it-swarm-korea.com

IT 보안에서 가장 큰 미해결 문제는 무엇입니까?

최근에는 XSS (입력 유효성 검사로 완화 할 수 있음), SQL 주입 (준비된 문으로 완화) 등과 같은 IT 보안의 모든 해결 된 문제에 대해 생각했습니다.

이제 2010 년 가장 큰 해결되지 않은 보안 문제는 무엇입니까? 우리가 아직 그것을 완화시킬 수있는 좋은 방법을 모르는 취약점이 있는지 궁금합니다. 모든 사람이 해결 된 문제에 대한 솔루션을 사용하도록하는 방법을 제외하고.

28
Andreas Arnold

최종 사용자 문제를 실제로 해결할 수는 없습니다. 어쨌든 법적으로나 윤리적으로 나의 투표는 Home Realm Discovery 문제에 대한 것입니다.

편집 : 최종 사용자 문제는 이전에 게시 된 답변과 관련이 있습니다. 홈 영역 검색은 클레임 기반 인증 모델의 일부로, 여러 서비스/조직 중에서 선택하여 OpenID/OpenAuth와 같이 사용자에게 ID를 제공 할 수 있습니다. 아직 사용자에 대해 아무것도 모르기 때문에 정보를 얻을 공급자를 알아 내야 할 때 문제가 발생합니다. 그것은 닭/계란 일입니다 : 사용자가 자신의 신원을 제공하는 데 사용하는 사람을 모르는 경우 누가 사용자를 인증해야하는지 어떻게 알 수 있습니까?.

첫 번째 명백한 대답은 하나의 공급자 만 사용하는 것이지만 그러한 종류는 모델의 이점을 무효화합니다.

두 번째로 확실한 대답은 사용자에게 묻는 것입니다. 그러나 이것은 openID의 몰락입니다. 대부분의 사람들은 자신의 서비스 제공자가 누구인지 모릅니다. Google 및 Facebook에 대해 인증 할 수 있지만 어떤 것이 호출 응용 프로그램의 프로필에 연결되어 있는지 모를 경우 어떻게됩니까?

이를 OpenID의 NASCAR 문제라고 애타게 언급합니다. OpenID의 시작 페이지에는 일반적으로 제공자에 대한 bajillion 로고가 있으므로 사용할 제공자를 선택해야합니다. 사용자 지정 공급자가 있으면 중단됩니다.

CardSpace/InfoCard/Information Card를 기억하십니까? 문제를 해결하려고 시도합니다. 실제로 이론적으로는 꽤 잘 작동합니다. 실제로는 안됩니다.

13
Steve

사회 공학.

인간은 앞으로도 오랫동안 사회 공학에 취약한 상태를 유지할 것이며 "보안은 가장 약한 연결 고리만큼이나 좋다"고 말합니다.

21
Olivier Lalonde

여기에 많은 답변이 해결되지 않은 문제는 "사용자"또는 일부 변형이며, 가장 큰 해결되지 않은 문제는 사용자가 적이라고 믿는 보안 실무자입니다.

근본적인 원인은 눈에 띄는 이점이없는 보안 정책 또는 절차입니다. 즉, 사용자가 수행 한 작업 을 볼 수 없으면 사용자 시간과 노력이 필요합니다 . 이 문제를 해결하려면 infosec 전문 지식과 유용성 공학 및 사회 과학을 결합하여 사용 가능 의 새로운 보안 경험을 개발하고 사용자가 자신의 이익을 인식 할 수 있도록해야합니다.

17
user185

고 선거 선거를위한 가정이나 사무실 컴퓨터에서의 인터넷 투표는 "해결되지 않은 문제"의 규모와는 거리가 멀다. 해외 및/또는 군대에 있고 유권자 확인 종이 투표지를 반환 할 수있는 빠르고 신뢰할 수있는 유권자가없는 유권자에게 특히 중요합니다 (잠수함 생각). DESSEC에서 X-PRIZE 에 해당하는 것으로 지명되었습니다 : 안전한 시스템 엔지니어링 경쟁 설계

"RSA"의 "R"인 Ron Rivest는 2010 년 UOCAVA Remote Voting Systems Workshop에서 이에 대해 몇 가지 설득력있는 연설 중 하나를했습니다. "아젠다 및 프리젠 테이션"페이지에서 프리젠 테이션을 볼 수 있습니다. http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm

투표는 익명이어야하고, 투표 판매는 금지되며, 시스템은 투명해야하므로 보안 전자 상거래 문제보다 훨씬 어렵습니다. 또한 다음이 포함됩니다.

  1. 자금이 잘 든 공격자의 stuxnet과 같은 공격으로 세계에서 서버를 보호 할 수없는 난관
  2. 바이러스 및 경험이없는 사용자의 세계에서 클라이언트를 보호 할 수없는 난이도
  3. 특히 중요한 요일 및 시간 동안 가동되어야하는 서버에 대한 DDoS 공격의 용이성.

컬럼비아 특별구의 최근 인터넷 투표 공개 테스트의 충돌을 검토 한 결과 Washington Post에서 확인했습니다 .

더보기

12
nealmcb

스마트 폰 보안

바이러스 및 회사 정보 유출의 대상이되는 다양한 스마트 폰이 있습니다. 이러한 보안 취약점을 해결하기위한 통일 ​​된 방법을 찾는 것은 어렵지만 여전히 유연한 사용자 환경을 제공합니다.

현재 여러 장치에서 전자 메일 보안을 제공하기 위해 Goodlink를 찾고 있습니다. 다른 것을 알고 있다면 의견을 말하십시오

7
goodguys_activate

보안을 염두에두고 생각하지 않는 사람들.

5
gbr

HTTPS를 올바르게 배포하십시오

웹 세션의 나머지 부분에 대해서는 인증 후 항상 SSL/TLS 세션이 있어야합니다.

https://www.eff.org/pages/how-deploy-https-correctly

비슷한 말로 누군가 Google 애드 센스/애드워즈에게 HTTPS를 지원하라고 말할 수 있습니까?!?! 로그인이 필요한 모든 사이트는 일반적으로 사용자가 "혼합 콘텐츠"경고를받지 않도록하기 때문에 HTTP로 되돌아갑니다.

5
goodguys_activate

주제를 약간 벗어 났지만 아무도 CIA 앞에서 크립 토스 조각의 마지막 줄을 해결하지 못했습니다.

http://en.wikipedia.org/wiki/Kryptos

4
goodguys_activate

이메일 발신자 확인

많은 솔루션과 타사가 "사용자 x가 실제로 전자 메일 메시지를 보냈습니까?"라는 문제를 해결하려고합니다. 아니면 스푸핑 되었습니까?

DMARC , DomainKeys, SenderID 및 SPF는 모두 어떤 방식 으로든 문제를 해결하는 기술의 예이지만 채택률은 어디에서나 가깝지 않습니다. 있어야합니다. 또한이 분야에서 ListSrv를 처리 할 때 완벽한 솔루션이 있다고 생각하지 않습니다.

4
goodguys_activate

현재 큰 문제는 비밀번호 재사용이라고 생각합니다.

XKCD # 792 "비트"유머의 문제를 보여줍니다.

Password reuse

4
bjarkef

막대한 미해결 문제-선임 (CEO, FD 등) 구매 및 정보 보안 이해 IT 관리는 IT 보안을 이해하는 경향이 있지만 고위 경영진은 이해하지 못합니다. 비즈니스, 운영 및 재무 위험에 중점을두기 때문에 IS 위험을 동등한 영향으로 환산하여 상대적 영향과 함께 레벨 경쟁에서 논의 할 수있는 것은 예산 변경을 얻는 유일한 일관된 방법입니다) 정보 보안의 혁명적 변화에 대한 현재 동인과는 대조적으로, 후원 및 구현-일반적으로 주요 사건에 대한 대응, 타블로이드가 다음 목표에 도달 할 때까지 잠시 동안 높은 예산과 긴급 성.

3
Rory Alsop

비밀번호와 사람들이 그것에 대해 어떻게 생각하는지. 내 의견으로는 문구를 전달하기 위해 비밀번호의 이름을 바꿔야합니다. 사용자가 잘못된 비밀번호 정책을 가지고 있기 때문에 오늘 너무 많은 계정이 해킹당했습니다.

예를 들어, 사용자는 10 자 미만의 암호를 선택합니다. 등록 된 사이트가 하이재킹되고 DB가 비워지면 쉽게 무차별 상태가됩니다. 불행히도 그는 자신의 이메일에 동일한 암호를 사용합니다 (물론 ?? 이로 인해 모든 자격 증명과 기본적으로 온라인 신원이 손실됩니다. 이제이 희생자에 대해 많이 알지 않고도 누구나이 피해자를 쉽게 이용할 수 있습니다.

3
Chris Dale

입력 검증으로 XSS를 해결할 수 없습니다. 당신은 틀 렸습니다.

SQL 주입은 준비된 명령문 이상입니다. SQL 문 및 변수 바인딩과 같은 주제가 포함됩니다. 최대 절전 모드에는 HQL 주입이 있으며 적절한 변수 바인딩으로 명명 된 매개 변수로 오프셋됩니다.

3
atdre

IT 보안의 가장 큰 문제는 최종 사용자입니다.

2
Woot4Moo

내가 아는 한, 클릭 재킹이나 스크래핑을 방지 할 수있는 실질적인 해결책은 없습니다. 후자의 경우 최상의 솔루션은 모든 페이지로드에서 IP 기반 모니터링 또는 보안 문자입니다. 어느 것도 완벽하지 않습니다.

2
Adam Lynch

입증되지 않은 클라우드 보안

SaaS, PaaS 및 IaaS 솔루션의 보안은 시간 테스트 및 신뢰할 수 없습니다. 비즈니스와 영업 사원이 신뢰할 수없고 입증되지 않은 솔루션을 판매 할 때 이것이 문제라고 생각합니다.

시간이 지나면 아마도 바뀔 것입니다.

2
goodguys_activate

DNSSec 의 광범위한 채택 및 사용

이에 대한 논란이 있지만 모든 지역과 일부 국가에서의 사용에 관한 법적 문제를 드러냅니다. 전반적으로 닭고기와 계란 증후군을 극복하는 데 필요한 기술입니다.

1
goodguys_activate

더 적은 직원으로 증가 된 위협 해결.

2010 년에 겪은 문제에 대해 물었으므로 정리 해고로 인해 정보 도용의 위험이 증가하고 내부 직원의 무단 공개가 발생한다고합니다.

정리 해고가 보안 부서에 영향을 미치는 경우 앞에서 언급 한 문제 중 상당수가 확인되지 않아 회사가 위험에 처할 수 있습니다.

1
goodguys_activate

P = NP

P 대 NP 문제는 컴퓨터 과학에서 해결되지 않은 주요 문제입니다.

0
T. Webster
0
Paul Podlipensky

공공 인터넷에 안전하게 연결 하시겠습니까?

0
Bradley Kreider