Tutte le vulnerabilità sono correlate alla sicurezza? Quando le persone parlano di vulnerabilità e vulnerabilità della sicurezza, sono lo stesso concetto? La mia comprensione è che una vulnerabilità è una debolezza del sistema che consente di avere un potenziale attacco.
Questa è una di quelle situazioni che "dipende". I sistemi sono vulnerabili alla perdita di dati a causa di interruzioni di corrente o guasti dell'unità disco o di incendio o acqua, ad esempio, e quindi potrebbero essere considerati "vulnerabilità" che non sono "correlati alla sicurezza" perché non determinano l'accesso non autorizzato ai dati o servizi o attrezzature e non vengono attivati di proposito da qualcuno che cerca di provocare un rifiuto di servizio. Inoltre, se l'apparecchiatura in questione è, ad esempio, funzionante in una centrale nucleare, il guasto delle apparecchiature diventa un problema di sicurezza di un tipo diverso. Quindi dipende in realtà da cosa si definisce vulnerabilità e cosa si definisce sicurezza.
Penso alle vulnerabilità della sicurezza come a cose che consentirebbero a qualcuno di provocare operazioni non intenzionali di un sistema (che include accesso non autorizzato o rifiuto di servizio). Penso alle vulnerabilità in generale come a qualsiasi cosa che possa interferire con il corretto funzionamento di un servizio. Quindi direi "no", non tutte le vulnerabilità sono legate alla sicurezza.
Innanzitutto se chiediamo cosa è la sicurezza e cosa stiamo proteggendo, allora possiamo renderci conto di quale sia la vulnerabilità. Tutte le vulnerabilità sono legate alla sicurezza, inclusi tutti gli aspetti tecnici e non tecnici.
Se qualcosa sta minacciando la riservatezza, l'integrità e la disponibilità sotto qualsiasi aspetto, sarà considerato come una vulnerabilità. Una vulnerabilità non può esistere senza la necessità di assicurare qualcosa.
In parole semplici, una vulnerabilità è qualsiasi cosa che possa influire sulla riservatezza, l'integrità e la disponibilità (CIA) dalla sua possibilità di accadimento.
EDIT -
Esamina Sicurezza delle informazioni che descrive i principi di base. Principi di base - Concetti chiave La triade della CIA (riservatezza, integrità e disponibilità) è uno dei principi fondamentali della sicurezza delle informazioni.
Siamo così presi dall'idea che "Sicurezza" significa che deve essere un difetto nell'IT (server, software, rete). Ma al livello fondamentale più profondo "Sicurezza" sta proteggendo le informazioni da qualsiasi possibile minaccia, tecnica o non tecnica, indipendentemente dalla probabilità. Questo porta a RM e BC. Qualsiasi minaccia per confidentiality , integrity e availability (CIA) in un ambiente è una vulnerabilità. Anche un terremoto è una minaccia per Availability delle informazioni, l'informazione deve essere Secured o protetta, le informazioni sul server sono vulnerabili al terremoto. La sicurezza va oltre la semplice prevenzione di accessi non autorizzati, uso non autorizzato o alterazione dei dati.
Penso che una vulnerabilità
("Vulnerability refers to the inability to withstand the effects of a hostile environment")
implica insicurezza, quindi tutte le vulnerabilità sono legate alla sicurezza.
Leggi altre domande sui tag terminology