威胁、威胁行动者、漏洞和风险之间的区别
围绕威胁建模的语言存在着无休止的争论,在此讨论这些术语的定义——特别是围绕威胁与风险、威胁与威胁执行者之间的区别。
一、威胁(Threats)
威胁是一种消极的事件,它会导致不希望出现的结果,比如对资产的损坏或损失。威胁可以使用——或者因为系统中的漏洞而变得更危险。
在通常的用法中,单词Threat(在不同的上下文中)可以与Attack和Threat Actor互换使用,通常用来代替Danger。
1.1例子
常见的威胁包括:
(1)一个激进分子试图从你的网站窃取数据
(2)数据中心起火
(3)管理员不小心关闭了您的网站AWS实例
(4)洪水袭击了你的总部
(5)内部人士试图将你的公司机密卖给竞争对手
它是一些负面的东西,比如一个事件或袭击,给你带来了危险,我们想要避免。
二、威胁行动者(Threat Actors)
一旦我们知道了什么是威胁,就很容易看出什么是行动者的威胁。他们只是启动给定场景的人、参与者、实体或组织。
这通常是为人工驱动的场景保留的,例如黑客尝试。例如,当事件是洪水或地震时,谈论威胁行动者通常是没有意义的。
2.1例子
常见的威胁行动者包括:
(1)黑客行为主义者
(2)网络犯罪
(3)不满的业内人士
(4)国家
(5)粗心的员工
(6)自然
三、漏洞(Vulnerabilities)
漏洞只是系统中的弱点,不像其他术语那样容易混淆。漏洞使威胁成为可能和/或更重要。
3.1例子
常见的漏洞包括:
(1)缺乏适当的访问控制
(2)跨站点脚本(XSS)
(3)SQL注入
(4)敏感数据的明文传输
(5)未能检查对敏感资源的授权
(6)未能加密处于静止状态的敏感数据
脆弱性是指威胁行为者利用弱点来做他们想做的事情。
四、风险(Risks)
人们最常把风险和威胁混为一谈,但它们在一个关键方面是不同的。
风险,简单地说,就是一件坏事发生的可能性,以及它发生后的糟糕程度。
让我们把它拆开——这是一件坏事发生的机会……以及它发生后的糟糕程度。它本质上是概率和影响的组合,事实上最常见的风险方程如下:
risk=probability x impact
造成威胁和风险混淆的原因是,大多数人将这两个术语交替地用作场景的替代,而不理解它们之间的区别,例如:
我们需要防范这些风险。
…或…
我们需要防范这些威胁。
都是一样的……
我们需要防范这些情况。
确实,这两个词都指的是情景:不同之处在于威胁本身就是一个负面事件,而风险则是与可能性和影响相结合的负面事件。
五、总结
(1)威胁是你想要避免的消极情况
(2)威胁行为者是使威胁发生的代理人
(3)漏洞是一种可以被利用来攻击你的弱点
(4)风险是一种你想要避免的负面情景,同时还有它的可能性和影响
(5)威胁和风险的区别在于,威胁本身是一个消极的事件,而风险则是一个消极的事件加上它的可能性和它的影响