it-swarm.com.de

Wo passt Authentizität in die CIA-Triade?

Stellen Sie sich eine Chat-Anwendung vor, in der ein Angreifer Nachrichten im Namen eines beliebigen Benutzers senden kann. Dies verletzt offensichtlich die Authentizität der Nachricht. Aber welcher Aspekt von CIA würde verletzt?

Integrität scheint mir am nächsten zu sein, aber das bedeutet normalerweise, dass Daten nicht geändert werden dürfen.

17
Fermyon

Das würde immer noch von Integrität abgedeckt: Das Erstellen oder Löschen von Daten ist immer noch eine Verletzung der Integrität. (Dies kann als Mutation im Gesamtdatensatz angesehen werden.)

18
David

Ich unterstütze Davids Ansicht, dass, wenn Sie Ihr Szenario in eine der CIA-Kategorien einordnen müssten, Integrität die richtige wäre, weil Sie eine unbeabsichtigte erstellen Zustand, der die Integrität verletzt.

Schauen Sie sich aber auch das Parkerian Hexad an, eine beliebte Erweiterung der CIA-Triade. Es besteht aus den Attributen Vertraulichkeit , Besitz oder Kontrolle , Integrität , Authentizität , Verfügbarkeit und Dienstprogramm . In diesem Modell würde das Schreiben von Nachrichten im Namen eines anderen Benutzers in die Kategorie Authentizität passen.

Vielleicht möchten Sie sich die CIA-Triade auch hauptsächlich als allgemeine Sicherheitsziele vorstellen. Es ist jedoch nicht unbedingt ein leistungsstarkes Tool zur Klassifizierung bestimmter Schwachstellen.

18
Arminius

Es passt nicht. Authentizität und Nicht-Zurückweisung sind übliche Erweiterungen der Triade. Der Datenschutz ist ein anderer (insbesondere in Europa).

Die CIA-Triade ist wie jede Mnemonik ein nützliches Werkzeug, keine perfekte Definition. Es hilft sehr dabei, sich von einem zielgerichteten Ansatz zur Informationssicherheit zu lösen, aber es gibt immer Probleme, die nicht perfekt abgedeckt werden.

Eine bekannte Erweiterung, die Authentizität explizit abdeckt, ist das Perkerian Hexad .

5
Tom

Wenn wir eine Nachricht, die über das Netzwerk übertragen wird, als "Information" betrachten, sollten die wichtigsten Sicherheitsattribute für "Informationssicherheit" sein: Vertraulichkeit, Integrität und Authentizität (nicht Verfügbarkeit). Stellen Sie sich eine Gruppe von Benutzern vor, die einen gemeinsamen Verschlüsselungsschlüssel verwenden. Ein Mitglied kann sich als ein anderes Mitglied ausgeben, um eine Nachricht zu erstellen, sie mit dem Gruppenschlüssel zu verschlüsseln, sie auf Integrität zu überprüfen, aber ihre Authentizität wird verletzt.

Eine andere assoziierte Sicherheitstriade wäre Nicht-Zurückweisung, Verfügbarkeit und Frische, d. H. NRB.

Zusammenfassend gibt es zwei Sicherheitstriaden: CIA nRAF. Die erste Gruppe (Vertraulichkeit, Integrität und Authentizität) ist von größter Bedeutung, die zweite Gruppe, in der sich die Verfügbarkeit befindet, ist ebenfalls wichtig, aber zweitrangig.

2
Bobby Yang