Bezpečnostní incidenty: taxonomie incidentů
V tomto dokumentu je uvedena taxonomie (kybernetických bezpečnostních) incidentů, (které jsou následkem kybernetických útoků) tak jak ji definovala ENISA.
Výše uvedený text není v závorce náhodou, protože sporná je už definice samotného incidentu a rozdělení jednotlivých incidentů do 9/11 kategorií rovněž vyvolává spoustu otázek, ostatně posuďte sami:
- Abusive Context – obtěžující obsah jako je SPAM v mnoha podobách zasílaný uživatelům systému zpravidla přímo neohrožuje bezpečnost;
- Malicious Code – škodlivý kód jako viry, červi, trojští koně, spyware, addware, ransomware, cryptominer a jiný malware zpravidla přímo ohrožují bezpečnost, ale pokud nedoje ke spuštění, nedošlo ještě k incidentu, přičemž v případě drive-by download tomu tak být nemusí a tato skutečnost je zde ignorována;
- Information Gathering – sběr informací spočívající ve skenování portů, identifikaci běžících služeb a verzí systému včetně použití technik sociálního inženýrství zpravidla nevede k přímému ohrožení bezpečnosti;
- Intrusion Attempts – snaha zneužít nějaké známé zranitelnosti, hádání hesel k průniku do systému;
- Intrusions – průnik do systému prostřednictvím kompromitovaného účtu privilegovaného nebo neprivilegovaného uživatele jako kdyby nějak extra záleželo na tom, čí účet byl kompromitován;
- Availability – narušení dostupnosti prostřednictvím DoS, DDoS, sabotáží, výpadkem služeb v důsledku působení vyšší moci, lidskou chybou apod. Narušení dostupnosti je však následek incidentu.
- Information Content Security – neautorizovaný přístup k informacím a jejich modifikace. Jestliže výše je použita kategorie Dostupnost, tak zde by se nabízel rozpad této kategorie na Důvěrnost a Integrita, ale ani v tomto směru zde není zachována nějaká konzistence;
- Fraud – podvod spáchaný díky získání přístupu k informacím, prodej komerčního SW v rozporu s licenčním ujednáním, falšování identity a vydávání se za někoho jiného, např. phishing; Zde jsou smíchány dohromady dvě věci, zneužití legitimního přístupu k informacím a falšování identity.
- Vulnerable – možnost zneužití z důvodu nenasazení poslední verze SW, patche, ponechání ve výchozí konfiguraci s výchozími hesly apod.;
- Other – všechny incidenty, které nezapadají do žádné výše uvedené kategorie. Pokud by počet incidentů v této kategorii rostl, tak by to znamenalo, že by měla být provedena revize těchto kategorií;
- Test – jen pro účely testování.
Výše uvedené taxonomie incidentů je používána mnoha CSIRT týmy a dokonce zde existuje dokument Common Taxonomy for Law Enforcement and The National Network of CSIRTs.
Možná vám to přijde jako zbytečné filozofování, ale nějaké kategorie byste definované mít měli, abyste mohli incidenty třídit a dle typu incidentu pak postupovat podle příslušného incident response planu.
A dejte si také pozor, co za bezpečnostní incident označíte, protože pak budete muset všechny tyto incidenty evidovat a šetřit, tak abyste se z toho pak nezbláznili.
A s jakými kategoriemi incidentů pracujete vy?
Štítky: bezpečnostní incident, informační bezpečnost
K článku “Bezpečnostní incidenty: taxonomie incidentů” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.