image

"A staat niet voor Availability in CIA"

maandag 22 november 2010, 16:57 door Redactie, 17 reacties

Confidentiality, Integrity en Availability vormen samen de driehoek van informatiebeveiliging en worden als een soort mantra overal herhaald. De A staat echter niet voor Availability, aldus Rich Mogull van Securosis. "Denk er even over na. Als beschikbaarheid even belangrijk als vertrouwelijkheid of integriteit is, hoe kan CIA dan intern consistent zijn?"

Elke keer dat er om een wachtwoord wordt gevraagd, gaat dat ten koste van de beschikbaarheid. Ook het neerzetten van een firewall, access control of encryptie beperkt de beschikbaarheid. De A staat dan ook niet voor availability, maar voor 'attribution', merkt Mogull op. "Logging, monitoring, auditing en incident response? Weten wie wat deed en wanneer? Dat is allemaal attribution. Wie is de eigenaar van de informatie? Wie kan het aanpassen en veranderen? Dat is allemaal afhankelijk van attribution."

Meer availability zorgt juist voor minder veiligheid. "Het veranderen van de A van availability in attribution lost dat probleem op en maakt security intern consistent. "

Reacties (17)
22-11-2010, 17:24 door Anoniem
Henk die is pas available
22-11-2010, 17:34 door SirDice
Als beschikbaarheid even belangrijk als vertrouwelijkheid of integriteit is, hoe kan CIA dan intern consistent zijn?"
Wat heb je aan consistente data als het niet beschikbaar is?
22-11-2010, 17:39 door Anoniem
lifc
22-11-2010, 18:09 door [Account Verwijderd]
[Verwijderd]
22-11-2010, 18:42 door ej__
Door SirDice:
Als beschikbaarheid even belangrijk als vertrouwelijkheid of integriteit is, hoe kan CIA dan intern consistent zijn?"
Wat heb je aan consistente data als het niet beschikbaar is?

Precies, die meneer denkt dat de wereld om beveiliging draait. Helaas voor hem draait de wereld om de data. Maar goed, dan weten we dat Securosis het nog niet begrijpt.
22-11-2010, 22:33 door N4ppy
Wat een onzin. Het gaat om de beveiliging van assets. Assets moeten ook beschikbaar zijn.

En ja het is inderdaad een uitdaging om een balans te vinden, Soms wint C soms I en soms A.
Het gaat om de risicos beheersen. Is iets high risk dan is availability moeilijker (datacenter in een bunker). Is risco laag dan is availabiliy hoog bv een mobiele telefoon die ga je niet in een bunker leggen.

Bij de mobiele telefoon van Obama is het weer een uitdaging maar daar zet je er een hoop assets omheen in de vorm van beveiligings mensen zodat de asset obama toch lekker kan bellen/zijn telefoon availability heeft ;)
22-11-2010, 22:41 door N4ppy
PS dit is de complete titel "Firestarter: A Is Not for Availability"

Is dus een start van een discussie, gaat wel lukken denk ik ;)
23-11-2010, 02:01 door Anoniem
How about Accountability
23-11-2010, 08:48 door Prlzwitsnovski
Het is niet voor niets een driehoek. De A hoort de C en de I tegen te spreken. Anders zou het gewoon een opsomming zijn.
23-11-2010, 08:50 door Anoniem
N4ppy,
dit is geen discussie, maar een flame war. Met een domme stelling kun je geen discussie starten.
23-11-2010, 08:59 door Brian
en door mensen als Rich Mogull wordt security ervaren als lastig en business disabler.
blijkbaar is hij fan van data op een server zetten, deze afsluiten en ontkoppelen, in kluis plaatsen en de kluis in het beton gieten op 20 meter diepte.
gegarandeerd veilig, integer en je weet wat ermee gebeurt.
sorry, kan iemand die man op cursus sturen?
23-11-2010, 13:51 door N4ppy
@8:50 firestarter -> flamewar/verhitte discussie :)

@8:59 gebruik zelf als voorbeeld de Marianentrog 11km diep heel confidential ;)

CIA driehoek moet eigenlijk CIAB piramide zijn cia-business (of bucks) heel veilig als je de deur op slot doet maar als niemand je winkel in kan dan verkoop je niets. Dus als de kosten van C hoger zijn dan de fraude met zeg effe de ov-chip/credit kaart dan laat je dat lekker zitten (maar houd het wel in de gaten.
23-11-2010, 14:42 door Anoniem
Beveiliging is een inherente noodzaak als je Beschikbaarheid van je data wenst. Als je je data niet beveiligt, is het op een gegeven moment weg en dan is de Beschikbaarheid 0. Dan liever dagelijks 99%.

Peter
23-11-2010, 16:10 door Anoniem
wat een crap.

Ja, A maakt samen met C en I een consistentie zoals die gewenst is, door de eigenaar.
24-11-2010, 09:58 door Anoniem
Het enige wat deze stelling communiceert is dat deze jongen te weinig te doen heeft en zichzelf te interessant vindt.
24-11-2010, 14:18 door Anoniem
"Elke keer dat er om een wachtwoord wordt gevraagd, gaat dat ten koste van de beschikbaarheid. Ook het neerzetten van een firewall, access control of encryptie beperkt de beschikbaarheid. "

Er heeft nog nooit iemand beweert dat je confidentiality, integrity en availability allemaal in dezelfde mate kunt waarborgen, en je moet de juiste balans vinden. Attribution is van belang bij aanvallen, waarbij er impact is voor confidentiality, integrity of availability, en maakt eerder deel uit van de wijze waarop je op dergelijke incidenten reageert.

Wat dat met de betekenis van de CIA triangle te maken heeft ontgaat mij, welk punt denkt Mogull hier nou te maken ?
09-12-2010, 15:05 door Anoniem
Door Anoniem: "Elke keer dat er om een wachtwoord wordt gevraagd, gaat dat ten koste van de beschikbaarheid. Ook het neerzetten van een firewall, access control of encryptie beperkt de beschikbaarheid. "

Er heeft nog nooit iemand beweert dat je confidentiality, integrity en availability allemaal in dezelfde mate kunt waarborgen, en je moet de juiste balans vinden. Attribution is van belang bij aanvallen, waarbij er impact is voor confidentiality, integrity of availability, en maakt eerder deel uit van de wijze waarop je op dergelijke incidenten reageert.

Wat dat met de betekenis van de CIA triangle te maken heeft ontgaat mij, welk punt denkt Mogull hier nou te maken ?


Ik denk, dat hij even wil laten zien hoe slim hij is? Je kent dat wel, zoiets merk je op in gezelschap van mensen die er nog veel minder van snappen en dan kijk je slim rond en neemt alle applaus in ontvangst...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.