Home-theater-designers
Šiomis dažnų kibernetinių atakų ir pažeidimų dienomis svarbu, kad kiekviena organizacija pagerintų savo saugumą ir imtųsi priemonių užtikrinti, kad jos turtas būtų saugus. CŽV triada yra labai svarbus kiekvienos organizacijos saugumo pozicijos ir infrastruktūros modelis. Taigi, kas tiksliai yra CŽV triada? O kaip tai padeda sukurti ir palaikyti saugią sistemą?
DIENOS VAIZDO ĮRAŠO PAGALBA
Kas yra CŽV triada?
CŽV triada reiškia konfidencialumą, vientisumą ir prieinamumą. Tai modelis, naudojamas siekiant užtikrinti kiekvienos sistemos ar organizacijos saugumą.
CŽV triadą galima palyginti su trikampiu. Tai trijų susietų taisyklių ir principų rinkinys, kurių reikia laikytis norint sukurti saugią sistemą. Jei vienas CŽV triados komponentas neįvykdytas, sistema nėra saugi.
įdiegti windows media player windows 10
CŽV triada yra veiksmingos saugumo infrastruktūros ir politikos pagrindas; Kai jis įdiegtas, saugumo specialistams lengviau nustatyti politiką ir analizuoti savo saugumo trūkumus.
Konfidencialumas
Konfidencialumas susijęs su jūsų organizacijos duomenų ir turto privatumu. Tai reiškia, kad tik įgalioti darbuotojai ir paskyros turėtų turėti prieigą prie privačių duomenų. Jokia neteisėta paskyra neturėtų turėti galimybės skaityti, rašyti ar vykdyti duomenų ar komandų sistemoje.
Jei turite paskyrą organizacijoje, kad galėtumėte pasiekti ar keisti savo paskyros duomenis, turite prie jos prisijungti. Jūsų duomenų įvedimo procesas yra organizacijos duomenų bazė, patvirtinanti jūsų tapatybę. Tai daroma siekiant išlaikyti jūsų turto konfidencialumą. Jei įsilaužėlis gauna prieigą prie jūsų paskyros ir jos duomenų, jūsų konfidencialumas buvo pažeistas.
Kai kurie konfidencialumo pažeidimo pavyzdžiai: „Man-in-the-Middle“ (MitM) atakos , paketų uostymas, SQL injekcijos ir tiesioginės kibernetinės atakos prieš organizaciją arba netyčinis duomenų nutekėjimas.
Dažnai konfidencialumas pažeidžiamas, nes slaptažodžiai nėra saugiai saugomi. Slaptažodžių šifravimas ir autentifikavimo be slaptažodžio naudojimas, pvz slaptažodžių tvarkytojai ir vieno prisijungimo teikėjai padėti pagerinti jūsų turto konfidencialumą ir, savo ruožtu, saugumą. Daugiafaktoris autentifikavimas taip pat turėtų būti įdiegta visoje įmonėje, siekiant patikrinti kiekvieno vartotojo tapatybę ir užtikrinti, kad jie būtų įgalioti pasiekti ir keisti duomenis.
Sąžiningumas
Kibernetinio saugumo srityje vientisumas reiškia sistemoje saugomo turto ir duomenų patikimumą, patikimumą ir autentiškumą. Kai asmuo naudoja jūsų svetainę ar programą duomenims perduoti, ar tie duomenys jam pasiekiami be jokio klastojimo?
Sąžiningumas užtikrina, kad kiekvienas jums priklausantis ar jums patikėtas turtas visada būtų tikslus, vientisas ir nuoseklus. Integruotumui gali kilti pavojus kibernetiniams nusikaltėliams atakuojant sistemą, keičiant svarbius duomenis, žurnalus ir informaciją.
Sistemos vientisumo užtikrinimo būdai apima šifravimą, naudojant pranešimų santraukas , ir skaitmeniniai vandens ženklai. Šie metodai leidžia patikrinti duomenis perdavimo pradžioje ir pabaigoje, kad įsitikintumėte, jog nebuvo atlikta jokių pakeitimų. Kiti metodai apima versijų valdymo ir įsibrovimo aptikimo sistemų naudojimą.
Sąžiningumas užleidžia vietą kitai svarbiai kibernetinio saugumo sąvokai: neatmetimui.
Atsisakyti reiškia paneigti arba ginčyti sutarties ar sandorio galiojimą. Neatsisakymas užtikrina, kad siuntėjas negalės paneigti, kad pranešimas buvo išsiųstas gavėjui, ir atvirkščiai. Ji pateikia siuntėjui pristatymo įrodymą, o gavėjui – siuntėjo tapatybę patvirtinantį dokumentą. Tokiu būdu abi šalys yra tikri dėl perduodamos informacijos vientisumo. Neatsisakymas taip pat naudoja šifravimą ir skaitmeninius parašus.
Prieinamumas
Jei užtikrinamas duomenų konfidencialumas ir vientisumas, bet prie jų negalima prieiti, tai viskas bergždžia, ar ne?
Prieinamumas CŽV triadoje reiškia, kad visi organizacijos ir sistemos duomenys ir turtas turi būti bet kuriuo metu lengvai prieinami įgaliotiems vartotojams. Norint tai pasiekti, visos duomenų bazės, techninė infrastruktūra ir sistemos – tiek programinė, tiek techninė – turi būti reguliariai prižiūrimos ir nuolat veikia.
Pasiekiamumo pažeidimo pavyzdys yra paslaugų atsisakymo (DoS) ataka. DoS ataka įvyksta, kai kibernetinis nusikaltėlis užtvindo sistemą su dideliu srautu ir padaro ją neprieinamą vartotojams. Kiti prieinamumo pažeidimų pavyzdžiai: buferio perpildymo atakos , aparatinės įrangos gedimas ir paprastos žmogiškosios klaidos.
Norėdami pažaboti pasiekiamumo pažeidimus, visada turite turėti kelias atsargines duomenų kopijas. Taip pat būtina įgyvendinti dubliavimo koncepciją aparatinės ir programinės įrangos infrastruktūrose, pvz., serveriuose, duomenų bazėse ir taikomųjų programų tinkluose. Atleidimas yra praktika, kai saugomi keli tos pačios saugyklos infrastruktūros egzemplioriai, kad būtų užtikrintas prieinamumas visą laiką. Užpuolimo atveju kitas įrenginys ar įranga gali imtis užpultojo veikimo be jokių kliūčių.
Kodėl CŽV triada yra svarbi?
CŽV triada yra labai svarbi kibernetinio saugumo koncepcija, nes ji tarnauja kaip vadovas ir kontrolinis sąrašas siekiant apsaugoti sistemas ir turtą. Naudojant CŽV triadą, organizacijoms ir apsaugos darbuotojams lengviau sukurti patikimas ir saugias sistemas.
Reaguojant į incidentą, CŽV triada yra labai svarbi nustatant tikslias triados dalis, kurios buvo pažeistos, ir padeda komandai atitinkamai reaguoti.
Konfidencialumas, vientisumas, prieinamumas: kas svarbiau?
Būtų sunku pasirinkti svarbiausią iš trijų sąvokų, nes kiekviena yra labai skirtinga ir svarbi bet kurios sistemos saugumui. Tam tikrose situacijose vienas gali būti pasirinktas aukščiau už kitą. Pavyzdžiui, norint išlaikyti sistemos konfidencialumą kibernetinės atakos metu, gali tekti atsisakyti prieinamumo.
Tačiau atminkite, kad jei vienas CŽV triados komponentas yra pažeistas, tos sistemos saugumas yra nepakankamas.
Pagerinkite savo saugumo laikyseną su CŽV triada
CŽV triada atlieka svarbų vaidmenį gerinant ir palaikant bendrą jūsų organizacijos saugumo poziciją. Įdiegę šiuos tris pagrindinius komponentus, jūsų organizacija gali išlikti saugi nuo grėsmės veikėjų ir kibernetinių nusikaltėlių. Jie taip pat gali vadovautis jūsų įmonės informuotumo ir saugumo mokymais.