Säkerhetspersonal utvärderar hot och sårbarheter baserat på den potentiella inverkan de har på konfidentialiteten, integriteten och tillgängligheten för en organisations tillgångar – nämligen dess data, applikationer och kritiska system. Baserat på den utvärderingen implementerar säkerhetsteamet en uppsättning säkerhetskontroller för att minska risken i sin miljö. I nästa avsnitt ger vi exakta och detaljerade förklaringar av dessa principer i InfoSec-sammanhanget och ser sedan på verkliga tillämpningar av dessa principer.
Sekretess
Konfidentialitet hänvisar till en organisations ansträngningar att hålla sina uppgifter privata eller hemliga. I praktiken handlar det om att kontrollera åtkomst till data för att förhindra obehörig avslöjande. Vanligtvis handlar det om att säkerställa att endast de som är auktoriserade har tillgång till specifika tillgångar och att de som är obehöriga aktivt hindras från att få tillgång. Som ett exempel bör endast auktoriserade lönearbetare ha tillgång till lönedatabasen för anställda. Dessutom kan det finnas inom en grupp av auktoriserade användare ytterligare, strängare begränsningar för exakt vilken information dessa auktoriserade användare får åtkomst till. Ett annat exempel: det är rimligt för e-handelskunder att förvänta sig att den personliga informationen de ger till en organisation (såsom kreditkort, kontakt, frakt eller annan personlig information) kommer att skyddas på ett sätt som förhindrar obehörig åtkomst eller exponering.
Sekretess kan brytas på många sätt, till exempel genom direkta attacker som är utformade för att få obehörig åtkomst till system, applikationer och databaser för att stjäla eller manipulera data. Nätverksrekognoscering och andra typer av skanningar, elektronisk avlyssning (via en man-i-mitten-attack) och eskalering av systembehörigheter av en angripare är bara några exempel. Men konfidentialitet kan också brytas oavsiktligt genom mänskliga misstag, slarv eller otillräcklig säkerhetskontroll. Exempel inkluderar misslyckande (av användare eller IT-säkerhet) att skydda lösenord på ett adekvat sätt; delning av användarkonton; fysisk avlyssning (även känd som axelsurfing); misslyckande med att kryptera data (i processen, under transport och när de lagras); dåliga, svaga eller obefintliga autentiseringssystem; och stöld av fysisk utrustning och lagringsenheter.
Motåtgärder för att skydda konfidentialitet inkluderar dataklassificering och märkning; starka åtkomstkontroller och autentiseringsmekanismer; kryptering av data under processen, under transport och lagring; steganografi; fjärrtorkningsfunktioner; och adekvat utbildning och utbildning för alla individer som har tillgång till data.
Integritet
I daglig användning avser integritet kvaliteten på att något är helt eller fullständigt. I InfoSec handlar integritet om att säkerställa att data inte har manipulerats och därför kan lita på dem. Det är korrekt, autentiskt och pålitligt. E-handelskunder förväntar sig till exempel att produkt- och prisinformation är korrekt, och att kvantitet, prissättning, tillgänglighet och annan information inte kommer att ändras efter att de har gjort en beställning. Bankkunder måste kunna lita på att deras bankinformation och kontosaldo inte har manipulerats. Att säkerställa integritet innebär att skydda data som används, under transport (t.ex. när du skickar ett e-postmeddelande eller laddar upp eller laddar ner en fil), och när den lagras, antingen på en bärbar dator, en bärbar lagringsenhet, i datacentret eller i molnet .
Som det är fallet med konfidentialitet kan integriteten äventyras direkt via en attackvektor (som att manipulera system för intrångsdetektering, ändra konfigurationsfiler eller ändra systemloggar för att undvika upptäckt) eller oavsiktligt genom mänskliga fel, brist på vård, kodfel eller otillräcklig policy, procedurer och skyddsmekanismer.
Motåtgärder som skyddar dataintegriteten inkluderar kryptering, hashing, digitala signaturer, digitala certifikat. organisationer för att verifiera sin identitet för webbplatsanvändare, liknande det som ett pass eller körkort kan användas för att verifiera en persons identitet., system för intrångsdetektering, revision, version ol, och starka autentiseringsmekanismer och åtkomstkontroller.
Observera att integritet går hand i hand med begreppet icke-repudiering: oförmågan att förneka något. Genom att till exempel använda digitala signaturer i e-post kan en avsändare inte förneka att ha skickat ett meddelande och mottagaren kan inte göra anspråk på att det mottagna meddelandet skilde sig från det som skickades. Icke-repudiering hjälper till att säkerställa integritet.
Tillgänglighet
System, applikationer och data är av lite värde för en organisation och dess kunder om de inte är tillgängliga när behöriga användare behöver dem. Helt enkelt betyder tillgänglighet att nätverk, system och applikationer är igång.Det säkerställer att auktoriserade användare har snabb och pålitlig tillgång till resurser när det behövs.
Många saker kan äventyra tillgängligheten, inklusive maskinvaru- eller programvarufel, strömavbrott, naturkatastrofer och mänskliga fel. Den kanske mest kända attacken som hotar tillgängligheten är denial-of-service-attacken, där prestanda för ett system, en webbplats, en webbaserad applikation eller en webbaserad tjänst avsiktligt och skadligt försämras, eller systemet blir helt oåtkomlig.
Motåtgärder för att säkerställa tillgänglighet inkluderar redundans (i servrar, nätverk, applikationer och tjänster), hårdvarufelstolerans (för servrar och lagring), regelbunden programuppdatering och systemuppgraderingar, säkerhetskopior, omfattande katastrofåterställning planer och skyddslösningar för förnekelse av tjänster.
Tillämpa principerna
Beroende på en organisations säkerhetsmål, branschen, verksamhetens karaktär och eventuella tillämpliga lagkrav, en av dessa tre principer kan ha företräde framför en annan. Exempelvis är konfidentialitet avgörande inom vissa myndigheter (såsom underrättelsetjänster); integritet prioriteras i den finansiella sektorn där skillnaden mellan $ 1,00 och $ 1 000 000,00 kan vara katastrofal; och tillgänglighet är avgörande i både e-handelssektorn (där stillestånd kan kosta företag miljontals dollar) och sjukvårdssektorn (där människolivet kan gå förlorat om kritiska system inte är tillgängliga).
Ett nyckelbegrepp att förstå om CIA-triaden är att prioritering av en eller flera principer kan betyda avvägning för andra. Till exempel kan ett system som kräver hög konfidentialitet och integritet offra blixtsnabb prestanda som andra system (som e-handel) kanske värdesätter mer. Denna kompromiss är inte nödvändigtvis en dålig sak; det är ett medvetet val. Varje organisation måste bestämma hur de ska tillämpa dessa principer med tanke på deras unika krav, balanserade med deras önskan att ge en sömlös och säker användarupplevelse.
För att lära dig om andra grundläggande säkerhetskoncept, läs Vad är säkerhetskontroller?