DEV Community

Cover image for Qual a diferença entre Vulnerabilidade, Ameaça e Risco?
Gabriel Galdino
Gabriel Galdino

Posted on

12 1

Qual a diferença entre Vulnerabilidade, Ameaça e Risco?

A palavra “ameaça” é frequentemente confundida (ou usada como sinônimo) com as palavras “risco” e “vulnerabilidade”.

São termos muitas vezes inter-relacionados, mas não significam a mesma coisa. Em Segurança de Aplicações (AppSec), é importante diferenciar entre ameaça, vulnerabilidade e risco.

Entender a diferença pode te ajudar a compreender o verdadeiro risco para a sua aplicação e negócio.

O que é vulnerabilidade?
Pode ser representada por uma falha ou fraqueza:
• No design do sistema;
• Nos procedimentos de segurança;
• Em controles internos;
• No próprio código da aplicação;
• Em pacotes de terceiros, etc.

Podendo ser explorada por criminosos cibernéticos.

O que é ameaça?
De modo geral, é a circunstância ou evento com potencial para impactar negativamente o sistema via a exploração por qualquer agente através de uma vulnerabilidade

O que é risco?
É a intersecção de ativos, ameaças e vulnerabilidades.
Ou seja:

Ativo + Ameaça + Vulnerabilidade = Risco.

Logo, é o potencial de perda, dano ou destruição de um ativo quando uma ameaça é explorada por conta de uma vulnerabilidade.

Classificação de Risco
A OWASP possui o seguinte modelo padrão para classificação de risco:

Risco = Probabilidade * Impacto

Através de dados sobre o agente de ameaça, tipo de ataque, vulnerabilidade envolvida e o impacto nos negócios.

Observando a gravidade geral de um risco com um exemplo da OWASP:

Image description

A probabilidade é "média" e o impacto técnico é "alto", portanto, de uma perspectiva puramente técnica, parece que a gravidade geral é "alta". No entanto, observe que o impacto nos negócios é realmente "baixo", com isso, a gravidade geral é descrita como "baixa". Nesse sentido, entender o contexto das vulnerabilidades que você está avaliando é essencial para tomar boas decisões de risco.

Compreender essas diferenças é o primeiro passo para alcançar uma abordagem de gerenciamento de vulnerabilidade mais eficiente e uma cultura alinhada ao gerenciamento e redução de risco.

Leia mais sobre: https://bit.ly/3OVTR5d

Image of Timescale

🚀 pgai Vectorizer: SQLAlchemy and LiteLLM Make Vector Search Simple

We built pgai Vectorizer to simplify embedding management for AI applications—without needing a separate database or complex infrastructure. Since launch, developers have created over 3,000 vectorizers on Timescale Cloud, with many more self-hosted.

Read more

Top comments (0)

Billboard image

The Next Generation Developer Platform

Coherence is the first Platform-as-a-Service you can control. Unlike "black-box" platforms that are opinionated about the infra you can deploy, Coherence is powered by CNC, the open-source IaC framework, which offers limitless customization.

Learn more

👋 Kindness is contagious

Please leave a ❤️ or a friendly comment on this post if you found it helpful!

Okay