تهدید، آسیبپذیری و خطر سه اصطلاح در حوزه امنیت سایبری بسیار به هم مرتبط هستند، اما مفاهیم متفاوتی دارند. برای درک بهتر این مفاهیم، میتوان آنها را با مثالی ساده مقایسه کرد:
مثال: یک ساختمان اداری را در نظر بگیرید.
تهدید
یک تهدید مانند یک سارق است که قصد ورود به ساختمان و سرقت اموال را دارد. تهدید یک عامل خارجی است که به دنبال ایجاد آسیب است.

آسیبپذیری
یک آسیبپذیری مانند یک پنجره شکسته در ساختمان است. این پنجره یک نقطه ضعف است که سارق میتواند از آن برای ورود استفاده کند.

خطر
خطر ترکیبی از تهدید و آسیبپذیری است. در این مثال، خطر این است که سارق از پنجره شکسته وارد ساختمان شده و اموال را سرقت کند.

حال می رویم به سراغ تعریف و مثال هایی در دنیای شبکه و فناوری اطلاعات
تعریف تهدید (Threat)
هر عامل، فرد یا رویدادی که بتواند به داراییهای اطلاعاتی آسیب برساند، تهدید نامیده میشود. تهدیدها میتوانند داخلی یا خارجی باشند. یک هکر، یک ویروس کامپیوتری، یک آتشسوزی، یک خطای انسانی و یا حتی یک رویداد طبیعی مانند زلزله میتواند به عنوان یک تهدید محسوب شود.

تعریف آسیبپذیری (Vulnerability)
آسیبپذیری به معنای یک ضعف، نقص یا نقطه ضعف در یک سیستم، شبکه یا برنامه است که میتواند توسط یک تهدید مورد بهرهبرداری قرار گیرد. یک رمز عبور ضعیف، یک پیکربندی نادرست در فایروال، یک باگ در نرمافزار و یا یک نقص در طراحی سیستم میتواند به عنوان یک آسیبپذیری محسوب شود.

تعریف خطر (Risk)
خطر به احتمال وقوع یک رویداد امنیتی و میزان خسارتی که در صورت وقوع آن ایجاد میشود، اشاره دارد. به عبارت دیگر، خطر ترکیبی از تهدید و آسیبپذیری است.احتمال اینکه یک هکر از طریق یک رمز عبور ضعیف وارد سیستم شود و به اطلاعات حساس دسترسی پیدا کند، یک خطر محسوب میشود.
