ここに練習問題があります:
ビジネスは、それがさらされている危険を決定しようとしています。情報の信頼性に破壊的な影響を与える可能性のあるイベントとは何ですか。
A)脆弱性
B)攻撃
C)リスク
D)依存関係
E)脅威
私はこの質問に対してE)脅威を得ていますが、脆弱性はこれらの攻撃に対して脆弱にするシステムの弱点であるため、少し混乱しています。
Eが正しいかどうかを誰かが明確にできますか?
はい、Eは正しいです。
脆弱性とは、危害につながる可能性のある弱点です(機密性、整合性、または可用性に関係なく)。
脅威は、脆弱性を公開する可能性のあるエージェントです。
問題は脅威である「イベント」についてです。
コンピュータのセキュリティの観点からではなく、一般的に脅威の定義を検討することで、それを理解し始めることができます。 Cambridge Dictionary 、脅威で記述されているように、「不要な何かが発生する可能性、または不要な何かを発生させる可能性が高い人または物」
コンピュータのセキュリティの観点から、ISO 27005は次のように定義しています。
システムと組織に損害を与える可能性のあるインシデントの潜在的な原因。 National Information Assurance Glossaryは脅威を次のように定義しています。
National Information Assurance Glossary defination;
ISへの不正アクセス、破壊、開示、データの変更、および/またはサービス拒否を介して悪影響を与える可能性のある状況またはイベント。
したがって、それは単に将来起こり得る潜在的な危険です。たとえば、文「ランサムウェアはより強く、より広くなっています」と主張しています。別の例として、「Crpytojackingマルウェア」を脅威としてカウントできます。ただし、どの種類の脆弱性を利用しているかについては説明しません。 脅威レポートを読んで検索すると、セキュリティの脅威の意味を理解できます。 インターネットセキュリティ脅威レポート シマンテックからの情報は、有益であると私が信じている情報源です。
私は再び、公式で世界的に受け入れられているコミュニティと基準が言うことを参照する必要があると思います。
ISO 27005の定義:
組織の使命をサポートする情報リソースを含む、組織、事業運営、および継続性に価値があるものである場合に、1つ以上の脅威によって悪用される可能性がある資産または資産グループの弱点
IETF RFC 2828は脆弱性を次のように定義しています。
システムのセキュリティポリシーに違反するために悪用される可能性がある、システムの設計、実装、または運用と管理の欠陥または弱点
NISTから:
システムのセキュリティ手順、設計、実装、または内部統制の欠陥または弱点であり、行使されて(偶発的に引き起こされた、または意図的に悪用された)、セキュリティ違反またはシステムのセキュリティポリシーの違反につながる可能性があります。
簡単に言えば、システムにどのような脅威の損害を与える可能性があるかを分析できます。一方、システムのどのvulnerabilitiesが損害を引き起こす可能性のある悪用につながる可能性があるかを探すことができます。 1つの脅威には、さまざまな脆弱性の結果が含まれる可能性があります。一方、1つの脆弱性はさまざまな種類の脅威につながる可能性があります。
脅威は、システム/アプリケーションの脆弱性を悪用する可能性が高いインテリジェントエージェントです。