Настало время поговорить о нерегулярных отчетах или уведомлениях, т.е. о кратких и оперативных отчетах о важных событиях.
Иногда их еще называют breaking news alerts или situational awareness reports - но смысл один и тот же - классифицируется и анализируется важное событие, даются рекомендации что же делать и стоит ли вообще что-либо делать по этому поводу.
Соответственно, по аналогии с классификацией из анализа Cyber Risk Report от Сisco, доработанная классификация может быть такая:
Формат здесь не так важен, так как на первый план выходит скорость оповещения, содержание же обычно более однородно и используются метрики чем и вызваны изменения в классификации.
Итак, Cisco предлагает три вида оповещений:
Иногда их еще называют breaking news alerts или situational awareness reports - но смысл один и тот же - классифицируется и анализируется важное событие, даются рекомендации что же делать и стоит ли вообще что-либо делать по этому поводу.
Соответственно, по аналогии с классификацией из анализа Cyber Risk Report от Сisco, доработанная классификация может быть такая:
- тип оповещения - отчет о уязвимости, о DDoS аттаке, о вредоносном коде
- метрики используемые в оповещении - как минимум срочность и важность
- интеграция и связи с другими документами по осведомленности о угрозах
- способ доставки оповещения - сайт, e-mail, XML
Формат здесь не так важен, так как на первый план выходит скорость оповещения, содержание же обычно более однородно и используются метрики чем и вызваны изменения в классификации.
Итак, Cisco предлагает три вида оповещений:
- IntelliShield Alerts (оповещения о уязвимостях ПО)
- Threat Outbreak Alerts (оповещения о веб-угрозах)
- Virus Outbreak Alerts (оповещения о вредоносном коде)
Наименее интересным является оповещение о вирусах (3), которое мало что найти тяжело, но и содержит немного информации, например:
| Virus Name | IronPort | Sophos | McAfee | Trend Micro | Symantec |
|---|---|---|---|---|---|
| Mal/Generic-L | 07/09/2011 20:01 | +0d 14h 49m | Not Published | Not Published | Not Published |
Остальные 2 Оповещения весьма схожи, так что и рассматриваться будут вместе:
- о типах уже было сказано, но стоить отметить что Оповещение о веб-угрозах содержит как минимум в последне полтора месяца только сведения о фишинговых письмах
- основные метрики три - срочность&важность оповещения и достоверность источника, но IntelliShield Alert так же классифицируется по СVSS
- данные с обоих сервисов аггрегируются в другие документы, такие как уже упомянутый Cyber Risk Report
- формат html, со строгой разметкой позволяющей сразу выделить метрики
Оповещения служат несколько иным целям чем отчеты, и для большинства организаций СНГ пригодятся в первую очередь при совершенствовании процессов управления уязвимостями. В будущих обзорах оповещения и отчеты только о уязвимостях или только о вирусах (вообще только о отдельных видах угроз) не будут рассматриваться..за исключением случаев когда они дополняют более всесторонние отчеты как вот в данном случае.
Комментариев нет:
Отправить комментарий