آسیب پذیری ( Vulnerability ) چیست؟ 🤔

آسیب‌پذیری نقصی در دستگاه رایانه‌ای است که مجرمان سایبری می‌توانند از آن برای ورود غیرمجاز استفاده کنند. یک حمله سایبری که با موفقیت از یک آسیب پذیری سوء استفاده می کند، کدهای مخرب را اجرا می کند، بدافزار نصب می کند و حتی داده های حساس را به سرقت می برد. اشکالات ممکن است به طرق مختلف مورد سوء استفاده قرار گیرند، از کیت های بهره برداری منبع باز که برنامه های وب را برای آسیب پذیری های مستند و نقص های امنیتی اسکن می کند. آسیب پذیری به روش های مختلفی توصیف می شود. در زیر مجموعه ای از تعاریف گردآوری شده توسط مقامات مختلف امنیت سایبری آمده است.

دوره آموزشی امنیت دوران آکادمی

مشاهده دوره‌های امنیت

بیشتر بدانید : راهکار جدید f5 آسیب پذیری رابط کاربری مدیریت ترافیک

جهت دریافت اطلاعات بیشتر درمورد دوره‌ها و اساتید با مشاورین دوران آکادمی در ارتباط باشید.

اینکه آیا آشکارا باگ های شناسایی شده افشا شوند یا نه، همچنان محل مناقشه است. دو احتمال وجود دارد:

شفافیت فوری و کامل

برخی از کارشناسان امنیت سایبری خواستار افشای سریع این آسیب‌پذیری به همراه دستورالعمل‌های دقیق در مورد نحوه دستکاری آن هستند. طرفداران افشای فوری ادعا می کنند که منجر به برنامه های کاربردی با ثبات تر و وصله سریع تر می شود، بنابراین حفاظت از نرم افزار، امنیت برنامه، امنیت شبکه، امنیت سیستم عامل و امنیت دانش را افزایش می دهد.

محدود به عدم افشای اطلاعات

برخی دیگر با افشای آسیب‌پذیری مخالفند زیرا فکر می کنند آسیب پذیری دستکاری می شود. طرفداران شفافیت محدود استدلال می کنند که محدود کردن دسترسی به دانش برای گروه های خاص، احتمال سوء استفاده را کاهش می دهد. همانطور که در مورد سایر استدلال ها صادق است، همه طرفین دارای استدلال های مشروع هستند. طرف هر کدام را که می گیرید، آگاه باشید که تهدیدات مفید و مجرمان سایبری به طور معمول در حال جستجو و آزمایش اکسپلویت های موجود هستند. برخی از کسب‌وکارها دارای بخش‌های انطباق داخلی هستند که وظیفه آزمایش امنیت فناوری دیجیتال و سایر روش‌های حفاظتی سازمان را به عنوان بخشی از فرآیندهای کنترل ریسک اطلاعات و ارزیابی ریسک امنیت داده‌ها دارند.

تفاوت بین آسیب پذیری و خطر چیست؟

گاهی اوقات از آسیب پذیری ها برای توصیف تهدیدات حفاظت سایبری استفاده می شود. آسیب‌پذیری و خطر مترادف نیستند، که ممکن است باعث سوء تفاهم شود. خطر را در مورد احتمال و پیامد سوء استفاده از یک آسیب پذیری در نظر بگیرید. اگر تأثیر و شانس بهره برداری از یک آسیب‌پذیری حداقل باشد، خطر نیز کم است. در مقابل، اگر تأثیر و احتمال بهره برداری از یک آسیب‌پذیری قابل توجه باشد، خطر بالایی وجود دارد.

برای اطلاع از دوره های امنیت می توانید به این قسمت مراجعه نمایید.

آپدیت ۲۰۲۵ 👌🖥️ : در سال ۲۰۲۵ با گسترش سرویس‌های ابری، IoT، شبکه‌های 5G و حملات مبتنی بر هوش مصنوعی، مفهوم آسیب‌پذیری‌ها وارد مرحله جدیدی شده است. امروزه مهاجمان با استفاده از ابزارهای هوشمند می‌توانند ضعف‌های امنیتی را سریع‌تر از گذشته اسکن و سوءاستفاده کنند. در نسخه به‌روزرسانی‌شده این مقاله، مهم‌ترین دسته‌بندی‌های جدید آسیب‌پذیری‌ها، استانداردهای ۲۰۲۵ مانند CVSS 4.0، روند انتشار CVEها و روش‌های مدرن مدیریت آسیب‌پذیری‌ (Vulnerability Management) اضافه شده است تا دید کاملی از تهدیدات امروزی داشته باشید.

❓ آسیب‌پذیری (Vulnerability) چیست؟

هرگونه ضعف یا ایرادی در سیستم، شبکه، نرم‌افزار یا پیکربندی که مهاجم می‌تواند از آن سوءاستفاده کند.

❓ مهم‌ترین انواع آسیب‌پذیری‌ها کدام‌اند؟

آسیب‌پذیری نرم‌افزاری
پیکربندی اشتباه
آسیب‌پذیری شبکه
ضعف‌های احراز هویت
آسیب‌پذیری‌های وب (SQLi، XSS…)

❓ CVE چیست؟

یک شناسه یکتای جهانی برای ثبت و شناسایی آسیب‌پذیری‌های امنیتی که توسط MITRE منتشر می‌شود.

❓ CVSS چیست و چه کاربردی دارد؟

استانداردی برای امتیازدهی شدت آسیب‌پذیری‌ها. نسخه جدید CVSS 4.0 در سال ۲۰۲۵ منتشر شده است.

❓ چه تفاوتی بین Threat و Vulnerability وجود دارد؟

Vulnerability = ضعف
Threat = تهدیدی که می‌تواند از آن ضعف سوءاستفاده کند.

❓ مدیریت آسیب‌پذیری چگونه انجام می‌شود؟

شناسایی → تحلیل → اولویت‌بندی → رفع → دوباره ارزیابی

❓ آیا همه آسیب‌پذیری‌ها نیاز به Patch فوری دارند؟

نه. بعضی آسیب‌پذیری‌ها Low Risk هستند و با مانیتورینگ یا اصلاح پیکربندی مدیریت می‌شوند.

آسیب پذیری ( Vulnerability ) چیست؟ 🤔

دوره آموزشی امنیت دوران آکادمی

IETF RFC 4949

NIST

ENISA

ISO27005

اینکه آیا آشکارا باگ های شناسایی شده افشا شوند یا نه، همچنان محل مناقشه است. دو احتمال وجود دارد:

شفافیت فوری و کامل

محدود به عدم افشای اطلاعات

تفاوت بین آسیب پذیری و خطر چیست؟