mi a CIA triad? A CIA triad komponensek, meghatározott
a CIA triad egy széles körben használt információbiztonsági modell, amely irányíthatja a szervezet erőfeszítéseit és politikáit, amelyek célja az adatok biztonságának megőrzése. A modellnek semmi köze az Egyesült Államokhoz., Központi Hírszerző Ügynökség; inkább a kezdőbetűk, a három elv, amelyre infosec nyugszik:
- Titoktartási: Csak az arra jogosult felhasználók folyamatok képesnek kell lennie arra, hogy hozzáférést, vagy módosítsa az adatokat
- Integritás: az Adatok fenn kell tartani a megfelelő állami senki képesnek kell lennie arra, hogy nem megfelelően módosítják, vagy véletlenül, vagy szándékosan
- Elérhetőség: Jogosult felhasználók számára lehetővé kell tenni, hogy a hozzáférési adatokat, amikor meg kell csinálni, úgyhogy
ez a három alapelv nyilvánvalóan felső elme bármely infosec profi., De tekintve őket, mint egy triád erők biztonsági profik, hogy nem a kemény munka gondolkodni, hogyan átfedik egymást, és néha lehet egymással szemben, amely segíthet a prioritások meghatározásában a biztonsági politikák végrehajtása. Megbeszéljük ezeket az elveket részletesebben egy pillanat, de először beszéljünk az eredete és jelentősége a triád.
ki hozta létre a CIA triádot, és mikor?,
ellentétben sok alapvető fogalmak infosec, a CIA triad nem úgy tűnik, hogy egyetlen alkotója vagy támogatója; inkább, kiderült idővel, mint egy cikk a bölcsesség között információbiztonsági profik. Ben Miller, a Dragos kiberbiztonsági cég alelnöke egy blogbejegyzésben nyomon követi a triád három összetevőjének korai megemlítését; úgy gondolja, hogy a számítástechnika titkosságának fogalmát egy 1976-os USA-BAN formalizálták., A légierő tanulmánya, valamint az integritás gondolata egy 1987-es tanulmányban került meghatározásra, amely felismerte, hogy különösen a kereskedelmi számítástechnikának sajátos igényei vannak a számviteli nyilvántartások körül, amelyek az adatok helyességére összpontosítanak. A rendelkezésre állás nehezebb lesz, de az ötlet körüli vita előtérbe került 1988-ban, amikor a Morris féreg, az egyik első elterjedt rosszindulatú program, az embrionális internet jelentős részét offline állapotban kopogtatta.
Ez is nem teljesen világos, amikor a három fogalom kezdett kezelni, mint egy háromlábú széklet., De úgy tűnik, hogy 1998-ra megalapozott alapkoncepcióként jött létre, amikor Donn Parker A Fighting Computer Crime című könyvében azt javasolta, hogy terjesszék ki egy hat elemből álló keretre, a Parkerian Hexad-ra. (Mi visszatér a Hexad később ebben a cikkben.)
így a CIA triad arra szolgált, hogy az információbiztonsági szakemberek gondolkodjanak azon, hogy mit jelent a munkájuk több mint két évtizede., Az a tény, hogy a koncepció része a kiberbiztonságnak, és nem tartozik senkihez, sok embert arra buzdított, hogy dolgozzák ki a koncepciót, és valósítsák meg saját értelmezéseiket.
miért fontos a CIA triád?
bárki, aki ismeri a kiberbiztonság alapjait, megérti, miért fontos ez a három fogalom. De miért olyan hasznos úgy gondolni rájuk, mint a kapcsolt ötletek hármasára, nem pedig külön-külön?,
Ez tanulságos gondolni a CIA triad, mint egy módja annak, hogy van értelme a zavaró tömb biztonsági szoftverek, szolgáltatások, technikák, amelyek a piacon. Ahelyett, hogy csak pénzt és tanácsadókat dobnánk a “kiberbiztonság” homályos “problémájára”, fókuszált kérdéseket tehetünk fel, miközben tervezzük és pénzt költünk: vajon ez az eszköz biztonságosabbá teszi-e információinkat? Segít-e ez a szolgáltatás adataink integritásának biztosításában? Az infrastruktúra kiépítése az adatainkat könnyebben elérhetővé teszi azok számára, akiknek szükségük van rá?,
ezenkívül e három fogalom triádba rendezése világossá teszi, hogy sok esetben egymással feszültségben léteznek. Egy pillanat alatt mélyebbre ásunk néhány példát, de néhány kontraszt nyilvánvaló: az adatokhoz való hozzáférés bonyolult hitelesítésének megkövetelése segíthet annak titkosságának biztosításában, de ez azt is jelentheti, hogy néhány embernek joga van látni, hogy az adatok nehezen elvégezhetők, ezáltal csökkentve a rendelkezésre állást., Tartja a CIA triád szem előtt létre információk biztonsági politikák erők egy csapatot, hogy produktív döntéseket, amelyek a három elem számára legfontosabb konkrét adatsor, illetve a szervezet egészére.
CIA triad példák
ahhoz, hogy megértsük, hogyan működik a CIA triad a gyakorlatban, fontolja meg a példa egy bank ATM, amely a felhasználók számára hozzáférést banki egyenlegek és egyéb információk.,eszközök, amelyek lefedik mind a három elvek a triád:
- Ez biztosítja a titoktartási kötelezettség előírásával a kéttényezős hitelesítést (mind a fizikai-kártya PIN-kód) mielőtt lehetővé teszi, hogy az adatokhoz való hozzáférés
- Az ATM, bank szoftver érvényesíteni adatok integritását biztosítja, hogy bármely átutalás vagy kivonás keresztül történik, akkor a készülék tükrözi a számviteli, hogy a felhasználó az”s bankszámla
- A készülék biztosítja az elérhetőséget, mert”s egy nyilvános helyen elérhető akkor is, ha a bank ág zárva van
De ott az”s még több, hogy a három elvek, mint mi”s a felszínen., Íme néhány példa arra, hogyan működnek a mindennapi informatikai környezetben.
CIA triád titoktartási példák
mit laikusok gondolok, mint “kiberbiztonsági” — lényegében bármi, ami korlátozza a hozzáférést adatok — alá magyarázható azzal, hogy a titoktartás. Ez magában foglalja az infosec két nagy, mint:
- hitelesítés, amely magában foglalja a folyamatok, amelyek lehetővé teszik a rendszerek annak megállapítására, hogy a felhasználó, aki azt mondják, hogy., Ezek közé tartoznak a jelszavak, valamint az identitás létrehozására rendelkezésre álló technikák: biometrikus adatok, biztonsági tokenek, kriptográfiai kulcsok stb.
- Engedélyezés, amely meghatározza, hogy kinek van joga hozzáférni az adatokhoz: csak azért, mert egy rendszer tudja, ki vagy, nem feltétlenül nyitja meg az összes adatot a perusal számára! Az egyik legfontosabb módon érvényesíteni titoktartási létrehozó tudni kell mechanizmusok számára az adatokhoz való hozzáférést; így, a felhasználók, akiknek a számlájára feltörték, vagy akik szélhámos lehet”t kompromisszum érzékeny adatok., A legtöbb operációs rendszer ebben az értelemben érvényesíti a titoktartást azáltal, hogy sok fájlt csak az alkotók vagy egy adminisztrátor férhet hozzá.
a nyilvános kulcsú kriptográfia széles körben elterjedt infrastruktúra, amely mindkettőt érvényesíti: azáltal, hogy hitelesíti, hogy Ön kriptográfiai kulcsokon keresztül mondja magát, létrehozza a titkosított beszélgetésben való részvétel jogát.
A titoktartás nem technikai eszközökkel is végrehajtható., Például a nyomtatott adatok zárolás és kulcs mögött tartása bizalmasan kezelheti; így a számítógépek légtelenítése és a társadalmi mérnöki kísérletek elleni küzdelem is.
a titoktartás elvesztését úgy definiálják, hogy az adatokat olyan személy látja, akinek nem kellett volna látnia. A nagy adatsértések, mint például a Marriott hack, elsődleges, a titoktartás elvesztésének magas szintű példái.
CIA triad integritási példák
az adatok integritásának fenntartására szolgáló technikák kiterjedhetnek arra, amit sokan különböző tudományágaknak tartanak., Például, sok a módszerek védelme titoktartási is érvényesíteni az adatok integritását: akkor nem rosszindulatúan megváltoztatni az adatokat, hogy nem tud hozzáférni, elvégre. Megemlítettük a legtöbb operációs rendszer által érvényesített adathozzáférési szabályokat is: egyes esetekben a fájlokat bizonyos felhasználók olvashatják, de nem szerkeszthetik, ami segíthet az adatok integritásának fenntartásában a rendelkezésre állással együtt.
de vannak más módok is az adatok integritásának elvesztésére, amelyek túlmutatnak a rosszindulatú támadókon, akik megpróbálják törölni vagy megváltoztatni., Például, korrupció beszivárog adatok rendes RAM eredményeként kölcsönhatások kozmikus sugarak sokkal rendszeresebben, mint gondolnád. Ez a spektrum egzotikus végén van, de a tárolóeszközök fizikai integritásának védelmére tervezett technikák megvédhetik az adatok virtuális integritását is.
az integritás megsértésével szembeni védekezés számos módja segít felismerni, ha az adatok megváltoztak,például az adatellenőrzések, vagy visszaállítani egy ismert jó állapotba, mint például a gyakori és aprólékos biztonsági mentések., Az integritás megsértése valamivel kevésbé gyakori vagy nyilvánvaló, mint a másik két elv megsértése, de magában foglalhatja például az üzleti adatok megváltoztatását a döntéshozatal befolyásolására, vagy egy pénzügyi rendszerbe való hackelés, hogy röviden felfújja az állomány vagy a bankszámla értékét, majd elszívja a felesleget. Az adatintegritás elleni támadás egyszerűbb — és gyakoribb — példája egy defacement támadás lenne, amelyben a hackerek megváltoztatják a webhely HTML-jét, hogy szórakozásból vagy ideológiai okokból vandalizálják.,
CIA triad elérhetőségi példák
a rendelkezésre állás fenntartása gyakran a kiberbiztonsággal nem szorosan összefüggő osztályok vállára esik. A legjobb módja annak, hogy az adatok rendelkezésre állnak, hogy tartsa az összes rendszer működik, és győződjön meg arról, hogy képesek kezelni a várható hálózati terhelések. Ez azzal jár, tartja hardver up-to-date, monitoring sávszélesség-használat biztosítása failover, valamint katasztrófa-helyreállítási kapacitás, ha rendszerek megy le.,
ezen elv körüli egyéb technikák magukban foglalják a rendelkezésre állás egyensúlyának megállapítását a triád másik két aggályával szemben. Visszatérve az összes operációs rendszerbe beépített fájlengedélyekhez, az egyes felhasználók által olvasható, de nem szerkeszthető fájlok ötlete a versengő igények egyensúlyának egyik módja: az adatok sok felhasználó számára elérhetők, annak ellenére, hogy meg kell védenünk annak integritását.
a rosszindulatú szereplők elérhetőségének elvesztésének klasszikus példája a szolgáltatás megtagadása., Bizonyos szempontból, ez a legbrutálisabb erő cselekmény cyberaggression odakinn: Ön nem változtatja meg az áldozat adatait, vagy sunyi egy kandikál információt nem kellett volna; te csak elsöprő őket a forgalom, így nem tudják tartani a honlapon fel. De a DoS támadások nagyon károsak, és ez azt mutatja, hogy miért tartozik a rendelkezésre állás a triádba.
CIA triad végrehajtás
a CIA triad kell végigvezeti Önt, mint a szervezet írja, és végrehajtja az általános biztonsági politikák és keretek., Ne feledje, hogy a triád végrehajtása nem bizonyos eszközök megvásárlásának kérdése; a triád a gondolkodás, a tervezés, és talán a legfontosabb, a prioritások meghatározása. Az ipari szabvány kiberbiztonsági keretrendszereket, mint például a NIST (amely sokat összpontosít az integritásra), a CIA triád mögött álló ötletek tájékoztatják, bár mindegyiknek megvan a maga különös hangsúlya.
Túl a triád: A Parkerian Hexad, többet
A CIA triád fontos, de nem a”t szentírás, pedig van bőven infosec szakértők, akik azt fogja mondani, hogy nem”t fedez mindent., Mint már említettük, 1998-ban Donn Parker javasolt egy hat oldalas modell volt, később nevezte a Parkerian Hexad, amely be van építve a következő alapelveket:
- Titoktartási
- Tulajdonában vagy ellenőrzése
- Integritás
- Hitelesség
- Elérhetőség
- Utility
Ez a”s kissé nyitott kérdés, hogy a három extra pontot, nagyon nyomja meg a gombot, hogy új területre — közüzemi, valamint birtokában lehet egy kalap alá veszel alatt rendelkezésre állása, például. De érdemes megjegyezni, mint egy alternatív modell.,
az információbiztonság végső fontos elve, amely nem illeszkedik szépen a CIA triádba, nem elutasítás, ami lényegében azt jelenti, hogy valaki nem tagadhatja meg hamisan, hogy létrehozta, megváltoztatta, megfigyelte vagy továbbította az adatokat. Ez döntő fontosságú a jogi kontextusban, amikor, például, valakinek bizonyítania kell, hogy az aláírás pontos, vagy hogy egy üzenetet küldött az a személy, akinek a neve rajta van. A CIA triad nem egy be-all and end-all, de ez egy értékes eszköz a tervezés a infosec stratégia.