Ho una domanda pratica qui:
A business is going to determine the dangers to which it is exposed. What do we call a possible event that can have a disruptive effect on the reliability of information:
A) Vulnerability
B) Attack
C) Risk
D) Dependency
E) Threat
Sto ricevendo E) minaccia per questa domanda, ma sono un po 'confuso perché la vulnerabilità è ciò che è debole in un sistema che lo rende vulnerabile a questi attacchi.
Qualcuno può chiarire se E è corretto?
Sì, E è corretto. Una vulnerabilità è una debolezza che potrebbe portare a danni (sia che si tratti di riservatezza, integrità o disponibilità.) Una minaccia è un agente che potrebbe esporre la vulnerabilità. La domanda riguarda un "evento", che è la minaccia.
Una minaccia è l'agente intelligente che è in grado di sfruttare la vulnerabilità del sistema / dell'applicazione.
Possiamo iniziare a capirlo guardando la definizione della minaccia in generale, non in termini di sicurezza del computer. Come è scritto in dizionario di Cambridge , una minaccia "la possibilità che qualcosa di indesiderato accada, o un persona o cosa che potrebbe causare il verificarsi di qualcosa di indesiderato "
Dal punto di vista della sicurezza informatica, ISO 27005 lo definisce come:
A potential cause of an incident, that may result in harm of systems and organization. National Information Assurance Glossary defines threat as:
Dalla definizione del glossario di National Information Assurance;
Any circumstance or event with the potential to adversely impact an IS through unauthorized access, destruction, disclosure, modification of data, and/or denial of service.
Pertanto, è semplicemente un potenziale pericolo che potrebbe accadere in futuro. Ad esempio, rivendichiamo la frase "I ransomware stanno diventando sempre più forti" . Un altro esempio, possiamo considerare "Crickyjacking malware" come una minaccia. Tuttavia, non discutiamo sul tipo di vulnerabilità che stanno sfruttando. Puoi leggere e cercare Rapporti sulle minacce per capire cosa si intende per minaccia alla sicurezza. Rapporto sulle minacce alla sicurezza in Internet di Symantec è un fonte che ritengo vantaggiosa.
Penso che dobbiamo nuovamente riferirci a ciò che dicono le comunità e gli standard ufficiali e accettati a livello globale;
Definizione ISO 27005:
A weakness of an asset or group of assets that can be exploited by one or more threats where an asset is anything that has value to the organization, its business operations and their continuity, including information resources that support the organization's mission
IETF RFC 2828 definisce la vulnerabilità come;
A flaw or weakness in a system's design, implementation, or operation and management that could be exploited to violate the system's security policy
Da NIST:
A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system's security policy.
Semplicemente, possiamo analizzare quali minacce possono danneggiare il nostro sistema. D'altra parte, possiamo cercare quali vulnerabilità nel nostro sistema possono generare un potenziale exploit che causerà danni. Una minaccia può includere il risultato di molte vulnerabilità diverse. Mentre una vulnerabilità può portare a molti diversi tipi di minacce.
Leggi altre domande sui tag vulnerability cissp