Was ist die CIA-Triade? Die CIA-Triade Komponenten, definiert
Die CIA-Triade ist ein weit verbreitetes Informationssicherheitsmodell, das eine Organisation Bemühungen und Richtlinien zur Sicherung ihrer Daten führen kann. Das Modell hat nichts mit den USA zu tun., Central Intelligence Agency; vielmehr stehen die Initialen für die drei Prinzipien, auf denen infosec beruht:
- Vertraulichkeit: Nur autorisierte Benutzer und Prozesse sollten auf Daten zugreifen oder sie ändern können
- Integrität: Daten sollten in einem korrekten Zustand gehalten werden und niemand sollte sie versehentlich oder böswillig falsch ändern können
- Verfügbarkeit: Autorisierte Benutzer sollten auf Daten zugreifen können, wann immer sie dies tun müssen
Diese drei Prinzipien sind offensichtlich Top of Mind für jeden infosec Profi., Aber wenn man sie als Triade betrachtet, zwingt man Sicherheitsprofis dazu, die harte Arbeit zu tun, darüber nachzudenken, wie sie sich überschneiden und manchmal gegeneinander stehen können, was bei der Festlegung von Prioritäten bei der Umsetzung der Sicherheitspolitik helfen kann. Wir werden jeden dieser Prinzipien im Detail in einem Moment diskutieren, aber zuerst lassen Sie uns über die Ursprünge und die Bedeutung der Triade sprechen.
Wer hat die CIA-Triade erstellt und wann?,
Im Gegensatz zu vielen grundlegenden Konzepte in infosec, die CIA-Triade scheint nicht einen einzigen Schöpfer oder Befürworter zu haben; vielmehr entstand es im Laufe der Zeit als ein Artikel der Weisheit unter Profis der Informationssicherheit. Ben Miller, ein VP bei Cybersecurity Firma Dragos, Spuren zurück frühe Erwähnungen der drei Komponenten der Triade in einem Blog-Post; er denkt, dass das Konzept der Vertraulichkeit in der Informatik in einem 1976 US formalisiert wurde., Air Force-Studie, und die Idee der Integrität wurde in einem 1987 Papier, das anerkannt, dass kommerzielle Computing insbesondere spezifische Bedürfnisse rund um Buchhaltungsunterlagen, die einen Fokus auf Datenkorrektheit erforderlich gelegt. Die Verfügbarkeit ist schwieriger zu bestimmen, aber die Diskussion um die Idee stieg 1988 an Bedeutung, als der Morris-Wurm, einer der ersten weit verbreiteten Malware-Teile, einen erheblichen Teil des embryonalen Internets offline schlug.
Es ist auch nicht ganz klar, wann die drei Konzepte als dreibeiniger Stuhl behandelt wurden., Es scheint jedoch als grundlegendes Konzept bis 1998 gut etabliert zu sein, als Donn Parker in seinem Buch Fighting Computer Crime vorschlug, es auf ein Sechs-Elemente-Framework namens Parkerian Hexad auszudehnen. (Wir“ll return to the Hexad später in diesem Artikel.)
Daher dient die CIA-Triade seit mehr als zwei Jahrzehnten dazu, dass Fachleute der Informationssicherheit darüber nachdenken, was ihre Arbeit mit sich bringt., Die Tatsache, dass das Konzept Teil der Cybersicherheitsgeschichte ist und niemandem“gehört“, hat viele Menschen ermutigt, das Konzept zu erarbeiten und ihre eigenen Interpretationen umzusetzen.
Warum ist die CIA-Triade wichtig?
Jeder, der selbst mit den Grundlagen der Cybersicherheit vertraut ist, würde verstehen, warum diese drei Konzepte wichtig sind. Aber warum ist es so hilfreich, sie als eine Triade verknüpfter Ideen zu betrachten, anstatt getrennt?,
Es ist lehrreich, über die CIA-Triade als eine Möglichkeit zu denken, Sinn der verwirrenden Reihe von Sicherheitssoftware zu machen, Dienstleistungen und Techniken, die auf dem Markt sind. Anstatt nur Geld und Berater auf das vage „Problem“ der „Cybersicherheit“ zu werfen, können wir konzentrierte Fragen stellen, während wir Geld planen und ausgeben: Macht dieses Tool unsere Informationen sicherer? Trägt dieser Service zur Gewährleistung der Integrität unserer Daten bei? Wird die Verbesserung unserer Infrastruktur unsere Daten für diejenigen, die sie benötigen, leichter verfügbar machen?,
Darüber hinaus macht die Anordnung dieser drei Konzepte in einer Triade deutlich, dass sie in vielen Fällen im Spannungsfeld zueinander existieren. Wir werden in einem Moment tiefer in einige Beispiele graben, aber einige Gegensätze liegen auf der Hand: Eine aufwändige Authentifizierung für den Datenzugriff erfordern kann dazu beitragen, seine Vertraulichkeit zu gewährleisten, aber es kann auch bedeuten, dass einige Menschen, die das Recht haben, diese Daten zu sehen, kann es schwierig finden, dies zu tun, wodurch die Verfügbarkeit., Wenn Sie den CIA-Dreiklang bei der Festlegung von Richtlinien zur Informationssicherheit berücksichtigen, muss ein Team produktive Entscheidungen darüber treffen, welches der drei Elemente für bestimmte Datensätze und für die gesamte Organisation am wichtigsten ist.
Beispiele für CIA-Triaden
Um zu verstehen, wie die CIA-Triade in der Praxis funktioniert, betrachten Sie das Beispiel eines Bankautomaten, der Benutzern Zugriff auf Bankguthaben und andere Informationen bietet.,tools, die alle drei Prinzipien der Triade abdecken:
- Es bietet Vertraulichkeit durch die Anforderung von Zwei-Faktor-Authentifizierung (sowohl eine physische Karte und einen PIN-Code), bevor der Zugriff auf Daten
- Die ATM und Bank-Software erzwingen Datenintegrität durch die Sicherstellung, dass alle Überweisungen oder Abhebungen über die Maschine gemacht werden in der Buchhaltung für das Bankkonto des Benutzers reflektiert
- Die Maschine bietet Verfügbarkeit, weil es an einem öffentlichen Ort und ist zugänglich, auch wenn die Bankfiliale geschlossen
Aber there“s more to the three principles than just what“s on the surface., Hier sind einige Beispiele, wie sie in alltäglichen IT-Umgebungen funktionieren.
CIA triad confidentiality examples
Vieles von dem, was Laien als „Cybersecurity“ betrachten — im Wesentlichen alles, was den Zugriff auf Daten einschränkt — fällt unter die Rubrik Vertraulichkeit. Dazu gehören infosec zwei große wie:
- Authentifizierung, die Prozesse umfasst, die Systeme bestimmen können, ob ein Benutzer ist, wer sie sagen, sie sind., Dazu gehören Passwörter und die Vielzahl der verfügbaren Techniken zur Identitätsfeststellung: Biometrie, Sicherheitstoken, kryptografische Schlüssel und dergleichen.
- Genehmigung, die bestimmt, wer das Recht hat, auf welche Daten zugreifen: Nur, weil ein system weiß, wer Sie sind, es doesn“t unbedingt öffnen Sie alle Ihre Daten für Sie bereit! Eine der wichtigsten Möglichkeiten, um die Vertraulichkeit zu erzwingen, ist die Einrichtung von Need-to-know-Mechanismen für den Datenzugriff; auf diese Weise können Benutzer, deren Konten gehackt wurden oder die Schurken gegangen sind, sensible Daten nicht gefährden., Die meisten Betriebssysteme erzwingen die Vertraulichkeit in diesem Sinne, indem sie viele Dateien nur von ihren Erstellern oder einem Administrator zugänglich machen, zum Beispiel.
Public-Key-Kryptographie ist eine weit verbreitete Infrastruktur, die beides erzwingt: Indem Sie sich über kryptografische Schlüssel authentifizieren, wer Sie sind, begründen Sie Ihr Recht, an der verschlüsselten Konversation teilzunehmen.
Die Vertraulichkeit kann auch mit nichttechnischen Mitteln durchgesetzt werden., Zum Beispiel kann das Aufbewahren von Hardcopy-Daten hinter Schloss und Schlüssel diese vertraulich behandeln.so können Computer durch die Luft fliegen und gegen Social-Engineering-Versuche kämpfen.
Ein Vertraulichkeitsverlust ist definiert als Daten, die von jemandem gesehen werden, der sie nicht gesehen haben sollte. Big-Data-Verstöße wie der Marriott-Hack sind erstklassige, hochkarätige Beispiele für den Verlust der Vertraulichkeit.
riad integrity examples
Die Techniken zur Aufrechterhaltung der Datenintegrität können das umfassen, was viele als unterschiedliche Disziplinen betrachten würden., Zum Beispiel erzwingen viele der Methoden zum Schutz der Vertraulichkeit auch die Datenintegrität: Sie können „t böswillig Daten ändern, die Sie“t zugreifen können, nachdem alle. Wir haben auch die Datenzugriffsregeln erwähnt, die von den meisten Betriebssystemen erzwungen werden: In einigen Fällen, Dateien können von bestimmten Benutzern gelesen, aber nicht bearbeitet werden, Dies kann dazu beitragen, die Datenintegrität zusammen mit der Verfügbarkeit aufrechtzuerhalten.
Es gibt jedoch andere Möglichkeiten, wie die Datenintegrität verloren gehen kann, die über böswillige Angreifer hinausgehen, die versuchen, sie zu löschen oder zu ändern., Zum Beispiel sickert Korruption in Daten in gewöhnlichen RAM als Folge der Wechselwirkungen mit kosmischen Strahlen viel regelmäßiger als Sie denken. Das ist am exotischen Ende des Spektrums, aber alle Techniken entwickelt, um die physische Integrität von Speichermedien zu schützen, kann auch die virtuelle Integrität von Daten schützen.
Viele der Möglichkeiten, die Sie gegen Integritätsverletzungen verteidigen würden, sollen Ihnen helfen, zu erkennen, wann sich Daten geändert haben, z. B. Datenprüfsummen, oder sie in einem bekannten guten Zustand wiederherzustellen, z. B. häufige und sorgfältige Sicherungen durchzuführen., Verstöße gegen die Integrität sind etwas seltener oder offensichtlicher als Verstöße gegen die beiden anderen Prinzipien, können jedoch beispielsweise die Änderung von Geschäftsdaten umfassen, um die Entscheidungsfindung zu beeinflussen, oder das Hacken in ein Finanzsystem, um den Wert einer Aktie oder eines Bankkontos kurzzeitig aufzublasen und dann den Überschuss abzuschöpfen. Ein einfacheres — und häufiger-Beispiel für einen Angriff auf die Datenintegrität wäre ein Defacement-Angriff, in dem Hacker eine Website HTML ändern, um es aus Spaß oder ideologischen Gründen zu zerstören.,
CIA triad availability examples
Die Aufrechterhaltung der Verfügbarkeit fällt oft auf die Schultern von Abteilungen, die nicht stark mit Cybersicherheit verbunden sind. Der beste Weg, um sicherzustellen, dass Ihre Daten verfügbar sind, ist alle Ihre Systeme auf dem Laufenden zu halten, und stellen Sie sicher, dass sie in der Lage erwarteten Netzwerklasten zu handhaben. Dies beinhaltet die Aktualisierung der Hardware, die Überwachung der Bandbreitennutzung und die Bereitstellung von Failover-und Disaster Recovery-Kapazität, wenn Systeme ausfallen.,
Andere Techniken rund um dieses Prinzip beinhalten herauszufinden, wie die Verfügbarkeit gegen die beiden anderen Bedenken in der Triade auszugleichen. Zurück zu den Dateiberechtigungen, die in jedem Betriebssystem integriert sind, stellt die Idee von Dateien, die von bestimmten Benutzern gelesen, aber nicht bearbeitet werden können, eine Möglichkeit dar, konkurrierende Anforderungen auszugleichen: Dass Daten für viele Benutzer verfügbar sind, obwohl wir ihre Integrität schützen müssen.
Das klassische Beispiel für einen Verlust der Verfügbarkeit für einen böswilligen Akteur ist ein Denial-of-Service-Angriff., In gewisser Weise ist dies der Brute-Force-Akt der Cyberaggression da draußen: Sie sind nicht Ihr Opfer Daten zu verändern oder einen Blick auf Informationen schleichen Sie shouldn“t haben; Sie sind nur überwältigend sie mit Verkehr, so dass sie ihre Website nicht halten können. DoS-Angriffe sind jedoch sehr schädlich, und das zeigt, warum die Verfügbarkeit in die Triade gehört.
Implementierung der CIA-Triade
Die CIA-Triade sollte Sie beim Schreiben und Implementieren Ihrer gesamten Sicherheitsrichtlinien und-Frameworks unterstützen., Denken Sie daran, die Umsetzung der Triade isn“t eine Frage des Kaufs bestimmter Werkzeuge; die Triade ist eine Art zu denken, Planung, und, vielleicht am wichtigsten, Prioritäten setzen. Branchenübliche Cybersicherheitsframeworks wie die von NIST (die sich sehr auf Integrität konzentrieren) werden von den Ideen hinter der CIA-Triade beeinflusst, obwohl jeder seinen eigenen Schwerpunkt hat.
Jenseits der Triade: Die Parkerian Hexad und mehr
Die CIA-Triade ist wichtig, aber es isn“t der Heiligen Schrift, und es gibt eine Vielzahl von infosec-Experten werden Ihnen sagen, es doesn“t Abdeckung alles., Wie bereits erwähnt, schlug Donn Parker 1998 ein sechsseitiges Modell vor, das später als Parkerian Hexad bezeichnet wurde und auf folgenden Prinzipien basiert:
- Vertraulichkeit
- Besitz oder Kontrolle
- Integrität
- Authentizität
- Verfügbarkeit
- Dienstprogramm
Es ist etwas offen für die Frage, ob die zusätzlichen drei Punkte wirklich in neues Gebiet drängen-Dienstprogramm und besitz könnte zum Beispiel unter Verfügbarkeit in einen Topf geworfen werden. Aber es ist erwähnenswert, als alternatives Modell.,
Ein letztes wichtiges Prinzip der Informationssicherheit, das nicht ordentlich in die CIA-Triade passt, ist die Nicht-Ablehnung, was im Wesentlichen bedeutet, dass jemand nicht fälschlicherweise leugnen kann, dass er Daten erstellt, verändert, beobachtet oder übertragen hat. Dies ist in rechtlichen Kontexten von entscheidender Bedeutung, wenn beispielsweise jemand nachweisen muss, dass eine Unterschrift korrekt ist oder dass eine Nachricht von der Person gesendet wurde, deren Name darauf steht. Die CIA-Triade ist nicht ein be-all und End-all, aber es ist ein wertvolles Werkzeug für Ihre infosec Strategie Planung.