Инциденты безопасности — это события , которые могут указывать на то, что системы или данные организации были скомпрометированы или что меры, принятые для их защиты, не сработали.
В ИТ событие безопасности — это то, что имеет значение для аппаратного или программного обеспечения системы, а инцидент — это событие, нарушающее нормальную работу. События безопасности обычно отличаются от инцидентов безопасности степенью серьезности и связанным с ними потенциальным риском для организации.
Например, если одному пользователю отказано в доступе к запрошенной службе, это может быть событием безопасности, поскольку оно может указывать на скомпрометированную систему https://www.anti-malware.ru/ost1/2021-04-12/35564. Однако сбой доступа также может быть вызван различными причинами. Обычно это событие не оказывает серьезного влияния на организацию.
Однако, если большому количеству пользователей будет отказано в доступе, вероятно, существует более серьезная проблема, такая как атака типа «отказ в обслуживании» , поэтому это событие можно классифицировать как инцидент безопасности.
Нарушение безопасности — это подтвержденный инцидент, в ходе которого конфиденциальная, конфиденциальная или иным образом защищенная информация была получена или раскрыта несанкционированным образом.
В отличие от нарушения безопасности, инцидент безопасности не обязательно означает, что информация была скомпрометирована, а означает только то, что информация оказалась под угрозой. Например, организация, которая успешно отразила кибератаку, столкнулась с инцидентом безопасности, но не с нарушением.
Как обнаружить инциденты безопасности
Почти каждый день появляется новый заголовок о громкой утечке данных или другом типе атаки. Но есть еще много инцидентов, которые остаются незамеченными, потому что организации не знают, как их обнаружить.
Вот несколько способов, которыми компании могут обнаруживать инциденты безопасности:
Необычное поведение привилегированных учетных записей пользователей. Любая аномалия в поведении учетной записи привилегированного пользователя может указывать на то, что кто-то использует ее для получения доступа к сети компании.
Неавторизованные сотрудники пытаются получить доступ к серверам и данным. Многие сотрудники прощупывают почву, чтобы точно определить, к каким системам и данным они могут получить доступ. Предупреждающие признаки включают попытки неавторизованных пользователей получить доступ к серверам и данным, запрос доступа к данным, не связанным с их работой, вход в систему в необычное время из необычных мест или вход из нескольких мест за короткий период времени.
Аномалии исходящего сетевого трафика. Организации должны беспокоиться не только о трафике, поступающем в сеть. Организации также должны отслеживать трафик, покидающий их периметр. Это может включать в себя загрузку сотрудниками больших файлов в персональные облачные приложения; загружать большие файлы на внешние устройства хранения, такие как USB-накопители; или отправка большого количества электронных писем с вложениями за пределы компании.
Трафик, отправленный в или из неизвестных местоположений . Для бизнеса, который работает только в одной стране, любой трафик, отправляемый в другие страны, может указывать на вредоносную активность. Администраторы должны исследовать любой трафик в неизвестные сети, чтобы убедиться, что он является законным.
Чрезмерное потребление. Увеличение производительности серверной памяти или жестких дисков может означать, что злоумышленник обращается к ним нелегально.
Изменения конфигурации. Неутвержденные изменения, такие как перенастройка службы, установка запускаемой программы или изменения брандмауэра, являются признаком потенциальной вредоносной активности. То же самое касается запланированных задач, которые были добавлены.
Скрытые файлы. Их можно считать подозрительными из-за их имен файлов, размеров или местоположений, которые указывают на утечку данных или журналов.
Неожиданные изменения. К ним относятся блокировка учетной записи пользователя, смена пароля или внезапная смена членства в группе.
Ненормальное поведение при просмотре. Это могут быть неожиданные перенаправления, изменения настроек браузера или повторяющиеся всплывающие окна.
Подозрительные записи реестра. В основном это происходит, когда вредоносные программы заражают системы Windows. Это один из основных способов, с помощью которых вредоносное ПО гарантирует, что оно останется в зараженной системе.