перемещение (Lateral Movement)Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
Ложноотрицательное срабатываниеВредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
Ложноположительное срабатываниеОповещение, ошибочно квалифицирующее нормальную активность как вредоносную, расходующее время аналитиков и подрывающее доверие к правилу.
Меры безопасностиТехнические, организационные или физические защитные меры, предназначенные для предотвращения, обнаружения или реагирования на угрозы информационным активам.
Модель зрелости SOCФреймворк для оценки центра мониторинга безопасности по людям, процессам, технологиям и услугам, формирующий многолетнюю программу развития.
Мониторинг активности баз данных (DAM)Класс средств защиты, который непрерывно отслеживает SQL-запросы, действия привилегированных пользователей и изменения схемы, применяя политики и выявляя злоупотребления в реальном времени.
Мониторинг целостности файлов (FIM)Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
Обход защит (Defense Evasion)Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
Оперативная разведка угрозСреднесрочная разведка о конкретных кампаниях, акторах и их TTP, используемая для подготовки защитников, охоты на угрозы и приоритизации мер контроля.
Охота за угрозамиПроактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
Оценка уязвимостейСистематический анализ среды для выявления, классификации и приоритизации уязвимостей, как правило, без их активной эксплуатации.
Пассивный DNSИсторическая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени.
Первоначальный доступТактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
Плейбук безопасностиДокументированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
Побег из песочницы (Sandbox Escape)Уязвимость или цепочка эксплойтов, позволяющая коду выйти из изолирующей песочницы — браузера, ВМ или гипервизора — и получить исполнение в окружающей хост-среде.
Поведенческое детектированиеПодход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
ПостмортемБезобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.
Правило SigmaВендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
Правило SnortСигнатура на языке правил Snort, описывающая сетевой трафик для оповещения или блокировки в режиме IDS или IPS.
Правило YARAТекстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
Предупреждающие мерыМеры, призванные не допустить наступления события безопасности, устраняя возможность или способность к действию.
Прозрачность сертификатовЭкосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена.
Разведка (Reconnaissance)Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению.
Сбор данных (Collection, тактика MITRE)Тактика MITRE ATT&CK (TA0009), охватывающая техники сбора интересующей информации перед её эксфильтрацией.
Серый хакерХакер, действующий между этическими и неэтическими крайностями: часто исследует системы без явного разрешения, но обычно с целью раскрытия, а не вреда.
Сканирование образов контейнеровПрактика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
Сканирование уязвимостейАвтоматизированный процесс, который проверяет системы, приложения или контейнеры по сигнатурам известных уязвимостей и формирует список потенциальных слабостей.
Состояние защищённостиОбщая степень устойчивости киберзащиты организации, выражаемая её способностью прогнозировать, предотвращать, обнаруживать, реагировать и восстанавливаться после угроз.
Стратегическая разведка угрозВысокоуровневая долгосрочная разведка о ландшафте угроз, намерениях противника и геополитическом контексте, используемая для решений уровня руководства и совета директоров.
Субъект угрозыЛицо или группа, целенаправленно причиняющая или пытающаяся причинить вред информационным системам, организациям или людям через киберопераций.
Тактики, техники и процедуры (TTP)Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).
Тактическая разведка угрозКратковременная техническая разведка об инструментах, индикаторах и сигнатурах противника, потребляемая аналитиками SOC и средствами защиты для обнаружения и блокировки атак.
Тестирование на проникновениеСанкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.
Технологии обмана (Deception)Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих.
Тюнинг правил SIEMПостоянный процесс настройки правил обнаружения в SIEM для снижения ложных срабатываний, закрытия пробелов и согласования с моделью угроз организации.
Управление активамиНепрерывное обнаружение, инвентаризация, классификация и сопровождение жизненного цикла всех аппаратных, программных, облачных и связанных с данными активов, которые должна защищать программа безопасности.
Управление внешней поверхностью атаки (EASM)Непрерывное обнаружение и мониторинг всех интернет-доступных активов организации с точки зрения внешнего злоумышленника.
Управление изменениямиСтруктурированный процесс предложения, рассмотрения, утверждения, планирования, внедрения и последующего анализа изменений в ИТ-системах с контролируемым риском и прозрачной трассируемостью.
Управление конфигурациямиДисциплина задания, фиксации и принудительного поддержания целевого состояния систем и приложений, чтобы конфигурации оставались известными, согласованными и безопасными.
Управление патчамиСквозной процесс выявления, тестирования, развёртывания и проверки обновлений ПО, устраняющих уязвимости или дефекты.
Управление поверхностью атаки (ASM)Непрерывное обнаружение, инвентаризация, классификация и мониторинг всех активов, которые делают организацию уязвимой к кибератакам.
Усиление систем (hardening)Сокращение поверхности атаки системы за счёт удаления лишних возможностей, ужесточения настроек и применения безопасных значений по умолчанию.
Усталость от оповещенийСнижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование.
Файрвол баз данныхВстраиваемый шлюз или прокси, который проверяет SQL-трафик по белому списку и блокирует инъекции, злоупотребление привилегиями и несанкционированные операторы до их попадания в СУБД.
Фреймворк VERISVocabulary for Event Recording and Incident Sharing от Verizon — открытая схема для структурированного и сопоставимого описания инцидентов безопасности.
ХакерЧеловек с глубокой технической любознательностью, который применяет творческое решение задач, чтобы понимать, изменять или взламывать системы, ПО, сети и оборудование.
ХактивистСубъект угрозы, проводящий кибератаки ради политической, социальной или идеологической цели, а не ради финансовой выгоды или государственной разведки.
Хани-аккаунт (Honey Account)Приманка на уровне учётной записи или секрета, часто без полноценной личности, которая вызывает оповещение при попытке аутентификации.
Хани-юзер (Honeyuser)Поддельная учётная личность в каталоге и HR-системе: любая попытка входа или перечисления сразу выдаёт злоумышленника.
ХанифайлФайл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером.
Центр обеспечения безопасности (SOC)Централизованная команда и площадка, осуществляющая непрерывный мониторинг, обнаружение, расследование и реагирование на инциденты кибербезопасности во всей ИТ-инфраструктуре организации.
Чёрный хакерЗлонамеренный субъект угроз, который без разрешения проникает в системы ради личной выгоды, идеологии или ущерба, нарушая законы о компьютерных преступлениях.
Шаблон атаки (Attack Pattern)Многоразовое описание того, как атакующие эксплуатируют класс уязвимостей; используется для маппинга техник, построения детекций и укрепления систем.
Эвристическое детектированиеМетод обнаружения, использующий эмпирические признаки — подозрительные паттерны кода, упаковщики, аномальные строки, комбинации API — чтобы выявлять вероятно вредоносные файлы без точной сигнатуры.
ЭксфильтрацияТактика MITRE ATT&CK (TA0010), охватывающая техники передачи украденных данных из сети жертвы в место, контролируемое атакующим.
Этичный хакерСпециалист по безопасности, уполномоченный применять наступательные техники против систем, чтобы выявлять слабости и помогать владельцам устранять их до эксплуатации злоумышленниками.
Aircrack-ngОткрытый набор инструментов для аудита Wi-Fi: захватывает трафик 802.11 и восстанавливает ключи WEP и WPA/WPA2 из перехваченных рукопожатий.
Allowlisting (whitelisting) приложенийЗащитный механизм, разрешающий запуск только явно одобренных исполняемых файлов, скриптов и библиотек на конечной точке, блокируя всё остальное по умолчанию.
APT-группаИменованный и отслеживаемый субъект угроз (как правило, при государственной поддержке), ведущий целенаправленные, длительные и обеспеченные кампании против отдельных организаций или отраслей.
BIA (анализ влияния на бизнес)Структурированный анализ, выявляющий критичные бизнес-процессы, их зависимости и операционное, финансовое и репутационное влияние их остановки.
BlackCat / ALPHVRansomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством.
BloodHoundОткрытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
Blue TeamЗащитная команда, отвечающая за мониторинг, обнаружение, реагирование и постоянное улучшение защиты от атак.
Burp SuiteПерехватывающий веб-прокси и набор инструментов от PortSwigger, используемый для поиска, изменения и эксплуатации уязвимостей в HTTP- и HTTPS-приложениях.
CensysПлатформа интернет-сканирования, публикующая структурированные данные о хостах и TLS-сертификатах: используется для ASM и поворотов по инфраструктуре.
Cobalt StrikeКоммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.
Cyber Kill ChainСемиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
Cybercrime-as-a-Service (CaaS)Подпольная модель сервисов, в которой специализированные преступные поставщики продают инструменты, инфраструктуру или экспертизу, чтобы клиенты могли проводить атаки без собственных компетенций.
Detection engineeringДисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
Diamond Model анализа вторженийАналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
Discovery (тактика MITRE)Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
eBPF-безопасностьИспользование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
EDR (обнаружение и реагирование на конечных точках)Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
Elastic Stack (ELK)Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе.
EPP (платформа защиты конечных точек)Превентивный пакет защиты конечных точек, объединяющий антивирус, антималвар, локальный межсетевой экран и защиту от эксплойтов, чтобы блокировать угрозы до их выполнения на устройстве.
FalcoОткрытый облачно-нативный движок защиты времени исполнения, который выявляет аномалии в контейнерах, хостах и Kubernetes, передавая системные вызовы и события аудита в правиловый движок.
FIN-группаОбозначение в стиле Mandiant для финансово мотивированной группы, чьи вторжения направлены против платёжных систем, ритейла, гостеприимства и финансовых учреждений.
Google Chronicle SecOpsОблачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L.
Hack-back (ответный взлом)Ответные наступательные действия частной жертвы против инфраструктуры атакующего, как правило незаконные по большинству национальных законов о компьютерных преступлениях.
HashcatОткрытый инструмент восстановления паролей с GPU-ускорением, взламывающий сотни алгоритмов хеширования и аутентификации с помощью словарных, правиловых, масочных и гибридных атак.
Initial Access Broker (IAB)Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.
Kali LinuxДистрибутив Linux на базе Debian от OffSec, в который заранее упакованы сотни инструментов пентеста, red team и цифровой криминалистики.
LockBitРусскоязычная ransomware-as-a-service группа, ставшая в 2022—2024 годах самой плодовитой по числу жертв и серьёзно подорванная операцией Cronos.
MDR (управляемое обнаружение и реагирование)Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM.
MetasploitОткрытый фреймворк для эксплуатации уязвимостей, объединяющий эксплойты, полезные нагрузки и пост-эксплуатационные модули в единой платформе для пентестеров и исследователей.
Microsoft SentinelОблачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure.
MimikatzОткрытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
MISPMISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
mitmproxyОткрытый интерактивный прокси с поддержкой TLS, используемый инженерами по безопасности и QA для перехвата, инспекции, изменения и воспроизведения HTTP/HTTPS-трафика.
MITRE EngageФреймворк MITRE по взаимодействию с противником, систематизирующий обман, отказ в действиях и активное вовлечение в интересах защитников и пришедший на смену MITRE Shield.
MTTC (среднее время сдерживания)Среднее время между обнаружением инцидента и моментом, когда угроза больше не может распространяться, экстрагировать данные или наносить дополнительный ущерб.
MTTD (среднее время обнаружения)Среднее время, прошедшее от начала инцидента безопасности до момента, когда защитники его распознают.
MTTR (среднее время восстановления)Среднее время, необходимое для возвращения затронутых систем и сервисов к нормальной работе после инцидента безопасности или сбоя.
MTTR (среднее время реагирования)Среднее время от обнаружения инцидента безопасности до начала эффективных действий по реагированию на него.
NDR (обнаружение и реагирование в сети)Технология сетевой безопасности, анализирующая трафик (включая расшифрованный, метаданные и потоковые данные) с помощью поведенческой аналитики и ML, чтобы обнаруживать угрозы и оркестровать реагирование.
NessusКоммерческий сканер уязвимостей от Tenable, выявляющий отсутствующие патчи, ошибки конфигурации и открытые сервисы в сетях, на конечных точках и в облаке.
NetFlowПротокол потоковых записей, изначально предложенный Cisco, и его наследники sFlow и IPFIX, экспортирующие сжатые метаданные обо всех сессиях через сетевое устройство.
NmapОткрытый сетевой сканер, используемый для обнаружения узлов, перечисления открытых портов и сервисов и определения операционных систем в IP-сетях.
OSSECБесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
OTXOTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
PCAPБинарный формат записи сетевых пакетов, создаваемый libpcap, tcpdump и Wireshark: хранит пакеты в точности так, как они проходили по сети.
Purple TeamСовместный формат учений, в котором red и blue team открыто работают вместе, чтобы улучшать обнаружение и реагирование почти в реальном времени.
Pyramid of PainМодель Дэвида Бианко, ранжирующая индикаторы компрометации по тому, насколько «болезненно» противнику, когда защитники их обнаруживают или блокируют.
Ransomware ContiРусскоязычная ransomware-операция 2020—2022 годов, проводившая одну из самых массовых программ двойного вымогательства и распавшаяся после крупных внутренних утечек.
Ransomware-группировкаФинансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
Red TeamНаступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки.
REvil / SodinokibiРусскоязычная ransomware-as-a-service группа 2019—2021 годов, известная двойным вымогательством и атакой на цепочку поставок Kaseya VSA.
RPO (целевая точка восстановления)Максимально допустимый объём потери данных, выраженный временным окном, который бизнес может вытерпеть после сбоя.
RTO (целевое время восстановления)Максимально допустимое время недоступности бизнес-процесса или системы после сбоя, после которого последствия становятся неприемлемыми.
Script kiddieНизкоквалифицированный атакующий, использующий чужие готовые инструменты, скрипты или сервисы для атак, не понимая лежащих в их основе техник.
Security OnionБесплатный открытый дистрибутив Linux для threat hunting, мониторинга сетевой безопасности и управления журналами, созданный Дугом Бёрксом и сопровождаемый Security Onion Solutions.
ShodanПоисковая система, непрерывно сканирующая интернет и индексирующая баннеры сервисов: позволяет искать открытые устройства, порты, версии ПО и сертификаты.
SIEMПлатформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
SLA (соглашение об уровне обслуживания)Формальный договор, определяющий ожидаемый уровень обслуживания между поставщиком и заказчиком, включая измеримые обязательства по производительности и безопасности.
SOARПлатформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
Splunk Enterprise SecurityКоммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
STIXSTIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
SuricataВысокопроизводительный открытый движок сетевого IDS, IPS и мониторинга безопасности, сопровождаемый Open Information Security Foundation (OISF).
SysmonСлужба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
TAXII ProtocolTAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
Threat IntelligenceОснованные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
TLPTLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
TrivyОткрытый сканер от Aqua Security в виде одного бинарника, обнаруживающий CVE, ошибки конфигурации, секреты, SBOM и проблемы лицензий в образах контейнеров, файловых системах, Git-репозиториях и кластерах Kubernetes.
UBA (аналитика поведения пользователей)Аналитическая технология, которая выстраивает базовые линии нормальной активности пользователей и помечает отклонения, чтобы выявлять злоупотребления учётными записями, внутренних злоумышленников и скомпрометированные учётные данные.
UEBA (Аналитика поведения пользователей и сущностей)Технология обнаружения, формирующая профили нормального поведения пользователей и сущностей и выявляющая статистические или ML-аномалии, указывающие на компрометацию или внутренние угрозы.
UNC-кластер (Uncategorized)Рабочее обозначение Mandiant для набора связанных вторжений, чей актор, мотивация или спонсор пока не подтверждены настолько, чтобы повысить кластер до APT или FIN.
UTM (унифицированное управление угрозами)Универсальный сетевой защитный прибор, объединяющий межсетевой экран, IPS, веб-фильтрацию, антивирус и VPN в одном устройстве, ориентированный прежде всего на малый и средний бизнес и филиалы.
WazuhОткрытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
White TeamНейтральные ведущие, проектирующие, контролирующие и судящие учения и соревнования по кибербезопасности, чтобы они оставались безопасными, честными и соответствовали целям.
WHOIS-запросЗапрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён.
WiresharkОткрытый сетевой анализатор протоколов, который перехватывает и разбирает пакеты в реальном времени для диагностики, анализа безопасности и обучения.
XDR (расширенное обнаружение и реагирование)Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
Yellow Team«Строители» — разработчики, архитекторы и DevOps-инженеры, проектирующие и выпускающие системы, которые red и blue атакуют и защищают.
ZeekОткрытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.