تفاوت آسیب پذیری و تهدید، ریسک و مدیریت ریسک
در این نوشتار به بررسی تفاوت تهدید ، آسیب پذیری یا تهدید پذیری و ریسک می پردازیم. تهدید که مؤلفه کامل کننده تهدید پذیری است در صد احتمالِ فرد یا فرآیندی است که میتواند با استفاده از یک تهدیدپذیری سیاست امنیتی یک سیستم را خدشه دار بکند.
عناوين مطالب: '
دارایی یا Asset
قبل بررسی واژگان آسیب پذیری و تهدید لازم است که معنای واژه دارایی(Asset) را بدانیم و مفهوم آن را کاملا درک کنیم. هر موجودیت با ارزش برای ما دارایی محسوب می شود. دارایی ممکن است مادی یا معنوی باشد. هر چه آسیبی که به دارایی ما می رسد برای ما پر هزینه تر باشد آن دارایی ارزش بیشتری خواهد داشت. حتی گاهی دارایی ها از جنس اطلاعات و دانش هستند و گاهی یا از جنس نیروی انسانی و حتی اعتبار و برندینگ هستند.
آسیب پذیری یا تهدید پذیری (Vulnerability)
تهدیدپذیری به یک ضعف یا اختلال در طراحی، پیاده سازی، اجرا و یا مدیریت یک سیستم اطلاق میشود. اصولا تهدیدپذیری به خودی خود یک تهدید نیست اما به طور بالقوه میتواند یک سیستم را با تهدید مواجه کند به عبارت دقیق تر سیاست امنیتی یک سیستم را میتواند خدشه دار و با خطر روبرو بکند. برای مثال فرض کنیم در یک سیستم نرم افزاری باگ یا خطایی وجود دارد که با استفاده از آن خطا شخص یا اشخاصی میتوانند عملکرد آن سیستم نرم افزاری را مختل بکنند.
فرض کنیم شما کلمه عبور حساب ایمیل خود را ‘123456’ گذشته اید پس کسی که بخواهد به میل باکس شما دسترسی پیدا کند خیلی راحت میتواند آن را حدس بزند و اطلاعات محرمانه شما را برباید. همان طور که میبینید این کلمه عبور ضعیف برای شما یک تهدید نیست و اتفاق بدی برای اطلاعات محرمانه شما رخ نمیدهد ولی یک خطر بالقوه است هنگامی که کسی از آن سو استفاده کند این تهدید پذیری میتواند به یک تهدید تبدیل میشود. در تصویر زیر جان انسان از جنس دارایی، تعادل از جنس آسیب پذیری و حملات تمساح ها از جنس تهدید بالقوه است. ولی تا زمانی که آسیب پذیری موجب حادثه امنیتی نشده است تهدید تمساح ها بالفعل نمی شود.
تهدید (Threat)
تهدید که مؤلفه کامل کننده تهدید پذیری است از سوی دیگر وجود احتمالی فرد یا فرآیندی است که میتواند با استفاده از یک تهدیدپذیری تحت شرایط خاص سیستم یا سیاست امنیتی یک سیستم را خدشه دار بکند و به آن آسیب برساند. برای مثال احتمال ورود یک کاربر غیر مجاز به یک سیستم بدون کلمه عبور و دسترسی به اطلاعات محرمانه آن سیستم یک تهدید برای سیستم و سیاست های امنیتی آن به حساب میآید همان طور که اشاره شد نداشتن رمز عبور برای آن سیستم یک تهدید پذیری است در حالیکه استفاده یک کاربر غیرمجاز از این تهدید پذیری و دسترسی به اطلاعات محرمانه یک تهدید محسوب میشود.
تفاوت آسیب پذیری و تهدید
منشا آسیب پذیری داخل سیستم بوده و منشا تهدید خارج از سیستم است و دارایی ها رو مورد هدف قرار میدهد.
مخاطره (Risk)
ریسک یک کمیت از نوع احتمال و درضد است. منظور از مخاطره این است که انتظار داشته باشیم آسیب و یا اختلالی در کارکرد یک سیستم رخ دهد زمانی یک تهدید از تهدیدپذیری یک سیستم استفاده میکند و یک نتیجه زیان بار به بار میآورد. مخاطره یک مرحله پس از تهدید و تهدید یک مرحله بعد از تهدید پذیری روی میدهد. پیرو مثال پیش یک کاربر غیرمجاز به اطلاعات محرمانه یک سیستم بدون رمز عبور دسترسی پیدا کند و آن اطلاعات را میدزدد یا از بین میبرد یا به آن ها آسیب میرساند و یا در اختیار رقبای سازمان قرار میدهد این اتفاق یک مخاطره (Risk) به حساب میآید و برای آن شرکت صدمات مالی یا غیرمالی میتواند به همراه داشته باشد.
مدیریت مخاطره یا مدیریت ریسک (Risk Management)
مدیریت مخاطره هدف غایی و برنامه نهایی ما برای کنترل خطرات و ریسک موجود در سیستم است. در مدیریت مخاطره اولین گام شناسایی و تحلیل خطرهای احتمالی و تهدیدپذیری یک سیستم جهت کارکرد بهتر سیستم از لحاظ امنیتی است.
تحلیل ریسک رابطه بین جدیت خطر، احتمال تکرار آن، همچنین هزینه پیاده سازی یک راه حل برای حفاظت از آن خطر یا تهدیدپذیری را بررسی میکند.
جدیت خطر بر اساس هزینه مورد نیاز برای بازیابی از آن در صورت موفقیت یک حمله اندازه گیری میشود. مثال؛ فرض کنیم اطلاعات ما روی یک سرور قرار دارد و اگر این خطر وجود داشته باشد که حمله کنندهای به این سرور دسترسی پیدا بکند و بتواند اطلاعات آن را نابود کند و ما هیچ جای دیگر به این اطلاعات دسترسی نداشته باشیم میتوان گفت جدیت این خطر بسیار زیاد است.
با افزایش جدیت و احتمال وقوع خطر سطح مخاطره آن خطر افزایش مییابد. بنابر این برای خطری که خیلی جدی است به این معنی که هزینه بازیابی از آن در صورت حمله موفقیت آمیز بالا باشد و احتمال وقوع بالایی دارد یعنی احتمال حمله در هر لحظه وجود دارد سطح مخاطره بسیار بالا و 9 است و ما باید در مدیریت مخاطره باید به عنوان بالاترین اولویت برای این خطر برنامه ریزی داشته باشیم. جدول 1-1
جدیت |
احتمال وقوع |
|||
|
به ندرت |
بعضی اوقات |
غالبا |
|
کم اهمیت |
1 |
2 |
3 |
|
جدی |
4 |
5 |
6 |
|
خیلی جدی |
7 |
8 |
9 |
جدول 1-1 (سطوح مخاطره)
فرآیند شناسایی مخاطرات، اولویت بندی آن ها بر اساس هزینه مورد نیاز برای بازیابی سیستم در صورت وقوع خطر و همچنین شناسایی و پیاده سازی راه کارهایی برای کاهش این مخاطرات را مدیریت مخاطره مینامند.
هنگامی که مستندات و برنامه مدیریت مخاطره را تنظیم میکنیم باید به این نکته توجه داشته باشیم که فناوری اطلاعات و ارتباطات[1] و همچنین بسیاری از تکنولوژی های روی اینترنت دائما در حال تغییر است از تکنولوژی های ارتباطی، شبکه و تکنولوژی های پیاده سازی نرم افزاری گرفته تا روش ها و الگوریتم های امنیتی و حتی سخت افزارهایی که استفاده میشود. بنابر این ما روز به روز با مخاطرات جدید روبرو هستیم و این تحلیل و مدیریت مخاطرات باید دائما متناسب با این تغییرات به روز رسانی گردد و ملاحظات جدید برای امن کردن سیستمی که داریم در نظر گرفته شود.
[1] ICT
آدرس کانال تلگرام سایت بیگ دیتا:
آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel
جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.
جهت ثبت نام در دوره های آموزشی بر روی اینجا کلیک کنید.
بازدیدها: 9321
برچسبRisk Threat Vulnerability آسیب پذیری تفاوت آسیب پذیری و تهدید تفاوت آسیب پذیری یا تهدید پذیری تفاوت آسیب پذیری یا تهدید پذیری و تهدید و ریسک تهدید تهدید و ریسک ریسک مخاطره مدیریت ریسک
همچنین ببینید
بررسی معیارهای مرکزیت (Centrality) در تحلیل شبکه های اجتماعی
معیارهای مرکزیت (centrality) نحوه اتصال یک نود به نودهای دیگر در یک شبکه اجتماعی میتواند …