Profesioniștii în securitate evaluează amenințările și vulnerabilitățile pe baza impactului potențial pe care îl au asupra confidențialității, integrității și disponibilității activelor unei organizații – și anume, datele, aplicațiile și sisteme critice. Pe baza acestei evaluări, echipa de securitate implementează un set de controale de securitate pentru a reduce riscul în mediul lor. În secțiunea următoare, vom oferi explicații precise și detaliate ale acestor principii în contextul InfoSec, apoi vom analiza aplicațiile reale ale acestor principii.
Confidențialitate
Confidențialitate se referă la eforturile unei organizații de a-și păstra datele private sau secrete. În practică, este vorba de controlul accesului la date pentru a preveni divulgarea neautorizată. De obicei, acest lucru implică asigurarea că numai cei autorizați au acces la anumite active și că cei care sunt neautorizați sunt împiedicați în mod activ să obțină acces. De exemplu, doar angajații salariați autorizați ar trebui să aibă acces la baza de date a salariilor angajaților. Mai mult, în cadrul unui grup de utilizatori autorizați, pot exista limitări suplimentare, mai stricte, cu privire la exact informațiile pe care acei utilizatori autorizați le pot accesa. Un alt exemplu: este rezonabil ca clienții de comerț electronic să se aștepte ca informațiile personale pe care le furnizează unei organizații (cum ar fi cardul de credit, contactul, expedierea sau alte informații personale) să fie protejate într-un mod care împiedică accesul sau expunerea neautorizată.
Confidențialitatea poate fi încălcată în multe moduri, de exemplu, prin atacuri directe menite să obțină acces neautorizat la sisteme, aplicații și baze de date pentru a fura sau manipula date. Recunoașterea în rețea și alte tipuri de scanări, ascultarea electronică (printr-un atac om-în-mijloc) și escaladarea privilegiilor de sistem de către un atacator sunt doar câteva exemple. Dar confidențialitatea poate fi, de asemenea, încălcată neintenționat prin erori umane, neglijență sau controale de securitate inadecvate. Exemplele includ eșecul (de către utilizatori sau securitatea IT) de a proteja în mod adecvat parolele; partajarea conturilor de utilizator; ascultare fizică (cunoscută și sub numele de surfing pe umăr); eșecul criptării datelor (în proces, în tranzit și atunci când sunt stocate); sisteme de autentificare slabe, slabe sau inexistente; și furtul de echipamente fizice și dispozitive de stocare.
Măsurile de protecție a confidențialității includ clasificarea și etichetarea datelor; controale puternice de acces și mecanisme de autentificare; criptarea datelor în proces, în tranzit și în stocare; steganografie; capabilități de ștergere de la distanță; și o educație și o pregătire adecvate pentru toți indivizii cu acces la date.
Integritate
În utilizarea de zi cu zi, integritatea se referă la calitatea a ceva complet sau complet. În InfoSec, integritatea se referă la asigurarea faptului că datele nu au fost modificate și, prin urmare, pot fi de încredere. Este corect, autentic și de încredere. Clienții de comerț electronic, de exemplu, se așteaptă ca informațiile despre produse și prețuri să fie corecte și că cantitatea, prețurile, disponibilitatea și alte informații nu vor fi modificate după ce efectuează o comandă. Clienții bancari trebuie să poată avea încredere că informațiile bancare și soldurile contului lor nu au fost alterate. Asigurarea integrității presupune protejarea datelor în utilizare, în tranzit (cum ar fi atunci când trimiteți un e-mail sau încărcați sau descărcați un fișier) și când acestea sunt stocate, fie pe un laptop, un dispozitiv de stocare portabil, în centrul de date sau în cloud .
Așa cum este cazul confidențialității, integritatea poate fi compromisă direct printr-un vector de atac (cum ar fi modificarea sistemelor de detectare a intruziunilor, modificarea fișierelor de configurare sau schimbarea jurnalelor de sistem pentru a se sustrage detectării) sau neintenționat, prin intermediul omului eroare, lipsă de îngrijire, erori de codare sau politici, proceduri și mecanisme de protecție inadecvate.
Contra măsurile care protejează integritatea datelor includ criptarea, hashing-ul, semnăturile digitale, certificatele digitale Autoritățile de certificare de încredere (CA) emit certificate digitale către organizații pentru a-și verifica identitatea utilizatorilor de site-uri web, similar modului în care un pașaport sau permisul de conducere pot fi utilizate pentru a verifica identitatea unei persoane. ol, mecanisme puternice de autentificare și controale de acces.
Rețineți că integritatea merge mână în mână cu conceptul de non-respingere: incapacitatea de a nega ceva. Utilizând semnături digitale în e-mail, de exemplu, un expeditor nu poate nega că a trimis un mesaj, iar destinatarul nu poate pretinde că mesajul primit a fost diferit de cel trimis. Non-repudierea ajută la asigurarea integrității.
Disponibilitate
Sistemele, aplicațiile și datele sunt de mică valoare pentru o organizație și clienții săi dacă nu sunt accesibile atunci când utilizatorii autorizați au nevoie de ele. Pur și simplu, disponibilitatea înseamnă că rețelele, sistemele și aplicațiile sunt puse în funcțiune.Se asigură că utilizatorii autorizați au acces în timp util și de încredere la resurse atunci când sunt necesare.
Multe lucruri pot pune în pericol disponibilitatea, inclusiv defecțiuni hardware sau software, întreruperea alimentării, dezastre naturale și erori umane. Poate că cel mai cunoscut atac care amenință disponibilitatea este atacul denial of service, în care performanța unui sistem, site web, aplicație web sau serviciu web este degradată în mod intenționat și rău intenționat sau sistemul devine complet inaccesibil.
Măsurile contrare pentru a asigura disponibilitatea includ redundanță (în servere, rețele, aplicații și servicii), toleranță la erori hardware (pentru servere și stocare), corecții software regulate și actualizări ale sistemului, backup-uri, recuperare completă după dezastru planuri și soluții de protecție împotriva refuzului de serviciu.
Aplicarea principiilor
În funcție de obiectivele de securitate ale unei organizații, industrie, natura afacerii și orice cerințe de reglementare aplicabile, unul dintre aceste trei principii ar putea avea prioritate față de altul. De exemplu, confidențialitatea este vitală în cadrul anumitor agenții guvernamentale (cum ar fi serviciile de informații); integritatea are prioritate în sectorul financiar, în care diferența dintre 1,00 $ și 1,000,000,00 USD ar putea fi catastrofală; și disponibilitatea este esențială atât în sectorul comerțului electronic (unde timpul de nefuncționare poate costa companiile milioane de dolari), cât și în sectorul asistenței medicale (unde viața umană ar putea fi pierdută dacă sistemele critice nu sunt disponibile).
Un concept cheie de înțeles despre triada CIA este că prioritizarea unuia sau mai multor principii poate însemna compromisul altora. De exemplu, un sistem care necesită o confidențialitate și o integritate ridicate ar putea sacrifica performanța fulgerului pe care alte sisteme (cum ar fi comerțul electronic) ar putea să o aprecieze mai mult. Acest compromis nu este neapărat un lucru rău; este o alegere conștientă. Fiecare organizație trebuie să decidă cum să aplice aceste principii, având în vedere cerințele lor unice, echilibrate cu dorința lor de a oferi o experiență de utilizator perfectă și sigură.
Pentru a afla despre alte concepte fundamentale de securitate, citiți Ce sunt controalele de securitate?