Weakness là gì?

Mặc dù mối đe dọa (threat) và lổ hổng (vulnerability) có định nghĩa khá rõ ràng trong an ninh mạng (cybersecurity), nhưng điểm yếu (weakness) chưa có định nghĩa chính thức. Các bảng thuật ngữ thường được sử dụng, chẳng hạn như RFC 4949 và bảng chú giải thuật ngữ NIST không định nghĩa điểm yếu (weakness). Mặt khác, nó rất thường được sử dụng như một phần của định nghĩa về lỗ hổng bảo mật. Một lỗ hổng bảo mật là một điểm yếu (weakness) có thể bị kẻ tấn công (attacker) lợi dụng. Do đó, một điểm yếu (weakness) là một lỗi, thường là trong mã phần mềm, có thể dẫn đến lỗ hổng. Điều này xảy ra khi nó có thể được khai thác (exploit).