术语表
Central Node
应用程序组件。扫描数据、分析对象的行为,并将分析结果发布到应用程序的 Web 界面上。
CSRF 攻击
跨站请求伪造(也称为“XSRF 攻击”)。利用 HTTP 协议的漏洞攻击网站用户。这种攻击使得黑客能够打着授权用户的幌子在易受攻击的网站中执行操作。例如,在易受攻击的网站中,黑客可以打着授权用户的幌子秘密地向外部支付系统的服务器发送请求,以便将资金转移到黑客的账户。
Endpoint Agent 组件
应用程序组件。安装在运行 Microsoft Windows、Linux 和 macOS 操作系统的企业 IT 基础架构的工作站和服务器上。持续监控在这些计算机上运行的进程、活动的网络连接和被修改的文件。
ICAP 客户端
Kaspersky Anti Targeted Attack Platform 通过其接收流量的系统。
ICAP 数据
由 ICAP 协议(互联网内容适配协议)接收的数据。该协议允许筛选和修改 HTTP 请求和 HTTP 响应的数据。例如,它允许扫描数据中的病毒、阻止垃圾邮件以及拒绝访问个人资源。ICAP 客户端通常是通过 ICAP 协议与 ICAP 服务器交互的代理服务器。在 ICAP 服务器上处理完此数据后,Kaspersky Anti Targeted Attack Platform 会从组织的代理服务器接收数据。
IOA
攻击指标。对公司 IT 基础架构内对象可疑行为的描述,可能表明该组织受到有针对性的攻击。
IOC
入侵指标。有关恶意对象或恶意活动的一组数据。
IOC 文件
IOC 文件包含一组与事件指标进行比较的指标。如果比较的指标匹配,应用程序将该事件视为警报。如果扫描检测到对象数据与多个 IOC 文件之间的精确匹配,则警报的可能性会增加。
Kaspersky Anti Targeted Attack Platform
保护企业 IT 基础架构和及时检测诸如零日攻击、针对性攻击,以及被称为高级持续性威胁(以下也称为“APT”)的复杂针对性攻击等威胁的解决方案。
Kaspersky Secure Mail Gateway
用于保护传入和传出的电子邮件免受恶意对象和垃圾邮件的影响,以及用于邮件内容筛选的一种解决方案。该解决方案可让您部署虚拟邮件网关并将其集成到现有的企业邮件基础架构中。虚拟邮件网关上预安装了操作系统、邮件服务器和卡巴斯基反病毒应用程序。
Kaspersky Threat Intelligence Portal
卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。
KATA
Kaspersky Anti Targeted Attack。Kaspersky Anti Targeted Attack Platform 的功能块,用于检测企业 IT 基础架构周边的威胁。
KEDR
Kaspersky Endpoint Detection and Response。Kaspersky Anti Targeted Attack Platform 的功能块,为组织的局域网提供保护。
Kerberos 身份验证
一种在客户端和服务器之间建立连接之前进行相互验证的机制,允许通过不受保护的网络进行通信。该机制基于使用由受信任的身份验证中心向用户颁发的票证。
Keytab 文件
一个包含被允许使用 Kerberos 身份验证的客户端对的唯一名称(主体)和从用户密码派生的加密密钥的文件。支持 Kerberos 的系统使用 keytab 文件来验证用户身份,而无需输入密码。
KPSN 的本地信誉数据库
存储在卡巴斯基私有安全网络服务器上但不存储在卡巴斯基安全网络服务器上的对象(文件或 URL)的信誉数据库。本地信誉数据库由 KPSN 管理员管理。
MIB(管理信息库)
用于管理通过 SNMP 协议传输的对象的虚拟数据库。
MITRE 技术
MITRE ATT&CK (对抗策略、技术和常识)数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。
NTP 服务器
使用网络时间协议的精确时间服务器。
OpenIOC
一种基于 XML 的开放性标准,用于描述包含超过 500 种不同入侵指标的入侵指标。
Sandbox
应用程序组件。启动操作系统的虚拟镜像。在这些操作系统中启动文件并跟踪每个操作系统中文件的行为,以检测恶意活动以及针对企业 IT 基础架构的针对性攻击的迹象。
Sensor
应用程序组件。接收数据。
SIEM 系统
安全信息和事件管理系统。用于管理组织安全系统中的信息和事件的解决方案。
SPAN
交换端口分析器。用于将流量从一个端口镜像到另一个端口的技术。
Syslog
发送和记录 UNIX 和 GNU/Linux 平台上使用的系统中发生的事件相关消息的标准。
TAA(IOA)规则
企业 IT 基础架构中对象的可疑行为的一种迹象,会导致 Kaspersky Anti Targeted Attack Platform 将事件视为警报。TAA (IOA) 规则包含攻击迹象的描述和建议的对策。
TLS 加密
两台服务器之间连接的加密,可确保因特网上服务器之间数据的安全传输。
VIP 身份
具有特殊访问权限的警报的状态。例如,具有安全官角色的用户无法查看 VIP 身份的警报。
YARA
应用程序模块。使用由 Kaspersky Anti Targeted Attack Platform 用户创建的 YARA 规则数据库扫描文件和对象,以发现对企业 IT 基础架构的针对性攻击的迹象。
YARA 规则
一种公开可用的恶意软件分类,其中包含对企业 IT 基础架构的针对性攻击和入侵的迹象的签名,由 Kaspersky Anti Targeted Attack Platform 用于扫描文件和对象。
中间人攻击
中间人。对组织的 IT 基础结构的攻击,其中黑客劫持两个接入点之间的通信链路,将其进行传输,并在必要时修改这些接入点之间的连接。
入侵检测系统
应用程序模块。扫描 Internet 流量是否存在入侵企业 IT 基础构架的迹象。
最终用户授权许可协议
您与 AO卡巴斯基之间达成的有约束力的协议,其中明确了用户使用该应用程序的条款。
分布式解决方案
安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 (主 Central Node (PCN))和从属服务器(从属 Central Node (SCN))。
卡巴斯基安全网络(KSN)
提供对卡巴斯基在线知识库的访问的云服务基础结构,其中包含有关文件信誉、网络资源和软件的信息。使用来自卡巴斯基安全网络的数据可确保卡巴斯基应用程序能够更快地响应威胁,提高某些保护组件的性能,并降低误报的可能性。
卡巴斯基私有安全网络
允许卡巴斯基反病毒应用程序用户访问卡巴斯基安全网络数据库、而无需不从他们的计算机发送数据到卡巴斯基安全网络服务器的一种解决方案。
反恶意软件引擎
应用程序核心。使用反病毒数据库扫描文件和对象以查找企业 IT 基础架构中的病毒和其他威胁。
后门程序
黑客在受感染计算机上植入的一种程序,目的是将来能够访问该计算机。
备用数据流
NTFS 文件系统的数据流(备用数据流)用于文件的其他属性或信息。
NTFS 文件系统中的每个文件都包含一组流。主流包含文件内容。其他(备用)流用于元数据。可以创建、删除、单独保存、重命名流,甚至可以作为一个进程运行。
黑客可以使用替代流来隐藏传输或从计算机接收数据。
多租户
Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。
恶意 Web 地址
分发恶意软件的资源的 URL。
新一代威胁
一种企业 IT 基础架构威胁,能够覆盖、修改、加密或扭曲其代码,以至于安全系统无法再检测到与签名相匹配的位置。
服务主体名称 (SPN)
网络上用于 Kerberos 身份验证的服务的唯一 ID。
特征代码
包含已知威胁描述的信息保护数据库中的代码。
租户
为其提供 Kaspersky Anti Targeted Attack Platform 解决方案的单个组织或组织的分支机构。
网络钓鱼 URL 地址
资源的 URL 地址,旨在获得对用户机密数据的未授权访问。网络钓鱼的目的通常是窃取各种财务数据。
转储
在指定时刻进程的工作内存或系统整个 RAM 的内容。
追踪
应用程序以调试模式运行;执行每个命令后,应用程序停止并显示该步骤的结果。
通信信道带宽
特定通信信道中信息传输的最高速度。
针对性攻击
针对特定个人或组织的攻击。与旨在感染尽可能多台计算机的计算机病毒的大规模攻击不同,针对性攻击的目的是感染特定组织的网络,甚至是企业 IT 基础架构内的单独服务器。可以编写专门的木马程序来分阶段进行针对性攻击。
针对性攻击分析器
应用程序模块。使用 TAA (IOA) 规则分析和监控公司 LAN 计算机上安装的软件的网络活动。搜索 Kaspersky Anti Targeted Attack Platform 的用户应注意的网络活动的迹象,以及对企业 IT 基础架构的针对性攻击的迹象。
镜像流量
从一个交换机端口重定向到同一交换机(本地镜像)或远程交换机(远程镜像)的另一个端口的流量副本。网络管理员可以配置应该镜像哪部分流量以传输到 Kaspersky Anti Targeted Attack Platform。
零日攻击
一种利用软件零日漏洞攻击企业 IT 基础架构的攻击。这些是黑客在软件供应商发布补丁之前发现和利用的软件漏洞。
零日漏洞
黑客在软件供应商有机会发布包含修补程序代码的补丁之前发现并利用的软件漏洞。
高级持续性威胁(APT)
针对企业 IT 基础架构的高级针对性攻击,可同时使用不同的方法渗透网络,隐藏于网络并获得对机密数据的无障碍访问。