it-swarm.com.de

Was bedeutet Triage in der Cybersec-Welt?

Ich habe Google nach diesem Begriff durchsucht, aber die Definitionen, die ich gefunden habe, beziehen sich auf die medizinische Welt und nichts auf die IT. Ich denke, das ist eine Art Verfahren, um vielleicht etwas zu dokumentieren? Beachten Sie, dass ich dieses Wort zum ersten Mal im SOC (Security Operations Center) gehört habe, an dem ich gerade arbeite.

41
victor26567

Wir haben gerade Berichte erhalten, dass 4000 unserer Systeme mit Ransomeware infiziert sind.

3000 sind Endbenutzer, 800 sind nicht kritische Server, 200 sind kritische Server.

Triage untersucht dieses Durcheinander und entscheidet, in welcher Reihenfolge mit der Wiederherstellung von Systemen begonnen werden soll. Wir können nicht alle auf einmal in Angriff nehmen, daher müssen wir uns einige ansehen und sagen: „Entschuldigung, kleines Inspiron, das konnte nicht, Sie können dort sitzen und für eine Weile nutzlos sein. '

Es kommt aus der medizinischen Welt, wie Sie gesagt haben. Es ist die gleiche Argumentation wie ein Notarzt, der zwei Patienten ansieht und sich entscheidet, an dem zu arbeiten, von dem sie sicherer sind, dass sie ihn retten können. Du lässt einen los, so hart es auch sein mag, damit der andere leben kann. Wenn Sie an der schlimmsten verletzten Person gearbeitet hätten, wären beide möglicherweise gestorben.

Der Unterschied in der Sicherheitswelt besteht darin, dass häufig Dollars verloren gehen, weil Benutzer nicht arbeiten können, und nicht buchstäblich Leben und Tod. Sie arbeiten an den Systemen, die Sie am wahrscheinlichsten wiederherstellen können, und die der Umgebung die größte Produktivität zurückgeben. Sie lassen die einzelnen Laptops, die nur einen einzelnen Benutzer betreffen, vorerst beiseite.

Zusätzlich zu Adonalsiums feine Antwort in Bezug auf die Priorisierung umfasst der Triage-Schritt die anfängliche Weiterleitung des Ereignisses an die Personen, die für die Behandlung am besten geeignet sind.

Ein Viren- oder Ransomware-Angriff würde an das Betriebsteam gehen, das zuerst den Computer isoliert, um Kollateralschäden zu minimieren. Ein DDoS-Angriff kann an das Netzwerkteam gehen, um die Müllpakete zu versenken. Ein Verdachtsbericht kann in eine Warteschlange gestellt werden, die ein Generalist später bearbeiten kann. Hinweise auf ein Eindringen können sofort an das Incident Management-Team weitergeleitet werden.

14
John Deters

Zusätzlich zu den anderen großartigen Antworten wird der Begriff Triage auch im Bugbounty-Bug-Report-Prozess verwendet, um den Prozess des anfänglichen Reproduzierens des Problems und des Zuweisens einer Priorität zu bezeichnen.

Triage

Der Prozess der Validierung einer Schwachstellenübermittlung von der Rohübermittlung an einen gültigen, leicht verdaulichen Bericht.

Quelle: https://www.bugcrowd.com/resources/glossary/triage/

Oder wenn Sie über verschiedene Zustände eines gemeldeten Fehlers sprechen:

Triaged: Eine Einreichung, die möglicherweise gültig ist, aber erneut überprüft und validiert werden muss.

Quelle: https://docs.bugcrowd.com/docs/submission-status

Der Begriff wird in einem ähnlichen Kontext auch von HackerOne verwendet (obwohl sie weniger Zustände für eine Einreichung haben, so dass dies mehr als den gleichnamigen Zustand von BugCrowd abdeckt):

Triaged - Der Bericht wird ausgewertet, aber noch nicht gelöst. Es befindet sich im Zustand der Reparatur.

Quelle: https://docs.hackerone.com/hackers/report-states.html

7
Torin42