Una volta identificati asset e dipendenze, vengono associate agli asset tutte le vulnerabilità che potenzialmente potrebbero affliggere l’asset stesso.
Le vulnerabilità possono essere classificate, ovviamente, a seconda della loro rilevanza stimata. Tale classificazione viene utilizzata anche per identificare un ordine di urgenza nell’applicazione delle contromisure più idonee.
A questo punto, è necessario analizzare quali minacce possono utilizzare le vulnerabilità identificate per danneggiare il sistema. L’obiettivo è quello di identificare quali asset vulnerabili sono esposti a differenti tipi di minacce.
Esempi di possibili agenti di minaccia: