تفاوت آسیب پذیری و تهدید، ریسک و مدیریت ریسک

در این نوشتار به بررسی تفاوت تهدید ، آسیب پذیری یا تهدید پذیری و ریسک می پردازیم. تهدید که مؤلفه کامل کننده تهدید پذیری است در صد احتمالِ فرد یا فرآیندی است که می‌تواند با استفاده از یک تهدیدپذیری سیاست امنیتی یک سیستم را خدشه دار بکند.

دارایی یا Asset

قبل بررسی واژگان آسیب پذیری و تهدید لازم است که  معنای واژه دارایی(Asset) را بدانیم و مفهوم آن را کاملا درک کنیم. هر موجودیت با ارزش برای ما دارایی محسوب می شود. دارایی ممکن است مادی یا معنوی باشد. هر چه آسیبی که به دارایی ما می رسد برای ما پر هزینه تر باشد آن دارایی ارزش بیشتری خواهد داشت. حتی گاهی دارایی ها از جنس اطلاعات و دانش هستند و گاهی یا از جنس نیروی انسانی و حتی اعتبار و برندینگ هستند.

آسیب پذیری یا تهدید پذیری (Vulnerability)

تهدیدپذیری به یک ضعف یا اختلال در طراحی، پیاده سازی، اجرا و یا مدیریت یک سیستم اطلاق می‌شود. اصولا تهدیدپذیری به خودی خود یک تهدید نیست اما به طور بالقوه می‌تواند یک سیستم را با تهدید مواجه کند به عبارت دقیق تر سیاست امنیتی یک سیستم را می‌تواند خدشه دار و با خطر روبرو بکند. برای مثال فرض کنیم در یک سیستم نرم افزاری باگ یا خطایی وجود دارد که با استفاده از آن خطا شخص یا اشخاصی می‌توانند عملکرد آن سیستم نرم افزاری را مختل بکنند.

فرض کنیم شما کلمه عبور حساب ایمیل خود را  ‘123456’ گذشته اید پس کسی که بخواهد به میل باکس شما دسترسی پیدا کند خیلی راحت می‌تواند آن را حدس بزند و اطلاعات محرمانه شما را برباید. همان طور که می‌بینید این کلمه عبور ضعیف برای شما یک تهدید نیست و اتفاق بدی برای اطلاعات محرمانه شما رخ  نمی‌دهد ولی یک خطر بالقوه است هنگامی که کسی از آن سو استفاده کند این تهدید پذیری می‌تواند به یک تهدید تبدیل می‌شود. در تصویر زیر جان انسان از جنس دارایی، تعادل از جنس آسیب پذیری و حملات تمساح ها از جنس تهدید بالقوه است. ولی تا زمانی که آسیب پذیری موجب حادثه امنیتی نشده است تهدید تمساح ها بالفعل نمی شود.

تهدید (Threat)

تهدید که مؤلفه کامل کننده تهدید پذیری است از سوی دیگر وجود احتمالی فرد یا فرآیندی است که می‌تواند با استفاده از یک تهدیدپذیری تحت شرایط خاص سیستم یا سیاست امنیتی یک سیستم را خدشه دار بکند و به آن آسیب برساند. برای مثال احتمال ورود یک کاربر غیر مجاز به یک سیستم بدون کلمه عبور و دسترسی به اطلاعات محرمانه آن سیستم یک تهدید برای سیستم و سیاست های امنیتی آن به حساب می‌آید همان طور که اشاره شد نداشتن رمز عبور برای آن سیستم یک تهدید پذیری است در حالیکه استفاده یک کاربر غیرمجاز از این تهدید پذیری و دسترسی به اطلاعات محرمانه یک تهدید محسوب می‌شود.

تفاوت آسیب پذیری و تهدید

منشا آسیب پذیری داخل سیستم بوده و منشا تهدید خارج از سیستم است و دارایی ها رو مورد هدف قرار میدهد.

مخاطره (Risk)

ریسک یک کمیت از نوع احتمال و درضد است. منظور از مخاطره این است که انتظار داشته باشیم آسیب و یا اختلالی در کارکرد یک سیستم رخ دهد زمانی یک تهدید از تهدیدپذیری یک سیستم استفاده می‌کند و یک نتیجه زیان بار به بار می‌آورد. مخاطره یک مرحله پس از تهدید و تهدید یک مرحله بعد از تهدید پذیری روی می‌دهد. پیرو مثال پیش یک کاربر غیرمجاز به اطلاعات محرمانه یک سیستم بدون رمز عبور دسترسی پیدا کند و آن اطلاعات را می‌دزدد یا از بین می‌برد یا به آن ها آسیب می‌رساند و یا در اختیار رقبای سازمان قرار می‌دهد این اتفاق یک مخاطره (Risk) به حساب می‌آید و برای آن شرکت صدمات مالی یا غیرمالی می‌تواند به همراه داشته باشد.

 

مدیریت مخاطره یا مدیریت ریسک (Risk Management)

مدیریت مخاطره هدف غایی و برنامه نهایی ما برای کنترل خطرات و ریسک موجود در سیستم است. در مدیریت مخاطره اولین گام شناسایی و تحلیل خطرهای احتمالی و تهدیدپذیری یک سیستم جهت کارکرد بهتر سیستم از لحاظ امنیتی است.

تحلیل ریسک رابطه بین جدیت خطر، احتمال تکرار آن، همچنین هزینه پیاده سازی یک راه حل برای حفاظت از آن خطر یا تهدیدپذیری را بررسی می‌کند.

جدیت خطر بر اساس هزینه مورد نیاز برای بازیابی از آن در صورت موفقیت یک حمله اندازه گیری می‌شود. مثال؛ فرض کنیم اطلاعات ما روی یک سرور قرار دارد و اگر این خطر وجود داشته باشد که حمله کننده‌ای به این سرور دسترسی پیدا بکند و بتواند اطلاعات آن را نابود کند و ما هیچ جای دیگر به این اطلاعات دسترسی نداشته باشیم می‌توان گفت جدیت این خطر بسیار زیاد است.

با افزایش جدیت و احتمال وقوع خطر سطح مخاطره آن خطر افزایش می‌یابد.  بنابر این برای خطری که خیلی جدی است به این معنی که هزینه بازیابی از آن در صورت حمله موفقیت آمیز بالا باشد و احتمال وقوع بالایی دارد یعنی احتمال حمله  در هر لحظه وجود دارد سطح مخاطره بسیار بالا و 9 است و ما باید در مدیریت مخاطره باید به عنوان بالاترین اولویت برای این خطر برنامه ریزی داشته باشیم. جدول 1-1

 

جدیت	احتمال وقوع
		به ندرت	بعضی اوقات	غالبا
	کم اهمیت	1	2	3
	جدی	4	5	6
	خیلی جدی	7	8	9

جدول 1-1 (سطوح مخاطره)

 

فرآیند شناسایی مخاطرات، اولویت بندی آن ها بر اساس هزینه مورد نیاز برای بازیابی سیستم در صورت وقوع خطر و همچنین شناسایی و پیاده سازی راه کارهایی برای کاهش این مخاطرات را مدیریت مخاطره می‌نامند.

هنگامی که مستندات و برنامه مدیریت مخاطره را تنظیم می‌کنیم باید به این نکته توجه داشته باشیم که فناوری اطلاعات و ارتباطات[1] و همچنین بسیاری از تکنولوژی های روی اینترنت دائما در حال تغییر است از تکنولوژی های ارتباطی، شبکه و تکنولوژی های پیاده سازی نرم افزاری گرفته تا روش ها و الگوریتم های امنیتی و حتی سخت افزارهایی که استفاده می‌شود. بنابر این ما روز به روز با مخاطرات جدید روبرو هستیم و این تحلیل و مدیریت مخاطرات باید دائما متناسب با این تغییرات به روز رسانی گردد و ملاحظات جدید برای امن کردن سیستمی که داریم در نظر گرفته شود.

[1]  ICT

آدرس کانال تلگرام سایت بیگ دیتا:

t.me/bigdata_channel

آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel

جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.

جهت ثبت نام در دوره های آموزشی بر روی اینجا کلیک کنید.

بازدیدها: 9208