A biztonsági szakemberek a fenyegetéseket és a sebezhetőségeket annak alapján mérik fel, hogy milyen potenciális hatást gyakorolhatnak a szervezet eszközeinek – nevezetesen annak adatai, alkalmazásai és egyéb adatai – titkosságára, integritására és elérhetőségére. kritikus rendszerek. Ezen értékelés alapján a biztonsági csoport végrehajt egy sor biztonsági ellenőrzést a környezetében a kockázat csökkentése érdekében. A következő szakaszban pontos és részletes magyarázatokat adunk ezekről az elvekről az InfoSec kontextusában, majd megvizsgáljuk ezen elvek valós alkalmazását.
Titoktartás
Titoktartás a szervezet azon törekvéseire utal, hogy adataikat titokban vagy titokban tartsák. A gyakorlatban arról van szó, hogy ellenőrzik az adatokhoz való hozzáférést az illetéktelen közzététel megakadályozása érdekében. Tipikusan ez magában foglalja annak biztosítását, hogy csak az engedéllyel rendelkezők férjenek hozzá meghatározott eszközökhöz, és hogy az illetéktelen személyeket aktívan megakadályozzák a hozzáférésben. Például csak a bérszámfejtés engedélyezett alkalmazottai férhetnek hozzá a munkavállalók bérszámfejtési adatbázisához. Ezenkívül az engedélyezett felhasználók egy csoportján belül további, szigorúbb korlátozások lehetnek érvényben arra vonatkozóan, hogy pontosan mely információkhoz férhetnek hozzá az engedélyezett felhasználók. Egy másik példa: az e-kereskedelmi ügyfelek számára ésszerű azt várni, hogy az általuk egy szervezetnek átadott személyes adatokat (például hitelkártya, kapcsolattartó, szállítási vagy egyéb személyes adatok) olyan módon védik, amely megakadályozza az illetéktelen hozzáférést vagy az expozíciót.
A titoktartás sokféleképpen sérülhet, például közvetlen támadásokkal, amelyek célja az illetéktelen hozzáférés megszerzése a rendszerekhez, alkalmazásokhoz és adatbázisokhoz az adatok ellopása vagy manipulálása céljából. A hálózati felderítés és más típusú vizsgálatok, az elektronikus lehallgatás (ember-a-középen támadással) és a rendszer privilégiumainak támadó általi fokozása csak néhány példa. De a titoktartást akaratlanul is meg lehet sérteni emberi tévedés, gondatlanság vagy nem megfelelő biztonsági ellenőrzések révén. Ilyen például a jelszavak megfelelő védelmének elmulasztása (a felhasználók vagy az informatikai biztonság által); felhasználói fiókok megosztása; fizikai lehallgatás (más néven vállszörfözés); az adatok titkosításának elmulasztása (folyamatban, szállítás közben és tároláskor); gyenge, gyenge vagy nem létező hitelesítési rendszerek; fizikai eszközök és tárolóeszközök lopása.
A titoktartás védelme érdekében az ellenintézkedések magukban foglalják az adatok osztályozását és címkézését; erős hozzáférés-ellenőrzés és hitelesítési mechanizmusok; folyamatban lévő, továbbított és tárolt adatok titkosítása; szteganográfia; távoli törlési képességek; és megfelelő oktatás és képzés minden, az adatokhoz hozzáférő egyén számára.
Integritás
A mindennapi használat során az integritás valaminek a minősége, ami teljes vagy teljes. Az InfoSecben az integritás arról szól, hogy az adatokat ne hamisítsák meg, és ezért megbízhatóak legyenek benne. Helyes, hiteles és megbízható. Az e-kereskedelmi ügyfelek például azt várják, hogy a termékek és az árak pontosak legyenek, és a mennyiség, az árképzés, a rendelkezésre állás és egyéb információk nem változnak a megrendelés után. A banki ügyfeleknek képesnek kell lenniük arra, hogy megbízhassanak abban, hogy banki adataikat és számlaegyenlegüket nem hamisították meg. Az integritás biztosítása magában foglalja a használatban lévő, szállítás közbeni adatok védelmét (például e-mail küldésekor, vagy egy fájl feltöltésekor vagy letöltésekor), és amikor azokat tárolják, akár laptopon, hordozható tárolóeszközön, az adatközpontban vagy a felhőben .
A titoktartáshoz hasonlóan az integritás sérülhet közvetlenül egy támadási vektor révén (például a behatolás-észlelő rendszerek manipulálása, a konfigurációs fájlok módosítása vagy a rendszer naplóinak megváltoztatása az észlelés elkerülése érdekében) vagy akaratlanul, emberi hiba, gondozás hiánya, kódolási hibák vagy nem megfelelő házirendek, eljárások és védelmi mechanizmusok.
Az adatok integritását védő ellenintézkedések magukban foglalják a titkosítást, a hash-t, a digitális aláírásokat és a digitális tanúsítványokat. szervezetek, hogy igazolják személyazonosságukat a webhely felhasználói számára, hasonlóan ahhoz, ahogyan az útlevél vagy a vezetői engedély felhasználható az egyén személyazonosságának ellenőrzésére, behatolásjelző rendszerek, auditálás, verziókon ol, valamint erős hitelesítési mechanizmusok és hozzáférés-ellenőrzések.
Ne feledje, hogy az integritás együtt jár a visszautasítás fogalmával: képtelenség letagadni valamit. A digitális aláírások használatával például az e-mailben a feladó nem tagadhatja meg, hogy üzenetet küldött, és a címzett nem állíthatja, hogy a kapott üzenet eltérjen a küldötttől. A visszautasítás segít az integritás biztosításában.
Elérhetőség
A rendszerek, alkalmazások és adatok kevés értéket jelentenek egy szervezet és ügyfelei számára, ha nem érhetők el, ha az engedélyezett felhasználóknak szükségük van rájuk. Egyszerűen a rendelkezésre állás azt jelenti, hogy a hálózatok, rendszerek és alkalmazások működnek.Biztosítja, hogy az engedélyezett felhasználók időben, megbízhatóan férjenek hozzá az erőforrásokhoz, amikor szükség van rájuk.
Sok minden veszélyeztetheti a rendelkezésre állást, beleértve a hardver vagy szoftver meghibásodását, az áramkimaradást, a természeti katasztrófákat és az emberi hibákat. Talán a legismertebb támadás, amely fenyegeti a rendelkezésre állást, a szolgáltatásmegtagadási támadás, amelynek során egy rendszer, webhely, webalapú alkalmazás vagy webalapú szolgáltatás teljesítménye szándékosan és rosszindulatúan romlik, vagy a rendszer teljesen elérhetetlen.
A rendelkezésre állást biztosító ellenintézkedések magukban foglalják a redundanciát (szervereken, hálózatokban, alkalmazásokban és szolgáltatásokban), a hardver hibatűrését (szerverek és tárolók számára), a rendszeres szoftverjavítást és rendszerfrissítéseket, biztonsági mentéseket, átfogó katasztrófa utáni helyreállítást. tervek és szolgáltatásmegtagadási védelmi megoldások.
Az alapelvek alkalmazása
A szervezet biztonsági céljaitól, az iparágtól, a vállalkozás jellegétől és az alkalmazandó szabályozási követelményektől függően, e három elv egyike előnyt élvezhet a másikkal szemben. Például a titoktartás létfontosságú bizonyos kormányzati szerveken (például hírszerző szolgálatokon) belül; az integritás elsőbbséget élvez a pénzügyi szektorban, ahol az 1,00 és az 1 000 000 USD közötti különbség katasztrofális lehet; és az elérhetőség kritikus mind az e-kereskedelmi szektorban (ahol a leállás dollármilliókba kerülhet a vállalatoknak), mind az egészségügyi szektorban (ahol az emberi élet elveszhet, ha a kritikus rendszerek nem állnak rendelkezésre).
Kulcsfontosságú megértési koncepció a CIA-triád kapcsán az, hogy egy vagy több elv rangsorolása mások kompromisszumát jelentheti. Például egy magas titoktartást és integritást igénylő rendszer feláldozhatja a villámsebességet, amelyet más rendszerek (például az e-kereskedelem) nagyobbra értékelhetnek. Ez a kompromisszum nem feltétlenül rossz; tudatos választás. Minden szervezetnek el kell döntenie, hogy miként alkalmazza ezeket az elveket, figyelembe véve egyedi követelményeiket, egyensúlyban azzal a törekvéssel, hogy zökkenőmentes és biztonságos felhasználói élményt nyújtsanak.
További megalapozó biztonsági koncepciók megismeréséhez olvassa el a Mi a biztonsági vezérlés?