Uge 34: CIA Triad
- Kenneth H Sørensen
- Aug 24
- 3 min read
Updated: Aug 27
Fundamentet for informationssikkerhed
CIA Triad er en model inden for informationssikkerhed til at minimere risiko ift. 3 vigtige punkter: Confidentiality, Integrity og Availability.
Jeg vil opstille hvad der menes med de 3 segmenter og hvordan man kan sikre dem, og dermed skabe en stærkere sikkerhedsprofil for et IT-system under udvikling og ultimativt for virksomheden der skal bruge det færdige system. Med det vil jeg gerne opnå at bygge et solidt fundament i min forståelse af IT-sikkerhed, samt danne grundlag for min videre læring med bl.a. principperne i secure-by-design.
Hvad er CIA Triad
CIA Triad
Confidentiality - Konfidentialitet
Integrity - Integritet
Availability - Tilgængelighed
Konfidentialitet
At sikre mod uautoriseret adgang, samt beskytte information.
Beskytter
Privatliv
Ejendomsret, f.eks. virksomhedens patenter, kunderegistre og andet kritisk information
Trusler
Uheld (autoriseret): phishing, deling af legitimationsoplysninger
Ondsindet aktør (autoriseret): Løs sikkerhedspolitik, misbrug af rettigheder og logning
Ondsindet aktør (uautoriseret): Angreb som Ransomware og Man-in-the-Middle (MITM) (link)
Systemfejl
Sikres ved
Klassificering og mærkning af data (Public, Internal, Confidential, Restricted)
Access control-politikker (least privilege, rollebaseret adgang)
Kryptering af data under overførsel (mod MITM og Ransomware)
Multi-Factor Authentication (MFA) (mod phishing og stjålne legitimationsoplysninger)
Integritet
At sikre pålidelig data - dvs. komplet, korrekt, autentisk kilde og uforfalsket indhold.
Beskytter
Virksomhedens drift
Virksomhedens troværdighed
Trusler
Uheld (autoriseret): fejlindtastning, manglende backup
Ondsindet aktør (autoriseret): manipulation af data internt
Ondsindet aktør (uautoriseret): eksterne angreb, dataforfalskning
Evt. ved bypass af sikkerhedssystemer som intrusion detection system (IDS) (link)
Ændring af konfigurationsfiler til at tillade uautoriseret adgang
Ændring af logningsfiler for at skjule angrebet
Systemfejl
Sikres ved
Data: Hashing, kryptering, digitale certifikater og digitale signaturer
Hjemmeside: Certificate Authorities (CAs) der verificerer autenticiteten af en hjemmeside
Non-repudiation (alle handlinger gøres personhenførbare og kan ikke benægtes)
Tilgængelighed
At sikre at informationsressourcerne (hardware, software, netværk og data) er tilgængelige for de personer som skal kunne tilgå dem.
Beskytter
Virksomhedens drift
Virksomhedens troværdighed
Trusler
Denial-of-service (DOS) / Distributed Denial-of-Service (DDOS) angreb (link)
Ransomware angreb
Naturkatastrofer som oversvømmelse der gør at medarbejdere ikke kan møde på kontoret og få adgang til forretningskritisk information eller applikationer
Sikres ved
Disaster Recovery Systems (link)
Failover-plan (ved fejl tager andre komponenter over)
Redundante netværk, servere og applikationer
Undgå flaskehalse i netværk og langsom ydeevne af systemet (load balancers, rate limiting)
Det ovenstående giver et overblik over hvad de 3 segmenter indebærer og hvorfor det er vigtigt at møde standarderne for dem.
Områder i informationssikkerhed (InfoSec)
Mit fokus / Andre områder
Forebyggelse og beskyttelse før angreb
Application Security: beskytte applikationer og API’er gennem CIA-principper
Cloud Security: beskytte cloud-ressourcer (kritiske for drift)
Infrastructure Security: beskytte de fysiske aktiver
Cryptography: beskytte data gennem kryptering, signaturer, hashing
Vulnerability management: identificere og reducere sårbarheder (proaktiv indsats)
Håndtering under og efter angreb
Incident Response: handling ved hændelser som phishing, malware eller anden indtrængen
Disaster recovery: Genetablering af drift (handlingsplaner, opsætning af værktøjer og metoder) efter katastrofer og store hændelser
Refleksion
Vi har i et tidligere semester berørt IT-sikkerhed og Secure-by-design. Men ved at se på CIA-modellen har jeg fået et bedre indblik i hvordan jeg rent praktisk skal tænke IT-sikkerhed ind fra starten.
Konfidentialitet
Klassificering og mærkning af data samt kryptering af data under overførsel
Adgangskontrol på service-niveau, dvs. styre hvilke services og endpoints, der kan kommunikere, og sikre at databasen kun kan tilgås af autoriserede komponenter
Logging for at muliggøre monitorering og opdage forsøg på uautoriseret adgang
Product Owner (PO) har fravalgt user management:
Ingen klassisk rollebaseret adgangskontrol (RBAC) for brugere
Ingen Multi-factor Authentication (MFA)
Integritet
Adgangskontrol til databasen og sikring af, at kun autoriserede services og endpoints kan kommunikere.
Forebyggelse af data-manipulation: inputvalidering, parameteriserede queries/ORM-praksis (fx mod SQL Injection)
Verifikation i dataflows for at sikre, at indkommende data er valide, komplette og konsistente, før de persisteres
Logging af hændelser, så forsøg på manipulation kan opdages og analyseres
Tilgængelighed
Rate limiting for at beskytte API’et mod overbelastning og DoS-lignende trafik
Robusthed i kald, dvs. fornuftige timeouts, retries med jitter og idempotens på tilstandsændrende kald
Uanset hvad jeg vælger: GraphQL-operationer, REST-endpoints, gRPC-metoder, eller events/beskeder
Det større billede
I udviklingen af vores projekt (Trackunit), vil jeg med mine valgfag, IT-sikkerhed og Backend-udvikling & API-design, skulle fokusere på disse 3 områder.
Application Security (beskyttelse af applikationen og API'er mod fejl og angreb)
Cryptography (beskyttelse af data)
Vulnerability Management (generel løbende vurdering af evt. sårbarheder)
Videre plan
Se LinkedIn Learning video om Secure-by-design: Complete Guide to Application Security (link)
Link til blogpost om Secure-by-design OPDATERES
Ressourcer
GeeksforGeeks
Artikel: What is CIA Triad?
Fortinet
Artikel: CIA Triad
Artikel: Information Security (InfoSec): Protection from Rising Data Threats
National Institute of Standards and Technology
Hjemmeside: An Introduction to Information Security
PDF:
Washington University in St. Louis
Artikel: Confidentiality, Integrity, and Availability: The CIA Triad
