¿Pueden los riesgos de seguridad de la información esencialmente solo ser evaluados de acuerdo con el triángulo de la CIA?

2

¿Pueden los riesgos de seguridad de la información esencialmente ser evaluados de acuerdo con el triángulo de la CIA (Confidencialidad, integridad y disponibilidad) o existen otras posibilidades?

    
pregunta Bob Ortiz 22.02.2017 - 00:50
fuente

1 respuesta

4

Hay muchas otras posibilidades.

Tenga en cuenta que la tríada de la CIA no es tanto un modelo para los riesgos de seguridad como lo es para las metas / los objetivos de seguridad. A menudo ha sido criticado por ser demasiado simplista e incompleto. En consecuencia, hay muchos modelos alternativos y extensiones de la tríada de la CIA. Una opción popular es el hexad parkeriano que consiste en confidencialidad , posesión , integridad , autenticidad , disponibilidad y utilidad . Otros han sugerido extenderlo con autenticidad y no repudio al modelo CIAAN.

Si su objetivo principal es modelar el riesgo de amenaza, hay otros modelos a considerar, que aún pueden estar asociados con la tríada de la CIA. Por ejemplo, existe el modelo STRIDE que clasifica las amenazas a través de las categorías spoofing , manipulación , repudio , divulgación de información , denegación de servicio y elevación de privilegios . Aquí está cómo se relaciona con la CIA:

  

STRIDE es lo que puede hacer un atacante. TID es la versión de ataque de la CIA:

     
  • Los defensores quieren confidencialidad: los atacantes usan la Divulgación de información
  •   
  • Los defensores quieren integridad: los atacantes usan manipulación indebida
  •   
  • Los defensores quieren disponibilidad: los atacantes usan Denegación de servicio.
  •   

Pero, ¿qué pasa con la falsificación, el rechazo y la elevación de privilegios? Introduzca el ataque no lineal (moderno):

     
  • Spoofing y Elevation of Privilege son los puntos de entrada para abrir las puertas.
  •   
  • El repudio está cubriendo las huellas del adversario durante el compromiso inicial y el incumplimiento.
  •   

(Source)

    
respondido por el Arminius 22.02.2017 - 01:58
fuente

Lea otras preguntas en las etiquetas