czym jest triada CIA? Elementy triady CIA, zdefiniowane
TRIADA CIA jest szeroko stosowany model bezpieczeństwa informacji, które mogą kierować wysiłki organizacji i polityki mające na celu utrzymanie jej danych bezpieczne. Model nie ma nic wspólnego z USA., Central Intelligence Agency; zamiast tego Inicjały oznaczają trzy zasady, na których opiera się infosec:
- poufność: tylko upoważnieni użytkownicy i procesy powinni mieć dostęp do lub modyfikowania danych
- integralność: dane powinny być utrzymywane w prawidłowym stanie i nikt nie powinien być w stanie niewłaściwie je modyfikować, przypadkowo lub złośliwie
- dostępność: upoważnieni użytkownicy powinni mieć dostęp do danych, gdy tylko tego potrzebują
oczywiście najlepszy dla każdego profesjonalisty InfoSec., Jednak uważanie ich za triadę zmusza profesjonalistów w dziedzinie bezpieczeństwa do ciężkiej pracy polegającej na myśleniu o tym, w jaki sposób nakładają się na siebie i czasami mogą być ze sobą sprzeczne, co może pomóc w ustaleniu priorytetów w realizacji polityki bezpieczeństwa. Za chwilę omówimy każdą z tych zasad bardziej szczegółowo, ale najpierw porozmawiajmy o pochodzeniu i znaczeniu triady.
kto i kiedy stworzył triadę CIA?,
w przeciwieństwie do wielu podstawowych pojęć w infosec, TRIADA CIA nie wydaje się mieć jednego twórcę lub zwolennika; raczej pojawił się w czasie jako artykuł mądrości wśród plusów bezpieczeństwa informacji. Ben Miller, wiceprezes w firmie ds. cyberbezpieczeństwa Dragos, śledzi wczesne wzmianki o trzech składnikach triady w poście na blogu; uważa, że koncepcja poufności w informatyce została sformalizowana w 1976 roku w USA., Badania sił powietrznych, a idea integralności została przedstawiona w 1987 roku w dokumencie, który uznał, że komputery komercyjne w szczególności miały szczególne potrzeby wokół zapisów księgowych, które wymagały skupienia się na poprawności danych. Dostępność jest trudniejsza do określenia, ale dyskusja wokół tego pomysłu wzrosła w 1988 roku, kiedy robak Morris, jeden z pierwszych rozpowszechnionych kawałków złośliwego oprogramowania, strącił znaczną część embrionalnego Internetu w trybie offline.
nie jest też do końca jasne, kiedy te trzy pojęcia zaczęto traktować jako trójnożny stołek., Ale wydaje się, że została ugruntowana jako podstawowa koncepcja do 1998 roku, kiedy Donn Parker, w swojej książce walka z przestępczością komputerową, zaproponował rozszerzenie jej na sześcioelementowy framework zwany Heksadem Parkeriańskim. (Wrócimy do Hexad w dalszej części tego artykułu.)
tak więc TRIADA CIA służyła jako sposób dla specjalistów ds. bezpieczeństwa informacji, aby myśleć o tym, co pociąga za sobą ich praca przez ponad dwie dekady., Fakt, że koncepcja jest częścią wiedzy cyberbezpieczeństwa i nie ” t „należy” do nikogo zachęcił Wiele osób do opracowania koncepcji i wdrożenia własnych interpretacji.
dlaczego Triada CIA jest ważna?
każdy, kto zna nawet podstawy cyberbezpieczeństwa, zrozumie, dlaczego te trzy pojęcia są ważne. Ale dlaczego tak pomocne jest myślenie o nich jako o triadzie powiązanych idei, a nie osobno?,
pouczające jest myślenie o triadzie CIA jako sposobie na zrozumienie oszałamiającego wachlarza oprogramowania zabezpieczającego, usług i technik, które są na rynku. Zamiast rzucać pieniądze i konsultantów w niejasny „problem „”cyberbezpieczeństwa”, możemy zadawać konkretne pytania, planując i wydając pieniądze: czy to narzędzie zwiększa bezpieczeństwo naszych informacji? Czy usługa ta pomaga zapewnić integralność naszych danych? Czy rozbudowa naszej infrastruktury sprawi, że nasze dane będą łatwiej dostępne dla tych, którzy ich potrzebują?,
ponadto ułożenie tych trzech pojęć w triadę daje do zrozumienia, że istnieją one, w wielu przypadkach, w napięciu ze sobą. Za chwilę zagłębimy się w niektóre przykłady, ale pewne kontrasty są oczywiste: Wymaganie skomplikowanego uwierzytelniania w celu uzyskania dostępu do danych może pomóc w zapewnieniu ich poufności, ale może również oznaczać, że niektórym osobom, które mają prawo do wglądu w te dane, może być trudno to zrobić, zmniejszając tym samym dostępność., Utrzymywanie triady CIA w umyśle, jak ustanowić politykę bezpieczeństwa informacji zmusza zespół do podejmowania produktywnych decyzji o tym, który z trzech elementów jest najważniejszy dla określonych zestawów danych i dla organizacji jako całości.
TRIADA CIA przykłady
aby zrozumieć, jak TRIADA CIA działa w praktyce, rozważ przykład bankomatu bankowego, który może zaoferować użytkownikom dostęp do sald bankowych i innych informacji.,narzędzia, które obejmują wszystkie trzy zasady triady:
- zapewnia poufność, wymagając uwierzytelniania dwuskładnikowego (zarówno fizycznej karty, jak i kodu PIN) przed zezwoleniem na dostęp do danych
- oprogramowanie bankomatu i banku wymusza integralność danych, zapewniając, że wszelkie przelewy lub wypłaty dokonywane za pośrednictwem urządzenia są odzwierciedlone w księgowaniu konta bankowego użytkownika
- maszyna zapewnia dostępność, ponieważ jest w miejscu publicznym i jest dostępna nawet wtedy, gdy oddział banku jest zamknięty
to coś więcej niż tylko to, co jest na powierzchni., Oto kilka przykładów ich działania w codziennych środowiskach IT.
przykłady poufności triady CIA
wiele z tego, co laicy uważają za „cyberbezpieczeństwo” — zasadniczo wszystko, co ogranicza dostęp do danych — podlega rubryce poufności. Obejmuje to dwie duże firmy infosec:
- uwierzytelnianie, które obejmuje procesy, które pozwalają systemom określić, czy użytkownik jest tym, za kogo się podaje., Należą do nich hasła i wiele dostępnych technik ustalania tożsamości: biometria, tokeny bezpieczeństwa, klucze kryptograficzne i tym podobne.
- autoryzacja, która określa, kto ma prawo dostępu do jakich danych: tylko dlatego, że system wie, kim jesteś, nie musi otwierać wszystkich swoich danych do przeglądania! Jednym z najważniejszych sposobów egzekwowania poufności jest ustanowienie mechanizmów dostępu do danych, które wymagają wiedzy; w ten sposób użytkownicy, których konta zostały zhakowane lub którzy zbuntowali się, nie mogą naruszać poufnych danych., Większość systemów operacyjnych wymusza poufność w tym sensie, ponieważ wiele plików jest dostępnych tylko dla ich twórców lub administratorów, na przykład.
Kryptografia klucza publicznego jest szeroko rozpowszechnioną infrastrukturą, która wymusza zarówno: uwierzytelnianie za pomocą kluczy kryptograficznych, że jesteś tym, za kogo się podajesz, ustanawia Twoje prawo do udziału w zaszyfrowanej rozmowie.
poufność może być również egzekwowana za pomocą środków nietechnicznych., Na przykład przechowywanie danych w formie papierowej za zamkiem i kluczem może zachować je w tajemnicy; podobnie może być w przypadku komputerów typu air-gapping i walki z próbami inżynierii społecznej.
utrata poufności jest definiowana jako oglądanie danych przez kogoś, kto nie powinien ich widzieć. Wielkie naruszenia danych, takie jak włamanie do Marriotta, są pierwszorzędnymi przykładami utraty poufności.
przykłady integralności triady CIA
techniki utrzymania integralności danych mogą obejmować to, co wielu uznałoby za różne dyscypliny., Na przykład wiele metod ochrony poufności wymusza również integralność danych: nie możesz złośliwie zmieniać danych, do których nie masz dostępu. Wspomnieliśmy również o regułach dostępu do danych wymuszanych przez większość systemów operacyjnych: w niektórych przypadkach pliki mogą być odczytywane przez niektórych użytkowników, ale nie edytowane, co może pomóc w utrzymaniu integralności danych wraz z ich dostępnością.
ale istnieją inne sposoby utraty integralności danych, które wykraczają poza złośliwe ataki próbujące je usunąć lub zmienić., Na przykład, korupcja przenika do danych w zwykłej pamięci RAM w wyniku interakcji z promieniami kosmicznymi znacznie bardziej regularnie niż myślisz. To egzotyczny koniec spektrum, ale wszelkie techniki mające na celu ochronę fizycznej integralności nośników pamięci masowej mogą również chronić wirtualną integralność danych.
wiele sposobów ochrony przed naruszeniami integralności ma na celu pomoc w wykrywaniu zmian danych, takich jak sumy kontrolne danych, lub przywracanie ich do znanego dobrego stanu, jak częste i skrupulatne tworzenie kopii zapasowych., Naruszenia integralności są nieco mniej powszechne lub oczywiste niż naruszenia dwóch pozostałych zasad, ale mogą obejmować na przykład zmianę danych biznesowych w celu wpływu na podejmowanie decyzji lub włamanie się do systemu finansowego w celu krótkotrwałego zawyżenia wartości akcji lub rachunku bankowego, a następnie odprowadzenie nadwyżki. Prostszym — i bardziej powszechnym-przykładem ataku na integralność danych byłby atak defacement, w którym hakerzy zmieniają HTML strony internetowej, aby zniszczyć go z powodów rozrywkowych lub ideologicznych.,
przykłady dostępności triady CIA
utrzymywanie dostępności często spada na barki działów niezwiązanych silnie z cyberbezpieczeństwem. Najlepszym sposobem zapewnienia dostępności danych jest utrzymanie wszystkich systemów w gotowości do pracy i upewnienie się, że są one w stanie obsłużyć oczekiwane obciążenia sieci. Wiąże się to z utrzymaniem aktualności sprzętu, monitorowaniem wykorzystania przepustowości oraz zapewnianiem możliwości przełączania awaryjnego i odzyskiwania po awarii w przypadku awarii systemów.,
Inne techniki wokół tej zasady obejmują zastanawianie się, jak zrównoważyć dostępność z dwoma pozostałymi problemami w triadzie. Wracając do uprawnień do plików wbudowanych w każdy system operacyjny, idea plików, które mogą być odczytywane, ale nie edytowane przez niektórych użytkowników, stanowi sposób na zrównoważenie konkurencyjnych potrzeb: aby dane były dostępne dla wielu użytkowników, pomimo naszej potrzeby ochrony ich integralności.
klasycznym przykładem utraty dostępności dla złośliwego aktora jest atak typu denial-of-service., Pod pewnymi względami jest to najbardziej brutalny akt cyberagresji:”nie zmieniasz danych ofiary ani nie skradasz informacji, których nie powinieneś mieć; po prostu przytłaczasz ich ruchem, aby nie mogli utrzymać swojej strony internetowej. Ale ataki DoS są bardzo szkodliwe, a to ilustruje, dlaczego dostępność należy do triady.
implementacja triady CIA
TRIADA CIA powinna kierować tobą, jak Twoja organizacja pisze i wdraża swoje ogólne zasady bezpieczeństwa i ramy., Pamiętaj, że wdrożenie triady nie jest kwestią zakupu określonych narzędzi; Triada jest sposobem myślenia, planowania i, być może najważniejsze, ustalania priorytetów. Standardowe w branży ramy bezpieczeństwa cybernetycznego, takie jak te z NIST (które koncentruje się wiele na integralności), są informowane przez idee stojące za triadą CIA, choć każdy ma swój szczególny nacisk.
Beyond the triad: The Parkerian Hexad, and more
TRIADA CIA jest ważna, ale nie jest święta, a jest mnóstwo ekspertów infosec, którzy powiedzą ci, że nie obejmuje wszystkiego., Jak już wspomnieliśmy, w 1998 roku Donn Parker zaproponował sześciostronny model, który został później nazwany Heksadem Parkeriańskim, który opiera się na następujących zasadach:
- poufność
- posiadanie lub kontrola
- integralność
- dostępność
- użyteczność
jest nieco otwarty na pytanie, czy dodatkowe trzy punkty naprawdę naciskają na nowe terytorium-użyteczność i posiadanie mogą być sumowane w zależności od dostępności, na przykład. Ale warto zauważyć, jako alternatywny model.,
ostatnią ważną zasadą bezpieczeństwa informacji, która nie pasuje idealnie do triady CIA, jest brak odrzucenia, co zasadniczo oznacza, że ktoś nie może fałszywie zaprzeczyć, że stworzył, zmienił, zaobserwował lub przesłał dane. Ma to kluczowe znaczenie w kontekście prawnym, gdy na przykład ktoś musi udowodnić, że podpis jest dokładny lub że wiadomość została wysłana przez osobę, której nazwisko jest na nim. TRIADA CIA nie jest-wszystko i koniec-wszystko, ale to cenne narzędzie do planowania strategii infosec.