¿Cuál es la diferencia entre “Incidente”, “Ataque” y “evento”?

19

En la taxonomía de incidentes de seguridad de la computadora y de la red, ¿cuáles son las diferencias entre "Incidente", "Ataque" y "evento"? ¿Dónde encaja la "amenaza" con ellos?

    
pregunta Mohammad 22.04.2018 - 21:46
fuente

3 respuestas

55

Suponiendo que ha consultado los términos oficiales y desea más ayuda:

Un evento es algo que ha activado la notificación. Un evento no tiene que ser una indicación de mala conducta. Alguien que haya iniciado sesión correctamente es un evento .

Un incidente es algo que indica un problema, sin embargo, se define "problema". Se transmite desde un evento, pero tiene una capa de interpretación en la parte superior. Alguien que haya iniciado sesión con éxito cuando se encuentre con una baja por enfermedad prolongada y no pueda usar una computadora es un incidente .

Un ataque es un incidente con intenciones maliciosas. Alguien que impone las credenciales de alguien con baja por enfermedad a largo plazo es un ataque . Un gerente que le pide a la persona con licencia por enfermedad a largo plazo su contraseña para poder acceder al producto de trabajo de la persona en beneficio del negocio no es un ataque . Podría ser un incidente , según sus políticas.

Una amenaza es cualquier cosa que tenga el potencial de causar un incidente. Gente, clima, máquinas, etc.

    
respondido por el schroeder 22.04.2018 - 22:08
fuente
17

Si bien la respuesta de Schroeder es ciertamente correcta, puede que no sea lo suficientemente formal. En los términos y definiciones de ISO / IEC 27000 encontrará lo siguiente:

  

threat

     

causa potencial de un incidente no deseado 1 , que puede causar daños a un sistema u organización

     

evento de seguridad de la información

     

ocurrencia identificada de un sistema, servicio o estado de la red que indica un posible incumplimiento de la seguridad de la información, la política o la falla de los controles, o una situación desconocida que puede ser relevante para la seguridad

     

incidente de seguridad de la información

     

eventos de seguridad de la información solteros o una serie de eventos no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información

     

ataque

     

intente destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo

Un incidente de seguridad de la información siempre será un evento de seguridad de la información, pero no todos los eventos de seguridad de la información serán incidentes de seguridad de la información.

1: No todos los incidentes tienen que ser incidentes de seguridad de la información.

Todas las citas se tomaron de: ISO / IEC 27000: 2018: Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información

    
respondido por el Tom K. 22.04.2018 - 22:28
fuente
2

Hay muchas discusiones aquí arriba y también conversé con un profesor mío más adelante. Sin embargo, en el contexto taxonómico, los siguientes pueden ayudar a comprender la pregunta,

Incidente = ( atacante ) + ATTACK + ( objetivo )

Ataque = ( herramientas ) + ( vulnerabilidad ) + EVENTO + ( resultado no autorizado )

Evento = ( acción ) + ( target )

Del libro "Un lenguaje común para incidentes de seguridad informática" por John D. Howard y Thomas A. Longstaff, a continuación de la ilustración, se aclara el concepto,

    
respondido por el Mohammad 24.04.2018 - 06:03
fuente

Lea otras preguntas en las etiquetas