Güvenlik boşluğu (Vulnerability), sistem üzerindeki yazılım ve
donanımdan kaynaklanan ya da sistemi işletim kuralları ve/veya
yönergelerindeki açık noktalar ve zayıf kalmış yönlerdir. Bir güvenlik
boşluğu sayesinde bir saldırgan, sistemdeki bilgisayarlara ya da
bilgisayar ağı üzerindeki kaynaklara yetkisiz olarak erişebilir. Bir
sunucu bilgisayar üzerinde çalışan bir hizmet (örneğin web sunucu ya
da e-posta alma/gönderme hizmeti), modem üzerinden içeri doğru
sınırlandırılmamış arama hizmeti, bir güvenlik duvarı üzerinde açık
unutulmuş bir erişim noktası (port), sunucu bilgisayarların
bulunduğu odaya giriş çıkışlarda fiziksel erişim denetimi eksikliği,
sunucular üzerinde belli bir politikaya dayandırılmadan belirlenen
parolalar güvenlik boşluklarına örnek olarak verilebilirler.
Yazılım ya da donanımdan kaynaklanan güvenlik boşlukları,
program üreticisi ya da başka bir kaynak tarafından geliştirilen bir
“yama program” yardımıyla kapatılmalı ve eldeki yazılım ve
donanımların üreticilerinin yayınladığı yama listeleri sürekli olarak
takip edilmelidir ve çıkan yamalar vakit geçirilmeden sisteme
uygulanmalıdır.
Tehditler, bilgisayar sistemlerindeki güvenlik boşluklarına yönelik
olarak tanımlanırlar. Yani bir güvenlik boşluğu ortadan kaldırılırsa ya
da “yama program” yardımıyla düzeltilirse, söz konusu tehdit
ortadan kaldırılır. Aşağıdaki tablodan da anlaşılacağı üzere, bir
tehdidin oluşması için bir güvenlik boşluğuna ve bu güvenlik
boşluğundan yararlanabilecek bir tehdit kaynağına ihtiyaç vardır.
donanımdan kaynaklanan ya da sistemi işletim kuralları ve/veya
yönergelerindeki açık noktalar ve zayıf kalmış yönlerdir. Bir güvenlik
boşluğu sayesinde bir saldırgan, sistemdeki bilgisayarlara ya da
bilgisayar ağı üzerindeki kaynaklara yetkisiz olarak erişebilir. Bir
sunucu bilgisayar üzerinde çalışan bir hizmet (örneğin web sunucu ya
da e-posta alma/gönderme hizmeti), modem üzerinden içeri doğru
sınırlandırılmamış arama hizmeti, bir güvenlik duvarı üzerinde açık
unutulmuş bir erişim noktası (port), sunucu bilgisayarların
bulunduğu odaya giriş çıkışlarda fiziksel erişim denetimi eksikliği,
sunucular üzerinde belli bir politikaya dayandırılmadan belirlenen
parolalar güvenlik boşluklarına örnek olarak verilebilirler.
Yazılım ya da donanımdan kaynaklanan güvenlik boşlukları,
program üreticisi ya da başka bir kaynak tarafından geliştirilen bir
“yama program” yardımıyla kapatılmalı ve eldeki yazılım ve
donanımların üreticilerinin yayınladığı yama listeleri sürekli olarak
takip edilmelidir ve çıkan yamalar vakit geçirilmeden sisteme
uygulanmalıdır.
Tehditler, bilgisayar sistemlerindeki güvenlik boşluklarına yönelik
olarak tanımlanırlar. Yani bir güvenlik boşluğu ortadan kaldırılırsa ya
da “yama program” yardımıyla düzeltilirse, söz konusu tehdit
ortadan kaldırılır. Aşağıdaki tablodan da anlaşılacağı üzere, bir
tehdidin oluşması için bir güvenlik boşluğuna ve bu güvenlik
boşluğundan yararlanabilecek bir tehdit kaynağına ihtiyaç vardır.