Quali sono i più grandi problemi irrisolti nella sicurezza informatica?
Proprio di recente ho pensato a tutti i problemi risolti nella sicurezza informatica, come XSS (che si può mitigare con la validazione dell'input), SQL Injection (mitigato con istruzioni preparate), ecc.
Ora mi sto chiedendo, quali sono i più grandi problemi di sicurezza irrisolti dell'anno 2010? Mi sto chiedendo se ci sono vulnerabilità là fuori per le quali non conosciamo ancora un buon modo per mitigarle. Tranne come possiamo far usare a tutti le soluzioni ai problemi risolti.
28
6
Ingegneria Sociale di gran lunga.
Gli esseri umani rimarranno vulnerabili all'ingegneria sociale ancora per molto tempo e, come dice il proverbio, "la sicurezza è buona solo quanto l'anello più debole".
Tante risposte qui dicono che il problema irrisolto è "l'utente" o qualche variante, che sono costretto a concludere che il più grande problema irrisolto è gli operatori della sicurezza che credono che l'utente sia il nemico.
La causa di fondo è la politica o la procedura di sicurezza che non ha alcun beneficio visibile, cioè richiede all'utente tempo e fatica senza che gli utenti possano vedere cosa sta facendo per loro. Per risolvere questo problema sarà necessario combinare le competenze di infosec con l'ingegneria dell'usabilità e le scienze sociali per inventare nuove esperienze di sicurezza che siano abilitanti e che permettano agli utenti di percepire il loro beneficio.
Non puoi davvero risolvere il problema dell'utente finale. Beh, legalmente o eticamente comunque. Il mio voto va verso il problema della scoperta del reame domestico.
EDIT: Il problema dell'utente finale era in riferimento alle risposte precedentemente postate. La scoperta dell'Home Realm fa parte di un modello di autenticazione basato sulle richieste, in cui è possibile selezionare tra più servizi/organizzazioni per fornire un'identità per un utente, molto simile a OpenID/OpenAuth. Il problema sorge quando è necessario capire da quale fornitore ottenere informazioni, dato che non si sa ancora nulla dell'utente. E' una questione di pollo/uovo: come si fa a capire chi deve autenticare l'utente quando non si sa chi l'utente usa per fornire la propria identità.
La prima risposta ovvia è quella di usare un solo provider, ma questo nega il beneficio del modello.
La seconda risposta ovvia è quella di chiedere all'utente. Tuttavia, questa è la rovina di openID. La maggior parte delle persone non ha idea di chi sia il loro provider. E cosa succede quando si può autenticare con Google e Facebook, ma non si sa quale sia legato al profilo dell'applicazione chiamante?
Questo è affettuosamente chiamato il problema NASCAR con OpenID -- la pagina di lancio per OpenID di solito ha un bajillion di loghi per i provider, quindi è necessario selezionare quale provider utilizzare. Il che si rompe quando hai un provider personalizzato.
Ricordate CardSpace/InfoCard/Information Cards? Quello tenta di risolvere il problema. In realtà fa un buon lavoro in teoria. In pratica non molto.
Sicurezza degli smartphone
Ci sono moltissimi smartphone che sono bersaglio di virus e di perdite di informazioni aziendali. È difficile trovare un modo uniforme per affrontare queste vulnerabilità di sicurezza e fornire comunque un ambiente utente flessibile.
Attualmente sto cercando Goodlink per garantire la sicurezza della posta elettronica su più dispositivi. Si prega di commentare se si conosce qualcos'altro
Persone che non pensano alla sicurezza.
Il più grande problema della sicurezza informatica è l'utente finale.