Articles

CIA 보안 트라이어드는 무엇입니까? 기밀성,무결성,가용성 설명

귀하에게만 가치있는 일부 데이터를 보호하는 것은 쉽습니다. 저장할 수 있습니다 당신의 사진이나 아이디어이나 노트에서는 암호화,엄지 드라이브에 잠들어 있는 곳이 핵심입니다.그러나 기업과 조직은 광대 한 규모로이를 처리해야합니다., 후에도,그것은 회사 데이터 제품,고객 및 직원 정보,아이디어,연구,실험—는 귀하의 회사를 만들이 유용하고 가치있는 것입니다. (The”assets”우리는 일반적으로의 생각처럼,하드웨어 및 소프트웨어는 단순히 도구는 작업을 할 수 있고 저장하는 회사 데이터입니다.)

그렇다면 조직은이 데이터를 보호하는 방법에 대해 어떻게 진행됩니까? 확실히,도움이 될 수있는 보안 전략과 기술 솔루션이 있지만,한 가지 개념은 그들 모두를 강조합니다:CIA 보안 트라이어드.,

이 개념은 세 가지 구성 요소를 결합한—기밀성,무결성 및 가용성을 안내하는 데 도움 보안 조치,제어,그리고 전반적인 전략입니다. 한번 보자.

(이 문서의 일부입니다 우리의 Security&호환성 가이드입니다. 오른쪽 메뉴를 사용하여 탐색하십시오.)

보안에서 CIA 정의

CIA 트라이어드는 정보 시스템의 기능을 나타냅니다. 귀하의 정보 시스템은 귀하의 컴퓨터 시스템과 귀하의 데이터를 모두 포함합니다., Atlas Cybersecurity 의 공동 설립자 인&CEO 인 Ben Dynkin 은 이러한 기능이 공격받을 수있는 기능이라고 설명합니다.

CIA 보안 트라이어드는 세 가지 기능으로 구성되어 있습니다:

  • 기밀. 시스템의 능력을 보장하는 올바른 승인된 사용자/시스템/리소스 보기,액세스,변경,또는 그렇지 않으면 사용 데이터입니다.
  • 무결성. 시스템과 정보가 정확하고 올바른지 확인하는 시스템의 능력.
  • 가용성., 시스템,정보 및 서비스가 대다수의 시간에 사용 가능하도록 보장하는 시스템의 능력.

각각을 더 자세히 살펴 보겠습니다.

기밀성

비보안적인 의미에서 기밀성은 무언가를 비밀로 유지하는 능력입니다. 현실 세계에서 우리는 블라인드를 끊거나 창문에 커튼을 놓을 수도 있습니다. 친구에게 비밀을 지키라고 요청할 수도 있습니다. 기밀성은 또한 기술과 함께 제공됩니다. 그것을 밖으로 재생할 수 있습니에서 다르게 사용하여 개인적인 수준은,우리가 사용하는 곳에 Vpn 이나 암호화를 위해 우리 자신의 개인 정보 보호 찾습니다., 우리는 항상 듣고있는 가정 내 장치를 끌 수도 있습니다.

그러나 엔터프라이즈 보안에서는 권한이없는 사람이 파일을 보거나 가져 가거나 변경할 수있을 때 기밀성이 침해됩니다. 기밀성은 중요하기 때문에 귀사를 보호하고 싶은 그것의 경쟁력은 무형자산의 회사에서 눈에 띄는 당신의 경쟁입니다.

무결성

컴퓨터 시스템에서 무결성은 해당 시스템의 결과가 정확하고 사실적이라는 것을 의미합니다., 데이터 세계,그것으로 알려진 데이터의 신뢰성—신뢰할 수 있는 결과를 데이터의 컴퓨터 시스템의 차이점은 무엇입니까?

어떤 정보 시스템을 확보 할 때,무결성은 보호하려고하는 하나의 기능입니다. 당신이 원하지 않는 나쁜 배우 또는 인간의 오류가을,의도적으로 또는 실수로,파멸의 무결성을 컴퓨터시스템 및 그들의 결과입니다.

가용성

가용성은 널리 사용되는 용어입니다. 보안에서 가용성은 올바른 사람들이 귀하의 정보 시스템에 액세스 할 수 있음을 의미합니다., 권한 액세스 권한이있는 사용자가 전용 컴퓨터에 액세스 할 수없는 경우 가용성이 없습니다.

가용성은 공격받을 수 있기 때문에 보안에 큰 문제입니다. 에 대한 공격을 당신의 가용성을 제한할 수 있습는 사용자에 액세스하는 일부 또는 모든 서비스를 떠나,당신의 애쓰고 혼란을 정리하고 제한하지 않습니다.

enterprise security 의 CIA 트라이어드

OK,그래서 우리는 개념을 내려 놓았지만 트라이어드로 무엇을합니까?,

그 중심에,CIA 트라이어드는 보안 모델이 있어야한다——따라 보호하기 위해서 저장된 정보에내 컴퓨터 시스템 또는 클라우드. 그것은 당신을 도와줍니다:

  • 유지에 대한 정보를 비밀로(비밀유지)는
  • 을 유지하상,정확한 상태의 정보는(Integrity)
  • 인 정보 및 서비스가 실행(가용성)

It’s balance:보안팀할 수 있는 100%보장하는 기밀성,무결성 및 가용성을 할 수 없을 위반 상관 없이 원인입니다.,보안 전문가는 CIA 트라이어드를 사용하여 조직의 위험을 이해하고 평가합니다. Dynkin 은 모든 잠재적 위협,공격 및 취약점을 트라이어드의 어느 한 기능으로 분해 할 것을 제안합니다. 예:

  • 데이터 유출은 데이터의 기밀성을 공격합니다.
  • 랜섬웨어 사건은 정보 시스템의 가용성을 공격합니다.

무엇이 공격 받고 있는지 이해하는 것은 그 공격에 대한 보호를 구축 할 수있는 방법입니다., Ransomware 의 사례를 취하십시오-모든 보안 전문가는 ransomware 를 중지하려고합니다. 우리는 여기는 경향이 있 랜섬 광범위하게,일부로”난해한 악성 코드의 공격”,Dynkin 해야 한다고 말하는데 보기 공격으로 특별히 설계된 제한하는 당신의 가용성.

의 생각할 때 이 시도로 사용 가능성을 제한,그가 나에게 말했다,당신이 걸릴 수 있습니다 추가적인 완화 단계에 이상이 있는 경우려고 했을 뿐”stop 랜섬”.

트라이어드는 특정 컨트롤로 드릴 다운하는 데 도움이 될 수 있습니다. 또한 전략 및 정책 수준에서도 적용됩니다., Dynkin 계속:이해하면 CIA triad,확장할 수 있습니다 당신의 보안을 넘어”특정 사소한(아직도 매우 중요한다)및 초점 조직 구성 접근 방식 정보 보안입니다.”

우선 순위를 각각의 일을 보호하기 위해 필요에 따라 얼마나 심각한 결과는 경우에 기밀성,무결성,또는 가용성을했다 위반. 예를 들어,어떻게 각 이벤트에 여기에 침해 중 하나는 부분 또는 더 CIA triad:

  • 는 서비스 중단을 공격자는 인터럽트의 액세스 협상 칩에 대한 다른 무언가이다.,
  • 차단:공격자는 회사 활동에 대해 알아보기 위해 이메일을 차단하거나 납치 할 수 있습니다.
  • 수정 또는 제작 공격자가 수정할 수 있습니다 또는 당신의 정보입니다.

어떤 사건이 한 번에 두 가지 기능을 위반할 수 있다면 어떨까요? 가능한 한 각 보안 기능을 개선하기 위해 고려,계획 및 조치를 취하십시오. 예를 들어 백업—중복성—을 사용하면 전반적인 가용성이 향상됩니다. 일부 시스템의 가용성이 공격을 받으면 이미 갈 준비가 된 백업이 있습니다.,

행동에 CIA 트라이어드

당신은 당신의 보안 팀이 다음과 같은 것들을 볼 때 CIA 트라이어드에 대한 몇 가지 보안을 내놓고 있음을 알 수 있습니다:

  • 관리자 권한에 대한 제한
  • 무능력 자신의 알 수없는 장치를 사용하는
  • 특정 민감한 회사 정보에 액세스하기 위해 VPN 의 사용

자산 인 아무것도—유형 하드웨어 및 소프트웨어,무형의 지식과 재능-어떤 식 으로든 당신의 보안 팀. 그리고 그것은 보안 팀의 일입니다:회사가 가치 있다고 생각하는 모든 자산을 보호하는 것입니다., 그리고 그것은 분명히 쉬운 프로젝트가 아닙니다.

추가 보안 속성

보안 전문가는 컴퓨터 보안이 CIA 트라이어드로 멈추지 않는다는 것을 이미 알고 있습니다. ISO-7498-2 에는 컴퓨터 보안을위한 추가 속성 인

  • 인증:시스템의 신원을 확인하는 기능도 포함됩니다.
  • 비 회개 또는 책임:시스템을 통해 발생하는 무언가의 타당성을 확인하는 시스템의 능력. 그것은 데이터의 기원과 무결성에 대한 보증입니다.,

기밀성,무결성,가용성

이러한 세 가지 구성 요소는 초석이 어떤 보안 전문가의 목적은 어떤 보안 팀이 있습니다. EliteSec 의 설립자 인 John Svazic 은 CIA 트라이어드가”수행되는 모든 유형의 보안 작업에 대한 터치 포인트 역할을합니다”라고 말합니다. 는 방법에 대한 SecOps 전문가들이 대답:

활동은 어떻게 우리가 일을 적극적으로 개선의 이러한 요인입니까?,

회사의 빌드 보안 프로그램,또는 추가 보안을 제어 사용할 수 있습니다 CIA 트라이어드하는 정당화에 필요한 컨트롤을 구현. 항상 CIA 구성 요소 중 하나 이상에 다시 보안 작업을 그립니다.

는 이유 Svazic 고려 CIA triad”유용한’척도'”그하고 있는지 확인하는 데 도움이됩 컨트롤을 구현하는 실제로 유용하고 필요하지 않습니다.

관련 읽기

  • BMC 보안&준수 Blog
  • 위험에 대한 위협 대 취약점:무슨 차이가?,
  • 위반 복구 체크리스트를 위한 당신은&회사
  • 탑 8 일 방법으로 해커들은 몰래 데이터 메인프레임
  • 이것은 자산 관리:10 최고의 관행을 위한 성공적인 ITAM