Портал №1 по управлению цифровыми
и информационными технологиями

Бесплатная экспертная база знаний по управлению ИТ

Перейти к полной базе знаний Перейти к полному глоссарию
 
Уязвимость
 
Слабость, которая может быть использована угрозой. Например, открытый порт межсетевого экрана, пароль, который никогда не меняется, или легко воспламеняющееся ковровое покрытие. Отсутствующий контроль также считается уязвимостью.
Answer
Оригинальный английский термин
vulnerability
Answer
Подробности
Уязвимость в ITSM — это любая слабость в услуге, продукте, процессе, конфигурации, среде или поведении людей, которая позволяет реализоваться угрозе и привести к негативному результату для организации. На практике уязвимости выявляются и управляются как часть управления информационной безопасностью и управления рисками: их обнаруживают (сканирование, аудит, анализ конфигураций, результаты инцидентов), оценивают по вероятности и влиянию, назначают владельцев, планируют устранение и отслеживают выполнение до закрытия. Уязвимость может быть технической (ошибка в компоненте, небезопасные настройки), организационной (неопределённые роли, отсутствие процедуры), или связанной с людьми (низкая осведомлённость, слабая дисциплина паролей). Часто уязвимость превращается в конкретные работы через изменение, а временно снижают риск обходным решением или дополнительным контролем. При этом термин не описывает саму угрозу и не равен реализованному событию: наличие уязвимости ещё не означает, что атака или сбой произошли.
Answer
Нюансы
Уязвимость часто путают с угрозой и риском. Угроза — это потенциальный источник вреда (например, злоумышленник или вредоносное ПО), уязвимость — «слабое место», которое может быть использовано, а риск — сочетание вероятности и воздействия, учитывающее и угрозы, и уязвимости. Ещё одна частая ошибка — считать уязвимостью только дефект в ПО; на деле уязвимостью может быть отсутствие контроля, например, отсутствие многофакторной аутентификации, неограниченные права, отсутствие мониторинга или неполная сегментация сети. В операционной работе встречается подмена понятий: обнаруженная уязвимость воспринимается как инцидент. Инцидент возникает, когда слабость уже привела к нарушению или ухудшению услуги, тогда как уязвимость может существовать незаметно. Также ошибочно закрывать уязвимость формально, не проверив результат: устранение должно подтверждаться повторной валидацией (сканированием, тестом, аудитом). Наконец, важно не сводить работу к «поставить патч»: иногда первопричина — некорректная конфигурация, слабая процедура управления изменениями или отсутствие необходимого контроля, и без исправления этих аспектов уязвимость будет воспроизводиться.
Answer
Примеры
  • Открытый входящий порт на межсетевом экране, доступный из интернета без необходимости
  • Использование пароля по умолчанию на сетевом устройстве и отсутствие контроля его смены
  • Отсутствие контроля разделения прав: один пользователь имеет права администратора и на эксплуатацию, и на аудит
  • Устаревшая версия веб-компонента с известной ошибкой, позволяющей удалённое выполнение кода
  • Отсутствие контроля журналирования и мониторинга критичных операций, из-за чего компрометация долго остаётся незамеченной
Courses
Рекомендуемые продукты по этой теме
 
Учебный курс: интенсив с тренером
ITSM. Основы управления ИТ-услугами
Самый популярный тренинг по управлению ИТ
Деловая игра
Apollo 13 — ITSM на практике
Service Desk, управление инцидентами, проблемами, изменениями
Altevics
Современная ITSM/ESM-система
 
Что такое уязвимость в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics.
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику обработки персональных данных и Согласие на их обработку.