CIA-triaden: Definition, komponenter og eksempler

Posted on

Hvad er CIA-triaden? CIA triad komponenter, defineret

CIA triad er en udbredt informationssikkerhed model, der kan vejlede en organisation”s indsats og politikker med henblik på at holde sine data sikre. Modellen har intet at gøre med USA, Central Intelligence Agency, men snarere, at bogstaverne står for de tre principper, som infosec hviler:

  • Fortrolighed: Kun autoriserede brugere og processer bør være i stand til at få adgang til eller ændre data
  • Integritet: Data skal holdes i en korrekt tilstand og ingen bør være i stand til uretmæssigt at ændre det, enten ved et uheld eller skadeligt
  • Tilgængelighed: Autoriserede brugere bør være i stand til at få adgang til data, når de har brug for at gøre det

Disse tre principper er naturligvis i top of mind for enhver infosec professionelle., Men at betragte dem som en triade tvinger sikkerhedsprofessionelle til at gøre det hårde arbejde med at tænke over, hvordan de overlapper hinanden og undertiden kan være i modsætning til hinanden, hvilket kan hjælpe med at fastlægge prioriteter i gennemførelsen af sikkerhedspolitikker. Vi vil diskutere hver af disse principper mere detaljeret i et øjeblik, men først lad os tale om oprindelsen og betydningen af triaden.

Hvem skabte CIA-triaden, og hvornår?,

i modsætning til mange grundlæggende begreber i infosec, CIA triad doesn”t synes at have en enkelt skaber eller fortaler; snarere, det opstod over tid som en artikel i visdom blandt informationssikkerhed pros. Ben Miller, en VP hos cybersikkerhedsfirmaet Dragos, sporer tidlige omtaler af de tre komponenter i triaden i et blogindlæg; han mener, at begrebet fortrolighed inden for datalogi blev formaliseret i en 1976 US., Air Force undersøgelse, og ideen om integritet blev lagt ud i en 1987 papir, der erkendte, at Kommercielle computing især havde specifikke behov omkring regnskaber, der krævede fokus på data korrekthed. Tilgængeligheden er sværere for en at pin ned, men diskussionen omkring den idé, steg i forgrunden i 1988, da Morris-ormen, en af de første udbredte stykker af malware, bankede en betydelig del af den embryonale internet offline.

det er heller ikke helt klart, når de tre begreber begyndte at blive behandlet som en trebenet afføring., Men det ser ud til at have været veletableret som et grundlæggende koncept i 1998, da Donn Parker i sin bog Fighting Computer Crime foreslog at udvide det til en seks-element ramme kaldet Parkerian he .ad. (Vi ” vender tilbage til HE .ad senere i denne artikel.)

CIA triad har således fungeret som en måde for fagfolk inden for informationssikkerhed at tænke over, hvad deres job indebærer i mere end to årtier., Det faktum, at konceptet er en del af cybersikkerhed lore og gør ikke”t “hører” til nogen har opfordret mange mennesker til at uddybe konceptet og gennemføre deres egne fortolkninger.

Hvorfor er CIA-triaden vigtig?

enhver, der kender selv det grundlæggende i cybersikkerhed, ville forstå, hvorfor disse tre begreber er vigtige. Men hvorfor er det så nyttigt at tænke på dem som en triade af forbundne ideer, snarere end separat?,

det”s lærerigt at tænke over CIA triad som en måde at få mening ud af den forvirrende vifte af sikkerhedssoft .are, tjenester, og teknikker, der er på markedet. I stedet for bare at kaste penge og konsulenter på det vage “problem” med “cybersikkerhed”, kan vi stille fokuserede spørgsmål, når vi planlægger og bruger penge: gør dette værktøj vores information mere sikker? Hjælper denne service med at sikre integriteten af vores data? Vil styrkelse af vores infrastruktur gøre vores data lettere tilgængelige for dem, der har brug for det?,

derudover gør det klart at arrangere disse tre begreber i en triade, at de i mange tilfælde eksisterer i spænding med hinanden. Vi ” vil grave dybere ned i nogle eksempler på et øjeblik, men nogle kontraster er indlysende: at kræve detaljeret godkendelse for dataadgang kan hjælpe med at sikre dens fortrolighed, men det kan også betyde, at nogle mennesker, der har ret til at se, at data kan have svært ved at gøre det, hvilket reducerer tilgængeligheden., Holde CIA triad i tankerne, som du etablere informationssikkerhed politikker tvinger et team til at træffe produktive beslutninger om, hvilke af de tre elementer er vigtigst for specifikke datasæt og for organisationen som helhed.

CIA-triadeksempler

for at forstå, hvordan CIA-triaden fungerer i praksis, skal du overveje eksemplet på en bank ATM, der kan tilbyde brugerne adgang til banksaldi og anden information.,værktøjer, der kan dække alle tre principper of the triad:

  • Det giver fortrolighed ved at kræve, at to-faktor-autentificering (både et fysisk kort og en PIN-kode) før de giver adgang til data
  • ATM og bank software håndhæve data integritet ved at sikre, at eventuelle overførsler eller udbetalinger, der er foretaget via maskinen er afspejlet i den regnskabsmæssige for brugeren”s bank konto
  • Den maskine giver ledighed, fordi det er på et offentligt sted og er tilgængelig, selv når den bank filial er lukket

Men er der mere at de tre principper end blot hvad”s på overfladen., Her er nogle eksempler på, hvordan de fungerer i hverdagens IT-miljøer.

CIA triad fortrolighed eksempler

meget af, hvad lægfolk tænker på som “cybersikkerhed” — væsentlige, noget, der begrænser adgangen til data — falder ind under rubrikken fortrolighed. Dette omfatter infosec”s to store, Som:

  • Godkendelse, som omfatter processer, der gør det muligt systemer til at bestemme, om en bruger er, hvem de siger de er., Disse inkluderer adgangskoder og panoply af teknikker, der er tilgængelige til oprettelse af identitet: biometri, sikkerhedsmærker, kryptografiske nøgler og lignende.
  • tilladelse, der bestemmer, hvem der har ret til at få adgang til hvilke data: bare fordi et system ved, hvem du er, det gør ikke”t nødvendigvis åbne alle sine data for din gennemlæsning! En af de vigtigste måder at håndhæve tavshedspligten er ved at etablere need-to-know mekanismer for adgang til data på den måde, at brugere, hvis konti er blevet hacket, eller som har gået rogue kan”t kompromittere følsomme data., De fleste operativsystemer håndhæver fortrolighed i denne forstand ved at have mange filer, der kun er tilgængelige af deres skabere eller en administrator, for eksempel.

Public-key kryptografi er et udbredt infrastruktur, der gennemtvinger både Som: ved godkendelse af, at du er hvem du siger du er, via kryptografiske nøgler, skal du oprette din ret til at deltage i krypteret samtale.

fortrolighed kan også håndhæves ved ikke-tekniske midler., For eksempel kan holde hardcopy data bag lås og nøgle holde det fortroligt; så kan luft-gapping computere og kæmper mod social engineering forsøg.et tab af fortrolighed defineres som data, der ses af en person, der ikke burde have set det. Big data brud ligesom Marriott hack er prime, højt profilerede eksempler på tab af fortrolighed.

CIA triad integrity eksempler

teknikkerne til at opretholde dataintegritet kan spænde over, hvad mange ville overveje forskellige discipliner., For eksempel håndhæver mange af metoderne til beskyttelse af fortrolighed også dataintegritet: du kan trods alt ikke ændre data, som du ikke kan få adgang til. Vi nævnte også reglerne for dataadgang, der håndhæves af de fleste operativsystemer: i nogle tilfælde kan filer læses af visse brugere, men ikke redigeres, hvilket kan hjælpe med at bevare dataintegriteten sammen med tilgængeligheden.

men der er andre måder dataintegritet kan gå tabt, der går ud over ondsindede angribere, der forsøger at slette eller ændre det., For eksempel, korruption siver ind i data i almindelig RAM som et resultat af interaktioner med kosmiske stråler meget mere regelmæssigt, end du”d tror. Det ” er i den eksotiske ende af spektret, men enhver teknik designet til at beskytte den fysiske integritet lagringsmedier kan også beskytte den virtuelle integritet af data.

mange af de måder, du vil forsvare mod brud på integriteten, er beregnet til at hjælpe dig med at registrere, når data er ændret, som datakontrolsummer eller gendanne dem til en kendt god tilstand, som at udføre hyppige og omhyggelige sikkerhedskopier., Krænkelse af integritet, er noget mindre almindelige eller indlysende end krænkelser af de to andre principper, men kan omfatte, for eksempel, at ændre virksomhedens data til at påvirke beslutningsprocessen, eller hacking ind i en finansielle system til kortvarigt at oppuste værdien af en aktie eller bankkonto og derefter flytte det overskydende beløb. En enklere — og mere almindelig-eksempel på et angreb på dataintegritet ville være en defacement angreb, hvor hackere ændre en hjemmeside”S HTML at hærge det for sjov eller ideologiske årsager.,

CIA triad tilgængelighed eksempler

vedligeholdelse tilgængelighed ofte falder på skuldrene af afdelinger ikke stærkt forbundet med cybersikkerhed. Den bedste måde at sikre, at dine data er tilgængelige, er at holde alle dine systemer i gang, og sørg for, at de”er i stand til at håndtere forventede netværksbelastninger. Dette indebærer at holde hard .are opdateret, overvåge brugen af båndbredde og give failover og katastrofegendannelseskapacitet, hvis systemerne går ned.,andre teknikker omkring dette princip involverer at finde ud af, hvordan man afbalancerer tilgængeligheden mod de to andre bekymringer i triaden. Når vi vender tilbage til de filtilladelser, der er indbygget i ethvert operativsystem, repræsenterer ideen om filer, der kan læses, men ikke redigeres af visse brugere, en måde at afbalancere konkurrerende behov på: at data er tilgængelige for mange brugere på trods af vores behov for at beskytte dens integritet.

det klassiske eksempel på et tab af tilgængelighed for en ondsindet skuespiller er et angreb på denial-of-service., På nogle måder, dette er den mest brute force handling cyberaggression derude: du ikke ændre dit offer data eller snige et kig på oplysninger, du bør ikke have; du re bare overvældende dem med trafik, så de ikke kan holde deres hjemmeside op. Men DoS-angreb er meget skadelige, og det illustrerer, hvorfor tilgængelighed hører hjemme i triaden.

CIA triad implementering

CIA triad bør guide dig som din organisation skriver og implementerer sine overordnede sikkerhedspolitikker og rammer., Husk, gennemføre triaden isn ” t et spørgsmål om at købe visse værktøjer; triaden er en måde at tænke, planlægning, og, måske vigtigst, indstilling af prioriteter. Industristandard cybersecurity rammer som dem fra NIST (som fokuserer meget på integritet) er informeret af ideerne bag CIA triad, selvom hver har sin egen særlige vægt.

Beyond the triad: den Parkerian he .ad, og mere

CIA triad er vigtig, men det isn”t hellige Skrift, og der er masser af infosec eksperter, der vil fortælle dig det gør ikke’ t dække alt., Som vi nævnte i 1998 Donn Parker foreslået en seks-sidet model, der senere blev døbt Parkerian Hexad, som er bygget op om følgende principper:

  • Fortrolighed
  • Besiddelse eller kontrol
  • Integritet
  • Ægthed
  • Tilgængelighed
  • Utility

Det er lidt et åbent spørgsmål, om de ekstra tre punkter, der er virkelig tryk på ind på et nyt område — utility og besiddelse kunne blive slået sammen under ledighed, for eksempel. Men det ” s værd at bemærke som en alternativ model.,

et sidste vigtigt princip om informationssikkerhed, der ikke passer pænt ind i CIA-triaden, er ikke-afvisning, hvilket i det væsentlige betyder, at nogen ikke fejlagtigt kan benægte, at de skabte, ændrede, observerede eller transmitterede data. Dette er afgørende i juridiske sammenhænge, når, for eksempel, nogen måske nødt til at bevise, at en underskrift er korrekte, eller at en besked blev sendt af den person, hvis navn er på det. CIA triad isn ” t en være-alle og end-all, men det er et værdifuldt redskab til at planlægge din infosec strategi.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *