Sikkerhedsfagfolk vurderer trusler og sårbarheder baseret på den potentielle indvirkning, de har på fortroligheden, integriteten og tilgængeligheden af en organisations aktiver – nemlig dens data, applikationer og kritiske systemer. Baseret på denne evaluering implementerer sikkerhedsteamet et sæt sikkerhedskontroller for at reducere risikoen i deres miljø. I det næste afsnit giver vi nøjagtige og detaljerede forklaringer på disse principper i forbindelse med InfoSec og ser derefter på virkelige anvendelser af disse principper.
Fortrolighed
Fortrolighed henviser til en organisations bestræbelser på at holde deres data private eller hemmelige. I praksis handler det om at kontrollere adgangen til data for at forhindre uautoriseret videregivelse. Dette indebærer typisk at sikre, at kun de, der er autoriserede, har adgang til specifikke aktiver, og at de, der er uautoriserede, aktivt forhindres i at få adgang. Som et eksempel skal kun autoriserede lønmodtagere have adgang til medarbejderlønningsdatabasen. Derudover kan der inden for en gruppe autoriserede brugere være yderligere og strengere begrænsninger for nøjagtigt hvilke oplysninger de autoriserede brugere har adgang til. Et andet eksempel: det er rimeligt for e-handelskunder at forvente, at de personlige oplysninger, de leverer til en organisation (såsom kreditkort, kontakt, forsendelse eller andre personlige oplysninger), vil blive beskyttet på en måde, der forhindrer uautoriseret adgang eller eksponering.
Fortrolighed kan krænkes på mange måder, f.eks. gennem direkte angreb designet til at få uautoriseret adgang til systemer, applikationer og databaser for at stjæle eller manipulere med data. Netværksrekognoscering og andre typer scanninger, elektronisk aflytning (via et mand-i-midten-angreb) og optrapning af systemrettigheder af en angriber er blot nogle få eksempler. Men fortrolighed kan også krænkes utilsigtet gennem menneskelige fejl, skødesløshed eller utilstrækkelig sikkerhedskontrol. Eksempler inkluderer manglende (af brugere eller it-sikkerhed) tilstrækkelig beskyttelse af adgangskoder; deling af brugerkonti; fysisk aflytning (også kendt som surfing på skulderen); manglende kryptering af data (undervejs, under transport og når de er gemt) dårlige, svage eller ikke-eksisterende autentificeringssystemer og tyveri af fysisk udstyr og lagerenheder.
Modforanstaltninger for at beskytte fortrolighed inkluderer dataklassificering og mærkning; stærk adgangskontrol og godkendelsesmekanismer kryptering af data under proces, under transport og under lagring; steganografi; fjernbetjeningsfunktioner; og tilstrækkelig uddannelse og træning for alle personer med adgang til data.
Integritet
I dagligdagen refererer integritet til kvaliteten af noget, der er hel eller komplet. I InfoSec handler integritet om at sikre, at der ikke er blevet manipuleret med data og derfor kan stole på dem. Det er korrekt, autentisk og pålideligt. E-handelskunder forventer for eksempel, at produkt- og prisoplysninger er korrekte, og at mængde, prisfastsættelse, tilgængelighed og andre oplysninger ikke ændres, efter at de har bestilt. Bankkunder skal være i stand til at stole på, at deres bankoplysninger og kontosaldoer ikke er blevet manipuleret. Sikring af integritet indebærer beskyttelse af data, der er i brug, under transit (f.eks. Når du sender en e-mail eller uploader eller downloader en fil), og når den er gemt, hvad enten det er på en bærbar computer, en bærbar lagerenhed, i datacentret eller i skyen .
Som det er tilfældet med fortrolighed, kan integriteten kompromitteres direkte via en angrebsvektor (såsom manipulation med indbrudsdetekteringssystemer, ændring af konfigurationsfiler eller ændring af systemlogfiler for at undgå detektion) eller utilsigtet gennem menneskelig fejl, manglende pleje, kodningsfejl eller utilstrækkelige politikker, procedurer og beskyttelsesmekanismer.
Modforanstaltninger, der beskytter dataintegritet, inkluderer kryptering, hashing, digitale signaturer, digitale certifikater. organisationer til at verificere deres identitet over for webstedsbrugere, svarende til den måde, et pas eller kørekort kan bruges til at verificere en persons identitet., indbrudsdetekteringssystemer, revision, versionskontrol ol og stærke godkendelsesmekanismer og adgangskontrol.
Bemærk, at integritet går hånd i hånd med begrebet ikke-afvisning: manglende evne til at benægte noget. Ved at bruge digitale signaturer i e-mail kan f.eks. En afsender ikke benægte at have sendt en besked, og modtageren kan ikke hævde, at den modtagne besked var forskellig fra den, der blev sendt. Ikke-afvisning hjælper med at sikre integritet.
Tilgængelighed
Systemer, applikationer og data er af ringe værdi for en organisation og dens kunder, hvis de ikke er tilgængelige, når autoriserede brugere har brug for dem. Ganske enkelt betyder tilgængelighed, at netværk, systemer og applikationer er i gang.Det sikrer, at autoriserede brugere har rettidig og pålidelig adgang til ressourcer, når de er nødvendige.
Mange ting kan bringe tilgængeligheden i fare, herunder hardware- eller softwarefejl, strømsvigt, naturkatastrofer og menneskelige fejl. Det mest kendte angreb, der truer tilgængelighed, er måske denial-of-service-angrebet, hvor ydeevnen for et system, et websted, en webbaseret applikation eller en webbaseret tjeneste forsætligt og skadeligt nedbrydes, eller systemet bliver helt ikke kan nås.
Modforanstaltninger for at sikre tilgængelighed inkluderer redundans (i servere, netværk, applikationer og tjenester), hardwaretolerance (til servere og opbevaring), regelmæssig software-patch og systemopgraderinger, sikkerhedskopier, omfattende katastrofegendannelse planer og løsninger til beskyttelse af tjenestenekt.
Anvendelse af principperne
Afhængig af en organisations sikkerhedsmål, branchen, virksomhedens art og eventuelle gældende lovgivningsmæssige krav, et af disse tre principper kan have forrang for et andet. For eksempel er fortrolighed afgørende inden for visse offentlige agenturer (såsom efterretningstjenester); integritet prioriteres i den finansielle sektor, hvor forskellen mellem $ 1,00 og $ 1.000.000,00 kunne være katastrofal; og tilgængelighed er kritisk i både e-handelssektoren (hvor nedetid kan koste virksomheder millioner af dollars) og sundhedssektoren (hvor menneskeliv kan gå tabt, hvis kritiske systemer ikke er tilgængelige).
Et nøglebegreb at forstå om CIA-triaden er, at prioritering af et eller flere principper kan betyde kompromis med andre. For eksempel kan et system, der kræver høj fortrolighed og integritet, ofre lynhurtig ydelse, som andre systemer (såsom e-handel) måske værdsætter mere. Denne kompromis er ikke nødvendigvis en dårlig ting; det er et bevidst valg. Hver organisation skal beslutte, hvordan disse principper skal anvendes i betragtning af deres unikke krav, afbalanceret med deres ønske om at give en problemfri og sikker brugeroplevelse.
For at lære mere om andre grundlæggende sikkerhedskoncepter skal du læse Hvad er sikkerhedskontrol? p>