Quelle est la différence entre "Incident", "Attack" et "event"?

Question

Dans la taxonomie des incidents de sécurité informatique et réseau, quelles sont les différences entre "Incident", "Attaque" et "Événement"? Où la "menace" leur convient-elle?

schroeder · Accepted Answer

En supposant que vous avez recherché les termes officiels et que vous vouliez plus d'aide:

Un événement est quelque chose qui a déclenché une notification. Un événement ne doit pas nécessairement être une indication d'acte répréhensible. Une connexion réussie est un événement.

Un incident est quelque chose qui indique un problème, mais vous définissez "problème". Il porte d'un événement mais a une couche d'interprétation sur le dessus. Une personne qui se connecte avec succès lorsqu'elle est en congé de maladie de longue durée et ne devrait pas être en mesure d'utiliser un ordinateur est un incident.

Un attaque est un incident avec une intention malveillante. Quelqu'un forçant brutalement les informations d'identification d'une personne en congé de maladie de longue durée est un attaque. Un gestionnaire demandant à la personne en congé de maladie de longue durée son mot de passe afin qu'elle puisse accéder à son produit professionnel au profit de l'entreprise n'est pas une attaque. Il peut s'agir d'un incident, selon vos politiques.

Un menace est tout ce qui a le potentiel de provoquer un incident. Personnes, météo, machines, etc.

Tom K. · Answer

Bien que la réponse de Schroeder soit certainement correcte, elle pourrait ne pas être suffisamment formelle. Dans les termes et définitions de ISO/IEC 270 vous trouverez les éléments suivants:

menace

cause potentielle d'un incident indésirable¹, ce qui peut endommager un système ou une organisation

événement de sécurité de l'information

occurrence identifiée d'un état du système, du service ou du réseau indiquant une possible violation de la sécurité des informations, une politique ou une défaillance des contrôles, ou une situation inconnue auparavant pouvant être pertinente pour la sécurité

incident de sécurité de l'information

un ou plusieurs événements indésirables ou inattendus de sécurité de l'information susceptibles de compromettre les opérations commerciales et de menacer la sécurité de l'information

attaque

tenter de détruire, d'exposer, de modifier, de désactiver, de voler ou d'obtenir un accès non autorisé à un actif ou d'en faire un usage non autorisé

Un incident de sécurité de l'information sera toujours également un événement de sécurité de l'information, mais tous les événements de sécurité de l'information ne seront pas des incidents de sécurité de l'information.

^{1: Tous les incidents ne doivent pas nécessairement être des incidents de sécurité de l'information.}

^{Toutes les citations proviennent de: ISO/IEC 27000: 2018: Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information}

Mohammad · Answer

Il y a beaucoup de discussions ici et j'ai également discuté avec un de mes professeurs plus tard. Cependant, dans le contexte taxinomique qui suit peut aider à comprendre la question,

Incident = ( attaquant) + ATTAQUE + ( objectif)

Attaque = ( tools) + ( vulnérabilité) + EVENT + (= résultat non autorisé)

Événement = ( action) + ( cible)

D'après le livre "Un langage commun pour les incidents de sécurité informatique" de John D. Howard et Thomas A. Longstaff, l'illustration suivante rendrait le concept clair,