Glosar de Securitate

Definițiiclarepentrutermeniicheiepecareoriceliderdesecuritateartrebuisăîicunoască—delaOWASPTop10șiCVSSlaredteaming,mișcarelateralășiMITREATT&CK.

Ce înseamnă fiecare termen din securitate?

Acest glosar adună vocabularul de bază folosit de Penteor în toate paginile de servicii — de la testare web, mobilă și cloud la red teaming, securitate API și audituri de conformitate. Fiecare intrare este scrisă ca o definiție de operator într-o singură propoziție — suficient de scurtă pentru a fi citată, suficient de precisă pentru a fi folosită într-o discuție de definire a scopului sau raport pentru conducere.

Testare de Securitate: Un atac cibernetic simulat și autorizat efectuat de profesioniști în securitate pentru a găsi și exploata slăbiciuni într-un sistem înainte de atacatori — cu un raport prioritizat, pași de reproducere și remediere.
Evaluare de Vulnerabilități: Identificarea și clasificarea sistematică a slăbiciunilor de securitate din infrastructură, aplicații sau configurații — axată pe amploarea acoperirii, nu pe exploatare profundă.
Operațiuni Red Team: O simulare adversară cu obiective, care testează oamenii, procesele și tehnologia — destinată evaluării capacității organizației de a preveni, detecta și răspunde unui atacator realist.
Blue Team: Echipa defensivă de securitate responsabilă de monitorizare, detecție și răspuns la atacuri — contrapartea pe care o operațiune de red team este concepută să o testeze și să o îmbunătățească.
Purple Team: Un exercițiu colaborativ în care echipele red și blue lucrează împreună — atacatorii demonstrează tehnici în timp real, iar apărătorii ajustează detecția și răspunsul pe loc.
OWASP Top 10: Lista standard publicată de OWASP care clasifică primele zece riscuri critice de securitate pentru aplicațiile web — lista de bază acoperită de orice test de securitate web.
OWASP MASVS: Mobile Application Security Verification Standard — echivalentul mobil al OWASP Top 10, care definește cerințe pentru arhitectură, stocare de date, criptografie, rețea, autentificare și reziliență.
OWASP API Security Top 10: Lista OWASP cu cele mai critice riscuri de securitate specifice API-urilor — incluzând BOLA, autentificare ruptă, expunere excesivă de date, lipsa rate limiting-ului și mass assignment.
Broken Object Level Authorization (BOLA): O vulnerabilitate API în care serverul nu verifică dacă apelantul are dreptul să acceseze obiectul referențiat — exploatată tipic prin schimbarea unui ID din URL pentru a accesa datele altui utilizator.
CVSS (Common Vulnerability Scoring System): Cadrul standard de evaluare care notează vulnerabilitățile de la 0.0 la 10.0 în funcție de exploatabilitate și impact — scorurile CVSS apar pentru fiecare descoperire într-un raport Penteor.
CVE (Common Vulnerabilities and Exposures): Un identificator public catalogat pentru o vulnerabilitate cunoscută într-un produs software specific — referința comună folosită între vendori, scanere și patch management.
MITRE ATT&CK: O bază de cunoștințe globală a tacticilor, tehnicilor și procedurilor adversare bazată pe observații reale — cadrul care stă la baza operațiunilor de red team și a detecției.
PTES (Penetration Testing Execution Standard): O metodologie structurată în șapte faze — pre-engagement, culegere de informații, modelare de amenințări, analiză de vulnerabilități, exploatare, post-exploatare și raportare — folosită pentru teste de securitate pentru infrastructură.
Recunoaștere: Prima fază a oricărui atac sau test de securitate — colectarea de informații despre țintă prin OSINT pasiv și sondare activă, pentru a cartografia suprafața de atac înainte de exploatare.
OSINT (Open-Source Intelligence): Informații colectate exclusiv din surse publice — înregistrări DNS, log-uri de certificate transparency, credențiale scurse, social media, repository-uri de cod — fără a atinge direct ținta.
Suprafață de Atac: Setul complet de puncte — endpoint-uri, API-uri, servicii, utilizatori, dispozitive, conturi — prin care un atacator neautentificat sau autentificat ar putea încerca să intre sau să extragă date.
Modelare de Amenințări: Procesul structurat de identificare a atacatorilor probabili, a motivațiilor și a căilor pe care le-ar lua printr-un sistem — folosit pentru a prioritiza controalele și scopul testelor de securitate.
Exploit: O bucată specifică de cod, secvență de comenzi sau tehnică care profită de o vulnerabilitate pentru a provoca un comportament nedorit — de la un simplu crash până la execuția de cod la distanță.
Zero-Day (0day): O vulnerabilitate necunoscută pentru vendor și pentru care nu există patch disponibil — cea mai periculoasă clasă de defect, deoarece apărătorii au avut zero zile să o remedieze.
Injecție SQL: O vulnerabilitate de aplicație web în care input-ul utilizatorului este interpolat direct într-o interogare SQL, permițând unui atacator să citească, modifice sau șteargă date arbitrare.
Cross-Site Scripting (XSS): O vulnerabilitate web în care un atacator injectează script client-side în paginile vizualizate de alți utilizatori — folosită pentru a fura sesiuni, credențiale sau a efectua acțiuni în numele victimei.
Cross-Site Request Forgery (CSRF): Un atac web care păcălește browserul unui utilizator autentificat să trimită o cerere nedorită către un site de încredere — profitând de faptul că browserele atașează automat cookie-urile de sesiune.
Server-Side Request Forgery (SSRF): O vulnerabilitate prin care un atacator determină o aplicație server-side să facă cereri HTTP către ținte arbitrare — folosită adesea pentru a atinge servicii interne, endpoint-uri metadata sau credențiale cloud.
Remote Code Execution (RCE): Capacitatea unui atacator de a rula comenzi arbitrare pe un sistem țintă peste rețea — de obicei cea mai severă clasă de vulnerabilitate, deoarece duce direct la compromiterea completă.
Escaladare de Privilegii: Actul de a trece de la acces cu privilegii scăzute (utilizator standard) la privilegii mai mari (administrator, root sau domain admin) prin exploatarea unei configurări greșite sau vulnerabilități locale.
Mișcare Laterală: Faza unui atac în care, după accesul inițial, atacatorul se deplasează între sisteme, conturi sau segmente de rețea pentru a ajunge la obiectivul final — tipic prin reutilizarea de credențiale și relații de încredere.
Active Directory (AD): Serviciul de directoare Microsoft aflat în centrul majorității mediilor enterprise Windows — o țintă principală în testele interne, deoarece compromiterea domain admin înseamnă tipic deținerea întregului mediu.
Kerberoasting: Un atac Active Directory care cere tichete de serviciu Kerberos pentru conturi cu Service Principal Names și le compromite offline pentru a recupera parola contului de serviciu.
Pass-the-Hash: O tehnică de mișcare laterală prin care atacatorul se autentifică la un serviciu remote folosind un hash NTLM capturat — fără să aibă nevoie de parola în clar.
Inginerie Socială: Manipularea oamenilor — mai degrabă decât a sistemelor — pentru a efectua acțiuni sau a dezvălui informații, prin pretexting, phishing, vishing sau impersonare în persoană.
Phishing: Un atac de inginerie socială livrat prin email (sau SMS, voce, chat) care se dă drept un expeditor de încredere pentru a păcăli destinatarul să dea click pe un link, să deschidă un atașament sau să dezvăluie credențiale.
Vishing: Phishing prin voce — inginerie socială prin telefon în care atacatorul se dă drept departamentul IT, un furnizor sau un executiv pentru a extrage informații sensibile sau a declanșa o acțiune aparent autorizată.
Command and Control (C2): Infrastructura pe care un atacator o folosește pentru a comunica cu sisteme compromise — trimițând comenzi, exfiltrând date și menținând persistența printr-un canal ascuns.
Assumed Breach: Un model de testare care pleacă de la premisa că atacatorul are deja acces inițial (un cont de utilizator, un laptop) — cel mai eficient mod de a măsura raza de acțiune internă.
Rules of Engagement (RoE): Documentul semnat care definește limitele unui test de securitate — țintele in-scope, tehnicile permise, ferestrele de testare, contactele de urgență și regulile de gestionare a datelor.
Proof of Concept (PoC): O demonstrație reproductibilă că o vulnerabilitate este reală și exploatabilă — dovada pas-cu-pas care transformă o alertă de scanner într-o vulnerabilitate confirmată care merită remediată.
Rază de Impact: Setul de sisteme, date și utilizatori pe care un atacator le-ar putea atinge după exploatarea unei singure vulnerabilități — măsura pagubelor pe care le poate provoca o greșeală.
Apărare în Profunzime: O strategie de securitate în straturi în care mai multe controale independente trebuie să eșueze pentru ca o breșă să apară — astfel încât nicio singură slăbiciune, configurare greșită sau eroare umană să nu fie catastrofală.
Zero Trust: Un model de securitate care nu presupune încredere implicită pentru niciun utilizator, dispozitiv sau rețea — fiecare cerere este autentificată, autorizată și validată continuu, indiferent de origine.
Identity and Access Management (IAM): Disciplina cloud de gestionarea accesului la resurse (cine poate face ce) — configurările greșite IAM sunt cauza principală a majorității breșelor din cloud-ul public.
Role-Based Access Control (RBAC): Un model de autorizare în care permisiunile sunt atașate rolurilor, iar utilizatorilor li se atribuie roluri — fundația autorizării în Kubernetes, cloud și aplicații enterprise.
Penteor Testing Appliance (PTA): Dispozitivul hardware întărit pe care Penteor îl livrează clienților pentru testare remote a rețelei interne — oferă acces VPN pentru ca testele de infrastructură internă să ruleze în siguranță fără deplasare.
PCI DSS: Payment Card Industry Data Security Standard — impune testare anuală de securitate și validare a segmentării (Cerința 11.4) pentru orice organizație care stochează, procesează sau transmite date de card.
Directiva NIS2: Directiva UE privind securitatea rețelelor și sistemelor informatice — extinde scopul la entitățile esențiale și importante din sectoare și impune gestionarea riscurilor, raportarea incidentelor și testarea.
DORA: Digital Operational Resilience Act al UE — impune entităților financiare reglementate să efectueze testare de securitate bazată pe amenințări (TLPT) și să demonstreze reziliența operațională a sistemelor ICT.
GDPR: Regulamentul General privind Protecția Datelor al UE — reglementează prelucrarea datelor personale ale persoanelor din UE; testarea de securitate face parte din „măsurile tehnice și organizatorice adecvate" cerute de Articolul 32.
ISO 27001: Standardul internațional pentru un Information Security Management System (ISMS) — controalele A.12.6 și A.8.8 cer explicit gestionarea vulnerabilităților tehnice și testarea independentă a controalelor.
Simulare de Scenariu: Un test țintit care simulează un scenariu specific de amenințare — ransomware, compromitere de supply chain, amenințare internă — folosind tehnici MITRE ATT&CK pentru a evalua apărările împotriva unui profil adversar.
Red Teaming AI & LLM: Testare adversară pentru produse AI și modele mari de limbaj pentru prompt injection, jailbreak-uri, exfiltrare de date și comportament nesigur — echivalentul AI-native al testării de securitate a aplicațiilor.
Prompt Injection: Un atac împotriva unei aplicații bazate pe LLM în care input-ul construit suprascrie prompt-ul de sistem — determinând modelul să-și ignore instrucțiunile, să scurgă secrete sau să efectueze acțiuni neautorizate.
Recunoaștere DNS: Practica de enumerare a înregistrărilor DNS ale unei organizații (A, AAAA, MX, NS, TXT, CNAME, SOA) și a subdomeniilor pentru a cartografia infrastructura expusă — primul pas al oricărui engagement extern.
Evadare din Container: Evadarea dintr-un container (Docker, containerd, pod Kubernetes) pentru a obține acces la sistemul gazdă — tipic printr-un runtime configurat greșit, container privilegiat sau o vulnerabilitate de kernel.
CIS Benchmarks: Configurații de referință prescriptive bazate pe consens, publicate de Center for Internet Security — referința industriei pentru securizarea sistemelor de operare, containerelor, Kubernetes și conturilor cloud.

Ai nevoie de ajutor pentru a transforma aceste concepte într-o evaluare reală de securitate?

Solicită o evaluare de securitate