DEV Community

Cover image for Qual a diferença entre Vulnerabilidade, Ameaça e Risco?
Gabriel Galdino
Gabriel Galdino

Posted on

Qual a diferença entre Vulnerabilidade, Ameaça e Risco?

A palavra “ameaça” é frequentemente confundida (ou usada como sinônimo) com as palavras “risco” e “vulnerabilidade”.

São termos muitas vezes inter-relacionados, mas não significam a mesma coisa. Em Segurança de Aplicações (AppSec), é importante diferenciar entre ameaça, vulnerabilidade e risco.

Entender a diferença pode te ajudar a compreender o verdadeiro risco para a sua aplicação e negócio.

O que é vulnerabilidade?
Pode ser representada por uma falha ou fraqueza:
• No design do sistema;
• Nos procedimentos de segurança;
• Em controles internos;
• No próprio código da aplicação;
• Em pacotes de terceiros, etc.

Podendo ser explorada por criminosos cibernéticos.

O que é ameaça?
De modo geral, é a circunstância ou evento com potencial para impactar negativamente o sistema via a exploração por qualquer agente através de uma vulnerabilidade

O que é risco?
É a intersecção de ativos, ameaças e vulnerabilidades.
Ou seja:

Ativo + Ameaça + Vulnerabilidade = Risco.

Logo, é o potencial de perda, dano ou destruição de um ativo quando uma ameaça é explorada por conta de uma vulnerabilidade.

Classificação de Risco
A OWASP possui o seguinte modelo padrão para classificação de risco:

Risco = Probabilidade * Impacto

Através de dados sobre o agente de ameaça, tipo de ataque, vulnerabilidade envolvida e o impacto nos negócios.

Observando a gravidade geral de um risco com um exemplo da OWASP:

Image description

A probabilidade é "média" e o impacto técnico é "alto", portanto, de uma perspectiva puramente técnica, parece que a gravidade geral é "alta". No entanto, observe que o impacto nos negócios é realmente "baixo", com isso, a gravidade geral é descrita como "baixa". Nesse sentido, entender o contexto das vulnerabilidades que você está avaliando é essencial para tomar boas decisões de risco.

Compreender essas diferenças é o primeiro passo para alcançar uma abordagem de gerenciamento de vulnerabilidade mais eficiente e uma cultura alinhada ao gerenciamento e redução de risco.

Leia mais sobre: https://bit.ly/3OVTR5d

Top comments (0)