DEV Community

Cover image for Qual a diferença entre Vulnerabilidade, Ameaça e Risco?
Gabriel Galdino
Gabriel Galdino

Posted on

12 1

Qual a diferença entre Vulnerabilidade, Ameaça e Risco?

A palavra “ameaça” é frequentemente confundida (ou usada como sinônimo) com as palavras “risco” e “vulnerabilidade”.

São termos muitas vezes inter-relacionados, mas não significam a mesma coisa. Em Segurança de Aplicações (AppSec), é importante diferenciar entre ameaça, vulnerabilidade e risco.

Entender a diferença pode te ajudar a compreender o verdadeiro risco para a sua aplicação e negócio.

O que é vulnerabilidade?
Pode ser representada por uma falha ou fraqueza:
• No design do sistema;
• Nos procedimentos de segurança;
• Em controles internos;
• No próprio código da aplicação;
• Em pacotes de terceiros, etc.

Podendo ser explorada por criminosos cibernéticos.

O que é ameaça?
De modo geral, é a circunstância ou evento com potencial para impactar negativamente o sistema via a exploração por qualquer agente através de uma vulnerabilidade

O que é risco?
É a intersecção de ativos, ameaças e vulnerabilidades.
Ou seja:

Ativo + Ameaça + Vulnerabilidade = Risco.

Logo, é o potencial de perda, dano ou destruição de um ativo quando uma ameaça é explorada por conta de uma vulnerabilidade.

Classificação de Risco
A OWASP possui o seguinte modelo padrão para classificação de risco:

Risco = Probabilidade * Impacto

Através de dados sobre o agente de ameaça, tipo de ataque, vulnerabilidade envolvida e o impacto nos negócios.

Observando a gravidade geral de um risco com um exemplo da OWASP:

Image description

A probabilidade é "média" e o impacto técnico é "alto", portanto, de uma perspectiva puramente técnica, parece que a gravidade geral é "alta". No entanto, observe que o impacto nos negócios é realmente "baixo", com isso, a gravidade geral é descrita como "baixa". Nesse sentido, entender o contexto das vulnerabilidades que você está avaliando é essencial para tomar boas decisões de risco.

Compreender essas diferenças é o primeiro passo para alcançar uma abordagem de gerenciamento de vulnerabilidade mais eficiente e uma cultura alinhada ao gerenciamento e redução de risco.

Leia mais sobre: https://bit.ly/3OVTR5d

AWS GenAI LIVE image

Real challenges. Real solutions. Real talk.

From technical discussions to philosophical debates, AWS and AWS Partners examine the impact and evolution of gen AI.

Learn more

Top comments (0)

AWS GenAI LIVE image

Real challenges. Real solutions. Real talk.

From technical discussions to philosophical debates, AWS and AWS Partners examine the impact and evolution of gen AI.

Learn more

👋 Kindness is contagious

Please leave a ❤️ or a friendly comment on this post if you found it helpful!

Okay