Wat is de CIA-triade? De CIA triad componenten, gedefinieerd
de CIA triad is een veel gebruikt informatiebeveiligingsmodel dat de inspanningen en het beleid van een organisatie gericht op het veilig houden van haar gegevens kan begeleiden. Het model heeft niets te maken met de VS., Central Intelligence Agency; de initialen staan voor de drie principes waarop infosec berust:
- vertrouwelijkheid: alleen geautoriseerde gebruikers en processen moeten toegang hebben tot gegevens of deze kunnen wijzigen
- integriteit: gegevens moeten correct worden bewaard en niemand mag de gegevens per ongeluk of kwaadwillig onjuist wijzigen
- beschikbaarheid: Geautoriseerde Gebruikers moeten toegang hebben tot gegevens wanneer ze dat nodig hebben
Deze drie principes zijn uiteraard top of mind voor elke InfoSec professional., Maar gezien ze als een triade dwingt veiligheidspros om het harde werk te doen van het denken over hoe ze elkaar overlappen en soms in tegenstelling tot elkaar kunnen zijn, wat kan helpen bij het vaststellen van prioriteiten bij de uitvoering van veiligheidsbeleid. We zullen elk van deze principes in meer detail bespreken in een moment, maar laten we eerst praten over de oorsprong en het belang van de triade.
Wie heeft de CIA-triade gemaakt, en wanneer?,
In tegenstelling tot veel fundamentele concepten in infosec, lijkt de CIA-triade niet één enkele schepper of voorstander te hebben; in plaats daarvan ontstond het na verloop van tijd als een artikel van wijsheid onder professionals op het gebied van informatiebeveiliging. Ben Miller, een VP bij cybersecurity bedrijf Dragos, sporen terug vroege vermeldingen van de drie componenten van de triade in een blog post; hij denkt dat het concept van vertrouwelijkheid in de informatica werd geformaliseerd in een 1976 U. S., Air Force studie, en het idee van integriteit werd uiteengezet in een 1987 paper dat erkende dat commerciële computing in het bijzonder had specifieke behoeften rond boekhoudkundige records die een focus op data correctheid vereist. Beschikbaarheid is moeilijker te pinnen, maar discussie rond het idee steeg in bekendheid in 1988 toen de Morris worm, een van de eerste wijdverspreide stukken van malware, sloeg een aanzienlijk deel van de embryonale internet offline.
Het is ook niet helemaal duidelijk wanneer de drie begrippen begonnen te worden behandeld als een kruk met drie poten., Maar het lijkt te zijn goed ingeburgerd als een fundamenteel concept in 1998, toen Donn Parker, in zijn boek bestrijding van computercriminaliteit, voorgesteld om het uit te breiden tot een zes-element framework genaamd de Parkerian Hexad. (We ‘ ll terugkeren naar de Hexad later in dit artikel.)
aldus heeft CIA triad meer dan twee decennia lang gediend als een manier voor informatiebeveiligingsprofessionals om na te denken over wat hun werk inhoudt., Het feit dat het concept is onderdeel van cybersecurity lore en niet”t “behoren” tot iedereen heeft aangemoedigd veel mensen om uit te werken op het concept en implementeren van hun eigen interpretaties.
Waarom is de CIA-triade belangrijk?
Iedereen die vertrouwd is met zelfs de basisprincipes van cybersecurity zou begrijpen waarom deze drie concepten belangrijk zijn. Maar waarom is het zo nuttig om ze te zien als een triade van gekoppelde ideeën, in plaats van afzonderlijk?,
Het is leerzaam om na te denken over de CIA triade als een manier om de verbijsterende reeks beveiligingssoftware, diensten en technieken die op de markt zijn te begrijpen. In plaats van alleen het gooien van geld en consultants op de vage “probleem” van “cybersecurity,” kunnen we gerichte vragen te stellen als we plannen en geld uitgeven: maakt deze tool onze informatie veiliger? Helpt deze dienst de integriteit van onze gegevens te waarborgen? Zal het verbeteren van onze infrastructuur Onze gegevens gemakkelijker beschikbaar maken voor degenen die het nodig hebben?,
bovendien maakt het rangschikken van deze drie begrippen in een triade duidelijk dat ze in veel gevallen met elkaar in spanning bestaan. We zullen in een moment dieper ingaan op enkele voorbeelden, maar sommige contrasten zijn duidelijk: het vereisen van uitgebreide authenticatie voor toegang tot gegevens kan helpen om de vertrouwelijkheid ervan te garanderen, maar het kan ook betekenen dat sommige mensen die het recht hebben om die gegevens te zien het moeilijk kunnen vinden om dit te doen, waardoor de beschikbaarheid wordt verminderd., Het houden van de CIA triad in het achterhoofd als je informatiebeveiligingsbeleid vast te stellen dwingt een team om productieve beslissingen te nemen over welke van de drie elementen is het belangrijkst voor specifieke sets van gegevens en voor de organisatie als geheel.
CIA triade voorbeelden
om te begrijpen hoe de CIA triade in de praktijk werkt, kunt u het voorbeeld van een bank ATM bekijken, die gebruikers toegang kan bieden tot banktegoeden en andere informatie.,tools die betrekking hebben op alle drie de principes van de triade:
- Het biedt vertrouwelijkheid door die twee-factor authenticatie (zowel een fysieke kaart en een PIN-code) voor het verlenen van toegang tot gegevens
- De GELDAUTOMAAT en bank-software de integriteit van gegevens door ervoor te zorgen dat alle stortingen of opnames via de machine worden weerspiegeld in de boekhouding voor de gebruiker ’s bank account
- De machine zorgt voor de beschikbaarheid, omdat het”s op een openbare plaats en is toegankelijk, zelfs wanneer de bank is gesloten
Maar daar ’s meer aan de drie principes dan alleen wat”s aan de oppervlakte., Hier zijn enkele voorbeelden van hoe ze werken in alledaagse IT-omgevingen.
CIA Triad confidentiality examples
veel van wat leken beschouwen als” cybersecurity ” — in wezen alles wat de toegang tot gegevens beperkt — valt onder de rubriek vertrouwelijkheid. Dit omvat infosec ‘ s twee grote As:
- authenticatie, die processen omvat waarmee systemen kunnen bepalen of een gebruiker is wie ze zeggen dat ze zijn., Deze omvatten wachtwoorden en de reeks technieken die beschikbaar zijn voor het vaststellen van identiteit: biometrie, beveiligingstokens, cryptografische sleutels, en dergelijke.
- autorisatie, die bepaalt wie het recht heeft om toegang te krijgen tot welke gegevens: alleen omdat een systeem weet wie u bent, opent het niet noodzakelijk al zijn gegevens voor uw inzage! Een van de belangrijkste manieren om vertrouwelijkheid af te dwingen is het opzetten van Need-to-know mechanismen voor toegang tot gegevens; op die manier, gebruikers van wie accounts zijn gehackt of die zijn gegaan rogue kunnen”T compromitteren gevoelige gegevens., De meeste besturingssystemen handhaven vertrouwelijkheid in deze zin door het hebben van veel bestanden alleen toegankelijk door hun makers of een admin, bijvoorbeeld.
public-key cryptografie is een wijdverbreide infrastructuur die zowel afdwingt als: door te verifiëren dat je bent wie je zegt te zijn via cryptografische sleutels, bepaal je je recht om deel te nemen aan het versleutelde gesprek.
vertrouwelijkheid kan ook met niet-technische middelen worden afgedwongen., Bijvoorbeeld, het houden van hardcopy data achter lock and key kan het vertrouwelijk te houden; Zo kan air-gapping computers en het vechten tegen social engineering pogingen.
een verlies van vertrouwelijkheid wordt gedefinieerd als gegevens die worden gezien door iemand die het niet had moeten zien. Big data inbreuken zoals de Marriott hack zijn prime, high-profile voorbeelden van verlies van vertrouwelijkheid.
CIA Triad integrity examples
de technieken voor het behoud van data-integriteit kunnen zich uitstrekken tot wat velen zouden beschouwen als ongelijksoortige disciplines., Bijvoorbeeld, veel van de methoden voor de bescherming van de vertrouwelijkheid ook afdwingen data-integriteit: u kunt”t kwaadwillig wijzigen van gegevens die u”t toegang, immers. We noemden ook de regels voor toegang tot gegevens die door de meeste besturingssystemen worden afgedwongen: in sommige gevallen kunnen bestanden door bepaalde gebruikers worden gelezen, maar niet worden bewerkt, wat kan helpen om de integriteit van de gegevens te behouden, samen met de beschikbaarheid.
maar er zijn andere manieren waarop data-integriteit verloren kan gaan die verder gaan dan kwaadaardige aanvallers die proberen het te verwijderen of te wijzigen., Bijvoorbeeld, corruptie sijpelt in gegevens in gewone RAM als gevolg van interacties met kosmische stralen veel vaker dan je zou denken. Dat is aan het exotische einde van het spectrum, maar alle technieken die zijn ontworpen om de fysieke integriteit van opslagmedia te beschermen, kunnen ook de virtuele integriteit van gegevens beschermen.
veel van de manieren die u zou verdedigen tegen inbreuken op de integriteit zijn bedoeld om u te helpen detecteren wanneer gegevens zijn veranderd, zoals data checksums, of herstellen naar een bekende goede staat, zoals het uitvoeren van frequente en nauwgezette back-ups., Inbreuken op de integriteit zijn iets minder gebruikelijk of voor de hand liggend dan schendingen van de andere twee principes, maar kunnen bijvoorbeeld het wijzigen van bedrijfsgegevens om de besluitvorming te beïnvloeden, of het hacken van een financieel systeem om de waarde van een aandeel of bankrekening kort op te blazen en vervolgens het overschot weg te halen. Een eenvoudiger — en meer gebruikelijk-voorbeeld van een aanval op data-integriteit zou een defacement aanval, waarbij hackers veranderen een website ‘ s HTML om het te vandaliseren voor de lol of ideologische redenen.,
CIA Triad availability examples
het handhaven van beschikbaarheid valt vaak op de schouders van afdelingen die niet sterk geassocieerd zijn met cybersecurity. De beste manier om ervoor te zorgen dat uw gegevens beschikbaar zijn, is om al uw systemen draaiende te houden en ervoor te zorgen dat ze in staat zijn om verwachte netwerkbelastingen aan te kunnen. Dit houdt in dat hardware up-to-date wordt gehouden, het bandbreedtegebruik wordt bewaakt en failover-en noodherstelcapaciteit wordt geboden als systemen uitvallen.,
andere technieken rond dit principe houden in dat moet worden uitgezocht hoe de beschikbaarheid kan worden afgewogen tegen de andere twee problemen in de triade. Terugkerend naar de bestandsrechten ingebouwd in elk besturingssysteem, het idee van bestanden die kunnen worden gelezen, maar niet bewerkt door bepaalde gebruikers vertegenwoordigen een manier om concurrerende behoeften te balanceren: dat gegevens beschikbaar zijn voor veel gebruikers, ondanks onze noodzaak om de integriteit te beschermen.
het klassieke voorbeeld van een verlies van beschikbaarheid voor een kwaadaardige actor is een denial-of-service-aanval., In sommige opzichten, dit is de meest brute kracht daad van cyberaggression die er zijn: je “bent niet het veranderen van uw slachtoffer”s gegevens of stiekem een kijkje op informatie die je moet”t hebben; je”bent gewoon overweldigend hen met het verkeer, zodat ze kunnen”t houden van hun website up. Maar DoS aanvallen zijn zeer schadelijk, en dat illustreert waarom beschikbaarheid hoort in de triade.
CIA triad implementatie
de CIA triad zou u moeten begeleiden als uw organisatie haar algemene beveiligingsbeleid en frameworks schrijft en implementeert., Vergeet niet, de uitvoering van de triade isn ‘ t een kwestie van het kopen van bepaalde tools; de triade is een manier van denken, planning, en, misschien wel het belangrijkste, het stellen van prioriteiten. Industrie standaard cybersecurity frameworks zoals die van NIST (die richt zich veel op integriteit) worden geà nformeerd door de ideeën achter de CIA triad, hoewel elk heeft zijn eigen bijzondere nadruk.
voorbij de triade: de Parkerian Hexad, en meer
de CIA triade is belangrijk, maar het is niet heilig schrift, en er zijn tal van infosec experts die je zullen vertellen dat het niet alles dekt., Zoals we al vermeldden, stelde Donn Parker in 1998 een zeszijdig model voor dat later de Parkerian Hexad werd genoemd, dat gebaseerd is op de volgende principes:
- vertrouwelijkheid
- bezit of controle
- integriteit
- authenticiteit
- beschikbaarheid
- Utility
Het staat enigszins open voor de vraag of de extra drie punten echt in Nieuw Territory-nut en bezit zou kunnen worden op een hoop gegooid onder beschikbaarheid, bijvoorbeeld. Maar het is vermeldenswaard als een alternatief model.,
een laatste belangrijk principe van informatiebeveiliging dat niet netjes past in de CIA-triade is non-repudiation, wat in wezen betekent dat iemand niet ten onrechte kan ontkennen dat hij gegevens heeft gemaakt, gewijzigd, geobserveerd of verzonden. Dit is van cruciaal belang in juridische contexten wanneer bijvoorbeeld iemand moet bewijzen dat een handtekening juist is of dat een bericht is verzonden door de persoon wiens naam erop staat. De CIA triade isn ’t een be-all en end-all, maar het’ s een waardevol instrument voor het plannen van uw infosec strategie.