ce este triada CIA? CIA triada componente, definite
CIA triada este un model de securitate a informațiilor utilizate pe scară largă, care poate ghida o organizație”s eforturile și politicile care vizează păstrarea datelor sale sigure. Modelul nu are nimic de-a face cu SUA., Mai degrabă, inițialele reprezintă cele trei principii pe care se bazează infosec:
- Confidențialitate: numai utilizatorii și procesele autorizate ar trebui să poată accesa sau modifica datele
- integritate: datele ar trebui menținute într-o stare corectă și nimeni nu ar trebui să le poată modifica în mod necorespunzător, fie accidental, fie cu rea intenție
- disponibilitate: utilizatorii autorizați ar trebui evident, partea de sus a minții pentru orice profesionist InfoSec., Dar considerându-le ca o triadă forțează profesioniștii în domeniul securității să facă munca grea de a se gândi la modul în care se suprapun și uneori pot fi în opoziție unul cu celălalt, ceea ce poate ajuta la stabilirea priorităților în implementarea politicilor de securitate. Vom discuta fiecare dintre aceste principii în detaliu într-un moment, dar mai întâi să vorbim despre originile și importanța triadei.
cine a creat triada CIA și când?,spre deosebire de multe concepte fundamentale din infosec, triada CIA nu pare să aibă un singur creator sau susținător; mai degrabă, a apărut în timp ca un articol de înțelepciune printre profesioniștii în domeniul securității informațiilor. Ben Miller, VP la firma de securitate cibernetică Dragoș, urmărește mențiunile timpurii ale celor trei componente ale triadei într-o postare pe blog; el crede că conceptul de confidențialitate în informatică a fost formalizat într-un SUA din 1976, Studiul forțelor aeriene și ideea de integritate a fost prezentată într-o lucrare din 1987 care a recunoscut că, în special, calculul comercial avea nevoi specifice în jurul înregistrărilor contabile care necesitau un accent pe corectitudinea datelor. Disponibilitatea este una mai greu de stabilit, dar discuțiile în jurul ideii au crescut în importanță în 1988, când viermele Morris, una dintre primele bucăți răspândite de malware, a bătut o parte semnificativă a internetului embrionar offline.de asemenea, nu este clar când cele trei concepte au început să fie tratate ca un scaun cu trei picioare., Dar se pare că a fost bine stabilit ca un concept fundamental prin 1998, când Donn Parker, în cartea lui Combaterea Criminalității Informatice, a propus prelungirea pentru o perioadă de șase-cadru element numit Parkerian Hexad. (Vom reveni la Hexad mai târziu în acest articol.astfel, triada CIA a servit ca o modalitate pentru profesioniștii din domeniul securității informațiilor să se gândească la ceea ce presupune munca lor de mai bine de două decenii., Faptul că conceptul face parte din lore de securitate cibernetică și nu”aparține „nimănui a încurajat mulți oameni să elaboreze conceptul și să implementeze propriile interpretări.de ce este importantă triada CIA?oricine este familiarizat chiar și cu elementele de bază ale securității cibernetice ar înțelege de ce aceste trei concepte sunt importante. Dar de ce este atât de util să ne gândim la ele ca la o triadă de idei legate, mai degrabă decât separat?,este instructiv să ne gândim la Triada CIA ca la o modalitate de a înțelege gama uimitoare de software, servicii și tehnici de securitate care se află pe piață. În loc să aruncăm doar bani și consultanți la „problema” vagă a „securității cibernetice”, putem pune întrebări concentrate pe măsură ce planificăm și cheltuim bani: acest instrument face ca informațiile noastre să fie mai sigure? Acest serviciu ajută la asigurarea integrității datelor noastre? Îmbunătățirea infrastructurii noastre va face datele noastre mai ușor accesibile celor care au nevoie de ele?,în plus, aranjarea acestor trei concepte într-o triadă arată clar că ele există, în multe cazuri, în tensiune unul cu celălalt. Vom săpa mai adânc în câteva exemple într-o clipă, dar unele contraste sunt evidente: solicitarea unei autentificări elaborate pentru accesul la date poate contribui la asigurarea confidențialității, dar poate însemna, de asemenea, că unele persoane care au dreptul să vadă că datele pot fi dificil să facă acest lucru, reducând astfel disponibilitatea., Păstrarea triadei CIA în minte, pe măsură ce stabiliți Politici de securitate a informațiilor, obligă o echipă să ia decizii productive cu privire la care dintre cele trei elemente este cel mai important pentru seturi specifice de date și pentru organizație în ansamblu.pentru a înțelege cum funcționează triada CIA în practică, luați în considerare exemplul unui bancomat bancar, care poate oferi utilizatorilor acces la soldurile bancare și alte informații.,instrumente care să acopere toate cele trei principii de triada:
- oferă confidențialitate prin solicitarea de autentificare cu doi factori (atât fizic cardul și codul PIN) înainte de a permite accesul la date
- ATM si banca software-ul impune integritatea datelor prin asigurarea faptului că orice transferurile sau retragerile de numerar efectuate prin intermediul mașinii sunt reflectate în contabilitate pentru utilizator”s cont bancar
- aparatul oferă disponibilitatea pentru că”e într-un loc public și este accesibil chiar și atunci când banca este închisă.
Dar nu”e mai mult la cele trei principii decât doar ceea ce”e la suprafață., Iată câteva exemple despre modul în care funcționează în mediile IT de zi cu zi.
CIA triada de confidențialitate exemple
mai Mult din ceea ce laici cred ca „securitatea cibernetică” — în esență, nimic care restricționează accesul la date — se încadrează la rubrica de confidențialitate. Aceasta include infosec două mari ca:
- autentificare, care cuprinde procese care permite sistemelor pentru a determina dacă un utilizator este cine spun ei că sunt., Acestea includ parolele și panoplia tehnicilor disponibile pentru stabilirea identității: biometrie, jetoane de securitate, chei criptografice și altele asemenea.
- autorizare, care determină cine are dreptul să acceseze ce date: doar pentru că un sistem știe cine sunteți, nu deschide neapărat toate datele sale pentru examinarea dvs.! Una dintre cele mai importante modalități de a impune confidențialitatea este stabilirea mecanismelor de acces la date; în acest fel, utilizatorii ale căror conturi au fost hackate sau care au devenit necinstite nu pot compromite datele sensibile., Majoritatea sistemelor de operare impun confidențialitatea în acest sens, având multe fișiere accesibile numai de creatorii lor sau de un administrator, de exemplu.criptografia cu chei publice este o infrastructură larg răspândită care se aplică atât ca: autentificând că sunteți cine spuneți că sunteți prin chei criptografice, vă stabiliți dreptul de a participa la conversația criptată.confidențialitatea poate fi aplicată și prin mijloace non-tehnice., De exemplu, păstrarea datelor pe suport de hârtie în spatele blocării și cheii poate păstra confidențialitatea; la fel și computerele care scot aer și lupta împotriva încercărilor de inginerie socială.o pierdere a confidențialității este definită ca date văzute de cineva care nu ar fi trebuit să o vadă. Breșele mari de date, cum ar fi hack-ul Marriott, sunt exemple de mare anvergură de pierdere a confidențialității.
Exemple de integritate a triadei CIA
tehnicile de menținere a integrității datelor pot cuprinde ceea ce mulți ar considera discipline disparate., De exemplu, multe dintre metodele de protecție a confidențialității impun, de asemenea, integritatea datelor: nu puteți modifica în mod rău datele pe care nu le puteți accesa. Am menționat, de asemenea, regulile de acces la date aplicate de majoritatea sistemelor de operare: în unele cazuri, fișierele pot fi citite de anumiți utilizatori, dar nu editate, ceea ce poate ajuta la menținerea integrității datelor împreună cu disponibilitatea.
dar există și alte modalități prin care integritatea datelor poate fi pierdută, care depășesc atacatorii rău intenționați care încearcă să o șteargă sau să o modifice., De exemplu, corupția se infiltrează în datele din memoria RAM obișnuită ca urmare a interacțiunilor cu razele cosmice mult mai regulat decât credeți. Asta este la sfârșitul exotic al spectrului, dar orice tehnici concepute pentru a proteja integritatea fizică a suporturilor de stocare pot proteja, de asemenea, integritatea virtuală a datelor.multe dintre modurile în care te-ai apăra împotriva încălcărilor de integritate sunt menite să te ajute să detectezi când s-au schimbat datele, cum ar fi sumele de control ale datelor sau să le restabilești într-o stare bună cunoscută, cum ar fi efectuarea de copii de rezervă frecvente și meticuloase., Încălcări de integritate sunt oarecum mai puțin frecvente sau evidentă decât încălcări de alte două principii, dar ar putea include, de exemplu, modificarea datelor de afaceri a afecta luarea deciziilor, sau hacking într-un sistem financiar la scurt umfla valoarea unei actiuni sau cont bancar și apoi sifonarea exces. Un exemplu mai simplu — și mai obișnuit-de atac asupra integrității datelor ar fi un atac de defacement, în care hackerii modifică HTML-ul unui site web pentru a-l vandaliza din motive distractive sau ideologice.,
Exemple de disponibilitate a triadei CIA
menținerea disponibilității cade adesea pe umerii departamentelor care nu sunt puternic asociate cu securitatea cibernetică. Cea mai bună modalitate de a vă asigura că datele dvs. sunt disponibile este să vă mențineți toate sistemele în funcțiune și să vă asigurați că sunt capabile să gestioneze sarcinile de rețea așteptate. Acest lucru presupune menținerea hardware-ului la zi, monitorizarea utilizării lățimii de bandă și asigurarea capacității de recuperare a defecțiunilor și a dezastrelor dacă sistemele scad.,alte tehnici în jurul acestui principiu implică imaginind cum să echilibreze disponibilitatea față de celelalte două preocupări în triada. Revenind la permisiunile de fișiere încorporate în fiecare sistem de operare, ideea fișierelor care pot fi citite, dar care nu sunt editate de anumiți utilizatori reprezintă o modalitate de a echilibra nevoile concurente: ca datele să fie disponibile pentru mulți utilizatori, în ciuda nevoii noastre de a-i proteja integritatea.exemplul clasic de pierdere a disponibilității pentru un actor rău intenționat este un atac de negare a serviciului., În unele privințe, aceasta este cea mai forta bruta act de cyberaggression acolo: te”re nu si-a modificat victima”s date sau să arunce o privire la informații ar trebui”t au; te”re copleșitor-le cu trafic, astfel încât acestea pot”t ține site-ul lor de sus. Dar atacurile DoS sunt foarte dăunătoare și asta ilustrează de ce disponibilitatea aparține triadei.
implementarea triadei CIA
triada CIA ar trebui să vă ghideze pe măsură ce organizația dvs. scrie și implementează politicile și cadrele sale generale de securitate., Amintiți-vă, punerea în aplicare a triadei nu este o chestiune de cumpărare a anumitor instrumente; triada este un mod de gândire, planificare și, poate cel mai important, stabilirea priorităților. Cadrele de securitate cibernetică standard din industrie, precum cele de la NIST (care se concentrează foarte mult pe integritate), sunt informate de ideile din spatele triadei CIA, deși fiecare are un accent deosebit.
dincolo de triadă: Hexada Parkeriană și multe altele
triada CIA este importantă, dar nu este un act Sfânt și există o mulțime de experți infosec care vă vor spune că nu acoperă totul., Așa cum am menționat, în 1998 Donn Parker a propus un șase-verso model care a fost mai târziu numit Parkerian Hexad, care este construit pe următoarele principii:
- Confidențialitate
- Posesie sau control
- Integritate
- Autenticitatea
- Disponibilitatea
- Utilitare
„E oarecum deschisă întrebarea dacă încă trei puncte chiar de presă într-un nou teritoriu — utilitate și posesia ar putea fi puse sub disponibilitatea, de exemplu. Dar este demn de remarcat ca un model alternativ.,un principiu final important al securității informațiilor care nu se încadrează perfect în triada CIA este non-repudierea, ceea ce înseamnă, în esență, că cineva nu poate nega în mod fals că a creat, modificat, observat sau transmis date. Acest lucru este crucial în contexte juridice atunci când, de exemplu, cineva ar putea avea nevoie pentru a dovedi că o semnătură este corectă, sau că un mesaj a fost trimis de către persoana al cărei nume este pe ea. Triada CIA nu este un FI-toate și end-toate, dar este un instrument valoros pentru planificarea strategiei infosec.