Vulnerabilitate (securitatea informației)

De la Wikipedia, enciclopedia liberă
Jump to navigation Jump to search

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.[1] Pentru a exploata vulnerabilitatea, atacatorul trebuie să dispună de cel puțin o unealtă aplicabilă sau tehnică pentru a se conecta la slăbiciunea unui sistem. În acest context, vulnerabilitatea este de asemenea cunoscută ca suprafață de atac.

Definiții[modificare | modificare sursă]

ISO 27005 definește vulnerabilitatea ca:

O slăbiciune a unui bun sau a unui grup de bunuri, ce poate fi exploatată de una sau mai multe amenințări

Exemple de vulnerabilități[modificare | modificare sursă]

Vulnerabilitățile exploatate sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor și pot fi clasificate în următoarele categorii:

  • Vulnerabilitate de proiectare - o eroare care apare în faza de concepție, și pe care chiar o implementare ulterioară perfectă nu o va înlătura
  • Vulnerabilitate de implementare - apare ca urmare a fazei de punere în practică a proiectului.
  • Vulnerabilitate de configurare - apare ca urmare a erorilor făcute în configurarea sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere a fișierelor cu parole.

De asemenea, vulnerabilitățile sunt asociate cu:

  • mediul fizic al sistemului
  • personalul
  • conducerea
  • administrarea procedurilor și a măsurilor de securitate în cadrul unei organizații
  • activitatea afacerii și livrarea serviciilor
  • hardware
  • software
  • echipamentul de comunicații și facilitățile
  • combinații între acestea.

Este evident că o abordare pur tehnică nu poate proteja nici bunurile fizice: este nevoie de o procedură administrativă pentru a permite accesul personalului de întreținere la diverse facilități și de oameni cu o cunoaștere adecvată a procedurilor, motivați să le urmeze cu atenție.

Referințe[modificare | modificare sursă]

  1. ^ „The Three Tenents of Cyber Security”. U.S. Air Force Software Protection Initiative. Accesat în . 

Vezi și[modificare | modificare sursă]