Skip to main content
u-random
u-random
  1. Concetti/

CIA Triad

·3 mins
base
Dfir Threat-Intel
Alessio Barnini
Author
Alessio Barnini
Table of Contents
CIA Triad

Cosa fa
#

Framework concettuale che definisce i tre obiettivi fondamentali della sicurezza informatica. E' il mindset di base del Blue Team — ogni incidente, ogni alert, ogni controllo di sicurezza protegge uno o piu' di questi tre pilastri.

TL;DR
#

Confidentiality → solo chi e' autorizzato puo' leggere
Integrity       → i dati non vengono alterati senza autorizzazione
Availability    → i dati sono accessibili quando servono

Ogni attacco viola almeno uno dei tre:

  • Furto di dati → Confidentiality
  • Ransomware che cifra i file → Availability (+ Integrity)
  • Modifica non autorizzata di un record → Integrity

I tre pilastri
#

Confidentiality — Riservatezza
#

Le informazioni sono accessibili solo alle entità autorizzate — utenti, processi o sistemi che hanno il diritto esplicito di leggerle.

Violazioni tipiche:

  • Backup non cifrato esposto su internet
  • File di salary accessibili pubblicamente
  • Credenziali condivise con entità non autorizzate

Strumenti di difesa: cifratura, permessi UGO, autenticazione forte.

Integrity — Integrita'
#

I dati non vengono modificati senza autorizzazione e senza che la modifica venga rilevata.

Violazioni tipiche:

  • Record database modificato senza autorizzazione
  • Report finanziario alterato
  • Log di sistema cancellati per nascondere attivita'

Il terzo esempio e' il piu' insidioso per il Blue Team — un attaccante che cancella i log viola Integrity per nascondere la violazione di Confidentiality o Availability.

Strumenti di difesa: hash dei file, diff per rilevare modifiche, log immutabili, firma digitale.

Availability — Disponibilita'
#

Le informazioni devono essere accessibili quando servono agli utenti autorizzati.

Violazioni tipiche:

  • Sito web non raggiungibile durante orario lavorativo
  • Server bloccato da aggiornamenti critici non applicati
  • Email server offline per attacco DoS

Strumenti di difesa: ridondanza, backup, rate limiting, CDN.

Collegamento con attacchi reali
#

graph TD
    A[Attacco] --> C[Viola Confidentiality\nfurto dati, leak]
    A --> I[Viola Integrity\nmodifica dati, log tampering]
    A --> V[Viola Availability\nDoS, ransomware]
    C --> CIA[Incidente di sicurezza]
    I --> CIA
    V --> CIA

Un ransomware viola tutti e tre:

  • Cifra i file → Availability (non accessibili)
  • Modifica i file → Integrity
  • Esfiltra dati prima di cifrare → Confidentiality

Nella pratica Blue Team
#

# Confidentiality — verifica che file sensibili non siano leggibili
ls -la /etc/shadow
# -rw-r----- root shadow → solo root e gruppo shadow

# Integrity — rileva modifiche non autorizzate a file critici
diff /backup/etc/passwd /etc/passwd
# se esce una riga con + → qualcuno ha aggiunto un utente

# Availability — verifica che i servizi siano attivi
systemctl status ssh
systemctl status nginx

Scenario Reale
#

Un attaccante entra in un sistema, esfiltra il database clienti (Confidentiality), modifica i prezzi nel database (Integrity), poi lancia un attacco DoS per distrarre il team mentre tutto questo accade (Availability). Il Blue Team che pensa solo in termini di "prevenire l'accesso" vede solo un terzo del quadro.

Collegato a
#

  • cryptography — strumento principale per proteggere Confidentiality
  • linux-permissions-ugo — controllo accessi per Confidentiality
  • diff — rilevamento modifiche per Integrity
  • log — categoria
  • incidents — categoria

Related