En la taxonomía de incidentes de seguridad de la computadora y de la red, ¿cuáles son las diferencias entre "Incidente", "Ataque" y "evento"? ¿Dónde encaja la "amenaza" con ellos?
Suponiendo que ha consultado los términos oficiales y desea más ayuda:
Un evento es algo que ha activado la notificación. Un evento no tiene que ser una indicación de mala conducta. Alguien que haya iniciado sesión correctamente es un evento .
Un incidente es algo que indica un problema, sin embargo, se define "problema". Se transmite desde un evento, pero tiene una capa de interpretación en la parte superior. Alguien que haya iniciado sesión con éxito cuando se encuentre con una baja por enfermedad prolongada y no pueda usar una computadora es un incidente .
Un ataque es un incidente con intenciones maliciosas. Alguien que impone las credenciales de alguien con baja por enfermedad a largo plazo es un ataque . Un gerente que le pide a la persona con licencia por enfermedad a largo plazo su contraseña para poder acceder al producto de trabajo de la persona en beneficio del negocio no es un ataque . Podría ser un incidente , según sus políticas.
Una amenaza es cualquier cosa que tenga el potencial de causar un incidente. Gente, clima, máquinas, etc.
Si bien la respuesta de Schroeder es ciertamente correcta, puede que no sea lo suficientemente formal. En los términos y definiciones de ISO / IEC 27000 encontrará lo siguiente:
threat
causa potencial de un incidente no deseado 1 , que puede causar daños a un sistema u organización
evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica un posible incumplimiento de la seguridad de la información, la política o la falla de los controles, o una situación desconocida que puede ser relevante para la seguridad
incidente de seguridad de la información
eventos de seguridad de la información solteros o una serie de eventos no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información
ataque
intente destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo
Un incidente de seguridad de la información siempre será un evento de seguridad de la información, pero no todos los eventos de seguridad de la información serán incidentes de seguridad de la información.
1: No todos los incidentes tienen que ser incidentes de seguridad de la información.
Todas las citas se tomaron de: ISO / IEC 27000: 2018: Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información
Hay muchas discusiones aquí arriba y también conversé con un profesor mío más adelante. Sin embargo, en el contexto taxonómico, los siguientes pueden ayudar a comprender la pregunta,
Incidente = ( atacante ) + ATTACK + ( objetivo )
Ataque = ( herramientas ) + ( vulnerabilidad ) + EVENTO + ( resultado no autorizado )
Evento = ( acción ) + ( target )
Del libro "Un lenguaje común para incidentes de seguridad informática" por John D. Howard y Thomas A. Longstaff, a continuación de la ilustración, se aclara el concepto,
Lea otras preguntas en las etiquetas attacks incident-analysis terminology threats