Определение реагирования на инциденты
Прежде чем говорить о реагировании, важно разобраться, что такое инцидент. В ИТ-сфере есть три термина, которые иногда используются как синонимы, но на самом деле означают разные вещи.
- Событие — это безобидное, регулярно происходящее действие, например создание файла, удаление папки или открытие электронного письма. Обычно событие само по себе не является признаком нарушения безопасности. Но если оно происходит одновременно с другими событиями, это может сигнализировать об угрозе.
- Оповещение — это уведомление о событии, которое может быть связано с угрозой.
- Инцидент — это группа взаимосвязанных оповещений, которые человек или автоматизированная система сочли реальной угрозой. Каждое оповещение в отдельности может не быть маркером серьезной угрозы, но в совокупности они указывают на возможное нарушение безопасности.
Реагирование на инциденты — это действия, которые организация предпринимает, когда есть основания полагать, что произошел взлом ИТ-системы или утечка данных. Например, специалисты по безопасности будут принимать меры, если увидят признаки неавторизованного доступа, запуска вредоносной программы или сбоя в системе защиты.
Цели такого реагирования — как можно быстрее пресечь кибератаку, восстановить данные и уведомить клиентов или государственные органы в соответствии с региональными законами. После этого важно понять, как снизить риск аналогичных взломов в будущем.
Следите за новостями Microsoft Security