威胁、威胁行动者、漏洞和风险之间的区别

围绕威胁建模的语言存在着无休止的争论，在此讨论这些术语的定义——特别是围绕威胁与风险、威胁与威胁执行者之间的区别。

一、威胁（Threats）

威胁是一种消极的事件，它会导致不希望出现的结果，比如对资产的损坏或损失。威胁可以使用——或者因为系统中的漏洞而变得更危险。

在通常的用法中，单词Threat(在不同的上下文中)可以与Attack和Threat Actor互换使用，通常用来代替Danger。

1.1例子

常见的威胁包括:

（1）一个激进分子试图从你的网站窃取数据

（2）数据中心起火

（3）管理员不小心关闭了您的网站AWS实例

（4）洪水袭击了你的总部

（5）内部人士试图将你的公司机密卖给竞争对手

它是一些负面的东西，比如一个事件或袭击，给你带来了危险，我们想要避免。

二、威胁行动者（Threat Actors）

一旦我们知道了什么是威胁，就很容易看出什么是行动者的威胁。他们只是启动给定场景的人、参与者、实体或组织。

这通常是为人工驱动的场景保留的，例如黑客尝试。例如，当事件是洪水或地震时，谈论威胁行动者通常是没有意义的。

2.1例子

常见的威胁行动者包括:

（1）黑客行为主义者

（2）网络犯罪

（3）不满的业内人士

（4）国家

（5）粗心的员工

（6）自然

三、漏洞（Vulnerabilities）

漏洞只是系统中的弱点，不像其他术语那样容易混淆。漏洞使威胁成为可能和/或更重要。

3.1例子

常见的漏洞包括:

（1）缺乏适当的访问控制

（2）跨站点脚本(XSS)

（3）SQL注入

（4）敏感数据的明文传输

（5）未能检查对敏感资源的授权

（6）未能加密处于静止状态的敏感数据

脆弱性是指威胁行为者利用弱点来做他们想做的事情。

四、风险（Risks）

人们最常把风险和威胁混为一谈，但它们在一个关键方面是不同的。

风险，简单地说，就是一件坏事发生的可能性，以及它发生后的糟糕程度。

让我们把它拆开——这是一件坏事发生的机会……以及它发生后的糟糕程度。它本质上是概率和影响的组合，事实上最常见的风险方程如下:

risk=probability x impact

造成威胁和风险混淆的原因是，大多数人将这两个术语交替地用作场景的替代，而不理解它们之间的区别，例如:

我们需要防范这些风险。

…或…

我们需要防范这些威胁。

都是一样的……

我们需要防范这些情况。

确实，这两个词都指的是情景:不同之处在于威胁本身就是一个负面事件，而风险则是与可能性和影响相结合的负面事件。

五、总结

（1）威胁是你想要避免的消极情况

（2）威胁行为者是使威胁发生的代理人

（3）漏洞是一种可以被利用来攻击你的弱点

（4）风险是一种你想要避免的负面情景，同时还有它的可能性和影响

（5）威胁和风险的区别在于，威胁本身是一个消极的事件，而风险则是一个消极的事件加上它的可能性和它的影响