Vad är CIA triaden? CIA – triadkomponenterna, definierade
CIA-triaden är en allmänt använd informationssäkerhetsmodell som kan styra en organisations ansträngningar och politik som syftar till att hålla sina data säkra. Modellen har inget med USA att göra, Initialerna står för de tre principer som infosec vilar på:
- Sekretess: endast auktoriserade användare och processer ska kunna komma åt eller ändra data
- integritet: Data ska upprätthållas i rätt tillstånd och ingen ska kunna ändra det felaktigt, antingen av misstag eller illvilligt
- tillgänglighet: auktoriserade användare ska kunna få tillgång till data när de behöver göra det
dessa tre principer är uppenbarligen top of mind för någon Infosec professionell., Men att betrakta dem som en triad tvingar säkerhetsproffsen att göra det tuffa arbetet med att tänka på hur de överlappar varandra och ibland kan vara i motsats till varandra, vilket kan bidra till att fastställa prioriteringar vid genomförandet av säkerhetspolitiken. Vi diskuterar var och en av dessa principer mer detaljerat i ett ögonblick, men låt oss först prata om triadens ursprung och betydelse.
vem skapade CIA-triaden, och när?,
till skillnad från många grundläggande begrepp i infosec verkar CIA-triaden inte ha en enda skapare eller förespråkare; snarare framkom det över tiden som en artikel av visdom bland informationssäkerhetsproffsen. Ben Miller, en VP på cybersecurity firm Dragos, spår tillbaka tidigt nämner de tre komponenterna i triaden i ett blogginlägg; han tror att begreppet Sekretess i datavetenskap formaliserades i en 1976 US., Air Force study, och idén om integritet lades fram i ett 1987-dokument som erkände att kommersiell databehandling i synnerhet hade specifika behov kring bokföringsregister som krävde fokus på datakorrekthet. Tillgänglighet är svårare att fästa ner, men diskussionen kring idén ökade i framträdande 1988 när Morris worm, en av de första utbredda bitarna av skadlig kod, knackade en betydande del av embryonala internet offline.
det är inte heller helt klart när de tre begreppen började behandlas som en trebenig avföring., Men det verkar ha varit väl etablerat som ett grundkoncept av 1998, när Donn Parker, i sin bok Fighting Computer Crime, föreslog att den skulle utvidgas till en sex-elementär ram som heter Parkerian Hexad. (Vi kommer tillbaka till Hexaden senare i den här artikeln.)
CIA triad har således fungerat som ett sätt för informationssäkerhetspersonal att tänka på vad deras jobb innebär i mer än två decennier., Det faktum att konceptet är en del av cybersäkerhet lore och inte ” t ”tillhör” någon har uppmuntrat många människor att utveckla konceptet och genomföra sina egna tolkningar.
Varför är CIA-triaden viktig?
alla som är bekanta med även grunderna i cybersäkerhet skulle förstå varför dessa tre begrepp är viktiga. Men varför är det så bra att tänka på dem som en triad av länkade idéer, snarare än separat?,
det är lärorikt att tänka på CIA-triaden som ett sätt att förstå det förvirrande utbudet av säkerhetsprogram, tjänster och tekniker som finns på marknaden. I stället för att bara kasta pengar och konsulter på det vaga ”problemet” av ”cybersäkerhet” kan vi ställa fokuserade frågor när vi planerar och spenderar pengar: gör det här verktyget vår information säkrare? Hjälper denna tjänst till att säkerställa integriteten hos våra data? Kommer biffning upp vår infrastruktur att göra våra uppgifter mer lättillgängliga för dem som behöver det?,
dessutom gör arrangemanget av dessa tre begrepp i en triad det klart att de i många fall finns i spänning med varandra. Vi kommer att gräva djupare i några exempel på ett ögonblick, men vissa kontraster är uppenbara: att kräva utarbetad autentisering för dataåtkomst kan bidra till att säkerställa sekretessen, men det kan också innebära att vissa personer som har rätt att se att data kan ha svårt att göra det, vilket minskar tillgängligheten., Att hålla CIA triaden i åtanke när du upprätta informationssäkerhet politik tvingar ett team att göra produktiva beslut om vilka av de tre elementen är viktigast för specifika uppsättningar av data och för organisationen som helhet.
CIA triad exempel
för att förstå hur CIA triaden fungerar i praktiken, överväga exempel på en bank ATM, som kan erbjuda användarna tillgång till banksaldon och annan information.,verktyg som täcker alla tre principerna i triaden:
- Det ger sekretess genom att kräva tvåfaktorsautentisering (både ett fysiskt kort och en PIN-kod) innan du tillåter tillgång till data
- ATM och bankprogramvaran genomdriva dataintegritet genom att säkerställa att alla överföringar eller uttag som görs via maskinen återspeglas i bokföringen för användarens bankkonto
- maskinen ger tillgänglighet eftersom det är på en offentlig plats och är tillgänglig även när bankkontoret är stängt
men det finns”är mer till de tre principerna än vad som finns på ytan., Här är några exempel på hur de fungerar i vardagliga IT-miljöer.
CIA triad Sekretess exempel
mycket av vad lekmän tycker om som ”cybersäkerhet” — i huvudsak, allt som begränsar tillgången till data — faller under rubriken Sekretess. Detta inkluderar infosec ” s två stora som:
- autentisering, som omfattar processer som gör det möjligt för system att avgöra om en användare är vem de säger att de är., Dessa inkluderar lösenord och panoply av tekniker som är tillgängliga för att upprätta identitet: biometrics, säkerhetstoken, kryptografiska nycklar och liknande.
- auktorisering, som bestämmer vem som har rätt att komma åt vilka data: bara för att ett system vet vem du är, öppnar det inte nödvändigtvis Alla data för din granskning! Ett av de viktigaste sätten att upprätthålla konfidentialitet är att upprätta behovsprövade mekanismer för dataåtkomst.på så sätt kan användare vars konton har hackats eller som har gått oseriösa inte äventyra känsliga data., De flesta operativsystem upprätthåller Sekretess i den meningen genom att ha många filer endast tillgängliga av sina skapare eller en administratör, till exempel.
kryptering med offentlig nyckel är en utbredd infrastruktur som upprätthåller både som: genom att autentisera att du är den du säger att du är via kryptografiska nycklar etablerar du din rätt att delta i den krypterade konversationen.
Sekretess kan också verkställas med icke-tekniska medel., Till exempel, hålla hårdkopierad data bakom lås och nyckel kan hålla det konfidentiellt; så kan luft-gapping datorer och slåss mot social ingenjörsförsök.
en förlust av konfidentialitet definieras som data som ses av någon som inte borde ha sett det. Stora dataöverträdelser som Marriott hack är främsta, hög profil exempel på förlust av sekretess.
CIA triad integrity examples
teknikerna för att upprätthålla dataintegritet kan spänna över vad många skulle överväga olika discipliner., Till exempel, många av metoderna för att skydda konfidentialitet också genomdriva dataintegritet: du kan”t illvilligt ändra data som du kan”t tillgång, trots allt. Vi nämnde också de regler för dataåtkomst som tillämpas av de flesta operativsystem: i vissa fall kan filer läsas av vissa användare men inte redigeras, vilket kan bidra till att upprätthålla dataintegritet tillsammans med tillgänglighet.
men det finns andra sätt dataintegritet kan förloras som går utöver skadliga angripare som försöker ta bort eller ändra det., Korruption sipprar till exempel in i data i vanligt RAM som ett resultat av interaktioner med kosmiska strålar mycket mer regelbundet än du tror. Det är i den exotiska änden av spektrumet, men alla tekniker som är utformade för att skydda lagringsmediernas fysiska integritet kan också skydda dataens virtuella integritet.
många av de sätt som du skulle försvara mot integritetsbrott är avsedda att hjälpa dig att upptäcka när data har ändrats, som datakontrollsummor, eller återställa den till ett känt bra tillstånd, som att genomföra frekventa och noggranna säkerhetskopior., Brott mot integriteten är något mindre vanliga eller uppenbara än brott mot de andra två principerna, men kan till exempel innefatta att ändra affärsdata för att påverka beslutsfattandet eller hacka in i ett finansiellt system för att kort blåsa upp värdet på ett lager eller bankkonto och sedan suga av överskottet. En enklare-och vanligare-exempel på en attack på dataintegritet skulle vara en defacement attack, där hackare ändra en webbplats ” S HTML att vandalisera det för skojs skull eller ideologiska skäl.,
CIA triad tillgänglighet exempel
upprätthålla tillgänglighet faller ofta på axlarna av avdelningar inte starkt förknippas med cybersäkerhet. Det bästa sättet att se till att dina data är tillgängliga är att hålla alla dina system igång, och se till att de”re kunna hantera förväntade nätverksbelastningar. Detta innebär att man håller hårdvaran uppdaterad, övervakar bandbreddsanvändningen och ger failover och katastrofåterställningskapacitet om systemen går ner.,
andra tekniker kring denna princip innebär att man räknar ut hur man balanserar tillgängligheten mot de andra två problemen i triaden. Återgå till filbehörigheter inbyggda i alla operativsystem, idén om filer som kan läsas men inte redigeras av vissa användare utgör ett sätt att balansera konkurrerande behov: att data vara tillgängliga för många användare, trots vårt behov av att skydda sin integritet.
det klassiska exemplet på en förlust av tillgänglighet för en skadlig aktör är en överbelastningsattack., På vissa sätt, detta är den mest brute force handling av cyberaggression ut det: du”re inte ändra dina offer”s data eller smyga en titt på informationen du skulle inte ha, du är bara överväldigande dem med trafik så att de kan”t hålla deras hemsida upp. Men DoS-attacker är mycket skadliga, och det illustrerar varför tillgängligheten hör hemma i triaden.
implementering av CIA-triaden
CIA-triaden ska vägleda dig när din organisation skriver och genomför sin övergripande säkerhetspolicy och ramverk., Kom ihåg att genomförandet av triaden inte är en fråga om att köpa vissa verktyg; triaden är ett sätt att tänka, planera och, kanske viktigast av allt, fastställa prioriteringar. Branschstandard cybersäkerhetsramar som de från NIST (som fokuserar mycket på integritet) informeras av idéerna bakom CIA-triaden, men var och en har sin egen speciella betoning.
bortom triaden: den Parkeriska hexan, och mer
CIA-triaden är viktig, men det är”t holy writ, och det finns gott om infosec-experter som kommer att berätta att det inte täcker allt., Som vi nämnde föreslog donn Parker 1998 en sexsidig modell som senare kallades den Parkeriska Hexaden, som bygger på följande principer:
- Sekretess
- innehav eller kontroll
- integritet
- äkthet
- tillgänglighet
- verktyg
det är något öppet för att ifrågasätta om de extra tre punkterna verkligen trycker på nytt territorium-verktyg och besittning kan t.ex. klumpas i mån av tillgång. Men det är värt att notera som en alternativ modell.,
en slutlig viktig princip för informationssäkerhet som inte passar in i CIA-triaden är icke-repudiering, vilket i huvudsak innebär att någon inte kan förneka att de skapade, förändrade, observerade eller överförda data. Detta är avgörande i rättsliga sammanhang när till exempel någon kan behöva bevisa att en signatur är korrekt, eller att ett meddelande skickades av den person vars namn finns på den. CIA-triaden är inte en be-all Och end-all, men det är ett värdefullt verktyg för att planera din infosec strategi.