What is the CIA triad? CIA triad komponentit, määritelty
CIA triad on laajalti käytetty tietoturva malli, joka voi ohjata organisaation ” ponnisteluja ja politiikkoja, joiden tarkoituksena on pitää sen tiedot turvassa. Mallilla ei ole mitään tekemistä Yhdysvaltain kanssa., Central Intelligence Agency; pikemminkin, nimikirjaimet seistä kolme periaatetta, joihin infosec kuuluu:
- Luottamuksellisuus: Vain valtuutettujen käyttäjien ja prosessien olisi oltava mahdollisuus käyttää ja muokata tietoja
- Eheys: Tiedot olisi säilytettävä oikea valtion ja kenenkään ei pitäisi voida perusteettomasti muuttaa sitä, joko vahingossa tai tahallisesti
- Saatavuus: Valtuutetut käyttäjät voivat käyttää tietoja, kun heidän täytyy tehdä niin
Nämä kolme periaatetta ovat ilmeisesti top of mind tahansa infosec ammattilainen., Mutta niitä pidettäisiin kolmikko voimat security plussat tehdä kova työ miettiä, miten ne limittyvät ja voivat joskus olla vastakkain, joka voi auttaa luomaan painopisteiden täytäntöönpanon turvallisuuspolitiikassa. Me ”ll keskustella kunkin näistä periaatteista yksityiskohtaisemmin hetken, mutta ensin” s puhua alkuperä ja merkitys kolmikannan.
kuka loi CIA: n Triadin ja milloin?,
toisin Kuin monet perustava käsitteitä infosec, CIA triad ei”t näyttävät on yksi luoja tai kannattaja, vaan se on syntynyt ajan kuluessa, kun artikkeli viisauden joukossa tietoturva-ammattilaisia. Ben Miller, varajohtaja kyberturvallisuusyritys Dragos, jälkiä takaisin varhaisia mainintoja kolme komponenttia Triadin blogikirjoitus; hän ajattelee käsite luottamuksellisuus tietojenkäsittelytieteessä virallistettiin vuonna 1976 Yhdysvalloissa., Ilmavoimien tutkimus, ja ajatus eheys oli säädettyihin 1987 paperia, joka tunnusti, että kaupallisen tietojenkäsittelyn erityisesti oli erityistarpeet noin kirjanpidon, joka vaaditaan keskittyä tietojen oikeellisuudesta. Saatavuus on vaikeampaa yksi pin alas, mutta keskustelua ympäri ajatus nousi esille vuonna 1988, kun Morris worm, yksi ensimmäisistä laajaa kappaletta haittaohjelmia, tippuu merkittävä osa alkion internet offline-tilassa.
se”ei myöskään ole täysin selvää, milloin kolmea käsitettä alettiin käsitellä kolmijalkaisena ulosteena., Mutta se näyttää olleen vakiintunut peruskäsite vuoteen 1998, kun Donn Parker kirjassaan Fighting Computer Crime, ehdotettu laajentaminen sen kuusi-elementti puitteet nimeltään Parkerian Hexad. (Me ” palaamme Heksadiin myöhemmin tässä artikkelissa.)
Näin ollen CIA: n kolmikko on toiminut, miten tietoturva-ammattilaisia miettimään, mitä heidän työnsä edellyttää yli kahden vuosikymmenen ajan., Se, että käsite on osa plus lore ja ei”t ”kuulua” kenellekään, on kannusti monet ihmiset kehittää konsepti ja toteuttaa omia tulkintoja.
miksi CIA: n triadi on tärkeä?
kuka tahansa kyberturvallisuuden perusasioistakin tuttu ymmärtäisi, miksi nämä kolme käsitettä ovat tärkeitä. Mutta miksi on niin hyödyllistä ajatella niitä toisiinsa liittyvien ajatusten kolmikantana eikä erillisenä?,
Se”s opettavainen miettiä CIA-triad tapa järkeä hämmentävän tietoturva ohjelmistot, palvelut ja tekniikoita, jotka ovat markkinoilla. Sen sijaan, että vain heittää rahaa ja konsulttien epämääräinen ”ongelma” ja ”kyberturvallisuus”, voimme kysyä keskittynyt kysymyksiin, kuten me suunnitella ja käyttää rahaa: Onko tämä työkalu tekevät tietoja varmempi? Auttaako tämä palvelu varmistamaan tietojemme eheyden? Tekeekö infrastruktuurimme kehittämisestä tietojamme helpommin niiden saataville, jotka sitä tarvitsevat?,
lisäksi näiden kolmen käsitteen järjestäminen kolmikannassa tekee selväksi, että ne ovat monissa tapauksissa jännittyneitä keskenään. Me”ll kaivaa syvemmälle joitakin esimerkkejä hetken, mutta jotkut kontrastit ovat ilmeiset: Vaativat monimutkaisia todennus data access voi auttaa varmistamaan sen luottamuksellisuuden, mutta se voi myös tarkoittaa, että jotkut ihmiset, joilla on oikeus nähdä, että tietoja voi olla vaikea tehdä niin, mikä vähentää saatavuus., Pitää CIA-triad mielessä, kun voit luoda tietoturvapolitiikan voimia joukkue tekemään tuottavampia päätöksiä siitä, mitkä kolme tekijää on tärkeintä erityisiä sarjaa tiedot ja organisaatio kokonaisuutena.
CIA-triad esimerkkejä
ymmärtää, miten CIA triad toimii käytännössä, harkitse esimerkiksi pankin ATM, joka voi tarjota käyttäjille pääsyn bank saldot ja muut tiedot.,työkaluja, jotka kattavat kaikki kolme periaatetta kolmikko:
- Se tarjoaa luottamuksellisuutta vaatimalla kahden tekijän todennus (sekä fyysinen kortti ja PIN-koodi) ennen mahdollistaa pääsyn tietoihin
- ATM ja pankki-ohjelmisto valvoa tietojen eheyttä varmistamalla, että kaikki siirrot ja nostot tehdään kautta kone heijastuvat osuus käyttäjä”s-pankin tili
- kone tarjoaa käytettävyydestä, koska se”s julkisella paikalla ja on saatavilla, vaikka pankin konttori on suljettu
Mutta siellä”s enemmän kolme periaatetta kuin mikä”s pinnalla., Tässä muutamia esimerkkejä siitä, miten ne toimivat arjen IT-ympäristöissä.
CIA-triad luottamuksellisuus esimerkkejä
Paljon siitä, mitä maallikoiden ajattelevat kuin ”plus” — pohjimmiltaan, mitään, joka rajoittaa pääsyä tietoihin — kaatumiset kohtaan luottamuksellisuuden. Tähän sisältyy infosec ” s two big As:
- Authentication, joka käsittää prosessit, joiden avulla järjestelmät voivat määrittää, onko käyttäjä kuka sanoo olevansa., Näitä ovat salasanat ja joukko tekniikoita saatavilla henkilöllisyyden: biometria, turvallisuus merkkejä, salausavaimet, ja vastaavat.
- Lupa, joka määrittää, kenellä on oikeus käyttää, joka tiedot: Vain koska järjestelmä tietää, kuka olet, se ei”t tarvitse välttämättä avata kaikki sen tiedot teidän lukeminen! Yksi tärkeimmistä keinoista valvoa luottamuksellisuus on luoda tarve-to-tietää mekanismeja tietojen saatavuutta; että tapa, käyttäjät, joiden tilit on hakkeroitu tai jotka ovat menneet rogue voi”t vaarantaa arkaluonteisia tietoja., Useimmat käyttöjärjestelmät valvovat luottamuksellisuutta tässä mielessä siten, että monet tiedostot ovat vain luojiensa tai esimerkiksi ylläpitäjän saatavilla.
Julkisen avaimen salaus on laaja infrastruktuuri, joka valvoo sekä: autentikoimalla, että olet kuka sanot olevasi kautta salausavaimia, voit luoda oman oikeus osallistua salattu keskustelu.
salassapitovelvollisuus voidaan panna täytäntöön myös muilla kuin teknisillä keinoilla., Esimerkiksi, pitää hardcopy tiedot takana Lukko ja avain voi pitää sen luottamuksellisena; samoin voi air-gapping tietokoneet ja torjuminen social engineering yrityksiä.
salassapitovelvollisuuden menettämisellä tarkoitetaan sitä, että tietoja näkee joku, jonka ei olisi pitänyt sitä nähdä. Suuret tietomurrot, kuten Marriott hack, ovat hyviä esimerkkejä luottamuksellisuuden menetyksestä.
CIA-triad eheys esimerkkejä
tekniikoita ylläpitää tietojen eheys voidaan span, mitä monet pitävät erilaisia tieteenaloja., Esimerkiksi monet menetelmät suojella luottamuksellisuutta myös valvoa tietojen eheys: voit”t vihamielisesti muuttaa tietoja, että voit”t käyttää, kun kaikki. Mainitsimme myös useimpien käyttöjärjestelmien valvomat tiedonsaantisäännöt: joissakin tapauksissa tietyt käyttäjät voivat lukea tiedostoja, mutta niitä ei muokata, mikä voi auttaa säilyttämään tietojen eheyden ja saatavuuden.
Mutta on olemassa muita tapoja tietojen eheys voidaan menettää, joka ylittää ilkeä hyökkääjät yrittävät poistaa tai muuttaa sitä., Esimerkiksi korruptio tihkuu aineistoon tavallisessa PÄSSISSÄ kosmisten säteiden kanssakäymisen seurauksena paljon säännöllisemmin kuin luuletkaan. Tämä on spektrin eksoottisessa päässä, mutta kaikki tallennusvälineiden fyysisen eheyden suojelemiseksi suunnitellut tekniikat voivat myös suojata tietojen virtuaalista eheyttä.
Monia tapoja, joilla voit puolustaa vastaan rikkomisesta eheyden on tarkoitus auttaa sinua havaita, kun data on muuttunut, kuten tiedot, tarkistussummat, tai palauttaa sen tunnettu hyvässä, kuin suorittaa usein ja huolellinen varmuuskopiot., Rikkoo eheyden ovat hieman harvinaisempia tai ilmeinen rikkomuksia kuin kahden muun periaatteita, mutta niihin voi sisältyä, esimerkiksi muuttaa yrityksen tietoja vaikuttaa päätöksentekoon, tai hakkerointi osaksi rahoitusjärjestelmän lyhyesti puhaltaa arvo varastossa tai pankki-tili ja sitten imetään pois ylimääräinen. Yksinkertaisempi ja enemmän yhteistä — esimerkiksi hyökkäys tietojen eheys olisi defacement hyökkäys, jossa hakkerit muuttaa sivuston”s HTML särkeä se huvin tai ideologisista syistä.,
CIA-triad saatavuus esimerkkejä
Ylläpitäminen saatavuus usein osuu hartiat osastojen ei vahvasti liittyy mac. Paras tapa varmistaa, että tietosi ovat saatavilla on pitää kaikki järjestelmät käynnissä, ja varmista, että ne”re pysty käsittelemään odotettavissa verkon kuormia. Tämä edellyttää laitteiston pysymistä ajan tasalla, kaistanleveyden käytön seurantaa ja vikaantumis-ja katastrofien palautuskapasiteetin tarjoamista, jos järjestelmät laskevat.,
Muut tekniikat ympäri tämän periaatteen mukaan mietitään, miten tasapaino saatavuus vastakkain kaksi huolenaiheita kolmikko. Palatakseni tiedoston käyttöoikeuksia rakennettu jokainen käyttöjärjestelmä, ajatus-tiedostoja, joka voi lukea, mutta ei muokata tiettyjä käyttäjät ovat tapa tasapainottaa kilpailevia tarpeita: tiedot saatavilla monet käyttäjät, vaikka meidän täytyy suojella sen koskemattomuutta.
klassinen esimerkki ilkeämielisen toimijan saatavuuden heikkenemisestä on palvelunestohyökkäys., Jollain tavalla, tämä on kaikkein brute force teko cyberaggression siellä: olet”re ole muuttaa uhri”: n tiedot, tai hiippailla kurkistaa tiedot, sinun ei”t on; sinä”uudelleen vain ylivoimainen niitä liikennettä, jotta he voivat”t pitää sivustosi ajan. Mutta DoS-hyökkäykset ovat hyvin vahingollisia, ja se osoittaa, miksi saatavuus kuuluu kolmikantaan.
CIA-triad toteutus
CIA triad pitäisi opastaa sinua, kun organisaatiosi kirjoittaa ja toteuttaa sen yleistä turvallisuuden politiikat ja puitteet., Muista, täytäntöönpanosta kolmikko isn”t asia ostaa tiettyjä työkaluja; kolmikko on ajattelu -, suunnittelu -, ja, ehkä kaikkein tärkeintä, painopisteiden asettaminen. Alan standardi plus puitteet, kuten niistä peräisin NIST (joka keskittyy paljon eheys) ovat ilmoittaneet ideoita takana CIA-triad, vaikka kullakin on oma erityinen painopiste.
Yli kolmikko: Parkerian Hexad, ja enemmän
CIA: N kolmikko on tärkeää, mutta se ei”t pyhää, ja siellä on runsaasti infosec asiantuntijoita, jotka kertovat teille, että se ei”t kata kaikkea., Kuten mainittu, vuonna 1998 Donn Parker esitti kuusi-puolinen malli, joka oli myöhemmin puhuttu Parkerian Hexad, joka on rakennettu seuraavien periaatteiden mukaisesti:
- Luottamuksellisuus
- Hallussa tai hallinnassa
- Rehellisyys
- Aitous
- Saatavuus
- Utility
Se”s hieman avoin kysymys, ovatko ylimääräiset kolme pistettä todella paina uudelle alueelle — apuohjelma ja hallussapito voitaisiin niputetaan alla saatavuus, esimerkiksi. Mutta se on syytä huomata vaihtoehtoisena mallina.,
viimeinen tärkeä periaate tietoturva se ei”t sovi siististi CIA triad on kiistämättömyys, joka tarkoittaa sitä, että joku ei voi väärin kieltää, että ne on luotu, muutettu, noudatettava, tai siirtää tietoja. Tämä on ratkaisevaa oikeudellisissa yhteyksissä, kun esimerkiksi joku saattaa joutua todistamaan allekirjoituksen oikeaksi tai että viestin on lähettänyt henkilö, jonka nimi on siinä. CIA: n triadi ei ole”kaikki ja loppu”, mutta se on arvokas työkalu infosec-strategian suunnitteluun.