Vulnerabilidad (informática)
En seguridad informática , una vulnerabilidad es una debilidad que puede ser aprovechada por un actor de amenazas , como un atacante, para cruzar los límites de privilegios (es decir, realizar acciones no autorizadas) dentro de un sistema informático. Para aprovechar una vulnerabilidad, un atacante debe tener al menos una herramienta o técnica aplicable que pueda conectarse a una debilidad del sistema. En este marco, las vulnerabilidades también se conocen como superficie de ataque .
La gestión de vulnerabilidades es una práctica cíclica que varía en teoría, pero contiene procesos comunes que incluyen: descubrir todos los activos, priorizar activos, evaluar o realizar un escaneo completo de vulnerabilidades, informar sobre los resultados, remediar vulnerabilidades, verificar la remediación - repetir. Esta práctica generalmente se refiere a vulnerabilidades de software en sistemas informáticos. [1] La gestión ágil de vulnerabilidades se refiere a la prevención de ataques mediante la identificación de todas las vulnerabilidades lo más rápido posible. [2]
Un riesgo de seguridad a menudo se clasifica incorrectamente como una vulnerabilidad. El uso de vulnerabilidad con el mismo significado de riesgo puede generar confusión. El riesgo es el potencial de un impacto significativo resultante de la explotación de una vulnerabilidad. Luego están las vulnerabilidades sin riesgo: por ejemplo, cuando el activo afectado no tiene valor. Una vulnerabilidad con una o más instancias conocidas de ataques en funcionamiento y completamente implementados se clasifica como una vulnerabilidad explotable, una vulnerabilidad para la que existe un exploit . La ventana de vulnerabilidad es el tiempo desde que se introdujo o se manifestó el agujero de seguridad en el software implementado, hasta que se eliminó el acceso, se dispuso / implementó una solución de seguridad o se deshabilitó el atacante; consulte ataque de día cero .
El error de seguridad ( defecto de seguridad ) es un concepto más limitado. Hay vulnerabilidades que no están relacionadas con el software: hardware , sitio, vulnerabilidades de personal son ejemplos de vulnerabilidades que no son errores de seguridad del software.
Las construcciones en lenguajes de programación que son difíciles de usar correctamente pueden manifestar un gran número de vulnerabilidades.
El Comité de Sistemas de Seguridad Nacional de los Estados Unidos de América definió la vulnerabilidad en la Instrucción CNSS Nº 4009 de fecha 26 de abril de 2010 Glosario de garantía de la información nacional : [6]
