Инциденты безопасностиНе существует простого ответа на вопрос, что такое инцидент безопасности. В общем случае инцидентом безопасности является любое событие, в котором неавторизованный индивид получает или пытается получить доступ к компьютерным системам или ресурсам, на которые у него нет привилегий. Серьезность инцидента может отличаться, и компания сама дает строгое определение инциденту безопасности. При высоком уровне шкалы строгости минимальный инцидент безопасности может состоять из зондирования сети или системы, которое используется для изучения топологии сети. Если такое зондирование выполняет неавторизованный пользователь, инцидент безопасности имеет место. При большом количестве подобных событий большинство компаний предпочитают считать, что данные события не являются инцидентом безопасности. При среднем уровне шкалы строгости инцидент безопасности может иметь форму активных попыток получения неавторизованного доступа к компьютерной системе. При низком уровне шкалы инцидентом может быть любая успешная попытка получения неавторизованного доступа к системе или ресурсам. Эти события потенциально могут ликвидировать доступность ресурсов и, следовательно, являются серьезными. При идентификации инцидента некоторые организации могут попытаться преследовать нарушителя. В любом случае, инцидент должен быть зарегистрирован. В сущности, определение инцидента безопасности определяется политикой безопасности организации. Firewall’ы могут являться критичными элементами в контексте инцидента безопасности – они указывают на корреляцию событий. Корреляцию событий обеспечивает тот факт, что firewall’ы являются рубежом, который должны пересечь все сетевые атаки, чтобы войти в сеть. Это ставит firewall в уникальное положение по анализу неавторизованной деятельности. По этой причине все firewall’ы и другие системы создания логов, такие как IDS, должны выполнять синхронизацию времени. Наиболее общим механизмом для синхронизации времени является Network Time Protocol (NTP).
|
