Che cos’è la triade CIA? I componenti della triade CIA, definiti
La triade CIA è un modello di sicurezza delle informazioni ampiamente utilizzato che può guidare gli sforzi e le politiche di un’organizzazione volte a mantenere i suoi dati al sicuro. Il modello non ha nulla a che fare con gli Stati Uniti., Central Intelligence Agency; piuttosto, le iniziali stanno per i tre principi su cui infosec riposa:
- Riservatezza: Solo gli utenti autorizzati e i processi devono essere in grado di accedere o modificare i dati
- Integrità: i Dati devono essere mantenute in corretto stato e nessuno dovrebbe essere in grado di in modo improprio modificarlo, accidentalmente o intenzionalmente
- Disponibilità: Gli utenti autorizzati devono essere in grado di accedere ai dati di cui hanno bisogno per fare in modo
Questi tre principi sono, ovviamente, il top della mente per qualsiasi infosec professionale., Ma considerarli come una triade costringe i professionisti della sicurezza a fare il duro lavoro di pensare a come si sovrappongono e talvolta possono essere in opposizione l’uno all’altro, il che può aiutare a stabilire priorità nell’attuazione delle politiche di sicurezza. Discuteremo ciascuno di questi principi in modo più dettagliato in un momento, ma prima parliamo delle origini e l”importanza della triade.
Chi ha creato la triade CIA, e quando?,
A differenza di molti concetti fondamentali in infosec, la triade CIA non sembra avere un unico creatore o fautore; piuttosto, è emerso nel corso del tempo come un articolo di saggezza tra i professionisti della sicurezza informatica. Ben Miller, VP della società di sicurezza informatica Dragos, ripercorre le prime menzioni delle tre componenti della triade in un post sul blog; pensa che il concetto di riservatezza nell’informatica sia stato formalizzato in un 1976 negli Stati Uniti, Air Force studio, e l’idea di integrità è stata presentata in un documento del 1987 che ha riconosciuto che l’informatica commerciale, in particolare, aveva esigenze specifiche in merito alle registrazioni contabili che richiedevano un focus sulla correttezza dei dati. La disponibilità è più difficile da definire, ma la discussione intorno all’idea è salita alla ribalta nel 1988 quando il worm Morris, uno dei primi pezzi diffusi di malware, ha battuto una parte significativa dell’Internet embrionale offline.
Non è del tutto chiaro quando i tre concetti hanno iniziato a essere trattati come uno sgabello a tre gambe., Ma sembra essere stato ben stabilito come concetto fondamentale da 1998, quando Donn Parker, nel suo libro Fighting Computer Crime, ha proposto di estenderlo a un quadro di sei elementi chiamato Hexad Parkerian. (Torneremo al Hexad più avanti in questo articolo.)
Così, CIA triad ha servito come un modo per i professionisti della sicurezza delle informazioni a pensare a ciò che il loro lavoro comporta per più di due decenni., Il fatto che il concetto sia parte della tradizione della sicurezza informatica e non appartenga a nessuno ha incoraggiato molte persone a elaborare il concetto e implementare le proprie interpretazioni.
Perché la triade CIA è importante?
Chiunque abbia familiarità con anche le basi della sicurezza informatica capirebbe perché questi tre concetti sono importanti. Ma perché è così utile pensare a loro come una triade di idee collegate, piuttosto che separatamente?,
È istruttivo pensare alla triade della CIA come un modo per dare un senso alla sconcertante serie di software, servizi e tecniche di sicurezza presenti sul mercato. Piuttosto che buttare soldi e consulenti al vago ” problema “della” sicurezza informatica”, possiamo porre domande mirate mentre pianifichiamo e spendiamo denaro: questo strumento rende le nostre informazioni più sicure? Questo servizio aiuta a garantire l’integrità dei nostri dati? Rafforzare la nostra infrastruttura renderà i nostri dati più facilmente disponibili a coloro che ne hanno bisogno?,
Inoltre, disporre questi tre concetti in una triade rende chiaro che esistono, in molti casi, in tensione l’uno con l’altro. Abbiamo”ll scavare più in profondità alcuni esempi in un momento, ma alcuni contrasti sono evidenti: elaborati che Richiedono l’autenticazione per l’accesso ai dati può aiutare a garantire la riservatezza, ma può anche significare che alcune persone che hanno il diritto di vedere che dati possono trovare difficoltà a farlo, riducendo così la disponibilità., Mantenere la triade CIA in mente come si stabiliscono le politiche di sicurezza delle informazioni costringe un team a prendere decisioni produttive su quale dei tre elementi è più importante per set specifici di dati e per l’organizzazione nel suo complesso.
Esempi di triade CIA
Per capire come funziona la triade CIA nella pratica, considera l’esempio di un bancomat bancario, che può offrire agli utenti l’accesso a saldi bancari e altre informazioni.,strumenti che coprono tutti e tre i principi della triade:
- Si garantisce la riservatezza dei dati, richiedendo l’autenticazione a due fattori (sia fisico della carta e il codice PIN) prima di consentire l’accesso ai dati
- Il BANCOMAT e banca del software di applicare l’integrità dei dati, assicurando che eventuali trasferimenti e / o prelievi effettuati tramite la macchina si riflettono nella contabilità per l’utente”s conto in banca
- La macchina offre la disponibilità perché in un luogo pubblico ed è accessibile anche quando la filiale della banca chiuso
Ma c'”s più di tre principi di ciò che”s sulla superficie., Ecco alcuni esempi di come operano negli ambienti IT di tutti i giorni.
CIA triad confidentiality examples
Molto di ciò che i laici pensano come “sicurezza informatica” — in sostanza, tutto ciò che limita l’accesso ai dati — rientra nella rubrica della riservatezza. Ciò include i due grandi di infosec come:
- Autenticazione, che comprende processi che consentono ai sistemi di determinare se un utente è chi dice di essere., Questi includono le password e la panoplia di tecniche disponibili per stabilire l’identità: biometria, token di sicurezza, chiavi crittografiche e simili.
- Autorizzazione, che determina chi ha il diritto di accedere a quali dati: Solo perché un sistema sa chi sei, non necessariamente aprire tutti i suoi dati per la vostra lettura! Uno dei modi più importanti per far rispettare la riservatezza è stabilire meccanismi need-to-know per l”accesso ai dati; in questo modo, gli utenti i cui account sono stati violati o che sono andati canaglia non possono compromettere i dati sensibili., La maggior parte dei sistemi operativi impone la riservatezza in questo senso avendo molti file accessibili solo dai loro creatori o da un amministratore, per esempio.
La crittografia a chiave pubblica è un’infrastruttura diffusa che impone sia come: autenticando che sei chi dici di essere tramite chiavi crittografiche, stabilisci il tuo diritto di partecipare alla conversazione crittografata.
La riservatezza può essere applicata anche con mezzi non tecnici., Ad esempio, mantenere i dati cartacei dietro lock and key può mantenerli riservati; così può air-gapping computer e la lotta contro i tentativi di ingegneria sociale.
Una perdita di riservatezza è definita come dati visti da qualcuno che non avrebbe dovuto vederlo. Grandi violazioni dei dati come l’hack Marriott sono prime, esempi di alto profilo di perdita di riservatezza.
CIA triad integrity examples
Le tecniche per mantenere l’integrità dei dati possono estendersi a quelle che molti considererebbero discipline disparate., Per esempio, molti dei metodi per proteggere la riservatezza anche far rispettare l”integrità dei dati: non si può maliziosamente alterare i dati che non si può accedere, dopotutto. Abbiamo anche menzionato le regole di accesso ai dati applicate dalla maggior parte dei sistemi operativi: in alcuni casi, i file possono essere letti da alcuni utenti ma non modificati, il che può aiutare a mantenere l’integrità dei dati insieme alla disponibilità.
Ma ci sono altri modi in cui l’integrità dei dati può essere persa che vanno oltre gli aggressori dannosi che tentano di eliminarla o modificarla., Per esempio, la corruzione filtra nei dati nella RAM ordinaria a seguito di interazioni con i raggi cosmici molto più regolarmente di quanto si pensi. Questo è alla fine esotico dello spettro, ma tutte le tecniche progettate per proteggere l’integrità fisica dei supporti di memorizzazione può anche proteggere l’integrità virtuale dei dati.
Molti dei modi in cui difendersi dalle violazioni dell’integrità sono pensati per aiutarti a rilevare quando i dati sono cambiati, come i checksum dei dati, o ripristinarli a uno stato buono noto, come condurre backup frequenti e meticolosi., Le violazioni dell’integrità sono un po ‘ meno comuni o ovvie delle violazioni degli altri due principi, ma potrebbero includere, ad esempio, l’alterazione dei dati aziendali per influenzare il processo decisionale o l’hacking in un sistema finanziario per gonfiare brevemente il valore di un titolo o di un conto bancario e quindi sottrarre l’eccesso. Un esempio più semplice — e più comune – di un attacco all”integrità dei dati sarebbe un attacco defacement, in cui gli hacker alterare l” HTML di un sito web per vandalizzarlo per divertimento o motivi ideologici.,
CIA triad availability examples
Il mantenimento della disponibilità ricade spesso sulle spalle di reparti non fortemente associati alla sicurezza informatica. Il modo migliore per garantire che i dati sono disponibili è quello di mantenere tutti i sistemi installato e funzionante, e fare in modo che siano in grado di gestire i carichi di rete previsti. Ciò comporta mantenere l’hardware aggiornato, monitorare l’utilizzo della larghezza di banda e fornire capacità di failover e disaster recovery in caso di guasto dei sistemi.,
Altre tecniche attorno a questo principio implicano capire come bilanciare la disponibilità rispetto alle altre due preoccupazioni nella triade. Tornando ai permessi di file incorporati in ogni sistema operativo, l’idea di file che possono essere letti ma non modificati da alcuni utenti rappresentano un modo per bilanciare le esigenze concorrenti: che i dati siano disponibili per molti utenti, nonostante la nostra necessità di proteggere la sua integrità.
Il classico esempio di perdita di disponibilità per un attore malintenzionato è un attacco denial-of-service., In un certo senso, questo è l”atto di forza più bruta di cyberaggression là fuori: non stai alterando i dati della vittima o furtivamente una sbirciatina alle informazioni non si dovrebbe avere; sei solo li travolgente con il traffico in modo che non possano mantenere il loro sito web. Ma gli attacchi DoS sono molto dannosi, e questo illustra il motivo per cui la disponibilità appartiene alla triade.
Implementazione della triade CIA
La triade CIA dovrebbe guidarti mentre la tua organizzazione scrive e implementa le sue politiche e framework di sicurezza generali., Ricorda, l”attuazione della triade non è una questione di acquisto di alcuni strumenti; la triade è un modo di pensare, pianificazione, e, forse più importante, impostazione delle priorità. I framework di sicurezza informatica standard del settore come quelli del NIST (che si concentra molto sull’integrità) sono informati dalle idee alla base della triade della CIA, sebbene ognuno abbia la sua particolare enfasi.
Beyond the triad: The Parkerian Hexad, e altro ancora
La triade CIA è importante, ma non è sacra scrittura, e ci sono un sacco di esperti infosec che vi dirà che non copre tutto., Come abbiamo accennato, nel 1998 Donn Parker ha proposto una a sei facce modello che fu poi soprannominato il Parkerian Hexad, che si basa sui seguenti principi:
- Riservatezza
- il Possesso o il controllo
- Integrità
- Autenticità
- Disponibilità
- Utility
e ‘un po’ aperto alla domanda se i tre punti veramente premere in un nuovo territorio di utilità e di possesso potrebbe essere confusi in disponibilità, per esempio. Ma vale la pena notare come un modello alternativo.,
Un ultimo importante principio di sicurezza delle informazioni che non si adatta perfettamente alla triade CIA è il non ripudio, il che significa essenzialmente che qualcuno non può negare falsamente di aver creato, alterato, osservato o trasmesso dati. Questo è fondamentale in contesti legali quando, per esempio, qualcuno potrebbe aver bisogno di dimostrare che una firma è accurata, o che un messaggio è stato inviato dalla persona il cui nome è su di esso. La triade CIA non è un essere-tutti e alla fine-tutti, ma è uno strumento prezioso per pianificare la vostra strategia infosec.