În securitatea cibernetică, acronimele apar peste tot: în alerte SOC, în rapoarte CTI, în discuții despre OT/SCADA, în proiecte AI sau în documentarea unui incident. Pentru cine lucrează în IT, securitate, rețelistică, operațiuni industriale sau management, problema nu este doar să știe forma completă a unui acronim, ci să înțeleagă ce rol are termenul într-o situație reală.
Acest glosar explică termenii folosiți frecvent pe site-ul Cyber Arena și în cursurile noastre din București. Nu este o listă seacă de definiții. Fiecare termen include ce înseamnă, de ce contează și unde îl întâlnești în practică. Pentru echipele care vor să treacă de la teorie la exercițiu, termenii sunt conectați natural cu programele de training hands-on din Cyber Arena.
Termeni și acronime explicate
SOC – Security Operations Center
Ce înseamnă: Un SOC este centrul sau echipa care monitorizează alertele de securitate, investighează activitatea suspectă și coordonează primele reacții atunci când apare un incident.
De ce contează: Pentru o organizație, SOC-ul este punctul în care logurile, alertele, instrumentele și oamenii se întâlnesc. Fără un proces clar de triere și escaladare, alertele pot rămâne neinvestigate sau pot fi tratate prea târziu.
Unde îl întâlnești în practică: Îl întâlnești în activitatea analiștilor SOC Nivel 1, în echipele de monitorizare și în scenarii de răspuns la incidente. Pentru bazele acestui rol, vezi cursul Cybersecurity Threats and Defense. Pentru scenarii mai avansate, vezi cursul Incident Response.
SOC Nivel 1 / SOC Tier 1-3
Ce înseamnă: SOC Nivel 1 sau Tier 1 descrie de obicei primul nivel de analiză: verificarea alertelor, eliminarea falselor pozitive și escaladarea cazurilor serioase. Tier 2 și Tier 3 implică investigații mai complexe, threat hunting, analiză de atac și suport pentru răspuns la incidente.
De ce contează: Diferența dintre niveluri ajută la distribuirea responsabilităților. Nu fiecare alertă trebuie să ajungă la un expert senior, dar alertele importante trebuie recunoscute rapid și trimise mai departe.
Unde îl întâlnești în practică: Îl întâlnești în echipe SOC, în centre de monitorizare și în exerciții de simulare. Dacă lucrezi la început de drum în SOC, începe cu Cybersecurity Threats and Defense. Dacă ai deja experiență cu alerte, loguri și investigații, continuă cu Incident Response.
SIEM – Security Information and Event Management
Ce înseamnă: SIEM este o platformă care colectează evenimente și loguri din sisteme diferite și le prezintă într-o formă care poate fi analizată de echipele de securitate.
De ce contează: Un SIEM bun nu înseamnă doar colectare de date. Valoarea apare atunci când datele sunt corelate, prioritizate și transformate în informații utile pentru detecție, investigare și raportare.
Unde îl întâlnești în practică: Îl întâlnești în SOC, în monitorizarea infrastructurii IT, în detecția incidentelor și în exerciții DFIR. Termenul este important în Cybersecurity Threats and Defense, OT Cybersecurity Essentials și Incident Response.
EDR – Endpoint Detection and Response
Ce înseamnă: EDR este o soluție care monitorizează endpoint-uri precum laptopuri, stații de lucru și servere pentru a identifica activitate suspectă, comportamente anormale sau posibile compromisuri.
De ce contează: Multe atacuri devin vizibile la nivel de endpoint: procese neobișnuite, fișiere modificate, comenzi suspecte sau încercări de persistență. EDR-ul ajută echipa de securitate să vadă aceste semnale și să reacționeze mai rapid.
Unde îl întâlnești în practică: Îl întâlnești în analiza alertelor, răspuns la incidente și investigații endpoint. Este relevant în cursul Cybersecurity Threats and Defense și în cursul Incident Response.
DFIR – Digital Forensics and Incident Response
Ce înseamnă: DFIR combină criminalistica digitală cu răspunsul la incidente. Scopul este să înțelegi ce s-a întâmplat, cum a intrat atacatorul, ce sisteme au fost afectate și ce măsuri trebuie luate pentru limitare și recuperare.
De ce contează: După un incident, organizația are nevoie de fapte, nu de presupuneri. DFIR ajută echipele să reconstruiască cronologia, să păstreze dovezile și să ia decizii bazate pe date.
Unde îl întâlnești în practică: Îl întâlnești în investigații de securitate, analiză de artefacte, colectare de dovezi și raportare post-incident. Pentru exerciții practice, vezi cursul Incident Response.
IR – Incident Response
Ce înseamnă: IR înseamnă răspuns la incidente. Include pregătirea, detecția, analiza, limitarea, eradicarea, recuperarea și lecțiile învățate după un eveniment de securitate.
De ce contează: Un incident nu este gestionat doar de tehnologie. Sunt necesare roluri clare, comunicare, decizii sub presiune și o metodă de lucru pe care echipa a exersat-o înainte.
Unde îl întâlnești în practică: Îl întâlnești în planuri de răspuns, în SOC, în echipe DFIR și în scenarii APT. Cursul principal asociat este Incident Response.
CTI – Cyber Threat Intelligence
Ce înseamnă: CTI înseamnă informații despre amenințări cibernetice. Nu este doar o colecție de indicatori, ci analiza contextului: cine atacă, ce tactici folosește, ce ținte preferă și ce recomandări pot fi aplicate.
De ce contează: CTI ajută echipele să iasă din reacție permanentă și să înțeleagă mai bine riscul specific industriei lor. Informația devine utilă atunci când duce la decizii și acțiuni concrete.
Unde îl întâlnești în practică: Îl întâlnești în threat hunting, investigații APT, rapoarte de intelligence și prioritizarea apărării. Pentru aprofundare, vezi cursul Cyber Threat Intelligence.
APT – Advanced Persistent Threat
Ce înseamnă: APT descrie un actor sau o campanie de atac sofisticată, persistentă și orientată către o țintă specifică. Accentul este pe răbdare, adaptare și menținerea accesului pe termen mai lung.
De ce contează: Într-un atac de tip APT, semnalele pot fi discrete și răspândite în timp. Echipa de securitate trebuie să coreleze evenimente, să înțeleagă comportamentul adversarului și să evite concluziile grăbite.
Unde îl întâlnești în practică: Îl întâlnești în simulări de atac, CTI, Incident Response și cursuri despre perspectiva atacatorului. Termenul este central în Cybersecurity Threats and Defense, Cyber Threat Intelligence și Incident Response.
MITRE ATT&CK
Ce înseamnă: MITRE ATT&CK este o bază de cunoștințe care organizează tacticile și tehnicile adversarilor observate în lumea reală. Ajută echipele să descrie comportamentele de atac într-un limbaj comun.
De ce contează: Fără un limbaj comun, un raport tehnic poate fi interpretat diferit de SOC, management sau echipa de răspuns. ATT&CK ajută la maparea atacurilor, la analiză și la comunicare.
Unde îl întâlnești în practică: Îl întâlnești în CTI, threat hunting, Incident Response și analiza scenariilor APT. Este folosit în Cyber Threat Intelligence și Incident Response.
Cyber Kill Chain
Ce înseamnă: Cyber Kill Chain este un model care descrie etapele prin care poate trece un atac, de la pregătire și acces inițial până la acțiuni asupra obiectivului.
De ce contează: Modelul ajută echipele să gândească atacul ca pe un proces, nu ca pe un eveniment izolat. Astfel, apărarea poate fi planificată pe mai multe momente ale lanțului.
Unde îl întâlnești în practică: Îl întâlnești în analiza atacurilor, în CTI și în exerciții de răspuns la incidente. Este relevant pentru Cybersecurity Threats and Defense, Cyber Threat Intelligence și Incident Response.
OT – Operational Technology
Ce înseamnă: OT se referă la tehnologiile care monitorizează sau controlează procese fizice: sisteme industriale, echipamente de producție, utilități, energie sau infrastructură critică.
De ce contează: În OT, securitatea nu înseamnă doar protejarea datelor. Poate însemna continuitate operațională, siguranță, disponibilitate și prevenirea opririi unor procese critice.
Unde îl întâlnești în practică: Îl întâlnești în medii industriale, energie, utilități și infrastructuri critice. Pentru echipe IT/OT, cursul relevant este OT Cybersecurity Essentials.
SCADA – Supervisory Control and Data Acquisition
Ce înseamnă: SCADA este un tip de sistem folosit pentru supravegherea și controlul proceselor industriale. Poate include senzori, controllere, interfețe operator și sisteme de monitorizare.
De ce contează: Sistemele SCADA sunt importante pentru infrastructuri în care întreruperile pot afecta operațiuni reale. De aceea, securitatea SCADA cere o abordare diferită față de securitatea IT clasică.
Unde îl întâlnești în practică: Îl întâlnești în energie, apă, producție, transport și alte medii industriale. Termenul este central în OT Cybersecurity Essentials.
IT/OT
Ce înseamnă: IT/OT descrie zona de intersecție dintre sistemele informatice clasice și tehnologiile operaționale. Pe măsură ce mediile industriale devin conectate, cele două lumi trebuie să colaboreze mai strâns.
De ce contează: Multe riscuri apar exact la granița dintre IT și OT: vizibilitate limitată, responsabilități neclare, procese diferite și instrumente care nu au fost proiectate pentru același mediu.
Unde îl întâlnești în practică: Îl întâlnești în organizații cu infrastructură industrială, utilități sau sisteme critice. Pentru această zonă, vezi cursul OT Cybersecurity Essentials.
Modbus și TCP/IP
Ce înseamnă: Modbus este un protocol de comunicație folosit în medii industriale, iar TCP/IP este familia de protocoale care stă la baza multor comunicații de rețea. Împreună, apar frecvent în discuții despre sisteme OT moderne.
De ce contează: Înțelegerea protocolului și a traficului de rețea ajută echipele să observe anomalii, configurări greșite sau comportamente care pot indica o problemă de securitate.
Unde îl întâlnești în practică: Îi întâlnești în medii SCADA, exerciții OT și investigații de trafic industrial. Sunt acoperiți în OT Cybersecurity Essentials.
CIA – Confidențialitate, Integritate, Disponibilitate
Ce înseamnă: Triada CIA descrie trei obiective de bază ale securității: confidențialitatea informațiilor, integritatea datelor și disponibilitatea sistemelor.
De ce contează: În IT, confidențialitatea poate fi prioritară. În OT, disponibilitatea și siguranța operațională pot fi la fel de importante sau chiar mai importante. Triada ajută la clarificarea priorităților.
Unde îl întâlnești în practică: O întâlnești în fundamentele securității, în analiza riscurilor și în discuții IT/OT. Pentru aplicare în medii industriale, vezi OT Cybersecurity Essentials.
CISO – Chief Information Security Officer
Ce înseamnă: CISO este liderul responsabil de strategia de securitate a informației într-o organizație. Rolul conectează riscul tehnic, obiectivele de business, conformitatea și capacitatea de răspuns.
De ce contează: Un CISO trebuie să înțeleagă atât limbajul tehnic al echipelor SOC și DFIR, cât și impactul asupra managementului, reputației și continuității afacerii.
Unde îl întâlnești în practică: Îl întâlnești în decizii strategice, guvernanță, managementul riscului și răspuns la incidente majore. Pentru partea de exercițiu operațional, vezi Incident Response.
AI – Artificial Intelligence
Ce înseamnă: AI înseamnă inteligență artificială și se referă la sisteme care pot analiza date, identifica modele, genera conținut sau asista procese de decizie.
De ce contează: În securitate cibernetică, AI poate ajuta la analiză și automatizare, dar poate introduce și riscuri noi. Este important ca echipele să înțeleagă atât utilizările defensive, cât și limitele tehnologiei.
Unde îl întâlnești în practică: Îl întâlnești în analiza logurilor, generarea de reguli, automatizarea unor sarcini și securizarea aplicațiilor AI. Pentru acest subiect, vezi AI for Cybersecurity.
LLM – Large Language Model
Ce înseamnă: Un LLM este un model de limbaj capabil să proceseze și să genereze text. Exemplele de utilizare includ asistență pentru analiză, redactare, sumarizare și sprijin în investigarea unor date tehnice.
De ce contează: LLM-urile pot fi utile, dar trebuie folosite cu atenție: pot produce răspunsuri greșite, pot expune date sensibile dacă nu sunt configurate corect și pot fi ținta unor tehnici de manipulare.
Unde îl întâlnești în practică: Îl întâlnești în AI security, securizarea aplicațiilor bazate pe chatbot și fluxuri de lucru SOC asistate de AI. Termenul este relevant în AI for Cybersecurity.
GenAI – Generative AI
Ce înseamnă: GenAI descrie sisteme AI care generează conținut nou: text, cod, imagini, reguli, rezumate sau variante de analiză.
De ce contează: În cybersecurity, GenAI poate accelera anumite activități, dar poate fi folosită și greșit sau poate genera rezultate care trebuie verificate de specialiști. Controlul, testarea și revizuirea umană rămân esențiale.
Unde îl întâlnești în practică: Îl întâlnești în discuții despre AI aplicat în securitate, malware polimorfic generat de AI, playbook-uri și reguli YARA. Pentru aplicații controlate, vezi AI for Cybersecurity.
OWASP
Ce înseamnă: OWASP este o organizație cunoscută pentru resurse și proiecte educaționale despre securitatea aplicațiilor. În zona AI, OWASP este folosit frecvent pentru înțelegerea riscurilor asociate aplicațiilor bazate pe LLM.
De ce contează: Pentru echipele care dezvoltă sau folosesc aplicații AI, OWASP oferă un cadru util de discuție despre riscuri, controale și întrebări care trebuie puse înainte de producție.
Unde îl întâlnești în practică: Îl întâlnești în securitatea aplicațiilor, securitatea LLM și proiecte AI. Este inclus în AI for Cybersecurity.
MITRE ATLAS
Ce înseamnă: MITRE ATLAS este un cadru orientat către amenințări asupra sistemelor AI. Ajută echipele să discute riscurile AI într-un limbaj mai structurat.
De ce contează: Pe măsură ce organizațiile folosesc AI în procese tehnice sau de business, au nevoie de o metodă pentru a identifica riscurile specifice acestor sisteme, nu doar riscurile IT clasice.
Unde îl întâlnești în practică: Îl întâlnești în AI security, evaluarea riscurilor pentru sisteme AI și securizarea modelelor de limbaj. Pentru instruire practică, vezi AI for Cybersecurity.
YARA
Ce înseamnă: YARA este un instrument folosit pentru a crea reguli care ajută la identificarea și clasificarea fișierelor sau comportamentelor asociate malware-ului.
De ce contează: Regulile YARA pot sprijini analiza, detecția și documentarea amenințărilor, dar trebuie construite și testate atent pentru a evita concluzii greșite.
Unde îl întâlnești în practică: Îl întâlnești în analiză malware, threat hunting, investigații și exerciții AI aplicat. Este relevant în AI for Cybersecurity.
DDoS – Distributed Denial of Service
Ce înseamnă: DDoS descrie un atac care urmărește să facă un serviciu indisponibil prin supraîncărcare cu trafic sau cereri.
De ce contează: Chiar dacă nu implică întotdeauna compromiterea directă a datelor, un atac DDoS poate afecta disponibilitatea, reputația și continuitatea serviciilor digitale.
Unde îl întâlnești în practică: Îl întâlnești în articole despre atacuri cibernetice, disponibilitate și planuri de răspuns. Pentru înțelegerea tipurilor de atac și a apărării de bază, vezi Cybersecurity Threats and Defense.
CEH și CompTIA
Ce înseamnă: CEH și CompTIA sunt nume întâlnite frecvent când oamenii caută certificări sau trasee de învățare în cybersecurity.
De ce contează: Aceste repere pot ajuta la orientare, dar alegerea unui curs nu ar trebui să depindă doar de numele certificării. Contează nivelul actual, rolul urmărit și cât de multă practică oferă programul.
Unde îl întâlnești în practică: Îi întâlnești în discuții despre carieră, certificări și tranziția către roluri SOC, IT security sau incident response. Ca punct practic de început, vezi Cybersecurity Threats and Defense.
Cum folosești acest glosar în practică
Dacă ești administrator de rețea, administrator de sisteme sau analist SOC la început, începe cu termeni precum SOC, SIEM, EDR, phishing, ransomware, APT și Cyber Kill Chain. Aceștia formează baza pentru înțelegerea alertelor și a atacurilor comune.
Dacă lucrezi în răspuns la incidente, concentrează-te pe IR, DFIR, SIEM, EDR, MITRE ATT&CK, CISO și procesul de limitare, eradicare și recuperare. Aici terminologia trebuie transformată în decizii rapide și documentare corectă.
Dacă lucrezi în infrastructuri critice sau medii industriale, termenii OT, SCADA, IT/OT, Modbus, TCP/IP și triada CIA sunt esențiali. În aceste medii, disponibilitatea și siguranța operațională pot cântări la fel de mult ca protecția datelor.
Dacă explorezi AI în securitate cibernetică, pornește de la AI, LLM, GenAI, OWASP, MITRE ATLAS și YARA. Sunt termeni care apar tot mai des în discuții despre apărare, automatizare, securizarea aplicațiilor AI și analiză asistată de modele de limbaj.
Întrebări frecvente
Pentru cine este util acest glosar cybersecurity?
Este util pentru profesioniști IT, administratori de rețea, administratori de sisteme, analiști SOC, echipe DFIR, specialiști OT/SCADA, manageri de securitate și factori de decizie care vor să înțeleagă mai clar limbajul folosit în securitate cibernetică.
Trebuie să cunosc toți termenii înainte să particip la un curs?
Nu. Glosarul ajută la orientare, dar cursurile practice sunt construite tocmai pentru a transforma termenii în exerciții, scenarii și decizii aplicate.
Care termeni sunt cei mai importanți pentru un analist SOC Nivel 1?
Pentru un analist SOC Nivel 1, cei mai importanți termeni sunt SOC, SIEM, EDR, alertă, phishing, malware, APT, Cyber Kill Chain și Incident Response.
Care termeni sunt cei mai importanți pentru OT/SCADA?
Pentru OT/SCADA, termenii esențiali sunt OT, SCADA, IT/OT, Modbus, TCP/IP, CIA și disponibilitate operațională.
Cum poate ajuta glosarul internal training-ul unei companii?
Un glosar comun reduce confuziile dintre echipele IT, securitate, operațiuni și management. Când toată lumea folosește aceiași termeni, comunicarea în timpul unui incident devine mai clară.
Este suficient să citesc definițiile pentru a înțelege securitatea cibernetică?
Nu. Definițiile sunt un punct de pornire. În securitatea cibernetică, învățarea reală apare atunci când termenii sunt aplicați în scenarii, investigații, simulări și exerciții practice.
