⏰ Разница между событиями, оповещениями и инцидентами информационной безопасности — Information Security Squad

⏰ Разница между событиями, оповещениями и инцидентами информационной безопасности

Если вы какое-то время были причастны к сфере информационной безопасности, вы, вероятно, много раз слышали, как люди говорят такого рода вещи:

Эти логи полны инцидентов, о которых не сообщалось!

Сколько предупреждений или алертов создает инцидент?

Я только что получил оповещения о событии…

…так далее.

Иногда возникает эта каша в голове из-за такой смешанной терминологии.

Существует глубокое замешательство — даже среди тех, кто работает в этой области, — что представляет собой событие, предупреждение и инцидент.

Давай-те попробуем разобраться.

Вот моя разбивка, основанная на анализе многих различных отраслевых определений:

  • Событие ( на слег. Алерт )- это наблюдаемое изменение нормального поведения системы, среды, процесса, рабочего процесса или человека. Примеры: обновлены списки ACL маршрутизатора, политика брандмауэра была перенесена.
  • Предупреждение — это уведомление о том, что произошло конкретное событие (или серия событий), которое отправляется ответственной стороне с целью порождения действий. Примеры: вышеуказанные события отправлены персоналу по мониторингу сети.
  • Инцидент — это событие, которое негативно влияет на конфиденциальность, целостность и / или доступность ( КЦД) организации таким образом, что затрагивает бизнес. Примеры: злоумышленник публикует учетные данные компании в сети, злоумышленник крадет базу данных кредитных карт клиентов, червь распространяется по сети.

Подрезюмируем

Если бы вам надо уместить все это в одном предложении, я сделал бы так:

События — это зафиксированные изменения в среде, оповещения — это уведомления о том, что произошли определенные события, а инциденты — это особые события, которые негативно влияют на КЦД и влияют на бизнес.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40