Beveiligingsprofessionals evalueren bedreigingen en kwetsbaarheden op basis van de potentiële impact die ze hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen van een organisatie, namelijk de gegevens, toepassingen en kritische systemen. Op basis van die evaluatie implementeert het beveiligingsteam een reeks beveiligingscontroles om risico’s binnen hun omgeving te verminderen. In de volgende sectie zullen we precieze en gedetailleerde uitleg geven van deze principes in de context van InfoSec, en dan kijken naar real-world toepassingen van deze principes.
Vertrouwelijkheid
Vertrouwelijkheid verwijst naar de inspanningen van een organisatie om hun gegevens privé of geheim te houden. In de praktijk gaat het erom de toegang tot gegevens te beheersen om ongeautoriseerde openbaarmaking te voorkomen. Dit houdt doorgaans in dat ervoor wordt gezorgd dat alleen geautoriseerde personen toegang hebben tot specifieke activa en dat niet-geautoriseerde personen actief worden belet toegang te krijgen. Zo mogen alleen geautoriseerde Payroll-medewerkers toegang hebben tot de salarisadministratie van de medewerkers. Bovendien kunnen er binnen een groep geautoriseerde gebruikers aanvullende, strengere beperkingen gelden voor de informatie die deze geautoriseerde gebruikers precies mogen raadplegen. Een ander voorbeeld: het is redelijk voor e-commerceklanten om te verwachten dat de persoonlijke informatie die ze aan een organisatie verstrekken (zoals creditcard-, contact-, verzend- of andere persoonlijke informatie) zal worden beschermd op een manier die ongeautoriseerde toegang of blootstelling voorkomt.
Vertrouwelijkheid kan op veel manieren worden geschonden, bijvoorbeeld door directe aanvallen die bedoeld zijn om ongeautoriseerde toegang te krijgen tot systemen, applicaties en databases om zo gegevens te stelen of ermee te knoeien. Netwerkverkenning en andere soorten scans, elektronisch afluisteren (via een man-in-the-middle-aanval) en escalatie van systeembevoegdheden door een aanvaller zijn slechts enkele voorbeelden. Maar de vertrouwelijkheid kan ook onbedoeld worden geschonden door menselijke fouten, onzorgvuldigheid of inadequate veiligheidscontroles. Voorbeelden zijn onder meer het niet (door gebruikers of IT-beveiliging) om wachtwoorden adequaat te beschermen; delen van gebruikersaccounts; fysiek afluisteren (ook bekend als schoudersurfen); het niet versleutelen van gegevens (in verwerking, onderweg en wanneer opgeslagen); slechte, zwakke of niet-bestaande authenticatiesystemen; en diefstal van fysieke apparatuur en opslagapparaten.
Maatregelen om de vertrouwelijkheid te beschermen omvatten gegevensclassificatie en etikettering; sterke toegangscontroles en authenticatiemechanismen; versleuteling van gegevens die worden verwerkt, worden verzonden en opgeslagen; steganografie; mogelijkheden voor wissen op afstand; en adequate opleiding en training voor alle individuen met toegang tot gegevens.
Integriteit
In het dagelijks gebruik verwijst integriteit naar de kwaliteit van iets dat heel of compleet is. In InfoSec gaat integriteit over het verzekeren dat er niet met gegevens is geknoeid en daarom kan worden vertrouwd. Het is correct, authentiek en betrouwbaar. E-commerceklanten verwachten bijvoorbeeld dat product- en prijsinformatie nauwkeurig is, en die hoeveelheid, prijzen, beschikbaarheid en andere informatie zal niet worden gewijzigd nadat ze een bestelling hebben geplaatst. Bankklanten moeten erop kunnen vertrouwen dat er niet met hun bankgegevens en rekeningsaldi is geknoeid. Het waarborgen van integriteit omvat het beschermen van gegevens die in gebruik zijn, tijdens het transport (zoals bij het verzenden van een e-mail of het uploaden of downloaden van een bestand) en wanneer deze zijn opgeslagen, hetzij op een laptop, een draagbaar opslagapparaat, in het datacenter of in de cloud .
Net als bij vertrouwelijkheid kan de integriteit direct worden aangetast via een aanvalsvector (zoals het knoeien met inbraakdetectiesystemen, het wijzigen van configuratiebestanden of het wijzigen van systeemlogboeken om detectie te omzeilen) of onbedoeld, via fout, gebrek aan zorg, coderingsfouten of inadequaat beleid, procedures en beschermingsmechanismen.
Maatregelen die de gegevensintegriteit beschermen, zijn onder meer codering, hashing, digitale handtekeningen, digitale certificaten Vertrouwde certificaatautoriteiten (CA’s) geven digitale certificaten uit aan organisaties om hun identiteit te verifiëren aan websitegebruikers, vergelijkbaar met de manier waarop een paspoort of rijbewijs kan worden gebruikt om de identiteit van een individu te verifiëren., inbraakdetectiesystemen, auditing, versiecontrole ol, en sterke authenticatiemechanismen en toegangscontroles.
Merk op dat integriteit hand in hand gaat met het concept van onweerlegbaarheid: het onvermogen om iets te ontkennen. Door digitale handtekeningen in e-mail te gebruiken, kan een afzender bijvoorbeeld niet ontkennen dat hij een bericht heeft verzonden en kan de ontvanger niet beweren dat het ontvangen bericht anders was dan het verzonden bericht. Onweerlegbaarheid helpt bij het waarborgen van integriteit.
Beschikbaarheid
Systemen, applicaties en gegevens zijn van weinig waarde voor een organisatie en haar klanten als ze niet toegankelijk zijn wanneer geautoriseerde gebruikers ze nodig hebben. Beschikbaarheid betekent simpelweg dat netwerken, systemen en applicaties actief zijn.Het zorgt ervoor dat geautoriseerde gebruikers tijdige, betrouwbare toegang hebben tot bronnen wanneer ze nodig zijn.
Veel dingen kunnen de beschikbaarheid in gevaar brengen, inclusief hardware- of softwarestoringen, stroomstoringen, natuurrampen en menselijke fouten. Misschien wel de meest bekende aanval die de beschikbaarheid bedreigt, is de denial-of-service-aanval, waarbij de prestaties van een systeem, website, webgebaseerde applicatie of webgebaseerde service opzettelijk en kwaadwillig worden aangetast, of het systeem wordt volledig onbereikbaar.
Maatregelen om beschikbaarheid te helpen garanderen zijn onder meer redundantie (in servers, netwerken, applicaties en services), hardwarefouttolerantie (voor servers en opslag), regelmatige softwarepatching en systeemupgrades, back-ups, uitgebreid noodherstel plannen en denial-of-service-beschermingsoplossingen.
De principes toepassen
Afhankelijk van de beveiligingsdoelen van een organisatie, de branche, de aard van het bedrijf en eventuele toepasselijke wettelijke vereisten, een van deze drie principes kan voorrang krijgen op een ander. Vertrouwelijkheid is bijvoorbeeld essentieel binnen bepaalde overheidsinstanties (zoals inlichtingendiensten); integriteit heeft prioriteit in de financiële sector, waar het verschil tussen $ 1,00 en $ 1.000.000,00 catastrofaal kan zijn; en beschikbaarheid is van cruciaal belang in zowel de e-commercesector (waar downtime bedrijven miljoenen dollars kan kosten) als de gezondheidszorg (waar mensenlevens verloren kunnen gaan als kritieke systemen niet beschikbaar zijn).
Een belangrijk concept om te begrijpen over de CIA-triade is dat het prioriteren van een of meer principes de afweging van andere kan betekenen. Een systeem dat een hoge vertrouwelijkheid en integriteit vereist, kan bijvoorbeeld bliksemsnelle prestaties opofferen die andere systemen (zoals e-commerce) hoger zouden kunnen waarderen. Deze afweging is niet per se een slechte zaak; het is een bewuste keuze. Elke organisatie moet beslissen hoe ze deze principes toepassen, gezien hun unieke vereisten, in evenwicht met hun wens om een naadloze en veilige gebruikerservaring te bieden.
Lees Wat zijn beveiligingsmaatregelen? Voor meer informatie over andere fundamentele beveiligingsconcepten. p>