Vulnerabilitate (securitatea informației)

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.[1] Pentru a exploata vulnerabilitatea, atacatorul trebuie să dispună de cel puțin o unealtă aplicabilă sau tehnică pentru a se conecta la slăbiciunea unui sistem. În acest context, vulnerabilitatea este de asemenea cunoscută ca suprafață de atac.

DefinițiiModificare

ISO 27005 definește vulnerabilitatea ca:

O slăbiciune a unui bun sau a unui grup de bunuri, ce poate fi exploatată de una sau mai multe amenințări

Exemple de vulnerabilitățiModificare

Vulnerabilitățile exploatate sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor și pot fi clasificate în următoarele categorii:

  • Vulnerabilitate de proiectare - o eroare care apare în faza de concepție, și pe care chiar o implementare ulterioară perfectă nu o va înlătura
  • Vulnerabilitate de implementare - apare ca urmare a fazei de punere în practică a proiectului.
  • Vulnerabilitate de configurare - apare ca urmare a erorilor făcute în configurarea sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere a fișierelor cu parole.

De asemenea, vulnerabilitățile sunt asociate cu:

  • mediul fizic al sistemului
  • personalul
  • conducerea
  • administrarea procedurilor și a măsurilor de securitate în cadrul unei organizații
  • activitatea afacerii și livrarea serviciilor
  • hardware
  • software
  • echipamentul de comunicații și facilitățile
  • combinații între acestea.

Este evident că o abordare pur tehnică nu poate proteja nici bunurile fizice: este nevoie de o procedură administrativă pentru a permite accesul personalului de întreținere la diverse facilități și de oameni cu o cunoaștere adecvată a procedurilor, motivați să le urmeze cu atenție.

ReferințeModificare

  1. ^ „The Three Tenents of Cyber Security”. U.S. Air Force Software Protection Initiative. Accesat în . 

Vezi șiModificare