Qual è la differenza tra "Incident", "Attack" e "event"?

19

Nella tassonomia del computer e della sicurezza di rete quali sono le differenze tra "Incidente", "Attacco" e "evento"? Dove si colloca la "minaccia" con loro?

    
posta Mohammad 22.04.2018 - 21:46
fonte

3 risposte

55

Supponendo di aver cercato i termini ufficiali e desiderato ulteriore aiuto:

Un evento è qualcosa che ha attivato la notifica. Un evento non deve essere un'indicazione di illecito. Qualcuno che ha effettuato correttamente il login è un evento .

Un incidente è qualcosa che indica un problema, tuttavia tu definisci il "problema". Trasporta da un evento ma ha uno strato di interpretazione in cima. Qualcuno che accede con successo quando è in congedo per malattia a lungo termine e non dovrebbe poter utilizzare un computer è un incidente .

Un attacco è un incidente con intenzioni malevole. Qualcuno brutale che costringe le credenziali di qualcuno in congedo per malattia a lungo termine è un attacco . Un manager che chiede alla persona in congedo per malattia di lunga durata la password in modo da poter accedere al prodotto di lavoro della persona a vantaggio dell'azienda non è un attacco . Potrebbe essere un incidente , a seconda delle tue politiche.

Una minaccia è qualsiasi cosa che possa potenzialmente causare un incidente. Persone, meteo, macchine, ecc.

    
risposta data 22.04.2018 - 22:08
fonte
17

Mentre la risposta di Schroeder è certamente corretta, potrebbe non essere abbastanza formale. Nei termini e nelle definizioni di ISO / IEC 27000 troverai quanto segue:

threat

potential cause of an unwanted incident1, which can result in harm to a system or organization

information security event

identified occurrence of a system, service or network state indicating a possible breach of information security, policy or failure of controls, or a previously unknown situation that can be security relevant

information security incident

single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security

attack

attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset

Un incidente di sicurezza delle informazioni sarà sempre anche un evento di sicurezza delle informazioni, ma non tutti gli eventi di sicurezza delle informazioni saranno incidenti di sicurezza delle informazioni.

1: non tutti gli incidenti devono essere incidenti di sicurezza delle informazioni.

Tutte le citazioni prese da: ISO / IEC 27000: 2018: Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni

    
risposta data 22.04.2018 - 22:28
fonte
2

Ci sono molte discussioni qui e ho anche parlato con un mio professore in seguito. Tuttavia, nel contesto della tassonomia che segue può aiutare a capire la domanda,

Incident = ( attacker ) + ATTACK + ( obiettivo )

Attack = ( strumenti ) + ( vulnerabilità ) + EVENT + ( risultato non autorizzato )

Evento = ( azione ) + ( target )

Dal libro "Un linguaggio comune per gli incidenti di sicurezza informatica" di John D. Howard e Thomas A. Longstaff l'illustrazione seguente renderebbe il concetto chiaro,

    
risposta data 24.04.2018 - 06:03
fonte

Leggi altre domande sui tag