Уязвимость против угрозы
Риск, угроза и уязвимость - термины, используемые в связи с безопасностью системы или бизнес-модели. Эти термины также часто путают, особенно уязвимость и угроза. Уязвимость присуща человеку, машине, системе или даже всей инфраструктуре. Это похоже на пресловутую ахиллесову пяту, которую используют противники или люди со злым умыслом для создания угрозы или восприятия угрозы. Несмотря на такую четкую разницу, многим трудно провести различие между этими двумя терминами, и они часто путают угрозу и уязвимость. Эта статья пытается развеять сомнения читателей относительно угроз и уязвимостей.
Если человек направляет на вас пистолет, он создает для вас реальную угрозу. Но если вы выстрелите в человека первым, вы устраните угрозу. Однако вы по-прежнему будете уязвимы для таких атак в будущем. Но если вы носите пуленепробиваемую куртку, вы снижаете свою уязвимость, хотя угрозы для вас все равно остаются в виде людей, которые могут попытаться причинить вам вред.
Угроза
Угроза является внешней по отношению к системе и может быть реальной или предполагаемой. Это потенциальная причина вреда или нежелательного воздействия на человека, организацию или систему. Угроза пытается воспользоваться уязвимостью или слабостью, присущими системе. Например, хакеры, вирусы и вредоносное программное обеспечение представляют собой угрозы для вашего компьютера из Интернета, если вы не установили сильный антивирус, делающий ваш компьютер уязвимым для таких атак или угроз.
Активы всегда находятся под угрозой атаки, повреждения или уничтожения внешними опасностями, которые могут использовать уязвимость или слабости, присущие системе. Актив всегда стремится быть защищенным от угроз со стороны внешних агентов. В общем, люди, имущество и информация являются основными активами, и мы все время готовимся к ответу на вызовы, исходящие от внешних угроз.
Уязвимость
Уязвимость - это слабость в системе или организации, которая используется угрозами для получения доступа к системе. Любой недостаток или присущая системе слабость, которая может быть использована угрозой для получения доступа и причинения вреда системе, обычно называют уязвимостью. Уязвимость - это состояние слабости и, следовательно, состояние использования угрозами.
В чем разница между угрозой и уязвимостью?
• Анализ как уязвимости, так и угрозы жизненно важен для расчета риска для актива.
• Уравнение A + T + V=R говорит нам, что риск для актива (A) – это сумма угроз для него вместе с его уязвимостью.
• Устранение рисков включает в себя как уменьшение угроз, так и уязвимостей системы.
• Угроза является внешней по отношению к системе, в то время как уязвимость является ее внутренней слабостью.
• Уязвимость используется злоумышленником для создания реальной угрозы системе.