در این مقاله از امن افزار رایکا به آسیب پذیری ها خواهیم پرداخت ارزیابی آسیب پذیری که به عنوان ارزیابی اسکن پذیری نیز شناخته میشه، رایانه‌ها، سیستم‌ها و شبکه‌ها رو از نظر ضعف‌های امنیتی ارزیابی میکنه، همچنین به عنوان آسیب پذیری هم شناخته میشه. این اسکن‌ها معمولاً خودکار هستن و آسیب پذیری های بالقوه رو شناسایی می‌کنن.

تعریف آسیب پذیری

• انستیتوی استاندارد و فناوری ملی (NIST): ضعف در سیستم اطلاعاتی، پروسه‌های امنیتی سیستم، کنترل‌های داخلی یا پیاده‌سازی، که یک منبع تهدید می‌تواند از آن سوءاستفاده کند یا آن را ایجاد کند.

• ISO 27005: ضعف داده‌ها یا گروهی از داده‌هاست که یک یا چند تهدید سایبری می‌تواند از آن سوءاستفاده کند. در صورتی که این داده‌ها برای سازمان، عملیات تجاری و تداوم آن ارزش داشته باشد، از جمله منابع اطلاعاتی است که مأموریت سازمان را پشتیبانی می‌کنند.

• IETF RFC 4949: یک نقص یا ضعف در طراحی، پیاده‌سازی یا بهره‌برداری و مدیریت سیستم است که ممکن است برای نقض سیاست امنیتی سیستم از آن سوءاستفاده شود.

• ENISA: وجود یک ضعف، طراحی یا خطای پیاده‌سازی که می‌تواند منجر به اتفاقی غیرمنتظره و نامطلوب شود و امنیت سیستم رایانه‌ای، شبکه، برنامه یا پروتکل را به‌خطر بیندازد.

• گروه باز: احتمال این‌که توانایی تهدید بیش از توانایی مقاومت در برابر تهدید باشد.

• تحلیل عامل ریسک اطلاعاتی: احتمال این‌که یک داده قادر به مقاومت در برابر اقدامات عوامل تهدید آمیز نباشد.

• ISACA: ضعف در طراحی، اجرا، بهره‌برداری یا کنترل داخلی.

گزارش اسکن

دومین موردی که باید برای بررسی تفاوت تست نفوذ  بهش دقت کنیم اینه که گزارش آسیب پذیری به چه صورته!! بعد از تموم شدن اسکن ، گزارش مفصلی ایجاد میشه. به طور معمول، این اسکن‌ها لیست گسترده‌ای از آسیب پذیری های یافت شده و منابع برای تحقیقات بیشتر در مورد این عنوان

رو ایجاد میکنه. بعضی از اونها حتی دستور العمل‌هایی رو برای حل این مشکل ارائه میدن.

مزایای اسکن

سومین مورد که خیلی هم برای بررسی تفاوت های ارزیابی  تست نفوذ مهمه، اینه که بدونین مزایا و معایب هر کدوم از اونها چیه:

• سریعه و در سطح بالا آسیب پذیری های احتمالی رو بررسی میکنه.
• خیلی مقرون به صرفه است.
• خودکاره (برای اجرای هفتگی، ماهانه، سه ماهه و غیره می‌تونه به صورت خودکار باشه)
• برای تکمیل کردن، سریعه.