威脅，漏洞和風險之間有什么區別

信息安全等級高級測評師 CISP-PTE

最佳答案

在閑談時，威脅、漏洞和風險經常被討論。但是，這三種情況截然不同。威脅代表著可能發生的事情。漏洞表明系統存在攻擊者可以利用的固有弱點。風險揭示了經營企業所固有的潛在危害。網絡安全、風險管理和安全計劃都圍繞著幫助緩解威脅、漏洞和風險。網絡罪犯經常利用不完整的程序來成功攻擊組織。

威脅

大多數組織都會在可信威脅發生之前采取行動。通過了解以前發生的情況，可以計劃應對自然威脅。例如洪水、龍卷風或地震。另一方面，旨在破壞數據和中斷運營的威脅因素是組織試圖首先防御的兩個主要問題。安全程序是專門構建的，旨在通過防御“假設”情景來應對安全威脅。潛在威脅的一個很好的例子是惡意軟件、勒索軟件和病毒。攻擊者通常專注于徹底破壞資產、分布式拒絕服務(DDoS)或社會工程來實現他們的目標。許多組織投資于網絡威脅評估，以更好地了解在哪里投資檢測、預防和補救工作。

漏洞

無論品牌、型號或版本如何，系統中都存在漏洞。漏洞一詞暴露了硬件和軟件方面的潛在弱點。在應用程序中，制造商通常可以修補該漏洞，以強化和防止利用該漏洞。未經授權的訪問可能是有人利用漏洞的一個例子。系統應該只允許授權訪問，如果未經授權的人被授予訪問權限，則會違反IT安全并繞過訪問控制。

風險

當談到風險時，組織正在關注可能對系統和整個業務造成潛在危害的因素。易受IT風險影響的幾個系統示例包括網絡釣魚攻擊、操作系統和敏感數據。組織不遺余力地減輕、轉移、接受和避免風險。風險評估通常是降低安全風險的第一道防線。為了更好地為不可避免的風險做好準備，有必要進行評估，以確定攻擊面的基線。組織應該投資于風險管理計劃，以便更好地了解如何衡量風險。在計算可以減輕或避免的風險時，業務和安全領導從根本上試圖解決真正的風險。

結論

威脅、漏洞和風險各不相同。組織在這三個方面都花費了大量資源，許多人不了解它們之間的區別。威脅通常涉及旨在銷毀數據、造成傷害或中斷操作的惡意行為。在網絡安全中，威脅通常由勒索軟件、病毒、拒絕服務攻擊和數據泄露組成。漏洞是系統中的缺陷，使其容易受到潛在的攻擊。漏洞背后的主要問題與使系統面臨威脅的弱點有關。風險表示與組織內的系統和系統使用相關的潛在危害。在網絡安全方面，威脅、漏洞和風險各不相同，往往相互關聯。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論

回答數量: 2

delay

66 聲望

高級測評師 CISM-WSE

威脅是你想要避免的消極情況，漏洞是一種可以被利用來攻擊你的弱點，風險是一種你想要避免的負面情景，同時還有它的可能性和影響，威脅和風險的區別在于，威脅本身是一個消極的事件，而風險則是一個消極的事件加上它的可能性和它的影響。

從定義講，威脅、漏洞和風險的區別主要為：

威脅是一種消極的事件，它會導致不希望出現的結果，比如對資產的損壞或損失。威脅可以使用——或者因為系統中的漏洞而變得更危險。

網絡威脅是由威脅行為者實施的。威脅行動者通常指可能發起威脅的人或實體。雖然自然災害和其他環境和政治事件確實構成威脅，但它們通常不被認為是威脅行為者(這并不意味著這些威脅應該被忽視或不那么重要)。

常見的威脅因素包括:財務上有動機的犯罪分子(網絡罪犯)、有政治動機的活動人士(黑客組織)、競爭對手、粗心的雇員、心懷不滿的雇員以及民族國家的攻擊者。

漏洞只是系統中的弱點，不像其他術語那樣容易混淆。漏洞使威脅成為可能和/或更重要。

漏洞僅僅是指系統中的弱點。漏洞使威脅成為可能，甚至可能更危險。例如，一個系統可以通過單一的漏洞來開發，例如，一個SQL注入漏洞可以為攻擊者提供對敏感數據的完全控制，或者，攻擊者可以將多個漏洞鏈接在一起，利用多個漏洞來開發一個系統。

常見的漏洞包括跨站點腳本、SQL注入、服務器錯誤配置、純文本傳輸的敏感數據，以及使用已知漏洞的軟件包。

人們最常把風險和威脅混為一談，但它們在一個關鍵方面是不同的。風險，簡單地說，就是一件壞事發生的可能性，以及它發生后的糟糕程度。讓我們把它拆開——這是一件壞事發生的機會……以及它發生后的糟糕程度。它本質上是概率和影響的組合。

風險是一種應該避免的情況，并結合由此導致的可能損失。

總之，威脅是你想要避免的消極情況，漏洞是一種可以被利用來攻擊你的弱點，風險是一種你想要避免的負面情景，同時還有它的可能性和影響，威脅和風險的區別在于，威脅本身是一個消極的事件，而風險則是一個消極的事件加上它的可能性和它的影響。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論