Совсем недавно я думал обо всех решенных проблемах в области IT-безопасности, таких как XSS (которые можно смягчить с помощью валидации ввода), SQL Injection (смягчается с помощью подготовленных операторов) и т.д.
Теперь мне интересно, каковы самые большие нерешенные проблемы безопасности в 2010 году? Мне интересно, существуют ли уязвимости, для которых мы еще не знаем хорошего способа борьбы с ними. Кроме того, как мы можем заставить всех использовать решения решенных проблем.
Социальная инженерия безусловно.
Люди будут оставаться уязвимыми для социальной инженерии в течение длительного времени, и, как говорится, «безопасность так же хороша, как и самое слабое звено.«
Многие из ответов здесь говорят, что нерешенная проблема - это «пользователь» или какой-то вариант, что я вынужден заключить, что самая большая нерешенная проблема - это специалисты по безопасности, которые считают, что пользователь - враг .
Основной причиной является политика или процедура безопасности, которые не имеют видимой выгоды, т.е. это требует времени и усилий пользователя, чтобы пользователи не могли видеть, что он делает для них. Решение этой проблемы потребует объединения опыта infosec с техникой юзабилити и социальными науками, чтобы изобрести новые возможности безопасности, которые enabling, и позволят пользователям воспринимать их преимущества.
Вы не можете решить проблему конечного пользователя. Во всяком случае, с юридической или этической точки зрения. Я отдаю свой голос в пользу проблемы обнаружения домашнего царства.
EDIT: Проблема конечного пользователя была связана с ранее опубликованными ответами. Обнаружение Home Realm является частью модели аутентификации на основе утверждений, где вы можете выбирать между несколькими сервисами/организациями для обеспечения идентификации пользователя, подобно OpenID/OpenAuth. Проблема возникает, когда вам нужно определить, от какого провайдера получить информацию, поскольку вы еще ничего не знаете о пользователе. Это похоже на курицу/яйцо: как определить, кто должен аутентифицировать пользователя, если вы не знаете, кого пользователь использует для предоставления своей идентификации.
Первый очевидный ответ - использовать только одного провайдера, но это как бы сводит на нет преимущества модели.
Второй очевидный ответ - спросить пользователя. Однако в этом и заключается недостаток openID. Большинство людей понятия не имеют, кто является их провайдером. А что произойдет, если вы сможете аутентифицироваться в Google и Facebook, но не будете знать, какой из них привязан к профилю вызывающего приложения?
Это ласково называют проблемой NASCAR в OpenID - на стартовой странице OpenID обычно есть миллиард логотипов провайдеров, поэтому вам нужно выбрать, какого провайдера использовать. Что ломается, когда у вас есть пользовательский провайдер.
Помните CardSpace/InfoCard/Information Cards? Это попытка решить проблему. Теоретически, она делает неплохую работу. Практически - не очень.
Интернет Голосование с домашних или офисных компьютеров на выборах с высокими ставками довольно далеко от масштаба «нерешенных проблем». Это особенно важно для избирателей, которые находятся за границей и / или находятся в вооруженных силах и не имеют быстрого и надежного способа вернуть проверенный избирателями бумажный бюллетень (например, подводные лодки :). Он был номинирован как достойный X-PRIZE на DESSEC: организация конкурса по разработке безопасных систем
Рон Ривест, «R» в «RSA», выступил с одним из нескольких убедительных выступлений по этому вопросу в 2010 году на семинаре по системам дистанционного голосования в БПЛАВА. Вы можете увидеть презентации на странице «Повестка дня и презентации» здесь http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm
Проблема гораздо сложнее, чем проблема безопасной электронной коммерции, поскольку голоса должны быть анонимными, продажа голосов запрещена, а система должна быть очень прозрачной. Это также включает в себя:
Рассматривая недавние столкновения с публичным тестом по интернет-голосованию в округе Колумбия, Washington Post поняла это правильно.
Смотрите больше на
Если я могу делать покупки и делать покупки в Интернете, почему я не могу голосовать онлайн? | Проверенный блог голосования - очень проницательный пост Дэвида Джефферсона
Краткое изложение USACM по интернет-голосованию и UOCAVA - http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf
https://security.stackexchange.com/questions/5769/secure-internet-polling/5776#5776 (вопрос безопасности ИТ)
Безопасность смартфона
Существует большое количество смартфонов, которые являются мишенями для вирусов и утечки корпоративной информации. Трудно найти единый способ устранения этих уязвимостей безопасности и при этом обеспечить гибкую пользовательскую среду.
В настоящее время я смотрю на Goodlink, чтобы обеспечить безопасность электронной почты на нескольких устройствах. Пожалуйста, прокомментируйте, если вы знаете что-нибудь еще
Развернуть HTTPS правильно
Всегда имейте сеанс SSL / TLS после аутентификации... на оставшуюся часть веб-сессии.
https://www.eff.org/pages/how-deploy-https-правильно
На аналогичном примечании кто-то может сказать Google AdSense / AdWords для поддержки HTTPS?!?! Каждый сайт, который требует от вас входа, обычно возвращается обратно в HTTP, потому что они не хотят, чтобы пользователи получали предупреждение «Смешанный контент».
Я считаю, что большая проблема в настоящее время - повторное использование пароля.
XKCD # 792 иллюстрирует проблему с «немного» юмора.
Немного не по теме, но никто не решил последнюю линию скульптуры Криптоса перед ЦРУ .
Проверка отправителя электронной почты
Многие решения и третьи стороны пытаются решить проблему «пользователь х действительно отправил сообщение электронной почты?"или это было подделано?
DMARC, DomainKeys, SenderID и SPF - все это примеры технологий, которые так или иначе решают проблему, но уровень принятия не близок к тому, где он должен быть. Кроме того, я не думаю, что есть полное решение при работе с ListSrv в этой области.
Пароли и как люди думают о них. Пароли должны быть переименованы, чтобы передать фразы на мой взгляд. Слишком много учетных записей взломано сегодня из-за того, что у пользователей плохая политика паролей.
Например: пользователь выбирает пароль менее 10 символов. Он легко подвергается грубому принуждению, когда сайт, на котором он зарегистрирован, захватывается, а БД истощается. К сожалению, он также использует тот же пароль для своей электронной почты (конечно?? кто не?! не... глупый!). Это приводит к тому, что он теряет все свои полномочия и, в основном, свою личность в Интернете. Теперь любой может легко использовать эту жертву, не зная об этом много.
Огромная нерешенная проблема - получение старшего (генеральный директор, FD и т. Д.) Покупать и понимать информационную безопасность. ИТ-менеджмент, как правило, понимает ИТ-безопасность (в значительной степени), а высшее руководство - нет. Они ориентированы на бизнес, операционный и финансовый риски, поэтому перевод рисков IS в эквивалент, а также относительное влияние, чтобы их можно было обсуждать на равных условиях, является единственным последовательным способом получения изменений, предусмотренных в бюджете, спонсируемых и осуществляемых...в отличие от нынешних драйверов революционных изменений в информационной безопасности - обычно это реакция на крупный инцидент, такой высокий бюджет и срочность в течение короткого времени, пока таблоиды не перейдут к следующей цели.
Нельзя решить XSS с помощью проверки ввода. Вы не правы.
Инъекция SQL - это более чем подготовленные операторы. Он включает в себя такие темы, как операторы SQL и переменная привязка. Hibernate имеет впрыск HQL, смещенный по именованным параметрам с правильной переменной привязкой.
Насколько я знаю, нет реального решения, чтобы предотвратить щелчок или соскоб. Для последних лучшими решениями являются мониторинг на основе IP или CAPTCHA при каждой загрузке страницы. Ни один из которых не идеален.
Облачная безопасность не доказана
Безопасность решений SaaS, PaaS и IaaS не проверяется временем и не пользуется доверием. Я считаю, что это проблема, когда у нас есть бизнес, и продавцы продают ненадежные, бездоказательные решения.
Со временем, возможно, это изменится.
Широкое принятие и использование DNSSec
Хотя существует противоречие относительно того, что оно раскрывает все ваши зоны, и правовые вопросы, касающиеся его использования в некоторых странах; в целом это необходимая технология, которая должна преодолеть синдром курицы и яйца.
Решение проблемы усиления угроз с меньшим количеством персонала.
Поскольку вы спросили о проблемах, возникших в течение 2010 года, я скажу, что увольнения увеличивают риск кражи информации и несанкционированного раскрытия информации внутренним персоналом.
Если увольнения затрагивают отдел безопасности, то многие из этих ранее упомянутых проблем могут остаться без контроля, что подвергнет компанию риску.