פגיעויות אבטחה.

פגיעות Vulnerability מוגדרת בתקן 27002 ISO כמו "חולשה של נכס או קבוצת נכסים שיכולים להיות מנוצלים על ידי איום אחד או יותר".

ניהול פגיעויות אבטחה הוא תהליך שבו פגיעויות במערכות מידע הן מזוהות והסיכונים מוערכים. תיקון פגיעות והערכת סיכונים מובילים לצעדים הנכונים, כדי להקטין את הסיכון לרמה מתקבלת על הדעת ומקובלת בחברה.

Vulnerabilities להתקפות שונות:

סודיות של מידע Confidentiality.
דוגמה שימוש ב- Telnet פוגע בסודיות של מידע: שם משתמש וסיסמה נשלחים בערוץ לא מוצפן.

שלמות של מידע Integrity.
דוגמה לפגיעה בשרת דואר: זיוף כתובת השולח יכול לאפשר התקפה נגד שלמות המידע.

זמינות של המידע Availability.
הרצת פינג Ping יכולה לגרום למניעת שירות DOS Attack.

ניהול פגיעות אבטחה Vulnerability Management לפעמים מבלבל עם סריקת פגיעויות Vulnerability Assessment.
למרות התפיסה הם קשורים זה לזה ויש הבדל חשוב בין השניים.

סריקת פגיעות אבטחה Vulnerability Assessment זה הרצת כלים אוטומטיים כדי לזהות נקודות תורפה תשתיות ואפליקציות.
תהליך סריקה נותן תמונת מצב באותו רגע, באותו זמן של הסריקה, לכן חשוב לנהל פגיעויות ולא רק לסרוק. סריקת פגיעות צריכה להתנהל באופן קבוע כדי לזהות נקודות תורפה חדשות ולהבטיח פגיעויות שזוהו בעבר ותוקנו כראוי.

ניהול פגיעות אבטחה Vulnerability Management זה תהליך שמנהל את הפגיעות לאורך כל החיים. תהליך זה מאפשר לארגון לקבל סקירה רציפה של נקודות תורפה בסביבת ה- IT ואת הסיכונים הקשורים בהם.

פגיעויות אבטחה יכולות להתרחש בצורות וברמות שונות, לדוגמה: מערכות הפעלה, אפליקציות או פגיעויות פיזיות. חשוב לנתח פגיעות כיצד הן מנוצלות, איום, חשיפה, סיכוני אבטחת מידע.

לאחר ניתוח פגיעות, תהליכים מתאימים צריכים להתקיים כדי להפחית או להוריד סיכונים ניצול פגיעויות.
לרוב, תיקון יהיה באמצעות תהליך ניהול תיקונים (Windows update, Firmware update) אך עשוי גם לדרוש שינוי תצורה של בקרות ארכיטקטורה או לקיים בקרות נוספות.