co je triáda CIA? Komponenty triády CIA, definované
triáda CIA je široce používaný model informační bezpečnosti, který může vést úsilí a politiky organizace zaměřené na udržení jejích dat v bezpečí. Model nemá nic společného s USA., Central Intelligence Agency; spíše, iniciály stojan pro tři principy, na jejichž infosec spočívá:
- Důvěrnost: Pouze autorizovaní uživatelé a procesy by měly být schopni mít přístup nebo upravit data
- Integrita: Data by měla být udržována ve správném stavu a nikdo by měl být schopen nesprávně modifikovat, a to buď neúmyslně či záměrně,
- Dostupnost: Autorizovaní uživatelé by měly mít přístup k datům, kdykoli je třeba udělat tak,
Tyto tři principy jsou samozřejmě top of mind pro všechny infosec profesionální., Ale vzhledem k tomu, je jako triádu sil bezpečnostní profesionálové dělat těžké práce, přemýšlet o tom, jak se překrývají a někdy může být v opozici k druhým, které mohou pomoci při stanovování priorit v rámci provádění bezpečnostní politiky. Budeme diskutovat každý z těchto principů podrobněji v okamžiku, ale nejprve pojďme mluvit o původu a významu triády.
kdo vytvořil triádu CIA a kdy?,
Na rozdíl od mnoha základních pojmů v infosec, triáda CIA nezdá se, že jediný tvůrce nebo zastánce; spíše se objevil v průběhu času jako článek moudrosti mezi bezpečnost informací profesionály. Ben Miller, VICEPREZIDENT cybersecurity firma Dragos, stopy zpět začátku zmiňuje tři složky triády v blogu; myslí si, že pojem důvěrnosti v informatice byl formován v roce 1976 v USA, Studie letectva a myšlenka integrity byla stanovena v dokumentu z roku 1987, který uznal, že zejména komerční výpočetní technika měla specifické potřeby kolem účetních záznamů, které vyžadovaly zaměření na správnost dat. Dostupnost je těžší připnout, ale diskuse kolem této myšlenky vzrostla v roce 1988, kdy Morris worm, jeden z prvních rozšířených kusů malwaru, srazil významnou část embryonálního internetu offline.
není také zcela jasné, kdy se tyto tři pojmy začaly považovat za třínohou stolici., Ale zdá se, že byly dobře zaveden jako základní koncept v roce 1998, když Donn Parker, ve své knize Bojové Počítačové Trestné činnosti, navrhla rozšířit na šest-element rámce tzv. Parkerian Hexad. (Vrátíme se k Hexad později v tomto článku.)
triáda CIA tak sloužila jako způsob, jak profesionálové v oblasti informační bezpečnosti přemýšlet o tom, co jejich práce znamená více než dvě desetiletí., Skutečnost, že koncept je součástí kybernetické bezpečnosti tradice a nemá“t „patří“ někomu podnítilo mnoho lidí, aby vypracovala na koncepci a realizovat své vlastní výklady.
proč je triáda CIA důležitá?
každý, kdo zná i Základy kybernetické bezpečnosti, by pochopil, proč jsou tyto tři pojmy důležité. Ale proč je tak užitečné myslet na ně jako na triádu propojených nápadů, spíše než Samostatně?,
„s poučný přemýšlet o CIA triad jako způsob, jak smysl matoucí řadu bezpečnostního softwaru, služeb a technik, které jsou na trhu. Spíše než jen házet peníze a konzultanti na vágní „problém“, „kybernetické bezpečnosti,“ můžeme se zeptat zaměřila na otázky, jak máme v plánu a utrácet peníze: Má tento nástroj, aby naše informace v bezpečí? Pomáhá tato služba zajistit integritu našich dat? Bude posílení naší infrastruktury, aby naše data snadněji dostupné pro ty, kteří ji potřebují?,
kromě toho uspořádání těchto tří konceptů v triádě jasně ukazuje, že v mnoha případech existují v napětí mezi sebou. My“ll sáhnout hlouběji do některé příklady v okamžiku, ale některé kontrasty jsou zřejmé: je nutné vypracovat autentizace pro přístup k datům mohou pomoci zajistit jejich důvěrnost, ale také to může znamenat, že někteří lidé, kteří mají právo vidět, že data může být obtížné, aby tak učinily, čímž se snižuje dostupnost., Vedení CIA triáda v mysli, jak si vytvořit politiky bezpečnosti informací nutí tým, aby se produktivní rozhodnutí o tom, které tři prvky jsou nejdůležitější pro konkrétní sady dat a pro organizaci jako celek.
příklady triád CIA
Chcete-li pochopit, jak funguje triáda CIA v praxi, zvažte příklad bankovního bankomatu, který může uživatelům nabídnout přístup k bankovním zůstatkům a dalším informacím.,nástroje, které pokrývají všechny tři principy triády:
- poskytuje důvěrnost tím, že vyžaduje dva-faktor autentizace (jak fyzické karty a PIN kódu) před povolením přístupu k datům
- BANKOMATU a bankovní software prosazovat integritu dat tím, že zajistí, že veškeré převody nebo výběry pomocí stroje se odráží v účetnictví pro uživatele“s bankovní účet
- stroj poskytuje dostupnost, protože to“s na veřejném místě, a je přístupná, i když pobočce banky je uzavřen
Ale“s více na tři principy, než jen to, co“s na povrchu., Zde je několik příkladů toho, jak fungují v každodenním IT prostředí.
příklady utajení triády CIA
hodně z toho, co si laici myslí jako „kybernetická bezpečnost“ — v podstatě cokoli, co omezuje přístup k datům-spadá pod rubriku důvěrnosti. To zahrnuje infosec dvě velké jako:
- autentizace, která zahrnuje procesy, které umožňují systémům určit, zda je uživatel tím, kým říkají, že jsou., Patří mezi ně hesla a množství technik dostupných pro stanovení identity: biometrie, bezpečnostní tokeny, kryptografické klíče a podobně.
- Oprávnění, které určuje, kdo má právo k přístupu, který údaje: Jen proto, že systém ví, kdo jste, to nevypadá“t nutně otevřít všechny své údaje pro vaše pročtení! Jedním z nejdůležitějších způsobů, jak se prosadit zachování mlčenlivosti, kterým je potřeba-k-vědět mechanismů pro přístup k datům; tímto způsobem, uživatelé, jejichž účty byly hacknutý, nebo kteří odešli rogue může“t kompromis citlivých údajů., Většina operačních systémů v tomto smyslu prosazuje důvěrnost tím, že má mnoho souborů přístupných pouze jejich tvůrci nebo například administrátorem.
kryptografie veřejného klíče je rozšířená infrastruktura, která vynucuje jak: ověřením, že jste tím, kdo říkáte, že jste pomocí kryptografických klíčů, si stanovíte právo účastnit se šifrované konverzace.
důvěrnost lze také vymáhat netechnickými prostředky., Například, udržet tištěné údaje za zámek a klíč může držet v tajnosti, takže může vzduch-laminát počítačů a boj proti sociálnímu inženýrství pokusy.
ztráta důvěrnosti je definována jako data, která vidí někdo, kdo by to neměl vidět. Porušení velkých dat, jako je hack Marriott, jsou hlavními, vysoce profilovými příklady ztráty důvěrnosti.
příklady integrity triády CIA
techniky pro udržení integrity dat mohou zahrnovat to, co by mnozí považovali za nesourodé disciplíny., Například mnoho metod ochrany důvěrnosti také prosazuje integritu dat: nemůžete škodlivě měnit data, ke kterým máte přístup. Také jsme se zmínili o pravidlech přístupu k datům vynucených většinou operačních systémů: v některých případech mohou soubory číst někteří uživatelé, ale ne upravovat, což může pomoci udržet integritu dat spolu s dostupností.
Ale jsou i jiné způsoby, integritu dat, může být ztraceno, které jdou nad rámec škodlivého útočníci se snaží odstranit nebo změnit., Například korupce prosakuje do dat v běžném paměti RAM v důsledku interakcí s kosmickými paprsky mnohem pravidelněji, než si myslíte. To je na exotickém konci spektra,ale všechny techniky určené k ochraně fyzické integrity paměťových médií může také chránit virtuální integritu dat.
Mnoho způsobů, které byste bránit proti porušení integrity jsou určeny, aby vám pomohl zjistit, kdy byla změněna data, jako data, kontrolní součty, nebo jej obnovit do známého dobrého stavu, stejně jako provádění časté a pečlivé zálohování., Porušení integrity jsou poněkud méně časté, nebo zjevné, než porušení dvou dalších zásad, ale mohlo zahrnovat, například, změní obchodní údaje, které mají vliv na rozhodování, nebo nabourání se do finančního systému, aby krátce zvyšují hodnotu akcií, nebo na bankovní účet, a pak odčerpává přebytek. Jednodušší — a více časté — příkladem je útok na integritu dat by bylo znetvoření útoku, při němž hackeři změnit webové stránky“s HTML demolovat to pro zábavu, nebo ideologických důvodů.,
příklady dostupnosti triády CIA
zachování dostupnosti často spadá na ramena oddělení, která nejsou silně spojena s kybernetickou bezpečností. Nejlepší způsob, jak zajistit, že Vaše data jsou k dispozici, je udržet všechny vaše systémy v provozu, a ujistěte se, že jsou schopni zvládnout očekávané zatížení sítě. To znamená udržení hardwaru up-to-date, sledování využití šířky pásma, a poskytování failover a kapacity zotavení po havárii, pokud systémy jít dolů.,
Další techniky kolem tohoto principu zahrnují zjistit, jak vyvážit dostupnost proti dalším dvěma obavám v triádě. Návrat na oprávnění souborů vestavěný do každého operačního systému, myšlenka soubory, které lze číst, ale ne upravovat podle některých uživatelů představují rovnováhu mezi protichůdnými potřebami: že data budou k dispozici pro mnoho uživatelů, i přes naše potřeba chránit jeho celistvost.
klasickým příkladem ztráty dostupnosti škodlivého herce je útok odmítnutí služby., V některých ohledech, to je nejvíce hrubou silou akt cyberaggression venku: nejste měnit data oběti nebo plížit nahlédnout na informace, které byste neměli mít; jste jen ohromující je s provozem, takže nemohou udržet své webové stránky nahoru. Útoky DoS jsou však velmi škodlivé, a to ukazuje, proč dostupnost patří do triády.
implementace triády CIA
triáda CIA by vás měla vést, jak vaše organizace píše a implementuje své celkové bezpečnostní politiky a rámce., Pamatujte si, že provádění triády není záležitostí nákupu určitých nástrojů; triáda je způsob myšlení, plánování a, možná nejdůležitější, stanovení priorit. Průmyslové standardní rámce kybernetické bezpečnosti, jako jsou rámce z NIST (které se hodně zaměřují na integritu), jsou informovány myšlenkami za triádou CIA, i když každý má svůj vlastní zvláštní důraz.
je Mimo triádu: Parkerian Hexad, a další
CIA triad je důležité, ale to není“t svaté, a existuje spousta infosec odborníků, kteří budou říkat, že to nedává“t pokrýt všechno., Jak jsme již zmínili, v roce 1998 Donn Parker navrhla šest-sided model, který byl později nazván Parkerian Hexad, který je postaven na následujících principech:
- zachování Důvěrnosti
- Vlastnictví nebo ovládání
- Integrita
- Autenticita
- Dostupnost
- Nástroj
„s poněkud otevřenou otázkou, zda další tři body opravdu stiskněte na nové území — nástroj a držení by mohl být posuzován podle dostupnosti, například. Ale stojí za zmínku jako alternativní model.,
konečným důležitým principem bezpečnosti informací, který nezapadá úhledně do triády CIA, je odmítnutí, což v podstatě znamená, že někdo nemůže falešně popřít, že vytvořil, změnil, pozoroval, nebo přenášená data. To je zásadní v právních souvislostech, kdy například někdo bude muset prokázat, že podpis je přesný, nebo že zpráva byla odeslána osobou, jejíž jméno je na něm. CIA triáda není be-all a end-all, ale je to cenný nástroj pro plánování strategie infosec.