Questa non è una risposta molto seria, ma non è neanche stupida. L'articolo su CCIS non è molto buono in quanto ha cercato di operare su concetti parziali in un contesto non ben definito.
Dal seguente diagramma puoi vedere che:
- Posso rompere il software, ad es. mettici una backdoor. Il software è essenzialmente formule astratte. Il che significa che posso eseguire altre devastazioni algoritmiche, ad es. forza bruta nel database e bypassare la sicurezza del software.
- Posso entrare nel database, che è fondamentalmente dati, quindi posso semplicemente entrare nella costruzione e prendere il controllo della console.
- Posso usare l'ingegneria sociale, quindi posso eseguire un attacco MITM, ad esempio, posso fare osservazioni passive dai movimenti delle gambe ecc.
Quindi, in sostanza, ci sono varie teorie, ma nella teoria finale ce n'è solo una, e quello che possiamo vedere qui è solo una discussione su un'altra mentre in realtà fanno parte della stessa cosa.
Sicurezza delle informazioni e sicurezza informatica sono pensati per essere la stessa cosa. È solo una visione incompleta di entrambe le parti allo stesso problema, mentre nessuno di loro riesce a fornire un'immagine reale del problema e mentre cerca di farlo argomenta in modi molto sciocchi come "fisico", "virtuale", "dati" e presto. L'immagine qui sotto cerca di risolverli in un'unica immagine, penso che sia un buon esempio che questi due problemi possano essere portati come uno solo.
Portarlo come uno può ridurre significativamente il problema in modo molto più semplice (e l'immagine sotto rende più facile pensarci su), ridurre i costi generali e renderlo molto più versatile.
Ciò che è scritto su Computer Security e InfoSec è solo un mucchio di cose ridondanti, molto spesso sovrapposte o che cercano di affrontare lo stesso problema da un lato diverso mentre ancora non tocca le cose più importanti in quanto non sarebbe a nessuno di essi, con il miglior esempio del processo di sviluppo del software.
Supponendo che InfoSec e Computer Security abbiano solo a che fare con "Difendere" è un errore semplice e sciocco del settore. Ha molto tempo a che fare con la creazione di software e hardware. Questo è stato anche uno dei più grandi errori fatti da Microsoft in passato, che è stato affrontato a un certo punto. E gli sviluppatori di software sono lontani dal sapere tutto. Di solito hanno bisogno dell'aiuto dei Team di sicurezza su queste cose per essere aggiornati con le cose. Questo è solo uno degli esempi.
Quindi è noto che la sicurezza oggi è molto scarsa e continua a incolpare molti fattori mentre non riesce ad affrontare anche le esigenze più elementari e ignora i problemi più importanti, pensaci come un comportamento passivo-aggressivo.
Ciò significa che gli attuali approcci sono per lo più cattivi e ciò che la comunità può ottenere finora è di confondersi ancora di più.
Cattive "situazioni di sicurezza" derivano in genere da un uso errato della tecnologia, quindi una delle migliori opzioni è tornare al tavolo da disegno invece di cercare di sovvertire la situazione senza uscita.