Vulnerabilitate (securitatea informației)

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.^[1] Pentru a exploata vulnerabilitatea, atacatorul trebuie să dispună de cel puțin o unealtă aplicabilă sau tehnică pentru a se conecta la slăbiciunea unui sistem. În acest context, vulnerabilitatea este de asemenea cunoscută ca suprafață de atac.

Definiții[modificare | modificare sursă]

ISO 27005 definește vulnerabilitatea ca:

O slăbiciune a unui bun sau a unui grup de bunuri, ce poate fi exploatată de una sau mai multe amenințări

Exemple de vulnerabilități[modificare | modificare sursă]

Vulnerabilitățile exploatate sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor și pot fi clasificate în următoarele categorii:

Vulnerabilitate de proiectare - o eroare care apare în faza de concepție, și pe care chiar o implementare ulterioară perfectă nu o va înlătura
Vulnerabilitate de implementare - apare ca urmare a fazei de punere în practică a proiectului.
Vulnerabilitate de configurare - apare ca urmare a erorilor făcute în configurarea sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere a fișierelor cu parole.

De asemenea, vulnerabilitățile sunt asociate cu:

mediul fizic al sistemului
personalul
conducerea
administrarea procedurilor și a măsurilor de securitate în cadrul unei organizații
activitatea afacerii și livrarea serviciilor
hardware
software
echipamentul de comunicații și facilitățile
combinații între acestea.

Este evident că o abordare pur tehnică nu poate proteja nici bunurile fizice: este nevoie de o procedură administrativă pentru a permite accesul personalului de întreținere la diverse facilități și de oameni cu o cunoaștere adecvată a procedurilor, motivați să le urmeze cu atenție.

Referințe[modificare | modificare sursă]

^ „The Three Tenents of Cyber Security”. U.S. Air Force Software Protection Initiative. Arhivat din original la 5 iunie 2009. Accesat în 15 decembrie 2009.

Vezi și[modificare | modificare sursă]

Acest articol din domeniul informaticii este deocamdată un ciot. Puteți ajuta Wikipedia prin dezvoltarea lui.

[1] „The Three Tenents of Cyber Security”. U.S. Air Force Software Protection Initiative. Arhivat din original la 5 iunie 2009. Accesat în 15 decembrie 2009.

[1]