[Segurança] Buzzwords

Buzzword é uma gíria que existe no inglês para indicar palavras, as vezes vagas, utilizadas geralmente para causar alguma impressão marcante. As buzzwords também são utilizadas em campanhas de "FUD", ou seja, em campanhas de desinformação que visam influenciar a percepção das pessoas através do uso de informação negativa, duvidosa ou falsa.

Marketeiros adoram buzzwords para ajudar a divulgar uma idéia ou conceito, mesmo que não seja cientificamente correto. Por exemplo, há pouco tempo a "nanotecnologia" entrou na moda e, por isso, virou sinônimo de algo avançado e sofisticado. E eu já vi até propaganda na TV de alguma marca de shampoo que usava nanotecnologia...

Em 1994 o Dilbert já tinha descoberto a utilidade das buzzwords...

Embora elas possam ser comuns no dia-a-dia, o uso de buzzwords é incrivelmente frequente no mercado de segurança.

Não só os marketeiros que trabalham na nossa área, mas até mesmo os profissionais com perfil técnico usam algumas buzzwords no dia-a-dia, pois afinal precisamos resumir conceitos e tecnologias complexas em algo que o usuário final entenda, para querer comprar um produto ou evitar uma ameaça específica. Além do mais, a indústria de segurança vive de provocar o medo, de vender através do medo aplicado ao usuário final. É como a industria de seguro: você não compra algo porque é legal ou porque vai te dar algum benefício, mas é obrigado a comprar para evitar um problema maior.

Em um belo dia, eu estava com alguns amigos em um bar e, devidamente alcoolizados, anotamos em um pedaço de papel as principais buzzwords e termos técnicos utilizados no mercado de segurança. Será que esquecemos de algo?

• Hacker
• Cracker
• Carder
• Phreacker
• Lammer
• Pirata de computador
• Pirata informático
• Malware Writer
• Coder
• Hacker Ético
• Black/White/Gray Hat
• Cyber Warrior
• Ciber Mercenário
• Hacker Vigilante
• Hacker do Bem
• CSO
• CISO
• BISO (Business Information Security Officer)
• Black Market
• Underground
• SPAM
• Vírus
• Worm (verme)
• Trojan
• Malware
• Adware
• Spyware
• Ransomware
• Código Malicioso
• Vírus Polimórfico
• Polimorfismo
• Backdoor
• Phishing
• Smishing
• Vishing
• Spear Phishing
• Twishing
• Farming
• Whaling
• Mobile Malware
• Malvertisement
• Ransonworm
• Antivírus
• Anti-SPAM
• Anti-spyware
• Anti-adware
• Proxy
• Firewall
• Personal Firewall
• Human Firewall (Firewall Humano)
• Stateful Inspection
• Deep Packet Inspection
• NAT - Network Address Translation
• PAT - Port Address Translation
• Port Knocking
• IDS - Intrusion Detection System
• IPS - Intrusion Prevention System
• HIDS - Host Intrusion Detection System
• WAF - Web Application Firewall
• Virtual Patching
• Criptografia
• Esteganografia
• Kleptografia
• Criptografia Quântica
• Certificação Digital
• CIA (Confidentiality, Integrity, Availability)
• DIE (Distributed, Immutable, Ephemeral)
• Blockchain
• Criptomoedas (cryptocurrency)
• PKI - Public Key Infrastructure
• VPN - Virtual Private Network
• SSL VPN
• Biometria
• Liveness (Biometria com prova de vida)
• Honey pot
• Honey net
• Honey token
• Defesa de perímetro
• Defesa em profundidade
• Defesa em camadas
• Zero Trust
• Behaviour Analysis
• Análise Heurística
• Black List
• White List
• Gray List
• Sandbox
• Vulnerabilidade
• Zero Day (0-day)
• Exploit
• Bot
• Botnet
• Zumbi
• C&C - Command and Control
• Stealth
• Tempest
• Rainbow Table
• Appliance
• Soft Appliance (ou Software Appliance)
• Password Synchronization
• Identity Management
• SSO - Single Sign On
• OTP - One Time Password
• 2FA - Two Factor Authentication
• MFA - Multi Factor Authentication
• Passwordless
• Compliance
• Auditor
• Auditor Líder
• Política de Segurança
• PSI - Política de Segurança da Informação
• Pentest - Penetration Test
• Vulnerability Scanner
• SQL Injection (SQLi)
• DoS - Deny of Service
• DDoS - Distributed Deny of Service
• Targeted Attack
• APT - Advanced Persistent Threat
• DLP - Data Leakage (Leak) Prevention
• SIEM - Security Information and Event Management
• BCP - Business Continuity Plan
• BIA - Business Impact Analysis
• ROI - Return of Investment
• ROSI - Return of Security Investment
• DRP - Disaster Recovery Plan
• GRC - Governance, Risk and Compliance
• SDL / SDLC - Secure Development Life Cycle
• PCI - Payment Card Industry
• QSA - Qualified Security Assessor
• BYOD - Bring your own device
• SOC - Security Operation Center
• MSS - Managed Security Services
• MSP - Managed Security Services Provider
• UBA - User Behavior Analytics
• UEBA - User and Entity Behavior Analytics
• Consumerização
• Gameficação
• Cyber War (Guerra Cibernética)
• Cyber Armageddon
• Cyber Pearl Harbor
• Cyber weapon
• Cyber bomb
• Digital Act of War
• Hacktivismo
• Ciber Ativismo
• Ciber Terrorismo
• Deep Web
• Dark Web
• Dark Net
• Surface Web
• OSINT (Open Source Intelligence)
• HUMINT (Human Intelligence)
• SIGINT (Signals Intelligence)
• Bullying
• Sexting
• Revenge porn
• Sextortion
• Frexting
• Cyberflashing
• SWATing
• Hacker as a Service
• Espionage as a Service
• Malware as a Service
• Ransomware as a Service (RaaS)
• Segurança Cibernética / Cyber Security
• Defesa Cibernética
• Data at rest
• Big Data
• Data Lake
• PII - Personal Identifiable Information
• Hiper Mobilidade ("hypermobility")
• IoT: Internet das Coisas ("Internet of Things")
• Internet de Todas as Coisas ("Internet of Everything")
• IoT traduzido como "Internet of Threats" (Internet das Ameaças)
• IoT "mineirizado", traduzido como "Internet desses Trens"
• Cyber Range
• Cyber security methods
• Critical Infrastructure (infraestrutura crítica)
• Resiliency
• “Cyber Kill Chain”
• "Cyber Hygiene"
• Segregação de Funções (Segregation of Duties, ou SOD)
• Need to Know
• Targeted Cyber Attack
• Ciber-resiliência / Resiliência Cibernética
• Fileless Malware
• Advanced Volatile Threat (AVT)
• Destruction of Service
• Bug collision
• Cryptojacking
• Blue Team
• Red Team
• Purple Team
• AppSec
• DevSecOps
• Bug Bounty
• Bug Hunter
• Dynamic Application Security Testing (DAST)
• Static Application Security Testing (SAST)
• Interactive Application Security Testing (IAST)
• Run-time Application Security Protection (RASP)
• Black Box Testing
• Grey Box Testing
• White Box Testing
• Cyber Defense Center (CDC)
• Cloud Access Security Broker (CASB)
• Secure Web Gateway (SWG)
• Container Runtime Security (CRS)
• Punycode
• Endpoint Detection and Response (EDR)
• Network Detection and Response (NDR)
• Managed Detection and Response (MDR)
• Extended Detection and Response (XDR)
• Human Detection and Response (HDR)
• Next-Generation Antivirus (NGAV)
• Security Orchestration, Automation and Response (SOAR)
• Business E-mail Compromise / Comprometimento de E-mails Empresariais (BEC)
• Breach and attack simulation (BAS)
• Attack surface management (ASM)
• Secure Access Service Edge (SASE)
• Doxing
• Dorking
• MELT (Metrics, Events, Logs, Traces)
• Threat Hunting
• Enterprise Risk Management (ERM)
• Jump Server
• Tabletop exercises (TTX)
• Software Bill of Materials (SBOM)
• Continuous Diagnostics and Mitigation (CDM)
• Cyber-physical systems (CPS)
• Industrial Control Systems (ICS)
• Internet of Medical Things (IoMT)
• Internet of Military Things (IoMT)
• Internet of Battlefield Things (IoBT)
• Industrial Internet of Things (IIoT)

O Gartner adora criar mais buzzwords e anualmente cria um "hype cicle" com elas. Veja alguns exemplos:

• Cybersecurity Mesh Architecture (CSMA)
• Cyber Asset Attack Surface Management (CAASM)

Não custa lembrar também algumas siglas relacionadas a Computação em Nuvem:

• Software-as-a-service (SaaS)
• Infrastructure-as-a-service (IaaS)
• Platform-as-a-service (PaaS)
• Container-as-a-service (CaaS)
• Desktop-as-a-service (DaaS)

O surgimento do Open Banking também promete trazer novas buzzwords para o mercado:

• Open Banking
• Open Finance
• Open Everything

No final das contas, a lista acima mistura buzzwords com várias palavras, expressões e siglas muito comuns na área de segurança. A lista poderia continuar indefinidamente, mas eu tentei evitar isto não incluindo, intencionalmente, várias outras siglas existentes na área (basta pensar nos nomes dos diversos algoritmos de segurança existentes),  e listei apenas as "principais" siglas e expressões normalmente utilizadas - algumas vezes, desnecessariamente ou de forma pedante. Além do mais, em algum momento a maioria das soluções, tecnologias ou sopa de letrinhas acima já foi oferecida por algum "vendedor de geladeira" como sendo a solução milagrosa para todos os problemas de segurança das empresas.

E não custa lembrar que "Cloud" (Nuvem), bullying e cyber bullying são palavras da moda, embora não sejam necessariamente relacionadas com segurança da informação.

Veja também:

• Acrônimos de segurança cibernética – um glossário prático
• Aqui no blog: Glossários sobre Segurança da Informação

OBS: Lista atualizada pela última vez em 10/12/13 28/01/15 19/02/15 23/03/15 03/06/15 09/06/15 22/07/15 21/12/15 06/01/16 26/01/16 12/06/16 18/07/16 23/07/16 04/10/16. Atualizado em 03/11/17 para incluir algumas buzzwords novas, incluindo 3 que eu aprendi com o Professor Nelson Brito na H2HC: "Fileless Malware", "Advanced Volatile Threat"e "Destruction of Service". Atualizado em 09/01/18 e 11/01. Em 15/02 adicionei os termos (Blue | Red | Purple) Team e  "Cryptojacking". Mais uma pequena atualização em 24/4. Atualizado em 10/10/18. Atualizado em 15/05/2019. Atualizado em 26/06/19. Atualizado em 15 e 29/07/19. Atualizado em 09 e 11/09/19, e depois em 01/10/19. Atualizado em 14/09/2020 e quase dois anos depois, em 06, 20 e 25/05/2022. Pequena atualização em 09/06 e 03/10/22. Atualizado em 02/10/23. Atualizado em 05/06/24 para incluir o link para o post aqui no blog sobre glossários. Atualizado em 23/10/2024.