Aşağıdaki makale size yardımcı olacaktır: CIA üçlüsü nedir? Tanım, Önem ve Örnekler
Alanında çalışan veya ilgilenen herkes bilgi Güvenliği veya siber güvenlik, CIA Triad ilkelerinin önemini anlamalıdır. Bu blog, bunu ayrıntılı olarak ele almanıza yardımcı olacaktır.
Siber Güvenlik ile dijital varlıklarınızı nasıl koruyacağınızı öğrenin:
Siber Güvenlikte CIA Üçlüsü Nedir?
CIA Triad, oldukça popüler olan bir bilgi güvenliği modelidir. Bir kuruluşun veri güvenliğini sağlamaya yönelik çabalarına rehberlik eder. Siber güvenlikte CIA için de eksiksiz olan gizlilik, bütünlük ve kullanılabilirlik olmak üzere üç ilke, bir güvenlik altyapısının temel taşını oluşturur. Aslında, bu ilkeleri herhangi bir güvenlik programına uygulamak idealdir.
- Gizlilik yalnızca yetkili personele verileri değiştirmek için erişim veya izin verildiğinden emin olur
- Bütünlük verilerin doğru durumda olmasını sağlayarak ve herhangi bir uygunsuz değişiklikten muaf tutularak verilerin güvenilirliğinin korunmasına yardımcı olur
- Kullanılabilirlik demek ki Yetkili kullanıcılar, gerektiğinde verilere erişebilmelidir.
CIA üçlüsü, bilgi güvenliği için o kadar temeldir ki, veri ihlali veya herhangi bir sayıda başka güvenlik olayı meydana geldiğinde, bunun nedeni kesinlikle bu ilkelerden bir veya daha fazlasının tehlikeye atılmasıdır. Bu nedenle, CIA üçlüsü her bilgi güvenliği uzmanı için her zaman öncelik listesinin başında yer alır.
Güvenlik uzmanları, tehditleri ve güvenlik açıklarını, bir kuruluşun varlıklarının CIA üzerinde olabilecek etkilerini düşünerek değerlendirir. Bu değerlendirmeye dayanarak, güvenlik ekibi o ortamdaki riskleri en aza indirmek için belirli bir dizi güvenlik denetimi uygular.
CIA üçlüsü örnekler
CIA üçlüsünün pratikte nasıl çalıştığını daha iyi anlamak için, kullanıcıların banka bakiyelerine ve diğer bilgilere erişmesine izin veren bir ATM düşünün. Bir ATM, üçlünün ilkelerini kapsayacak önlemleri içerir:
- İki faktörlü kimlik doğrulama (PIN kodlu banka kartı) şunları sağlar: gizlilik hassas verilere erişim izni vermeden önce.
- ATM ve banka yazılımı verileri sağlar bütünlük ATM üzerinden yapılan tüm transfer ve para çekme kayıtlarının kullanıcının banka muhasebesinde tutulması ile.
- ATM sağlar kullanılabilirlik halka açık olduğu ve her zaman erişilebilir olduğu için.
CIA Üçlüsü’nün Kısa Tarihi
CIA üçlüsü, bilgeliğin tek bir savunucu tarafından değil, bilgi güvenliği uzmanları arasında aktarılmasıyla zamanla şekillendi. Gizliliğin resmileştirilmesi, 1976 ABD Hava Kuvvetleri araştırmasına kadar izlenebilir. Öte yandan dürüstlük, ticari bilgi işlemin veri doğruluğuna özel bir odaklanma gerektirdiğinden bahseden 1987 tarihli bir makalede bulundu. Mevcudiyet kavramı net olarak bilinmemekle birlikte, 1988 yılındaki saldırı nedeniyle bu fikir ön plana çıktı. mor solucanO zamanlar binlerce büyük UNIX makinesi üzerinde yıkıcı etkileri olan ve internetin bu karışıklığı düzeltmek için günlerce bölümlere ayrılması gerekti.
Bununla birlikte, CIA’nın ne zaman bir üçlü haline geldiği belli değil. Temel konsept 1998’de kurulmuş gibi görünüyor.
CIA Üçlüsü’nün Önemi
Artık CIA’nın ne olduğunu ele aldığımıza göre, neden bir üçlü olarak daha etkili olduğunu anlamanın zamanı geldi. CIA Triad, bir bakıma, mevcut çeşitli güvenlik tekniklerini, yazılımları ve hizmetleri anlamlandırmaya yardımcı olur. Karanlıkta bir çekimden ziyade, güvenlik endişelerini giderecek tam olarak neyin gerekli olduğunun net bir şekilde çizilmesine yardımcı olur.
Üç kavram, üçlü olarak işlendiğinde birbiriyle gerilim halinde bulunur. Örneğin, ayrıntılı kimlik doğrulaması gerektirmesi, gizliliğin sağlanmasına yardımcı olur, ancak aynı zamanda, verilere hakkı olan bazı kişiler erişim elde edemeyebilir ve bu da kullanılabilirliği azaltabilir.
Biri bilgi güvenliği politikaları oluştururken, CIA Triad, belirli veri kümesi ve genel olarak organizasyon için üç ilkeden hangisinin en yararlı olduğu konusunda daha etkili kararlar alınmasına yardımcı olacaktır.
Siber Güvenlikte Gizlilik
Gizliliğin ne olduğunu daha önce kısaca açıklamıştık. Uygulamada, yetkisiz etkinlikleri önlemek için kullanıcıların verilere erişim kontrolü ile ilgilidir. Bu, yalnızca yetkili kişilerin belirli varlıklara erişebileceği anlamına gelir. Yetkisiz kullanıcıların erişim elde etmesi aktif olarak engellenir, böylece gizlilik korunur.
Örneğin aşağıdaki örnekleri ele alalım.
Bir kuruluştaki çalışanların bordro veri tabanı durumunda, sadece yetkili çalışanların veri tabanına erişimi vardır. Ek olarak, bu yetkili kullanıcı grubu içinde, grubun erişmesine izin verilen kesin bilgilere daha katı sınırlamalar eklenebilir.
Gizliliğe güzel bir örnek de e-ticaret müşterilerinin kişisel bilgileridir. Kredi kartı bilgileri, iletişim bilgileri, nakliye bilgileri veya diğer kişisel bilgiler gibi hassas bilgiler, yetkisiz erişimi ve ifşayı önlemek için güvence altına alınmalıdır.
Gizliliğin ihlali birçok şekilde gerçekleşebilir. Sistemlere, veritabanlarına, uygulamalara vb. yasa dışı erişim elde etmek için özel olarak tasarlanmış doğrudan saldırılar yoluyla gerçekleşebilir. Örneğin, sistem ayrıcalıklarının yükseltilmesi, ağ keşfi, elektronik dinleme, ortadaki adam saldırıları vb. güvenlik önlemlerinin yetersiz olması kadar hatalar da ihlal nedeni olabilir.
İnsan hataları, zayıf parolaları içerir; paylaşılan kullanıcı hesapları, omuzda gezinme, veri şifreleme yok, zayıf veya kimlik doğrulama sistemlerinin yokluğu, fiziksel ekipman ve depolama cihazlarının çalınması. vesaire.
Gizliliği korumak için alınabilecek çeşitli önlemler vardır. O içerir veri sınıflandırması ve etiketleme; güçlü kimlik doğrulama mekanizmaları, sıkı erişim kontrolleri, steganografi, bir işlem, aktarım ve depolama sırasında veri şifreleme, uzaktan silme yetenekleri ve herkes için siber güvenlik konusunda eğitim ve öğretim.
Siber Güvenlikte Dürüstlük
Bütünlük denilince akla bir şeyin bütün veya bölünmemiş olma durumu gelir. Bununla birlikte, siber güvenlik veya InfoSec’te bütünlük, verilerin karıştırılmadığından veya manipüle edilmediğinden ve bu nedenle gerçek, doğru ve güvenilir olduğundan emin olmakla ilgilidir.
Örneğin, e-ticarette müşteriler, ürünlerin, fiyatların ve diğer ilgili ayrıntıların doğru olmasını ve sipariş verildikten sonra değiştirilmeyeceğini bekler. Aynı şekilde bankacılıkta da banka bilgilerine ve hesap bakiyelerine ilişkin güven duygusunun oluşturulması, bu bilgilerin gerçek olması ve tahrif edilmemiş olması sağlanmalıdır.
Veri bütünlüğünün sağlanması, verilerin kullanıldığı, iletildiği veya depolandığı zamanlar da dahil olmak üzere her zaman korunmasını içerir. Bu, çeşitli aşamalar sırasında yetkisiz erişimi, veri bozulmasını veya kurcalamayı önlemek için önlemlerin uygulanmasını içerir.
Gizlilik gibi, bütünlük de farklı şekillerde tehlikeye atılabilir. Algılama sistemlerine izinsiz giriş, yapılandırma dosyalarının değiştirilmesi, algılamayı önlemek için sistem günlüklerinin değiştirilmesi) veya insan hatalarıyla doğrudan gerçekleşebilir.
Şifreleme, dijital imzalar, karma oluşturma ve dijital sertifikalar gibi önlemler veri bütünlüğünün korunmasına yardımcı olabilir. Bunların dışında saldırı tespit sistemleri, güçlü kimlik doğrulama mekanizmaları, sürüm kontrolü, denetim ve erişim kontrolleri bütünlüğü sağlayabilir.
Dürüstlüğün inkar etmeme kavramıyla da yakından bağlantılı olduğu, yani kişinin belirli eylemleri doğru olmadığını inkar edemeyeceği anlamına gelir. Örneğin, dijital imzalı bir e-posta gönderilmiş veya alınmışsa, gerçekleşen bu tür çevrimiçi işlemler için bütünlük korunacaktır.
Siber Güvenlikte Kullanılabilirlik
Sistemler, uygulamalar ve veriler, yetkili kullanıcıları tarafından her ihtiyaç duyduklarında erişilemiyorsa değerlerini kaybeder. Kullanılabilirlik, ağlara, sistemlere, uygulamalara ve verilere yetkili kullanıcılar tarafından kaynaklar gerektiğinde zamanında erişilebilirliktir.
Bir donanım veya yazılım arızası, doğal afetler, elektrik kesintisi veya insan hatası olması durumunda kullanılabilirlik tehlikeye girebilir. DDoS saldırıları, kullanılabilirlik ihlalinin en yaygın nedenlerinden biridir.
Kullanılabilirlik, ağ, sunucu, uygulama ve hizmet yedekliliği yoluyla sağlanabilir. Sunucularda ve depolamada donanım hata toleransı, kullanılabilirliğin ihlal edilmesini önlemek için başka bir iyi önlemdir. DoS koruma çözümleri, sistem yükseltmeleri, düzenli yazılım yamaları, kapsamlı felaket kurtarma planları, yedeklemeler vb.
CIA Triad’ın uygulanması
Sadece CIA Triad’ını bilmek yeterli değil, aynı zamanda üçünün çeşitli faktörlere bağlı olarak önceliğini de anlamak gerekiyor. Daha sonra buna göre uygulanacaktır. Faktörler, bir kuruluşun güvenlik hedefleri, işin doğası, sektör ve geçerli yasal gereklilikler olabilir.
Örneğin, bir devlet istihbarat servisini ele alalım. Bu tür organizasyonlarda şüphesiz ki en kritik konu gizliliktir. Öte yandan, bir finans kuruluşunu düşünmeniz gerekiyorsa, işlemlerin ve bakiyelerin doğru kayıtları yıkıcı zararları önleyebileceğinden, dürüstlük en önemlisidir. Bununla birlikte, sağlık hizmetleri ve e-ticaret, aksama süresini veya can kaybını önlemek için kullanılabilirliği tercih etmelidir.
CIA Üçlüsü’nün bir veya daha fazla ilkesine öncelik vermenin diğerini etkileyebileceğini akılda tutmak da önemlidir. Örneğin, yüksek gizlilik ve bütünlük gerektiren bir sistem, diğer sistemlerin tercih edebileceği veya daha fazlasını gerektirebilecek hızlı performanstan vazgeçmek zorunda kalabilir. Kararlar bilinçli olarak uzmanlıkla alındığından, bu değiş tokuş mutlaka kötü bir şey değildir. Bu nedenle, her kuruluş, kendi bireysel gereksinimlerine göre CIA Triad’ın uygulanmasına karar vermelidir.
Çözüm
Bir şirket bir güvenlik programı planladığında, CIA üçlüsü, dikkate alınan güvenlik kontrollerine olan ihtiyacı haklı çıkaran faydalı bir kıstas görevi görebilir. Tüm güvenlik eylemleri kaçınılmaz olarak üç ilkeden birine veya daha fazlasına geri döner.
