「インシデント」「アタック」「イベント」の違いは何ですか？

Question

コンピュータとネットワークのセキュリティインシデントの分類では、「インシデント」、「攻撃」、「イベント」の違いは何ですか。「脅威」はどこに適合しますか？

schroeder · Accepted Answer

公式用語を調べてさらに助けが必要だと仮定します。

eventは通知をトリガーしたものです。イベントは不正行為の兆候である必要はありません。ログインに成功した人はeventです。

インシデントは問題を示すものですが、「問題」を定義します。イベントから運びますが、その上に解釈のレイヤーがあります。長期休暇中にコンピュータにログインできない人がインシデントである。

attackは悪意のあるインシデントです。誰かが長期の病気休暇中に誰かの資格情報をブルートフォースで強制することは、攻撃です。ビジネスのためにその人の作業成果物にアクセスできるように、長期間病気で休暇を取る人にパスワードを要求するマネージャーは、攻撃ではありません。ポリシーによっては、インシデントの場合があります。

脅威は、インシデントを引き起こす可能性のあるものです。人、天候、機械など.

Tom K. · Answer

シュローダーの答えは確かに正しいですが、それは十分に形式的ではないかもしれません。 ISO/IEC 270 の用語と定義では、次のことがわかります。

脅威

望ましくないインシデントの潜在的な原因¹、システムまたは組織に害を及ぼす可能性があります

情報セキュリティイベント

情報セキュリティの違反の可能性、ポリシーの制御または制御の失敗、またはセキュリティに関連する可能性のある以前は不明だった状況を示す、システム、サービス、またはネットワークの状態の識別された発生

情報セキュリティ事件

業務を危険にさらし、情報セキュリティを脅かす可能性が非常に高い、1つまたは一連の望ましくないまたは予期しない情報セキュリティイベント

攻撃

資産への不正アクセスの破壊、公開、変更、無効化、盗用、または取得を試みる、または資産を不正使用する

情報セキュリティインシデントは常に情報セキュリティイベントでもありますが、すべての情報セキュリティイベントが情報セキュリティインシデントであるとは限りません。

^{1：すべてのインシデントが情報セキュリティインシデントである必要はありません。}

^{引用元：ISO/IEC 27000：2018：情報技術-セキュリティ技術-情報セキュリティ管理システム}

Mohammad · Answer

ここで多くの議論があり、また後で私の教授と話されました。ただし、分類のコンテキストでは、以下の質問の理解に役立つ場合があります。

インシデント=（攻撃者）+攻撃+（目的）

攻撃=（tools）+（vulnerability ）+ EVENT +（無許可の結果）

Event=（action）+（target ）

ジョンD.ハワードとトーマスA.ロングスタッフによる本「コンピュータセキュリティインシデントの共通言語」から、次の図でコンセプトが明確になります。