事件范围是计算机安全事件的范围或深度。具体来说,它指的是攻击的范围,例如受影响的主机数量、可能访问的数据以及攻击者的预期目的。
当检测到安全事件时,第一步是确定系统或网络的哪些部分受到影响。这称为“事件范围界定”,需要了解网络或系统的整体安全状况。
事件的范围提供了了解攻击范围的一个窗口。了解事件的范围使组织能够了解攻击的严重程度并评估损害的严重程度。
除了传入攻击的程度之外,事件范围还可能指响应的大小。虽然事件范围界定是为了确定攻击的严重程度,但它也可用于确定安全响应的规模。这包括参与事件响应过程的人员和系统的数量,以及参与调查和响应的任何机构或司法管辖区。
了解攻击的范围和响应使组织能够就如何继续以及缓解攻击所需的步骤做出更明智的决策。此信息还可用于确定应如何更改安全态势的其他要素(例如策略和程序),以便将来更好地保护组织。
