web-dev-qa-db-fra.com

Quelle est la signification du triage dans le monde Cybersec?

J'ai cherché sur Google à propos de ce terme, mais les définitions que j'ai trouvées étaient liées au monde médical et rien à l'informatique. Je pense que c'est une sorte de procédure pour documenter quelque chose peut-être? Notez que j'ai entendu ce mot pour la première fois dans le SOC (Security Operations Center) sur lequel je travaille actuellement.

41
victor26567

Nous venons de recevoir des rapports selon lesquels 4 000 de nos systèmes sont infectés par des rançongiciels.

3000 sont des utilisateurs finaux, 800 sont des serveurs non critiques, 200 sont des serveurs critiques.

Triage examine ce gâchis et décide dans quel ordre commencer la restauration des systèmes. Nous ne pouvons pas les résoudre tous en même temps, nous devons donc en examiner certains et dire: `` Désolé, petit Inspiron qui n'a pas pu, tu peux t'asseoir là et être inutile pendant un certain temps.

Cela vient du monde médical, comme vous l'avez dit. C'est le même raisonnement qu'un médecin urgentiste qui regarde deux patients et décide de travailler sur celui qu'ils sont plus sûrs de pouvoir sauver. Vous laissez aller l'un, aussi dur que cela puisse être, pour que l'autre puisse vivre. Si vous aviez travaillé sur la pire personne blessée, il est possible qu'ils soient morts tous les deux.

La différence dans le monde de la sécurité est que souvent c'est de l'argent perdu en raison de l'incapacité des utilisateurs à travailler, plutôt que de la vie ou de la mort littérale. Vous travaillez sur les systèmes que vous êtes le plus susceptible de pouvoir restaurer, et qui rapporteront la plus grande productivité à l'environnement. Pour l'instant, vous laissez de côté les ordinateurs portables individuels qui n'affectent qu'un seul utilisateur.

En plus de bonne réponse d'Adonalsium concernant la priorisation, l'étape de triage comprendra le routage initial de l'événement vers les personnes les mieux placées pour le gérer.

Une attaque de virus ou de ransomware irait à l'équipe des opérations qui isolerait d'abord l'ordinateur pour minimiser les dommages collatéraux. Une attaque DDoS peut être envoyée à l'équipe réseau pour commencer à couler les paquets de déchets. Un rapport de soupçon peut être placé dans une file d'attente pour qu'un généraliste puisse le gérer plus tard. Les preuves d'une intrusion peuvent être immédiatement transmises à l'équipe de gestion des incidents.

14
John Deters

En plus des autres bonnes réponses, le terme triage est également utilisé dans le processus de rapport de bogue bugbounty pour signifier le processus de reproduction initiale du problème et de lui attribuer une priorité.

Triage

Processus de validation d'une soumission de vulnérabilité de la soumission brute à un rapport valide et facilement digestible.

Source: https://www.bugcrowd.com/resources/glossary/triage/

Ou lorsque vous parlez de divers états d'un bug signalé:

Trié: une soumission qui peut être valide, mais doit être réexaminée et validée.

Source: https://docs.bugcrowd.com/docs/submission-status

Le terme est également utilisé dans un contexte similaire par HackerOne (bien qu'ils aient moins d'états pour une soumission, cela couvre donc plus que l'état du même nom de BugCrowd):

Trié - Le rapport est évalué mais n'a pas été résolu. Il est en cours de correction.

Source: https://docs.hackerone.com/hackers/report-states.html

7
Torin42