Kyberuhkien, -haavoittuvuuksien ja -riskien kaltaisia termejä käytetään usein vaihdellen ja sekaisin. Tässä kirjoituksessa pyritään määrittelemään kukin termi, korostamaan, miten ne eroavat toisistaan, ja osoittamaan, miten ne liittyvät toisiinsa.
Kyberuhat
Kyberuhat tai yksinkertaisesti uhat viittaavat kyberturvallisuuteen liittyviin olosuhteisiin tai tapahtumiin, joiden lopputulos voi aiheuttaa vahinkoa. Muutamia esimerkkejä yleisistä uhkista ovat esimerkiksi sosiaalinen manipulointi- tai phishing-hyökkäys, joka johtaa siihen, että hyökkääjä asentaa troijalaisen ja varastaa yksityisiä tietoja sovelluksistasi, poliittiset aktivistit hyökkäävät DDoS-hyökkäyksellä verkkosivuillesi, järjestelmänvalvoja jättää vahingossa tietoja suojaamatta tuotantojärjestelmässä, mikä aiheuttaa tietomurron, tai myrsky tulvii Internet-palveluntarjoajasi datakeskukseen.
Kyberturvauhkia toteuttavat uhkatoimijat. Uhkatoimijoilla viitataan yleensä henkilöihin tai yhteisöihin, jotka voivat mahdollisesti käynnistää uhan. Vaikka luonnonkatastrofit sekä muut ympäristöön liittyvät ja poliittiset tapahtumat muodostavat uhkia, niitä ei yleensä pidetä uhkatoimijoina (tämä ei tarkoita sitä, että tällaiset uhat olisi jätettävä huomiotta tai niille olisi annettava vähemmän merkitystä). Esimerkkejä yleisistä uhkatoimijoista ovat taloudellisesti motivoituneet rikolliset (kyberrikolliset), poliittisesti motivoituneet aktivistit (hacktivistit), kilpailijat, huolimattomat työntekijät, tyytymättömät työntekijät ja kansallisvaltioiden hyökkääjät.
Kyberuhkista voi myös tulla vaarallisempia, jos uhkatoimijat käyttävät hyväkseen yhtä tai useampaa haavoittuvuutta päästäkseen käsiksi järjestelmään, usein myös käyttöjärjestelmään.
Haavoittuvuudet
Haavoittuvuuksilla viitataan yksinkertaisesti järjestelmässä esiintyviin heikkouksiin. Ne tekevät uhkatuloksista mahdollisia ja mahdollisesti entistä vaarallisempia. Järjestelmää voidaan käyttää hyväksi yksittäisen haavoittuvuuden kautta, esimerkiksi yksittäinen SQL Injection -hyökkäys voi antaa hyökkääjälle täyden hallinnan arkaluonteisiin tietoihin. Hyökkääjä voi myös ketjuttaa useita haavoittuvuuksia toisiinsa, jolloin hän voi hyödyntää useampaa kuin yhtä haavoittuvuutta saadakseen enemmän hallintaa.
Yleisiä haavoittuvuuksia ovat esimerkiksi SQL-injektiot, Cross-site Scripting, palvelimen vääränlaiset konfiguroinnit, arkaluonteiset tiedot, jotka siirretään pelkällä tekstillä, ja niin edelleen.
Riskit
Riskit sekoitetaan yleensä uhkiin. Näiden kahden välillä on kuitenkin hienoinen ero. Kyberturvallisuusriskillä tarkoitetaan uhan todennäköisyyden ja tappion/vaikutuksen yhdistelmää (yleensä rahassa ilmaistuna, mutta tietoturvaloukkauksen kvantifiointi on äärimmäisen vaikeaa). Pohjimmiltaan tämä tarkoittaa seuraavaa:
risk = threat probability * potential loss
Riski on siis skenaario, jota tulisi välttää, yhdistettynä siitä todennäköisesti aiheutuviin tappioihin. Seuraavassa on hypoteettinen esimerkki siitä, miten riskit voidaan rakentaa:
- SQL-injektio on haavoittuvuus
- Arkaluontoisten tietojen varastaminen on yksi suurimmista uhkista, jonka SQL-injektio mahdollistaa
- Rahoituksellisesti motivoituneet hyökkääjät ovat yksi uhkatoimijoista
- Arkaluontoisten tietojen varastamisen vaikutukset aiheuttavat yritykselle huomattavia taloudellisia kuluja (taloudellisia ja maineeseen liittyviä menetyksiä)
- Tällaisen hyökkäyksen todennäköisyys on suuri, kun otetaan huomioon, että SQL Injection -haavoittuvuus on helppokäyttöinen ja laajalti hyödynnetty haavoittuvuus ja että sivusto on suunnattu ulospäin
Sen vuoksi SQL Injection -haavoittuvuutta tässä skenaariossa olisi käsiteltävä korkean riskin haavoittuvuutena.
Haavoittuvuuden ja kyberuhan sekä haavoittuvuuden ja riskin välinen ero on yleensä helppo ymmärtää. Uhkan ja riskin välinen ero voi kuitenkin olla vivahteikkaampi. Tämän terminologisen eron ymmärtäminen mahdollistaa selkeämmän viestinnän tietoturvaryhmien ja muiden osapuolten välillä sekä paremman ymmärryksen siitä, miten uhat vaikuttavat riskeihin. Tämä puolestaan voi auttaa ehkäisemään ja lieventämään tietoturvaloukkauksia. Esimerkiksi järjestelmänvalvoja jättää vahingossa tietoja suojaamatta tuotantojärjestelmään.
Lue, mitä mahdollisia seurauksia tietojen jättämisestä alttiiksi voi olla.
Haavoittuvuuksilla tarkoitetaan yksinkertaisesti järjestelmän heikkouksia. Ne tekevät uhkatuloksista mahdollisia ja mahdollisesti jopa vaarallisempia. Esimerkkejä haavoittuvuuksista ovat SQL-injektiot, cross-site scripting (XSS) ja muut.
Katso, mitä haavoittuvuuksia Acunetix voi löytää sinulle.
Riskillä tarkoitetaan uhan todennäköisyyden ja tappion/vaikutuksen yhdistelmää. Esimerkiksi SQL-injektiohaavoittuvuudessa on arkaluonteisten tietojen varastamisen uhka. Mahdollinen vaikutus on merkittävä taloudellinen ja maineen menetys, ja hyökkäyksen todennäköisyys on suuri. Siksi kyseessä on korkean riskin tilanne.
Näe, miten SQL-injektio voi johtaa täydelliseen järjestelmän vaarantumiseen.
Aluksi Acunetix etsii haavoittuvuudet puolestasi: verkko-haavoittuvuudet, virheelliset konfiguraatiot, heikot salasanat ja muut mahdolliset heikkoudet verkkoresursseissasi. Se kuvaa kuitenkin myös mahdollisia uhkia ja arvioi riskit automaattisesti. Acunetix on täydellinen web-haavoittuvuuksien arviointi- ja hallintatyökalu.
Katso, mitä Acunetix Premium voi tehdä puolestasi.
Tulee uusin web-tietoturva-aiheinen sisältö viikoittain postilaatikkoosi.