Ordlista
98 termer från säkerhetsvärlden, kort förklarade. Vi länkar härifrån från blog-artiklarna när vi släpper en akronym i texten. Saknar du något, mejla [email protected].
Standard som låter en organisation visa sin logotyp bredvid autentiserade mejl i inkorgen.
Förutsätter DMARC `p=reject` + verifierat varumärke (VMC). Bra brand-signal när alla pre-villkor är på plats.
Se även: DMARC
Försvarssidans team: SOC, incident response, hardening. Motpart till red team.
Mognadsbedömning av blue team görs ofta via tabletop-övningar och red-team-engagemang.
Se även: Red team, Purple team
Nätverk av kompromitterade enheter under en aktörs kontroll, ofta via C2-infrastruktur.
Driver DDoS, spam, credential-stuffing. Mirai-familjen är klassisk IoT-botnet.
Publikt eller privat program där externa forskare rapporterar sårbarheter mot belöning.
Kompletterar pentest, ger kontinuerlig täckning. Kräver mogen triage-process annars dränks teamet.
Infrastruktur som angripare använder för att skicka kommandon till komprometterade endpoints.
Vanliga ramverk: Cobalt Strike, Sliver, Mythic. Detection bygger ofta på beacon-mönster och C2-traffic.
Globalt distribuerad cachelagring för webbinnehåll, ofta med inbyggd WAF och DDoS-skydd.
Cloudflare, Fastly, AWS CloudFront är vanligast. Misstag: glömda CDN-konfigurationer som bypasses-bara via direkta origin-IP-anrop.
Historisk term för incidenthanteringsteam, numera ofta synonymt med CSIRT. Originalet är CERT/CC vid Carnegie Mellon.
CERT-SE är Sveriges nationella CSIRT, formellt en del av MSB.
Se även: CSIRT
Publika append-only-loggar över utfärdade TLS-certifikat, granskbart format.
Praktisk källa för subdomän-discovery och oönskad certifikatutfärdande mot din domän.
18 prioriterade säkerhetskontroller från Center for Internet Security, ofta använda för pragmatisk basline-implementation.
Mer hands-on än ISO 27001. Implementation Group 1 är "minimum viable security".
Process där upptäckare och leverantör samarbetar om tidpunkt och innehåll i en offentlig sårbarhetspublicering.
Sedvanliga 90-dagars-deadline från Google Project Zero har blivit branschstandard, även om det inte är formellt reglerat.
Mekanism som låter en sajt explicit tillåta cross-origin-anrop från andra ursprung. Browser-policy, inte serversäkerhet.
CORS skyddar inte mot CSRF — det skyddar bara läsning av svaret. `Access-Control-Allow-Origin: *` på autentiserat API är farligt.
EU-förordning (2024/2847) som reglerar säkerhet i produkter med digitala element. Full tillämplighet 11 december 2027, med sårbarhetsrapportering från 11 september 2026.
Tillverkare av mjukvara och hårdvara som säljs i EU måste CE-märka säkerhet, leverera SBOM, publicera vulnerability disclosure-policy och rapportera aktivt utnyttjade sårbarheter inom 24 timmar.
Nationellt eller sektoriellt incidenthanteringsteam. I Sverige drivs CERT-SE av MSB.
Mottagare av NIS2- och CRA-rapporter samt central kontaktpunkt vid större incidenter.
HTTP-header som begränsar vilka resurser browsern får ladda och köra på sidan. Primärt försvar mot XSS.
Strict CSP utan `unsafe-inline` är bästa version. Tar tid att rulla ut korrekt men ger stort skyddsvärde.
Attack där en inloggad användares browser tvingas skicka en oönskad request till en sajt där hen är autentiserad.
Bekämpas med CSRF-tokens, SameSite-cookies och origin-validering. Modernt: SameSite=Lax default minskar risken markant.
Se även: XSS
Globalt ID-system för publika sårbarheter, t.ex. CVE-2024-3094. Förvaltas av MITRE.
CVE-ID är den universella nyckeln för att prata om en specifik sårbarhet över olika system och rapporter.
Skala 0.0-10.0 som beskriver teknisk allvarlighetsgrad. Nuvarande version är 4.0 (2023). Kombinerar attackvektor, komplexitet, påverkan på CIA-triaden.
CVSS säger inte hur sannolikt en sårbarhet utnyttjas — det gör EPSS. Combo CVSS + EPSS är bättre prioriteringsbas.
Klassificering av sårbarhetstyper (t.ex. CWE-79 = XSS, CWE-89 = SQL injection). Förvaltas av MITRE.
CWE beskriver klassen, CVE beskriver instansen. CWE Top 25 är en användbar prioriteringsguide.
Se även: CVE
Dynamiskt säkerhetstest av en körande applikation, ofta via HTTP-fuzzing och payload-injektion.
Hittar runtime-fel som SAST inte ser, men kräver att applikationen är driftad och testbar.
Attack där ett stort antal samtidiga anrop överbelastar måltjänsten och gör den otillgänglig.
Bekämpas med CDN, anycast och dedikerade scrubbing-tjänster. Volumetric, protocol och application-layer är de tre kategorierna.
Se även: CDN
Kryptografisk signering av utgående e-post, publik nyckel publiceras i DNS.
Tillsammans med SPF utgör det grunden för DMARC. Rotera nycklar varje år, använd 2048-bit RSA eller ED25519.
Policy som kombinerar SPF + DKIM och säger hur mottagare ska hantera mejl som inte autentiseras.
Bör vara `p=reject` på alla domäner som skickar mejl. Aggregaterapporter visar vem som spoofar dig.
Internet:s namnuppslagning, översätter värdnamn till IP-adresser. Också kanal för SPF, DKIM, DMARC, CAA, security.txt.
DNSSEC signerar svaren mot manipulation. DoH/DoT krypterar transporten.
EU-förordning för finansiella entiteter och deras IT-leverantörer. Tillämplig sedan 17 januari 2025.
Banker, försäkringsbolag och kritiska IT-leverantörer till finanssektorn måste ha threat-led penetration testing (TLPT), incident response och tredjepartsrisk på plats.
Kontinuerlig kartläggning och övervakning av externt exponerade tillgångar: domäner, subdomäner, IP-adresser, portar, applikationer, certifikat.
Skanning av "kända" assets missar det som tappats bort. EASM hittar shadow-IT och glömda tjänster innan angripare gör det.
Agent på endpoints som loggar processhändelser, detekterar anomalier och möjliggör respons.
Ersätter klassisk AV som primärt försvar. Vanliga aktörer: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint.
EU:s cybersäkerhetsmyndighet (European Union Agency for Cybersecurity). Mottagare av sårbarhetsrapporter under CRA.
Driver EU-vidd certifieringsscheman och samordnar sårbarhetsdatabasen.
Se även: CRA
Sannolikhetsmodell (0-100 %) för att en given CVE utnyttjas inom 30 dagar. Förvaltas av FIRST.
Hög CVSS + låg EPSS är ofta lägre prioritet än medel CVSS + hög EPSS.
Fynd från en scanner eller test som visar sig inte vara en riktig sårbarhet vid verifiering.
Hög FP-rate är största kostnaden för säkerhetsteam som hanterar scan-output. Verifieringssteg sänker den drastiskt.
Automatisk testteknik som matar in slumpmässig eller muterad indata för att hitta crash-fel.
Effektivt för att hitta minneshanteringsbuggar i C/C++ och parserfel.
EU-dataskyddsförordning (2016/679) som reglerar behandling av personuppgifter. Tillämplig sedan 25 maj 2018.
Säkerhetsincidenter med personuppgifter ska anmälas till IMY inom 72 timmar. Säkerhetsåtgärder är ett krav i artikel 32.
GitHub:s sårbarhetsdatabas, ofta snabbare uppdaterad än NVD och med bättre täckning för OSS-ekosystem.
Källa till Dependabot- och GitHub Advanced Security-larm.
Reducera angreppsyta i ett system genom att stänga av onödiga tjänster, härda konfigurationer och tillämpa minst-privilegium.
CIS Benchmarks är standardguider per OS/produkt.
Se även: CIS Controls v8
Specialiserad hårdvara som hanterar kryptonycklar utan att exponera dem mot host-OS. FIPS 140 är vanligaste certifieringen.
Krav vid PCI DSS, eIDAS-signering, och i många finansiella system. Klass IV under CRA.
HTTP-header som tvingar browsern att alltid använda HTTPS för domänen, även vid första besöket (efter preload-lista).
Skydd mot SSL-stripping. `includeSubDomains` + `preload` är best practice.
Se även: TLS
Hybrid mellan SAST och DAST: instrumenterad runtime som korrelerar kodflöden med HTTP-anrop.
Bättre precision än enbart SAST eller DAST, men kräver agent i applikationen.
Auktoriseringsbug där man kan komma åt andra användares data genom att byta ID i URL eller body.
Saknas i de flesta automatiska skanners — kräver manuellt test eller business-logic-medveten scanning.
Nätverksbaserade system som detekterar (IDS) eller blockerar (IPS) kända attackmönster.
Klassisk perimetersäkerhet. Mindre kritiskt i moderna molnmiljöer där trafiken är krypterad och east-west dominerar.
Standardfamilj för säkerhet i industriella automationssystem (OT/ICS).
Tillämpas i tillverkning, energi, vatten, transport. Krävs ofta vid integration med leverantörer som SCADA-tillverkare.
Strukturerad process för att upptäcka, hantera, begränsa, återställa och lära från säkerhetsincidenter. Klassiska steg: prepare, identify, contain, eradicate, recover, lessons learned.
Krav under NIS2, DORA, CRA och GDPR.
Beteendebaserad indikator: t.ex. process-träd som matchar en känd attack-TTP.
Mer motståndskraftig än IOC-jakt eftersom angripare ofta byter infrastruktur.
Se även: IOC, MITRE ATT&CK
Tekniskt spår av en attack: IP-adress, hash, domännamn, registry-nyckel.
Användbart vid retroaktiv jakt — har vi sett denna IP i loggarna sista 90 dagarna?
Se även: IOA
Internationell standard för ledningssystem för informationssäkerhet (ISMS). Senast reviderad 2022, med 93 kontroller i Annex A.
De-facto-standard för att visa att man har systematiskt säkerhetsarbete. Certifiering ger förhandlingsstyrka mot kunder, försäkringsbolag och vid upphandlingar.
Guidance-standard som beskriver de 93 kontrollerna i ISO 27001 Annex A i detalj.
Inte certifieringsbar, men det är här man läser hur kontrollerna faktiskt implementeras.
Se även: ISO 27001
CISA:s lista över CVE som bevisat utnyttjats i verkligheten. Federala myndigheter i USA måste patcha dem inom given tid.
KEV-listan är en av de tydligaste signalerna för "fixa nu, inte nästa sprint".
Modell av en attack i steg: recon, weaponization, delivery, exploitation, installation, C2, actions on objectives. Lockheed Martins original.
Användbart för att kartlägga var i kedjan en specifik detection eller kontroll fungerar.
Se även: MITRE ATT&CK
Attack där angriparen får servern att läsa eller inkludera lokala filer via osäker path-hantering.
Ofta första steget mot RCE via log-poisoning eller läckage av config-filer.
Se även: Path traversal, RCE
EDR/XDR som tjänst, med extern SOC som hanterar larmen.
Bra fit för organisationer som inte vill bygga 24/7-bemanning själva.
Autentisering med fler än en faktor: något du vet (lösen), äger (token), eller är (biometri).
Den enskilt mest effektiva åtgärden mot kontostöld. Hårdvarunycklar (WebAuthn) är mest motståndskraftiga.
Klassificering av angripares taktiker, tekniker och procedurer (TTPs), uppdelad i matriser för Enterprise, Mobile, ICS.
De-facto-standard för att beskriva detection-täckning. T1059 = Command and Scripting Interpreter, etc.
Se även: Kill chain
Svensk tillsynsmyndighet för NIS2 i flera sektorer. Tar emot incidentrapporter och utfärdar föreskrifter.
Förstahandskontakt för NIS2-tillsyn i Sverige.
TLS där både klient och server presenterar certifikat, ger ömsesidig autentisering på transportlagret.
Vanligt mellan tjänster (mikroservice mesh, B2B-API). Bättre än bearer-tokens när latency-känslig identitet behövs.
Se även: TLS
EU-direktiv (2022/2555) som ställer säkerhets- och rapporteringskrav på operatörer av väsentliga och viktiga tjänster. Implementeras i Sverige via Cybersäkerhetslagen.
Bredare omfattning än NIS1, omfattar fler sektorer, kortare incidentrapportering (24h tidig varning), striktare sanktioner.
NIST Cybersecurity Framework version 2.0, släppt 2024. Sex funktioner: Govern, Identify, Protect, Detect, Respond, Recover.
Ramverk-agnostisk, mappar mot ISO 27001, NIS2 och andra. Bra utgångspunkt för security maturity assessments.
NIST:s databas med berikad CVE-data: CVSS-score, CPE-referenser, CWE-mappning.
Standard data-källa för sårbarhetsskanners.
Auktoriseringsprotokoll, inte autentisering. Delar ut tokens med begränsad scope mot tredjepartsappar.
Vanligaste fallet: "Logga in med Google" (egentligen via OIDC ovanpå OAuth). Många misstag uppstår när folk använder OAuth direkt för autentisering.
Se även: OIDC
Autentiseringsprotokoll ovanpå OAuth 2.0. Levererar identitet via ID-token (JWT).
Modern standard för federerad inloggning. Google, Microsoft, Apple m.fl. använder det.
Sårbarhet där angriparen kan dirigera om en användare till godtycklig extern URL via en sårbar redirect-parameter.
Vanlig komponent i phishing-kedjor som lurar offer att klicka på "trusted" länkar.
Underrättelseinsamling från öppna källor: webbsökning, sociala medier, register, läckta databaser.
Mer pentest-relevant än man tror. Kraftigt verktyg för phishing-recon mot specifika individer.
Se även: Recon
Distribuerad sårbarhetsdatabas från Google, med standardformat för OSS-ekosystem (npm, PyPI, Go etc.).
Maskinläsbart format som SBOM-verktyg matchar mot.
Attack där `../`-sekvenser eller liknande används för att komma åt filer utanför avsedd katalog.
Bekämpas genom att normalisera + whitelista filvägar, inte filtrera bort tecken.
Se även: LFI
Säkerhetsstandard från betalkortsbranschen för organisationer som hanterar kortdata. Senaste versionen 4.0.1 är obligatorisk sedan 31 mars 2025.
Krävs av alla som accepterar kortbetalningar. Nivå beror på transaktionsvolym.
Manuellt eller delvis automatiserat säkerhetstest där en tester försöker bryta sig in i system inom överenskommen scope. Mål: hitta vad en angripare kunde göra.
Krävs av NIS2 (de facto), DORA (TLPT), PCI DSS m.fl.
Social-engineering-attack där angriparen lurar offer att avslöja credentials eller köra skadlig kod, oftast via e-post eller SMS.
Roten till de flesta större intrång. Bekämpas med MFA, awareness-träning och DMARC.
Internt team hos en produkttillverkare som tar emot sårbarhetsrapporter och samordnar patches.
CRA gör PSIRT-funktion de facto obligatorisk för alla mjukvaru- och hårdvarutillverkare som säljer i EU.
Samarbetsformat där red och blue team kör ihop, ofta för att finjustera detection-regler.
Snabbare iteration än traditionell red-team-rapport-→-fix-cykel.
Sårbarhet där angriparen kan köra godtycklig kod på servern på distans. Alltid critical.
End-game-sårbarheten. Bakom RCE gömmer sig oftast osäker deserialisering, command injection eller filuppladdning.
Första fasen i en attack eller pentest: kartläggning av angreppsyta utan att interagera (passivt) eller med (aktivt).
EASM-verktyg automatiserar passiv recon. OSINT, certificate transparency-loggar och DNS-källor är typisk input.
Se även: EASM, OSINT, Certificate Transparency
Övergripande, mål-driven simulerad attack som ofta inkluderar fysiska, sociala och tekniska vektorer. Längre och bredare än traditionell pentest.
Testar hela försvarskedjan: detection, response, kommunikation. Mer realistisk men dyrare.
Se även: Blue team, Purple team, Pentest
XML-baserat protokoll för SSO, vanligast i enterprise/legacy. Levererar identitet via signerat assertion.
Standard i Microsoft AD FS, Okta, OneLogin. Ofta krav vid integration mot stora kundsystem.
Statisk kodanalys som hittar säkerhetsfel i källkod utan att köra koden.
Tidig återkoppling i utvecklingsflödet, men hög FP-rate. Kombineras typiskt med DAST + SCA.
Maskinläsbar förteckning över alla komponenter i en mjukvara: bibliotek, versioner, licenser, leverantörer.
Krav under CRA. Utan SBOM kan du inte snabbt svara på "är vi sårbara för CVE-X?". Standardformat är SPDX och CycloneDX.
Analys av tredjepartskomponenter i en kodbas mot sårbarhets- och licensdatabaser.
Vanligaste roten till CVE i moderna applikationer. SCA matchar SBOM mot CVE-feed.
Standard (RFC 9116) för att publicera kontaktuppgifter och VDP på `/.well-known/security.txt`.
Lägsta tröskel för att tillåta extern rapportering. Bör finnas på alla produktiva domäner.
Se även: VDP
Uppdelning av nätverk i isolerade zoner med kontrollerad trafik mellan dem.
Begränsar laterala rörelser för en angripare som tagit sig in. Microsegmentering är moln-versionen av samma idé.
Se även: Zero trust
Centraliserad logghantering och korrelering för säkerhetshändelser. Splunk, Sentinel, Elastic är vanliga.
Ryggrad i mogna SOC. Dyrt om man inte är disciplinerad med vad som loggas.
Plattform för automatisering av incidenthantering: playbooks, integrationer, ärendehantering.
Lyfter SOC-team över repetitiva uppgifter, kräver mogen process först.
Team som övervakar säkerhetslarm, gör triage och initierar incidenthantering, ofta 24/7.
Kan vara intern eller outsourcad (MDR/MSSP). Mognadsindikator: medel-MTTD (Mean Time To Detect).
Amerikansk attestation från AICPA mot Trust Services Criteria (security, availability, confidentiality, processing integrity, privacy). Vanligast i SaaS.
SOC 2 Type II är förlängd granskning över 6-12 månader. Förväntat av amerikanska enterprise-köpare.
Se även: ISO 27001
DNS-baserad standard som anger vilka servrar som får skicka e-post från din domän.
Första lagret mot e-post-spoofing. Måste sluta med `-all` (hard fail) för att vara meningsfullt.
Attack där osäker SQL-konstruktion låter angriparen injicera egna queries via användarindata.
Den klassiska. Bekämpas med parametriserade queries — aldrig sträng-konkatenering.
En inloggning ger tillgång till flera applikationer. Bygger på protokoll som SAML eller OIDC.
Minskar lösenordsspridning, gör off-boarding pålitlig.
Sårbarhet där server-side-kod gör HTTP-anrop till en URL kontrollerad av angriparen, ofta mot interna resurser.
Stor risk i molnmiljöer där SSRF kan nå metadata-endpoints (t.ex. 169.254.169.254) och läcka credentials.
Värdnamn under en huvuddomän, t.ex. `mail.exempel.se`. Discovery av subdomäner är central i EASM.
Glömda subdomäner är vanlig roten till takeover-risker och oskannad attackyta.
Se även: EASM, Subdomain takeover
Sårbarhet där en DNS-pekare visar mot en upphörd tredjepartsresurs (S3-bucket, Azure-tjänst, CDN), så angriparen kan registrera den och äga subdomänen.
Ofta resultatet av städning som missas. Discovery och DNS-monitorering hittar dem.
Diskussionsbaserad övning där ledning, IT och kommunikation går igenom ett incidentsscenario tillsammans.
Avslöjar kommunikations- och beslutsgluggar utan att riskera produktion.
Se även: Incident response
Strukturerad analys av hot mot ett system, ofta via STRIDE eller PASTA-metodik.
Bäst utförd tidigt i design. Lågkostnads-version: rita arkitekturen, ringa in datadrifter, fråga "vad om angriparen kontrollerar denna komponent?".
Skarpa red-team-test mot kritiska finansiella entiteter, krav under DORA. Bygger på TIBER-EU-ramverket.
Genomförs vart tredje år, övervakas av nationell myndighet (i Sverige FI).
Krypteringsprotokoll på transportlagret, det som ger HTTPS. Aktuell version är TLS 1.3.
TLS 1.0 och 1.1 är formellt deprekerade. TLS 1.2 fortfarande acceptabelt men 1.3 är default i moderna stackar.
Publik policy som beskriver hur externa forskare kan rapportera säkerhetsbrister till organisationen.
Krav under CRA. Implementeras typiskt via `/.well-known/security.txt` plus en sida på webben.
Se även: CRA, security.txt, Bug bounty
Inline-filter mellan klient och applikation som blockerar kända attackmönster (XSS, SQLi, m.fl.).
Tillfällig skyddslager när patch dröjer, men ersätter aldrig faktisk fix i koden.
Lookup-protokoll för registreringsdata om domäner, IP-adresser och ASN.
Begränsad användning efter GDPR (registrant-data ofta dolt), men praktisk för IP/ASN-recon.
Korrelerad detektion över flera datakällor: endpoint, nätverk, identitet, moln.
Marknadsterm som ofta är EDR + några extra log-källor. Värdet beror på integrationen.
Sårbarhet där angriparen får sin JavaScript att köra i offrets browser i kontexten av en sajt. Tre huvudtyper: reflected, stored, DOM-based.
OWASP Top 10. Bekämpas med output-encoding och Content Security Policy.
Sårbarhet i XML-parsers som tillåter externa entiteter, kan leda till filläsning, SSRF eller DoS.
Mindre vanligt idag eftersom XML har trängts undan av JSON, men finns kvar i SOAP, SAML och legacy.
Se även: SSRF
Säkerhetsmodell som inte litar implicit på något, oavsett nät. Varje åtkomst autentiseras och auktoriseras kontinuerligt.
Mer arkitekturprincip än produkt. Praktisk implementation kräver SSO, MFA, device-trust och segmenterad åtkomst.
Sårbarhet som inte är publikt känd och saknar patch. "0 dagar" sedan leverantören fått veta.
Tunga aktörer (statsapparat, stora kriminella grupper) sitter på zero-days. För de flesta organisationer är n-day-CVE större hot.