Vulnerabilitate (securitatea informației)

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.^[1] Pentru a exploata vulnerabilitatea, atacatorul trebuie să dispună de cel puțin o unealtă aplicabilă sau tehnică pentru a se conecta la slăbiciunea unui sistem. În acest context, vulnerabilitatea este de asemenea cunoscută ca suprafață de atac.

Definiții

ISO 27005 definește vulnerabilitatea ca:

O slăbiciune a unui bun sau a unui grup de bunuri, ce poate fi exploatată de una sau mai multe amenințări

Exemple de vulnerabilități

Vulnerabilitățile exploatate sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor și pot fi clasificate în următoarele categorii:

Vulnerabilitate de proiectare - o eroare care apare în faza de concepție, și pe care chiar o implementare ulterioară perfectă nu o va înlătura
Vulnerabilitate de implementare - apare ca urmare a fazei de punere în practică a proiectului.
Vulnerabilitate de configurare - apare ca urmare a erorilor făcute în configurarea sistemelor, cum ar fi folosirea codurilor de acces implicite sau a drepturilor de scriere a fișierelor cu parole.

De asemenea, vulnerabilitățile sunt asociate cu:

mediul fizic al sistemului
personalul
conducerea
administrarea procedurilor și a măsurilor de securitate în cadrul unei organizații
activitatea afacerii și livrarea serviciilor
hardware
software
echipamentul de comunicații și facilitățile
combinații între acestea.

Este evident că o abordare pur tehnică nu poate proteja nici bunurile fizice: este nevoie de o procedură administrativă pentru a permite accesul personalului de întreținere la diverse facilități și de oameni cu o cunoaștere adecvată a procedurilor, motivați să le urmeze cu atenție.

Referințe

^ „The Three Tenents of Cyber Security”. U.S. Air Force Software Protection Initiative. Arhivat din original la 5 iunie 2009. Accesat în 15 decembrie 2009.