Was ist die CIA-Sicherheits-Triade? Vertraulichkeit, Integrität, Verfügbarkeit erklärt
Es ist einfach, einige Daten zu schützen, die nur für Sie wertvoll sind. Sie können Ihre Bilder oder Ideen oder Notizen auf einem verschlüsselten USB-Stick speichern, der an einer Stelle gesperrt ist, an der nur Sie den Schlüssel haben.
Aber Unternehmen und Organisationen müssen sich in großem Umfang damit auseinandersetzen., Schließlich sind es die Unternehmensdaten—Produkte, Kunden—und Mitarbeiterdetails, Ideen, Recherchen, Experimente -, die Ihr Unternehmen nützlich und wertvoll machen. (Die „Assets“, an die wir normalerweise denken, wie Hardware und Software, sind einfach die Tools, mit denen Sie mit Ihren Unternehmensdaten arbeiten und diese speichern können.)
Wie schützt eine Organisation diese Daten? Sicherlich gibt es Sicherheitsstrategien und Technologielösungen, die helfen können, aber ein Konzept unterstreicht sie alle: Der CIA-Sicherheitstriad.,
Dieses Konzept kombiniert drei Komponenten-Vertraulichkeit, Integrität und Verfügbarkeit—, um Sicherheitsmaßnahmen, Kontrollen und die Gesamtstrategie zu unterstützen. Schauen wir mal.
(Dieser Artikel ist Teil unserer Sicherheit & Compliance Guide. Verwenden Sie das rechte Menü, um zu navigieren.)
CIA in Sicherheit definieren
Die CIA-Triade repräsentiert die Funktionen Ihrer Informationssysteme. Ihr Informationssystem umfasst sowohl Ihre Computersysteme als auch Ihre Daten., Ben Dynkin, Mitbegründer & CEO von Atlas Cybersecurity, erklärt, dass dies die Funktionen sind, die angegriffen werden können-was bedeutet, dass dies die Funktionen sind, die Sie verteidigen müssen.
Der CIA-Sicherheitstriad besteht aus drei Funktionen:
- Vertraulichkeit. Die Fähigkeit eines Systems, sicherzustellen, dass nur der korrekte, autorisierte Benutzer/System/Ressource Daten anzeigen, darauf zugreifen, ändern oder anderweitig verwenden kann.
- Integrität. Die Fähigkeit eines Systems, sicherzustellen, dass das System und die Informationen korrekt und korrekt sind.
- Verfügbarkeit., Die Fähigkeit eines Systems, sicherzustellen, dass Systeme, Informationen und Dienste die meiste Zeit verfügbar sind.
Schauen wir uns jedes Detail an.
Vertraulichkeit
Im Nicht-Sicherheits-Sinne ist Vertraulichkeit Ihre Fähigkeit, etwas geheim zu halten. In der realen Welt könnten wir Jalousien aufhängen oder Vorhänge an unseren Fenstern anbringen. Wir könnten einen Freund bitten, ein Geheimnis zu bewahren. Vertraulichkeit kommt auch mit Technologie ins Spiel. Es kann sich auf persönlicher Ebene anders abspielen, wenn wir VPNs oder Verschlüsselung für unsere eigene Privatsphäre verwenden., Wir könnten In-Home-Geräte ausschalten, die immer zuhören.
In der Unternehmenssicherheit wird jedoch die Vertraulichkeit verletzt, wenn eine nicht autorisierte Person Ihre Dateien anzeigen, aufnehmen und/oder ändern kann. Vertraulichkeit ist wichtig, weil Ihr Unternehmen seinen Wettbewerbsvorteil schützen möchte—die immateriellen Vermögenswerte, die Ihr Unternehmen von Ihrer Konkurrenz abheben.
Integrität
In Computersystemen bedeutet Integrität, dass die Ergebnisse dieses Systems präzise und sachlich sind., In der Datenwelt ist es als Datenvertrauenswürdigkeit bekannt—können Sie den Ergebnissen Ihrer Daten, Ihrer Computersysteme vertrauen?
Wenn Sie ein Informationssystem sichern, ist Integrität eine Funktion, die Sie schützen möchten. Sie möchten nicht, dass schlechte Schauspieler oder menschliches Versagen absichtlich oder versehentlich die Integrität Ihrer Computersysteme und deren Ergebnisse ruinieren.
Verfügbarkeit
Verfügbarkeit ist ein in der IT weit verbreiteter Begriff-die Verfügbarkeit von Ressourcen zur Unterstützung Ihrer Dienste. In der Sicherheit bedeutet Verfügbarkeit, dass die richtigen Personen Zugriff auf Ihre Informationssysteme haben., Wenn ein Benutzer mit Berechtigungszugriff keinen Zugriff auf seinen dedizierten Computer hat, gibt es keine Verfügbarkeit.
Die Verfügbarkeit ist ein großes Sicherheitsproblem, da sie angegriffen werden kann. Ein Angriff auf Ihre Verfügbarkeit könnte den Benutzerzugriff auf einige oder alle Ihrer Dienste einschränken, sodass Sie das Chaos bereinigen und die Ausfallzeiten begrenzen müssen.
Die CIA-Triade in Enterprise Security
OK, also haben wir die Konzepte runter, aber was machen wir mit der Triade?,
Im Kern ist die CIA-Triade ein Sicherheitsmodell, dem Sie folgen können und sollten, um Informationen zu schützen, die in lokalen Computersystemen oder in der Cloud gespeichert sind. Es hilft Ihnen:
- Informationen geheim halten (Vertraulichkeit)
- Behalten Sie den erwarteten, genauen Zustand dieser Informationen bei (Integrität)
- Stellen Sie sicher, dass Ihre Informationen und Dienste betriebsbereit sind (Verfügbarkeit)
Es ist ein Gleichgewicht: Kein Sicherheitsteam kann zu 100% sicherstellen, dass Vertraulichkeit, Integrität und Verfügbarkeit niemals verletzt werden können, unabhängig von der Ursache.,
Stattdessen nutzen Sicherheitsexperten die CIA-Triade, um Ihre organisatorischen Risiken zu verstehen und zu bewerten. Dynkin schlägt vor, jede potenzielle Bedrohung, jeden Angriff und jede Verletzlichkeit in eine Funktion der Triade aufzuteilen. Beispiel:
- Eine Datenschutzverletzung greift die Vertraulichkeit Ihrer Daten an.
- Ein Ransomware-Vorfall greift die Verfügbarkeit Ihrer Informationssysteme an.
Wenn Sie verstehen, was angegriffen wird, können Sie Schutz vor diesem Angriff aufbauen., Nehmen Sie den Fall von Ransomware-alle Sicherheitsexperten wollen Ransomware stoppen. Wo wir Ransomware allgemein als „esoterischen Malware-Angriff“ betrachten, sagt Dynkin, sollten wir es als Angriff ansehen, der speziell darauf ausgelegt ist, Ihre Verfügbarkeit zu begrenzen.
Wenn Sie dies als einen Versuch betrachten, die Verfügbarkeit zu begrenzen, sagte er mir, Sie können zusätzliche Minderungsschritte unternehmen, als Sie es möglicherweise tun würden, wenn Sie nur versuchen würden, „Ransomware zu stoppen“.
Die Triade kann Ihnen helfen, einen Drilldown in bestimmte Steuerelemente durchzuführen. Es gilt auch auf Strategie-und Politikebene., Dynkin fährt fort: Wenn Sie den CIA-Dreiklang verstehen, können Sie Ihre Sicht auf Sicherheit „über die spezifischen Minutien (die immer noch von entscheidender Bedeutung sind) hinaus erweitern und sich auf einen organisatorischen Ansatz zur Informationssicherheit konzentrieren.“
Priorisieren Sie jede Sache, die Sie schützen müssen, basierend darauf, wie schwerwiegend die Folgen wären, wenn Vertraulichkeit, Integrität oder Verfügbarkeit verletzt würden. Wie könnte zum Beispiel jedes Ereignis hier einen Teil oder mehrere der CIA-Triade durchbrechen:
- Eine Dienstunterbrechung: Ein Angreifer könnte Ihren Zugriff als Verhandlungschip für etwas anderes unterbrechen.,
- Abfangen: Ein Angreifer könnte Ihre E-Mails blockieren oder entführen, um mehr über Unternehmensaktivitäten zu erfahren.
- Änderung oder Herstellung: Ein Angreifer könnte Ihre Informationen ändern oder fälschen.
Was ist, wenn ein Vorfall zwei Funktionen gleichzeitig verletzen kann? Überlegen, planen und ergreifen Sie Maßnahmen, um jedes Sicherheitsmerkmal so weit wie möglich zu verbessern. Zum Beispiel verbessert Backups-Redundanz – die Gesamtverfügbarkeit. Wenn die Verfügbarkeit eines Systems angegriffen wird, haben Sie bereits ein Backup bereit.,
CIA-Triade in Aktion
Sie werden wissen, dass Ihr Sicherheitsteam Sicherheit für die CIA—Triade bietet, wenn Sie Folgendes sehen:
- Einschränkungen der Administratorrechte
- Unfähigkeit, Ihre eigenen, unbekannten Geräte zu verwenden
- Die Verwendung von VPN für den Zugriff auf bestimmte sensible Unternehmensinformationen
Alles, was ein Asset ist—materielle Hardware und Software, immaterielles Wissen und Talent-sollte in gewisser Weise von Ihrem Sicherheitsteam geschützt werden. Und das ist die Arbeit des Sicherheitsteams: um jeden Vermögenswert zu schützen, den das Unternehmen für wertvoll hält., Und es ist eindeutig kein einfaches Projekt.
Zusätzliche Sicherheitseigenschaften
Sicherheitsexperten wissen bereits, dass Computersicherheit nicht mit der CIA-Triade aufhört. ISO-7498-2 enthält auch zusätzliche Eigenschaften für die Computersicherheit:
- Authentifizierung: Die Fähigkeit Ihrer Systeme, eine Identität zu bestätigen.
- Nicht-Ablehnung oder Rechenschaftspflicht: Die Fähigkeit Ihrer Systeme, die Gültigkeit von etwas zu bestätigen, das über das System auftritt. Es ist eine Zusicherung über die Herkunft und Integrität der Daten.,
Vertraulichkeit, Integrität, Verfügbarkeit
Diese drei Komponenten sind der Eckpfeiler für jeden Sicherheitsfachmann, der Zweck eines Sicherheitsteams. John Svazic, Gründer von EliteSec, sagt, dass die CIA-Triade „als Touchpoints für jede Art von Sicherheitsarbeit fungiert“. Das heißt, es ist eine Möglichkeit für SecOps-Profis zu antworten:
Wie ist die Arbeit, die wir tun, um einen dieser Faktoren aktiv zu verbessern?,
Wenn Ihr Unternehmen ein Sicherheitsprogramm erstellt oder eine Sicherheitskontrolle hinzufügt, können Sie die CIA-Triade verwenden, um die Notwendigkeit von Steuerelementen zu rechtfertigen, die Sie implementieren. Ziehen Sie Ihre Sicherheitsmaßnahmen immer auf eine oder mehrere der CIA-Komponenten zurück.
Deshalb betrachtet Svazic die CIA-Triade als „nützlichen Maßstab“, der Ihnen hilft, sicherzustellen, dass die von Ihnen implementierten Kontrollen tatsächlich nützlich und notwendig sind—kein Placebo.
Verwandte Lesen
- BMC Security & Compliance Blog
- Risiko vs Gefahr vs Sicherheitsanfälligkeit: Was sind Die Unterschiede?,
- Checkliste zur Wiederherstellung von Verstößen für Sie & Ihr Unternehmen
- Top 8 Möglichkeiten, wie Hacker Daten aus Ihrem Mainframe exfiltrieren
- IT Asset Management: 10 Best Practices für eine erfolgreiche ITAM