riktig In2120

Informasjonssikkerhet (information security, infosec)

beskyttelse av konfidensialitet, integritet og tilgjengelighet til informasjon

Cybersikkerhet (cyber security)

vern av systemer, nettverk og tjenester som er koblet til internett og andre digitale nettverk

CIA-triaden (Confidentiality, Integrity, Availability)

tre grunnpilarer i informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet

Trussel (threat)

en potensiell årsak til en uønsket hendelse som kan skade verdier

Sårbarhet (vulnerability)

en svakhet som kan utnyttes av en trusselaktør

Risiko (risk)

produktet av sannsynlighet og konsekvens for en uønsket hendelse

Konfidensialitet (confidentiality)

at bare autoriserte får tilgang til informasjon

Integritet (integrity)

at informasjon ikke er utilsiktet eller uautorisert endret

Tilgjengelighet (availability)

at informasjon og tjenester er tilgjengelige når de trengs

Ansvarlighet (accountability)

at handlinger kan spores til en identitet

Symmetrisk kryptering (symmetric encryption, secret-key crypto)

kryptering der samme nøkkel brukes til både kryptering og dekryptering

Asymmetrisk kryptering (asymmetric encryption, public-key crypto)

kryptering med nøkkelpar (offentlig og privat nøkkel)

Hash-funksjon (hash function, kryptografisk hash)

énveis funksjon som mapper data til en fast lengde, brukt for integritetskontroll

Digitale signaturer (digital signatures)

bruk av privat nøkkel til å signere data og offentlig nøkkel til å verifisere, gir integritet, autentisitet og ofte ikke-benekting

Nøkkelutveksling (key exchange, key agreement)

metode for å etablere en delt hemmelighet mellom parter

Integritetsbeskyttelse (MAC, Message Authentication Code)

kryptografisk kontrollsum som avslører om data er endret

Ikke-benekting (non-repudiation)

egenskap som gjør at avsender ikke kan nekte for å ha sendt en melding i ettertid

Brute force-angrep (brute-force attack)

systematisk utprøving av alle mulige nøkler eller passord

PKI (Public Key Infrastructure)

infrastruktur av sertifikater, sertifikatutstedere, nøkler og prosedyrer for å håndtere offentlige nøkler

Sertifikat (digital certificate, X.509)

digitalt dokument som binder en offentlig nøkkel til en identitet, signert av en CA

CA (Certificate Authority)

betrodd tredjepart som utsteder, fornyer og tilbakekaller sertifikater

CRL (Certificate Revocation List)

liste over sertifikater som er tilbakekalt

OCSP (Online Certificate Status Protocol)

protokoll for å sjekke om et sertifikat er gyldig eller tilbakekalt i sanntid

Root CA (root certificate authority)

øverste nivå i en sertifikatkjede som hele tilliten bygger på

Intermediate CA (subordinate/intermediate certificate authority)

mellomliggende sertifikatutsteder som utsteder sertifikater på vegne av en root CA

Sertifikatkjede (certificate chain, chain of trust)

kjede av sertifikater fra endesertifikat opp til en rot det stoles på

Key escrow / nøkkeldeponering (key escrow)

ordning der nøkler lagres hos en tredjepart for senere gjenoppretting

Trusselaktør (threat actor, attacker, adversary)

person eller gruppe som kan gjennomføre et angrep

Angrepsvektor (attack vector)

vei inn i systemet som angriperen bruker

Skadevare (malware, malicious software)

programvare laget for å skade, utnytte eller ta kontroll over systemer

Phishing (phishing)

sosial manipulering for å lure brukere til å gi fra seg sensitiv informasjon eller gjøre skadelige handlinger

Spear-phishing (spear phishing)

målrettet phishing mot bestemte personer eller organisasjoner

Ransomware (ransomware)

skadevare som krypterer filer og krever løsepenger for å dekryptere dem

Botnett (botnet)

nettverk av kompromitterte maskiner som fjernstyres samlet

Zero-day-sårbarhet (zero-day vulnerability, 0-day)

sårbarhet som ikke er offentlig kjent og som mangler patch

Penetrasjonstesting (penetration testing, pentest)

kontrollert etisk hacking for å finne sårbarheter før angripere gjør det

Reconnaissance (rekognosering, infoinnsamling, recon)

innsamling av informasjon om mål før et angrep

Exploitation (utnyttelse, exploit)

selve utnyttelsen av en sårbarhet for å få tilgang eller økte rettigheter

Privilege escalation (rettighetseskalering, privilege escalation)

å øke rettigheter fra lavt nivå til høyere nivå (for eksempel fra vanlig bruker til administrator)

Post-exploitation (post-exploitation)

aktivitet etter at angriper har fått tilgang, for eksempel datauthenting eller videre spredning

Lateral movement (lateral movement)

bevegelse fra én kompromittert maskin til andre i samme nettverk

Red teaming (red team exercise)

helhetlig test av organisasjonens evne til å oppdage og respondere på realistiske angrep

Sikkerhetsmekanismer i operativsystemer (OS security mechanisms)

mekanismer som tilgangskontroll, prosessisolasjon og minnebeskyttelse

Sikkerhetsdomener (security domains, trust zones)

logiske soner der ressurser med likt tillitsnivå grupperes for å begrense skade

Fysisk sikkerhet (physical security)

tiltak for å beskytte bygg, rom og utstyr mot uautorisert tilgang og skade

Least privilege (minste privilegium, principle of least privilege)

prinsipp om at brukere og prosesser kun skal ha minimale nødvendige rettigheter

Defense in depth (forsvar i dybden, defense in depth)

flere uavhengige lag med sikkerhetstiltak for å tåle at ett lag svikter

Hardening (systemherding, system hardening)

redusere angrepsflaten ved å fjerne unødvendige tjenester, kontoer og standardinnstillinger

Styringssystem for informasjonssikkerhet (ISMS, Information Security Management System)

helhetlig system for å styre, overvåke og forbedre informasjonssikkerhet

Risikostyring (risk management)

kontinuerlig prosess for å identifisere, analysere, evaluere og håndtere risiko

ISO/IEC 27001 (ISO/IEC 27001)

internasjonal standard som stiller krav til et ISMS

Tiltak (controls, security controls)

konkrete sikkerhetstiltak som velges basert på risiko

Trusselvurdering (threat assessment)

vurdering av hvilke trusler som er relevante og hvor sannsynlige de er

Sannsynlighet og konsekvens (likelihood and impact)

to hoveddimensjoner som brukes til å vurdere risiko

Risikoaksept (risk acceptance)

å akseptere en risiko uten å gjennomføre ekstra tiltak

Risikoreduserende tiltak (risk treatment, risk mitigation)

tiltak som reduserer sannsynlighet eller konsekvens for uønskede hendelser

Autentisering (authentication)

prosess for å verifisere at noen er den de utgir seg for å være

Autorisasjon (authorization, access control)

prosess for å avgjøre hvilke handlinger og ressurser en bruker har lov til å få tilgang til

IAM (Identity and Access Management)

systemer og prosesser for å håndtere identiteter og tilganger gjennom hele livssyklusen

Brannmur (firewall)

komponent som filtrerer nettverkstrafikk basert på regler

VPN (Virtual Private Network)

kryptert tunnel gjennom et usikkert nettverk

MFA (Multi-Factor Authentication)

autentisering med to eller flere uavhengige faktorer

Single Sign-On (SSO, Single Sign-On)

løsning der brukere logger inn én gang og får tilgang til flere systemer

Zero Trust (zero trust security)

tilnærming der ingen enheter eller brukere stoles på kun fordi de er «på innsiden» av nettverket

Segmentering (network segmentation)

oppdeling av nettverk i soner for å begrense spredning ved innbrudd

Cyberoperasjon (cyber operation)

planlagt aktivitet i cyberdomenet for å oppnå militære, politiske eller andre mål

Cyberkrigføring (cyber warfare)

bruk av cyberoperasjoner som del av væpnet konflikt

CTI (Cyber Threat Intelligence)

strukturert etterretning om trusler, indikatorer og TTP-er som kan brukes til å oppdage og stoppe angrep

Cybervåpen (cyber weapons)

verktøy og metoder for spionasje eller sabotasje i cyberdomenet, ofte basert på utnyttelse av sårbarheter og skadevare

Cyberavskrekking (cyber deterrence)

strategi der en stat signaliserer evne og vilje til å gjengjelde cyberangrep for å avskrekke motparten

Leveransekjedeangrep (supply chain attack)

angrep der en leverandør kompromitteres for å ramme kunder via varer eller tjenester

Innebygd sikkerhet (security by design, built-in security)

prinsipp der sikkerhet bygges inn fra starten av i design og utvikling

Supply chain-angrep (software supply chain attack)

angrep som utnytter tredjepartsleverandører eller programvarekjeden for å nå sluttmålet

ICS/SCADA (Industrial Control Systems / Supervisory Control and Data Acquisition)

industrielle kontrollsystemer som styrer fysiske prosesser og ofte har svak sikkerhet

Safety vs security (safety vs security)

safety handler om å forhindre ulykker og utilsiktet skade, security om å beskytte mot bevisste angrep

Passnøkkel (passkey, FIDO/WebAuthn)

phishing-resistent autentisering med enhetsbundet nøkkel i stedet for passord, knyttet til et spesifikt domene