A palavra “ameaça” é frequentemente confundida (ou usada como sinônimo) com as palavras “risco” e “vulnerabilidade”.
São termos muitas vezes inter-relacionados, mas não significam a mesma coisa. Em Segurança de Aplicações (AppSec), é importante diferenciar entre ameaça, vulnerabilidade e risco.
Entender a diferença pode te ajudar a compreender o verdadeiro risco para a sua aplicação e negócio.
O que é vulnerabilidade?
Pode ser representada por uma falha ou fraqueza:
• No design do sistema;
• Nos procedimentos de segurança;
• Em controles internos;
• No próprio código da aplicação;
• Em pacotes de terceiros, etc.
Podendo ser explorada por criminosos cibernéticos.
O que é ameaça?
De modo geral, é a circunstância ou evento com potencial para impactar negativamente o sistema via a exploração por qualquer agente através de uma vulnerabilidade
O que é risco?
É a intersecção de ativos, ameaças e vulnerabilidades.
Ou seja:
Ativo + Ameaça + Vulnerabilidade = Risco.
Logo, é o potencial de perda, dano ou destruição de um ativo quando uma ameaça é explorada por conta de uma vulnerabilidade.
Classificação de Risco
A OWASP possui o seguinte modelo padrão para classificação de risco:
Risco = Probabilidade * Impacto
Através de dados sobre o agente de ameaça, tipo de ataque, vulnerabilidade envolvida e o impacto nos negócios.
Observando a gravidade geral de um risco com um exemplo da OWASP:
A probabilidade é “média” e o impacto técnico é “alto”, portanto, de uma perspectiva puramente técnica, parece que a gravidade geral é “alta”. No entanto, observe que o impacto nos negócios é realmente “baixo”, com isso, a gravidade geral é descrita como “baixa”. Nesse sentido, entender o contexto das vulnerabilidades que você está avaliando é essencial para tomar boas decisões de risco.
Compreender essas diferenças é o primeiro passo para alcançar uma abordagem de gerenciamento de vulnerabilidade mais eficiente e uma cultura alinhada ao gerenciamento e redução de risco.
Leia mais sobre:
