Hva er CIA triaden? CIA triade komponenter, definert
CIA triaden er en mye brukt informasjonssikkerhet modell som kan lede en organisasjon»s tiltak og politikk rettet mot å holde dataene sikre. Modellen har ingenting å gjøre med USA, Central Intelligence Agency; i stedet, de initialene står for de tre prinsippene som infosec hviler:
- Konfidensialitet: Kun autoriserte brukere og prosesser bør være i stand til å få tilgang til eller endre data
- Integritet: Data bør opprettholdes i riktig tilstand og ingen bør være i stand til å feilaktig endre det, enten ved et uhell eller med overlegg
- Tilgjengelighet: Autoriserte brukere skal være i stand til å få tilgang til data når de trenger for å gjøre det
Disse tre prinsippene er åpenbart toppen av tankene for alle infosec profesjonell., Men når man ser på dem som en triade styrker sikkerhet proffer til å gjøre det vanskelige arbeidet med å tenke på hvordan de overlapper hverandre og kan noen ganger være i opposisjon til hverandre, noe som kan hjelpe i å etablere prioriteringer i gjennomføringen av retningslinjer for sikkerhet. Vi vil diskutere hver av disse prinsippene i mer detalj i et øyeblikk, men først let ‘ s talk om opprinnelse og betydning av triaden.
Som skapte CIA-triade, og når?,
i Motsetning til mange grunnleggende begreper i infosec, CIA triade doesn»t synes å ha et enkelt opphavsperson eller tilhenger, men det dukket opp over tid som en artikkel av visdom blant informasjonssikkerhet proffene. Ben Miller, en VP på cybersecurity firmaet Dragos, spor tilbake tidlige omtaler av de tre delene av triaden i et blogginnlegg; han mener begrepet taushetsplikt i computer science ble formalisert i et 1976 USA, Air Force studere, og ideen om integritet ble lagt ut i 1987 papir som erkjente at kommersielle computing spesielt hadde spesielle behov rundt regnskap som er nødvendig fokus på data er korrekte. Tilgjengelighet er en hardere for å pin ned, men diskusjonen rundt den ideen steg i fremtredende i 1988 da Morris-ormen, en av de første utbredt deler av malware, slo en betydelig del av den gryende internett i frakoblet modus.
Det er også ikke helt klart når de tre begrepene begynte å bli behandlet som en tre-legged avføring., Men det ser ut til å ha vært godt etablert som en grunnleggende konseptet av 1998, da Donn Parker, i sin bok Bekjempe datakriminalitet, foreslått å utvide det til en seks-element rammeverk kalt Parkerian Hexad. (Vi vil komme tilbake til Hexad senere i denne artikkelen.)
Derfor, CIA triaden har fungert som en måte for informasjonssikkerhet fagfolk til å tenke på hva jobben innebærer for mer enn to tiår., Det faktum at konseptet er en del av cybersecurity lore og doesn»t «tilhører» til alle som har oppmuntret mange til å utdype konseptet og gjennomføre sine egne tolkninger.
Hvorfor er CIA triade viktig?
Noen kjent med selv det grunnleggende av cybersecurity ville forstå hvorfor disse tre begrepene er viktig. Men hvorfor er det så nyttig å tenke på dem som en triade av koblede ideer, heller enn hver for oss?,
Det er lærerikt å tenke om CIA triade som en måte å gi mening til den forvirrende utvalg av sikkerhet programvare, tjenester og teknikker som er i markedet. Snarere enn bare å kaste penger og konsulenter på vage «problem» av «cybersecurity», kan vi spørre fokusert spørsmål som vi har tenkt og bruke penger: Gjør dette verktøyet gjør våre mer informasjon sikker? Gjør denne tjenesten bidrar til å sikre integriteten til våre data? Vil beefing opp vår infrastruktur gjør våre data lettere tilgjengelig for dem som trenger det?,
I tillegg til å arrangere disse tre begrepene i en triade gjør det klart at de eksisterer, i mange tilfeller, i spenningen med hverandre. Vi vil grave dypere inn noen eksempler på et øyeblikk, men noen kontraster er åpenbare: Krever omfattende autentisering for tilgang til data som kan bidra til å sikre sin taushetsplikt, men det kan også bety at noen mennesker som har rett til å se at data kan finne det vanskelig å gjøre det, og dermed redusere tilgjengeligheten., Å holde CIA triaden i tankene som du oppretter for informasjonssikkerhet styrker et team for å gjøre produktivt beslutninger om hvilke av de tre elementene som er viktigst for bestemte sett av data, og for organisasjonen som helhet.
CIA triade eksempler
for Å forstå hvordan CIA triade fungerer i praksis, vurdere for eksempel en bank, MINIBANK, som kan tilby brukerne tilgang til bankkonti og andre opplysninger.,verktøy som dekker alle tre prinsipper for triaden:
- Det gir konfidensialitet ved å kreve to-faktor autentisering (både et fysisk kort og PIN-kode) før det gis tilgang til data
- ATM og bank programvare håndheve data integritet ved å sikre at alle overføringer eller uttak via maskinen er reflektert i regnskapsprinsippene for brukeren»s bank konto
- maskinen gir tilgjengelighet fordi det er på et offentlig sted og er tilgjengelig selv når bank filial er stengt
Men det er mer til tre prinsipper enn bare det»s på overflaten., Her er noen eksempler på hvordan de opererer i det daglige IT-miljøer.
CIA triade konfidensialitet eksempler
Mye av hva legfolk å tenke på som «cybersecurity» — i hovedsak, noe som begrenser tilgang til data — faller inn under rubrikken om taushetsplikt. Dette inkluderer infosec»s to store Som:
- – Godkjenning, som omfatter prosesser som gjør at systemer for å avgjøre om en bruker er som de sier de er., Disse inkluderer passord og panoply av teknikker som er tilgjengelig for å etablere identitet: biometri, sikkerhet tokens, kryptografiske nøkler og lignende.
- Autorisasjon, som avgjør hvem som har rett til å få tilgang til hvilke data: Bare fordi et system vet hvem du er, er det doesn»t nødvendigvis åpne alle sine data du kan se igjennom! En av de viktigste måtene å håndheve konfidensialitet er å etablere behov for å kjenne til mekanismer for tilgang til data; på den måten, brukere med kontoer som har blitt hacket eller som har gått rogue kan»t kompromiss sensitive data., De fleste operativsystemer håndheve konfidensialitet i denne forstand av å ha mange filer som bare er tilgjengelig med sine skapere eller en admin, for eksempel.
Offentlig-nøkkel kryptografi er en omfattende infrastruktur som håndhever både Som: ved å godkjenne at du er den du sier du er via kryptografiske nøkler, oppretter du din rett til å delta i kryptert samtale.
Taushetsplikt kan også håndheves av ikke-tekniske midler., For eksempel, å holde papirkopi data bak lås og nøkkel kan holde det konfidensielt, så kan luft-gapping datamaskiner og kjemper mot sosial engineering forsøk.
Et tap av konfidensialitet er definert som data for å bli sett av noen som bør»t har sett det. Big data brudd liker Marriott hack er førsteklasses, høy profil eksempler på tap av konfidensialitet.
CIA triade integritet eksempler
teknikker for å opprettholde dataintegritet kan span hva mange vil vurdere ulike disipliner., For eksempel, mange av metodene for å beskytte konfidensialitet også håndheve data integritet: du kan»t skadelig endre dataene som du kan»t få tilgang til, tross alt. Vi har også nevnt de data access regler håndheves av de fleste operativsystemer: i noen tilfeller, filene kan leses av enkelte brukere, men ikke redigeres, noe som kan bidra til å opprettholde dataintegritet sammen med tilgjengelighet.
Men det finnes andre måter data integritet kan være tapt som går utover ondsinnede angripere som forsøker å slette, eller endre det., For eksempel, korrupsjon siver inn data i vanlige RAM som et resultat av interaksjoner med kosmiske stråler mye mer regelmessig enn du»d tror. Det»er på eksotiske enden av spekteret, men noen teknikker utformet for å beskytte den fysiske integriteten av lagringsmedier kan også beskytte den virtuelle integritet av data.
Mange av de måter som du ville forsvare seg mot brudd på integritet er ment å hjelpe deg å oppdage når data har endret seg, som data kontrollsummer eller gjenopprette den til en fungerende stat, som å gjennomføre hyppige og grundige sikkerhetskopier., Brudd på integritet er noe mindre vanlig eller åpenbare enn brudd på de to andre prinsippene, men kan inkludere, for eksempel, endre business data til å påvirke beslutningsprosessen, eller kan bryte seg inn i et økonomisk system for kort blås verdien av en aksje eller banken kontoen din, og deretter tappe av overskytende. En enklere og mer vanlig eksempel på et angrep på data integritet ville være en defacement angrep der hackere alter et nettsted ‘ s HTML til å ødelegg det for moro skyld eller ideologiske grunner.,
CIA triade tilgjengelighet eksempler
Opprettholde tilgjengeligheten ofte faller på skuldrene av avdelinger ikke er sterkt knyttet til cybersecurity. Den beste måten å sikre at dine data er tilgjengelig er å holde alle dine systemer oppe og går, og sørge for at de»re i stand til å håndtere forventet nettverk laster. Dette innebærer å holde maskinvare up-to-date, overvåke båndbredde, og gir failover og disaster recovery kapasitet om systemer som går ned.,
Andre teknikker rundt dette prinsippet innebære å finne ut hvordan å balansere tilgjengelighet mot de to andre bekymringer i triaden. Tilbake til filen tillatelser bygget inn i ethvert operativsystem, ideen om filer som kan leses, men ikke redigeres av visse brukere representerer en måte å balansere konkurrerende behov: at data være tilgjengelig for mange brukere, til tross for vårt behov for å beskytte sin integritet.
Det klassiske eksempelet på et tap av tilgjengelighet til en ondsinnet skuespiller er et denial-of-service angrep., I noen måter er dette den mest brute force lov av cyberaggression ut det: du»re ikke endre dine offer»s data eller snike en titt på informasjonen du bør»t har; du»re bare overveldende dem med trafikk, slik at de kan»t holde deres nettsted opp. Men DoS-angrep er svært skadelig, og som illustrerer hvorfor tilgjengelighet hører hjemme i triaden.
CIA-triaden-implementering
CIA triade bør veilede deg som organisasjonen skriver og implementerer sine generelle retningslinjer for sikkerhet og rammer., Husk å implementere triaden er»t et spørsmål om å kjøpe visse verktøy; triaden er en måte å tenke, planlegge, og, kanskje viktigst, å sette prioriteter. Industrien standard cybersecurity rammer som de NIST (som fokuserer mye på integritet) er informert av ideene bak CIA-triade, selv om hver enkelt har sin egen spesiell vekt.
Utover triaden: Den Parkerian Hexad, og mer
CIA triaden er viktig, men det er»t hellige skrift, og det er nok av infosec eksperter som vil fortelle deg det doesn»t dekke alt., Som vi har nevnt, i 1998 Donn Parker foreslått en seks-sidede modell som senere ble kalt Parkerian Hexad, som er bygd på følgende prinsipper:
- Konfidensialitet
- Besittelse eller kontroll
- Integritet
- Autentisitet
- Tilgjengelighet
- Verktøy
Det er noe åpent spørsmål om de tre ekstra poeng egentlig trykk inn i et nytt territorium — verktøyet og besittelse kan være samlet under tilgjengelighet, for eksempel. Men det er verdt å merke seg som et alternativ modell.,
En siste viktig prinsipp for informasjonssikkerhet som doesn»t passe pent inn i CIA triaden er ikke-avvisning, som i hovedsak betyr det at noen ikke kan feilaktig benekte at de er opprettet, endret, observert, eller som du har overført data. Dette er avgjørende i juridiske sammenhenger, for eksempel, noen trenger å bevise at en signatur er nøyaktige, eller at en melding var sendt av den personen hvis navn er på den. CIA triaden er»t en bli-alt vi er og, men det er et verdifullt verktøy for å planlegge din infosec strategi.