تهدید یا Threat چیست؟ آسیب پذیری یا Vulnerability چیست؟ تفاوت اینها با ریسک در چیست ؟ قبل از این مورد توجه شما را به پاراگراف زیر جلب می کنم. خیلی اوقات در پروژه هایی که در حوزه امنیت انجام می شود چند مورد با هم اشتباه گرفته می شود ، در واقع در تحلیل هایی که برای پیاده سازی سیستم مدیریت امنیت اطلاعات انجام می شود سه مفهوم معمولا به دلیل نزدیکی معنایی با هم اشتباه گرفته می شوند. به عنوان یک ITPRO شما باید تفاوت بین تهدید یا Threat ، آسیب پذیری یا Vulnerability و ریسک یا Risk را به خوبی درک کنید اما همیشه ما را درگیر تعاریف عجیب و غریب کرده اند ، امروز می خواهیم خیلی خیلی ساده این مفاهیم را بررسی کنیم به عکس زیر دقت کنید ، شما به عنوان یک کارشناس امنیت باید تفاوت این مفاهیم را به خوبی درک کنید.
خوب خوب به تصویر نگاه کردید ؟ اولین نکته اینکه خرس قطبی خطرناکترین و بزرگترین خرس دنیا است ، چون خودم عشق طبیعت دارم این رو گفتم. در تصویر بالا شما باید دربی که باز است ( آسیب پذیری ) را ببندید تا خرس قطعی ( تهدید ) نتواند کاری انجام دهد. اگر خرس قطبی موفق شود از درب باز ( آسیب پذیری ) استفاده کرده و وارد خانه شود ، شما تبدیل به گوشت چرخ کرده ( ریسک ) خواهید شد. شناخت و درک این سه مفهوم ساده مقدمه ای برای تحلیل ریسک است که یکی از مهمترین فاکتورها برای سازمان هایی است که به امنیت اهمیت می دهند. قدم بعدی بعد از شناخت این مفاهیم نوشتن وضعیت ریسک یا risk statement است. دقت کنید که امن کردن یک سازمان هم دقیقا به همین شکل اما با دارایی ها و تهدیدات و ریسک های متفاوت انجام می شود. خوب اگر فرض کنیم که تهدید های ما خرس ها هستند با استفاده از همین مکانیزم می توانیم وضعیت تهدید های موجود در ایالات متحده را به شکل زیر بررسی کنیم به تصویر زیر نگاه کنید :
تصویر بالا نمایانگر میزان پراکندگی تهدید ها و درجه تهدید آنها است ، خرس های قطبی با رنگ سفید مشخص شده اند ، طبیعتا خطر ورود خرس قطبی در ایران تقریبا صفر است و شما باید در سازمان خودتان چنین مفهومی در خصوص تهدیدها داشته باشید که ریسک های شما ( ریسک چرخ شدگی ) ممکن است اصلا در این سازمان وجود نداشته باشند. سایر مواردی که در نقشه مشاهده می کنید درصد پراکندی سایر تهدیدها یا خرس ها در سراسر ایالات متحده آمریکا هستند. امیدوارم به سادگی متوجه این مفاهیم شده باشید. ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
آسیب پذیری: باز بودن پورت 23 میشه
تهدید: اتفاقیه که بر اثر باز بودن این پورت میفته مثلا دسترسی به اطلاعات محرمانه سازمان
(در واقع آسیب پذیری نقطه ضعف دارایی میشه و تهدید عامل بالقوه یک حادثه ناخواسته)
impact هم میشه افشای اطلاعات
و در نهایت هکر رو هم ریسک در نظر میگیریم
بنده تفاوت بین ریسک و تهدید و آسیب پذیری رو اینطور متوجه شدم که مثلا ما پورت 23 که مربوط به پروتکل Telnet هست رو اگه باز بزاریم احتمال اینکه فرد هکر به کامپیوتر ما از راه دور دسترسی داشته باشه خیلی زیاده که این میشه ریسک و تقریبا با آسیب پذیری به یک مفهومه اما تهدید عملا بعد انسانی داره مثلا هکر کلاه سیاه یه تهدید برای شبکه سازمانه.ولی در لایه فیزیکی شبکه بعد غیر انسانی هم میتونه داشته باشه مثلا آتش سوزی ، زلزله و از اینجور حوادث طبیعی.
پس خط آخر بند دوم هم اصلاح کنید بی زحمت
اگر فرض کنیم ریسکهای ما خرسها هستند با استفاده از همین مکانیزم میتوانیم وضعیت ریسکهای موجود در ایالات......
حق با شماست ، پاراگراف آخر اصلاح شد.
سلام
در کل مثال جالبی بود ولی متاسفانه تشخیص تفاوت این سه مورد واقعا کار دشواریه و من هر مقاله و استاندارد و مستندی که میخونم نتونستم کاملا متوجه مفهوم این موارد بشم و به قول معروف همیشه یه جای کار میلنگه، دقیقا مثل همین آموزش
اول فرمودید خرس را به عنوان یک تهدید در نظر میگیریم و اینکه ما تبدیل به گوشت چرخ کرده میشیم ریسک خواهد بود (تا اینجای کار همه چیز عالی و قابل درک بود) ولی از اینجا به بعد ریسک و خرس رو با هم عنوان کردین ، مثلا گفتین : " اگر فرض کنیم ریسکهای ما خرسها ها هستند " یا خط آخر ...
الان خرس ریسک شد یا تهدید؟
تعریف بسیار جالبی از این مفاهیم بود