Если вы какое-то время были причастны к сфере информационной безопасности, вы, вероятно, много раз слышали, как люди говорят такого рода вещи:
Эти логи полны инцидентов, о которых не сообщалось!
Сколько предупреждений или алертов создает инцидент?
Я только что получил оповещения о событии…
…так далее.
Иногда возникает эта каша в голове из-за такой смешанной терминологии.
Существует глубокое замешательство – даже среди тех, кто работает в этой области, – что представляет собой событие, предупреждение и инцидент.
Давай-те попробуем разобраться.
Вот моя разбивка, основанная на анализе многих различных отраслевых определений:
- Событие ( на слег. Алерт )- это наблюдаемое изменение нормального поведения системы, среды, процесса, рабочего процесса или человека. Примеры: обновлены списки ACL маршрутизатора, политика брандмауэра была перенесена.
- Предупреждение – это уведомление о том, что произошло конкретное событие (или серия событий), которое отправляется ответственной стороне с целью порождения действий. Примеры: вышеуказанные события отправлены персоналу по мониторингу сети.
- Инцидент – это событие, которое негативно влияет на конфиденциальность, целостность и / или доступность ( КЦД) организации таким образом, что затрагивает бизнес. Примеры: злоумышленник публикует учетные данные компании в сети, злоумышленник крадет базу данных кредитных карт клиентов, червь распространяется по сети.
Подрезюмируем
Если бы вам надо уместить все это в одном предложении, я сделал бы так:
События – это зафиксированные изменения в среде, оповещения – это уведомления о том, что произошли определенные события, а инциденты – это особые события, которые негативно влияют на КЦД и влияют на бизнес.