ITセキュリティにおける最大の未解決問題とは?
つい最近、XSS(入力検証で軽減できる)、SQLインジェクション(プリペアド・ステートメントで軽減できる)など、ITセキュリティにおける解決済みの問題について考えた。
さて、2010年最大の未解決のセキュリティ問題は何だろうか?脆弱性を緩和する良い方法がまだ見つかっていない脆弱性はないだろうか。解決された問題に対する解決策を皆に使ってもらう方法は別として。
28
20
ソーシャルエンジニアリング断然。
人間は長い間ソーシャルエンジニアリングに対して脆弱なままであり、格言が言うように、「セキュリティは最も弱いリンクと同じくらい良いだけです。"。
ここでの回答の多くは、未解決の問題が「ユーザー」またはいくつかのバリアントであると言っており、最大の未解決の問題はユーザーが敵であると信じているセキュリティ実践者であると結論づけざるを得ません。
根本的な原因は、目に見える利点がないセキュリティポリシーまたは手順です。 ユーザーが_彼らのために_何をしているのかを見ることができずに、ユーザーの時間と労力を費やします。 この問題を解決するには、インフォセックの専門知識とユーザビリティエンジニアリングおよび社会科学を組み合わせて、_有効化_である新しいセキュリティエクスペリエンスを発明し、ユーザーが自分の利点を認識できるようにする必要があります。
エンドユーザーの問題を解決することはできない。 法的にも倫理的にもね。 私はホーム・レルム・ディスカバリーの問題に一票を投じたい。
編集 エンドユーザーの問題は、以前に投稿された回答について言及したものです。 ホーム・レルム・ディスカバリーは、クレーム・ベースの認証モデルの一部であり、OpenID/OpenAuthのように、ユーザーのIDを提供する複数のサービス/組織から選択することができる。 問題は、どのプロバイダから情報を取得するかを考える必要があるときに生じます。 これは鶏と卵のようなもので、ユーザが自分のIDを提供するために誰を使うかわからないときに、どうやってユーザを認証させるかを考えるのです。
最初の明白な答えは、唯一のプロバイダを使用することですが、それはこのモデルの利点を否定するようなものです。
2番目の明白な答えは、ユーザーに尋ねることである。 しかし、これはopenIDの欠点である。 ほとんどの人は、自分のプロバイダーが誰なのか知らない。 また、グーグルとフェイスブックに対して認証することができるが、どちらが呼び出し元のアプリケーションのプロファイルと結びついているのかわからない場合はどうなるのだろうか?
これは親しみを込めてOpenIDのNASCAR問題と呼ばれている。OpenIDの立ち上げページには通常、プロバイダのロゴが何十億と並んでいるので、どのプロバイダを使うかを選択する必要がある。 そのため、どのプロバイダを使うかを選択する必要があります。
CardSpace/InfoCard/情報カードを覚えているだろうか? あれはこの問題を解決しようとしている。 理論的にはかなりいい仕事をしている。 実際にはそうでもない。
ハイステークス選挙のための自宅またはオフィスのコンピューターからのインターネット投票は、「未解決の問題」の規模からかなり離れています。 これは、海外および/または軍隊にいる有権者にとって特に重要であり、有権者が検証した紙の投票用紙を返す迅速で信頼できる方法がありません(潜水艦を考えてください:)。 これは、DESSEC:DEsigning a Secure Systems Engineering CompetitionでX-PRIZEにふさわしいものとしてノミネートされました。
「RSA」の「R」であるRon Rivestは、2010年にUOCAVAリモート投票システムワークショップで、いくつかの説得力のある講演の1つを行いました。 プレゼンテーションは、「議題とプレゼンテーション」ページでご覧いただけます。 http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm。
投票は匿名である必要があり、投票の販売は禁止されており、システムは非常に透明でなければならないため、問題は安全なeコマースの問題よりもはるかに困難です。 また、次のものも含まれます。
1。 資金のある攻撃者からのstuxnetのような攻撃で世界のサーバーを保護することの難しさ。 2。 ウイルスの世界と経験の浅いユーザーのクライアントを保護することの難しさ。 3。 DDoSの容易さは、特に重要な日時に稼働しなければならないサーバーへの攻撃です。
コロンビア特別区によるインターネット投票の公開テストの最近のクラッシュアンドバーンを確認したところ、ワシントンポストはそれを正しく理解しました。
もっと見る。
オンラインで買い物をしたり、銀行に行けたりできるなら、なぜオンラインで投票できないのですか? |検証済み投票ブログ-David Jeffersonによる非常に洞察に満ちた投稿。 *インターネット投票とUOCAVAに関するUSACM発行の概要-http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf。
https://security.stackexchange.com/questions/5769/secure-internet-polling/5776#5776(IT Security question)。
スマートフォンセキュリティ。
ウイルスと企業情報の漏 ⁇ の対象となっているスマートフォンは数多くあります。 これらのセキュリティの脆弱性に対処する統一された方法を見つけ、それでも柔軟なユーザー環境を提供することは困難です。
現在、Goodlinkを見て、複数のデバイスに電子メールのセキュリティを提供しています。 他にご不明な点がございましたらコメントしてください。
安全保障のことを考えていない人たち。
HTTPSを正しく展開。
認証後は常にSSL / TLSセッションを行います。.. Webセッションの残りの部分。
https://www.eff.org/pages/how-deploy-https-correctly。
同様のメモで、誰かがGoogle AdSense / AdWordsにHTTPSをサポートするように指示できますか??!?! ログインを要求するすべてのサイトは、ユーザーに「混合コンテンツ」警告を表示させたくないため、通常HTTPに戻ります。
現在、大きな問題はパスワードの再利用です。
XKCD#792は、ユーモアの「ビット」の問題を示しています。
パスワードの再利用。!
やや話題から外れていますが、CIAの前にあるクリプトス彫刻の最後の行を解決した人はいません。
http://en.wikipedia.org/wiki/Kryptos。
送信者の確認をメールで送信します。
多くのソリューションとサードパーティは、「ユーザーxが実際に電子メールメッセージを送信したかどうか」の問題に対処しようとします?「それともなりすましだった?
DMARC、DomainKeys、SenderID、およびSPFはすべて、何らかの形で問題に対処するテクノロジーの例ですが、採用率は必要な場所に近くありません。 さらに、この領域でListSrvを処理する場合にも、完全な解決策はないと思います。
パスワードと人々がそれらについてどう思うか。 私の意見では、パスワードはフレーズを渡すように名前を変更する必要があります。 ユーザーがパスワードポリシーを不良しているため、今日ハッキングされるアカウントが多すぎます。
例:ユーザーは10文字未満のパスワードを選択します。 彼が登録したサイトがハイジャックされ、DBが排出されると、簡単にブルートフォースになります。 残念ながら、彼は自分のメールにも同じパスワードを使用しています(もちろん?? 誰がしません?! ない。.. 愚か。!)。 その結果、彼はすべての資格を失い、基本的にはオンラインアイデンティティを失います。 誰もがこの犠牲者をあまり知らなくても簡単に悪用できるようになりました。
未解決の大きな問題-上級者(CEO、FDなど)を買収し、情報セキュリティを理解する。 IT管 理はITセキュリティを理解する傾向がありますが(かなり)、上級管理職はそうではありません。 それらはビジネス、運用、および財務リスクに焦点を当てているため、ISリスクを同等に変換することと、相対的な影響とともに、平等な競争条件で議論できるようにすることは、予算、スポンサー、実装の変更を得る唯一の一貫した方法です。.情報セキュリティの革命的な変化の現在の推進力とは対照的に-通常、主要な事件への対応、タブロイド紙が次の目標に到達するまでの短い間の高予算と緊急性。
入力検証ではXSSを解決できません。 あなたは間違っています。
SQLインジェクションは、準備されたステートメント以上のものです。 SQLステートメントや変数バインディングなどのトピックが含まれます。 HibernateにはHQLインジェクションがあり、適切な変数バインディングを持つ名前付きパラメーターによってオフセットされます。
ITセキュリティにおける最大の問題はエンドユーザーである。
私の知る限り、クリックジャッキングやスクレイプを防ぐための実際の解決策はありません。 後者の場合、最適なソリューションは、IPベースの監視またはすべてのページの負荷に対するCAPTCHAです。 どれも完璧ではありません。
クラウドセキュリティは証明されていません。
SaaS、PaaS、およびIaaSソリューションのセキュリティは、時間テストされておらず、信頼されていません。 これは、私たちがビジネスを抱えており、営業担当者が信頼できない、証明されていないソリューションを販売している場合に問題になると思います。
時間の経過とともに、おそらくこれは変わるでしょう。
DNSSecの広範な採用と使用。
それに関する論争はあなたのすべてのゾーンを公開し、それが一部の国で使用されていることに関する法的問題を明らかにしていますが、全体として、鶏と卵の症候群を克服するために必要な技術です。
スタッフの数を減らして脅威の増加に対処する。
2010年に学んだ問題についてお ⁇ いしたので、レイオフは情報の盗難や内部スタッフからの不正な開示のリスクを高めると言います。
レイオフがセキュリティ部門に影響を与える場合、前述の問題の多くはチェックされず、会社を危険にさらす可能性があります。
公共インターネットに安全に接続します?
最も人気のある攻撃は、私の知る限り、XSSとクリックジャッキングです。