Quali sono i maggiori problemi irrisolti nella sicurezza IT? [chiuso]

Recentemente ho pensato a tutti i problemi risolti nella sicurezza IT, come XSS (che può mitigare con la convalida dell'input), SQL Injection (mitigato con istruzioni preparate), ecc.

Ora mi chiedo, quali sono i maggiori problemi di sicurezza non risolti dell'anno 2010? Mi chiedo qui se ci sono vulnerabilità là fuori per le quali non sappiamo ancora un buon modo per mitigarli. Tranne il modo in cui possiamo convincere tutti a utilizzare le soluzioni per i problemi risolti.

    
posta Andreas Arnold 22.11.2010 - 14:49
fonte

21 risposta

Non puoi davvero risolvere il problema dell'utente finale. Bene, legalmente o eticamente comunque. Il mio voto va verso il problema di Home Realm Discovery.

EDIT: Il problema dell'utente finale era in riferimento alle risposte precedentemente pubblicate. La scoperta di Realm di casa fa parte di un modello di autenticazione basato sulle attestazioni, in cui è possibile selezionare tra più servizi / organizzazioni per fornire un'identità per un utente, proprio come OpenID / OpenAuth. Il problema sorge quando devi capire da quale provider ottenere informazioni poiché non sai ancora nulla sull'utente. È una cosa pollo / uovo: come fai a sapere chi deve autenticare l'utente quando non sai chi l'utente usa per fornire la propria identità.

La prima risposta ovvia è quella di utilizzare un solo fornitore, ma questo tipo di negazione del vantaggio del modello.

La seconda risposta ovvia è chiedere all'utente. Tuttavia, questa è la rovina di openID. La maggior parte delle persone non ha idea di chi sia il loro fornitore. E cosa succede quando puoi autenticarti contro Google e Facebook, ma non sai quale è legato al profilo dell'applicazione chiamante?

Questo è affettuosamente chiamato il problema NASCAR con OpenID - la pagina di avvio di OpenID di solito ha un logo bajillion per i provider, quindi è necessario selezionare quale provider utilizzare. Che si interrompe quando hai un fornitore personalizzato.

Ricorda CardSpace / InfoCard / Schede informative? Questo tenta di risolvere il problema. In realtà fa un buon lavoro teoricamente. Praticamente notsomuch.

    
risposta data 22.11.2010 - 18:50
fonte

Ingegneria sociale di gran lunga.

Gli esseri umani rimarranno vulnerabili all'ingegneria sociale per molto tempo a venire e, come si suol dire, "la sicurezza è valida quanto l'anello più debole".

    
risposta data 23.11.2010 - 05:06
fonte

Quindi molte delle risposte qui dicono che il problema irrisolto è "l'utente" o qualche variante, che sono costretto a concludere il problema irrisolto più grande è operatori della sicurezza che credono che l'utente sia il nemico .

La causa sottostante è la politica o la procedura di sicurezza che non presenta alcun beneficio visibile, ovvero richiede tempo e sforzi degli utenti senza che gli utenti possano vedere cosa sta facendo per loro . La risoluzione di questo problema richiederà la combinazione di competenze infosec con ingegneria dell'usabilità e scienze sociali per inventare nuove esperienze di sicurezza che abilitano e consentire agli utenti di percepirne i benefici.

    
risposta data 23.11.2010 - 10:50
fonte

Il voto su Internet da computer di casa o dell'ufficio per le elezioni di alto rischio è piuttosto lontano dalla portata dei "problemi irrisolti". È particolarmente importante per gli elettori che sono all'estero e / o nelle forze armate e non hanno un modo veloce e affidabile per restituire un voto cartaceo verificato da elettori (si pensi ai sottomarini :). È stato nominato degno di un X-PRIZE a DESSEC: designazione di un Concorso di progettazione di sistemi sicuro

Ron Rivest, la "R" in "RSA", ha tenuto uno dei numerosi discorsi convincenti su questo nel 2010 presso il laboratorio di sistemi di votazione remota UOCAVA. Puoi vedere le presentazioni nella pagina "Agenda e presentazioni" qui link

Il problema è molto più difficile del problema dell'e-commerce sicuro, dal momento che i voti devono essere anonimi, la vendita di voti è vietata e il sistema deve essere altamente trasparente. Coinvolge anche:

  1. l'intrattabilità della protezione dei server in un mondo con attacchi come stuxnet da parte di aggressori ben finanziati
  2. l'intrattabilità di proteggere i clienti in un mondo di virus e utenti inesperti
  3. la facilità degli attacchi DDoS sui server che devono essere attivi durante un giorno e un'ora particolarmente importanti .

Nel rivedere il recente crash-and-burn di un test pubblico su Internet Voting da parte del District of Columbia, il Washington Post ha capito bene .

Vedi di più su

risposta data 23.11.2010 - 07:46
fonte

Sicurezza smartphone

Ci sono un ampio numero di smartphone che sono bersagli per i virus e che perdono informazioni aziendali. È difficile trovare un modo uniforme per affrontare queste vulnerabilità della sicurezza e fornire comunque un ambiente utente flessibile.

Attualmente sto guardando Goodlink per fornire sicurezza della posta elettronica su più dispositivi. Si prega di commentare se si sa di qualsiasi altra cosa

    
risposta data 22.11.2010 - 23:12
fonte

Persone che non pensano con sicurezza in mente.

    
risposta data 22.11.2010 - 15:19
fonte

Distribuisci HTTPS correttamente

Avere sempre una sessione SSL / TLS dopo l'autenticazione ... per il resto della sessione Web.

link

Con una nota simile, qualcuno può dire a Google AdSense / AdWords di supportare HTTPS?!?! Ogni sito che richiede il login di solito ritorna su HTTP perché non desidera che gli utenti ottengano l'avviso "Contenuto misto".

    
risposta data 22.11.2010 - 21:10
fonte

Un po 'fuori tema, ma nessuno ha risolto l'ultima riga della scultura di Kryptos di fronte alla CIA.

link

    
risposta data 22.11.2010 - 21:04
fonte

Credo che attualmente un grosso problema sia il riutilizzo della password.

XKCD # 792 illustra il problema con un "po '" di umorismo.

    
risposta data 11.08.2011 - 11:46
fonte

Email Sender Verification

Molte soluzioni e terze parti cercano di risolvere il problema di "l'utente x ha effettivamente inviato un messaggio di posta elettronica?" o è stato falsificato?

DMARC , DomainKeys, SenderID e SPF sono tutti esempi di tecnologie che risolvono il problema in un modo o nell'altro, ma il tasso di adozione non è t vicino a dove deve essere. Inoltre, non penso che ci sia una soluzione completa quando si ha a che fare con ListSrv in quest'area.

    
risposta data 22.11.2010 - 21:58
fonte

Non è possibile risolvere XSS con la convalida dell'input. Non sei corretto.

L'iniezione SQL è più di istruzioni preparate. Include argomenti come istruzioni SQL e binding variabile. Hibernate ha un'iniezione HQL, compensata da parametri denominati con il corretto binding di variabili.

    
risposta data 22.11.2010 - 22:32
fonte

Password e in che modo le persone pensano a loro. Le password dovrebbero essere rinominate per passare le frasi secondo me. Troppi account vengono violati oggi perché gli utenti hanno una politica di password errata.

Ad esempio: l'utente seleziona una password inferiore a 10 caratteri. Diventa facilmente violento dopo che un sito registrato subisce un dirottamento e il DB è svuotato. Sfortunatamente usa la stessa password per la sua e-mail (naturalmente chi non lo fa ?! non ... stupido!). Ciò si traduce in lui perdere tutte le sue credenziali e fondamentalmente la sua identità online. Ora chiunque può facilmente sfruttare questa vittima senza che lui ne sappia molto.

    
risposta data 22.11.2010 - 20:12
fonte

Enorme problema irrisolto: acquisizione di senior (CEO, FD, ecc.) acquisto e comprensione della sicurezza delle informazioni. La gestione IT tende a comprendere la sicurezza IT (praticamente), ma l'alta direzione non lo fa. Sono focalizzati sui rischi aziendali, operativi e finanziari, quindi tradurre i rischi IS in un equivalente e un impatto relativo in modo che possano essere discussi a parità di condizioni è l'unico modo coerente per ottenere il budget previsto, sponsorizzato e implementato ... come contrario ai driver attuali per il cambiamento rivoluzionario nella sicurezza delle informazioni - di solito una risposta a un incidente importante, così alto budget e urgenza per un breve periodo fino a quando i tabloid non vanno sul prossimo obiettivo.

    
risposta data 25.11.2010 - 18:05
fonte

Il più grande problema nella sicurezza IT è l'utente finale.

    
risposta data 22.11.2010 - 18:32
fonte

Cloud Security is Unproven

La sicurezza delle soluzioni SaaS, PaaS e IaaS non viene testata nel tempo e affidabile. Credo che questo sia un problema quando abbiamo l'azienda e venditori che vendono soluzioni non verificate e non attendibili.

Con il tempo, forse questo cambierà.

    
risposta data 22.11.2010 - 23:15
fonte

Per quanto ne so, non esiste una soluzione reale per impedire il clickjacking o lo scraping. Per quest'ultimo, le soluzioni migliori sono il monitoraggio basato su IP o un CAPTCHA su ogni caricamento di pagina. Nessuno dei quali è perfetto.

    
risposta data 10.08.2011 - 19:39
fonte

Adozione e utilizzo diffusi di DNSSec

Sebbene vi sia la controversia in merito alla sua esposizione di tutte le zone, e problemi legali relativi al suo utilizzo in alcuni paesi; nel complesso è una tecnologia necessaria che ha bisogno di superare la sindrome dell'uovo e della gallina.

    
risposta data 22.11.2010 - 21:54
fonte

Affrontare le minacce aumentate con meno personale.

Dato che hai chiesto informazioni sui problemi appresi durante il 2010, dirò che i licenziamenti aumentano il rischio di furto di informazioni e divulgazione non autorizzata da parte del personale interno.

Se i licenziamenti influiscono sul dipartimento di sicurezza, molti di questi problemi citati in precedenza potrebbero non essere controllati, lasciando la società a rischio.

    
risposta data 22.11.2010 - 23:19
fonte

Connessione sicura a Internet pubblica?

    
risposta data 22.11.2010 - 20:33
fonte

Gli attacchi più popolari sono XSS e clickjacking per quanto ne so.

    
risposta data 24.07.2012 - 02:19
fonte

P = NP

The P versus NP problem is a major unsolved problem in computer science

    
risposta data 29.05.2013 - 23:42
fonte

Leggi altre domande sui tag