web-dev-qa-db-ja.com

ITセキュリティ調査を行っている(公開されている)独立した組織はありますか?

ネットでセキュリティリスクを調べてみると、引用されているすべての研究(引用されている場合)は常にマルウェア対策会社からのものであるように思われます。 (例: この記事 F-secureを引用、AVGおよびMcAfee)。

私は主にこの種の「調査」を行って、メディアの最新のITセキュリティヘッドラインが実際にどれほど危険であるかを確認しています。 (つまり、私のおばあちゃんにとって、私の妹にとって、または私にとって、彼の道を知っている誰かとして危険です。)

私自身は「陰謀説」に陥りがちではないと思いますが、すべての研究と専門家の発言が間違っているのは少し残念です。私と私の家族にとって、私が見つけることができたように見えるセキュリティリスクは、Anti- *パッケージを販売しようとしている企業によるもののようです。

情報を公開する「独立した」政党(ユニデップ、政府機関など)はありますか。新しいセキュリティの脅威に?

(注:私はnotはバイアスがないと言っていますが、バイアスはわずかに異なるので、私は願っています: -)))

編集:いくつかの回答とコメントの後、その(マス)メディアである可能性があるようですマルウェア企業は、消費者に対する新しいセキュリティリスクに関するプレスリリースを簡単に引用しているため、非常に頻繁に引用しています。

malwareresearchantivirusantimalware
8
Martin

コンピュータのセキュリティに関する情報を公開している独立した組織や人々は数え切れないほどあります。問題はそれらを見つけることではありません。問題は、これらすべての情報源を追跡することです。開始場所の例としては、 Bruce SchneierのブログKrebs on Security の2つがあります。

すべてのコンピュータセキュリティ研究がマルウェア対策会社からのものであると考える場合、適切な情報源を検討していません。コンピュータセキュリティ研究を公開している他の多くの人がいます。たとえば、大学の専門研究者、業界の研究室、独立した試験所などです。

注意事項:業界には、「調査」という言葉をハイジャックして、たとえば、ランダムなWebサイトで新しい脆弱性を見つけるなどの意味を持ちたいと考えている人がいます。それらの人々は、科学的研究に関連する前向きな信頼性と評判を自由に利用しようとしています。取り入れないでください。「研究」という言葉には古くて確立された意味があり、コンピュータセキュリティの科学的研究に従事しているコミュニティ全体が非常に異なった行動をとっています。

一般的なコメント:質問が広すぎてニーズに完全に対応できない可能性があります。独立した見方をしたい特定の研究を見つけたら、それについて具体的に質問を投稿してみませんか?

6
D.W.

フルディスクロージャ( http://seclists.org/fulldisclosure/ )とbugtraq( http://www.securityfocus.com/archive/1 )メーリングリストをフォローしている場合個人または非営利団体によるセキュリティ調査がたくさんあることがわかります。

完全な開示とbugtraqメーリングリストに参加し、 http://www.exploit-db.com/ によって公開されたエクスプロイトと論文にも従う必要があります。一部の商用ベンダーアドバイザリも、サードパーティによるこれらのパブリックアドバイザリに基づいています。

6
Serkan Özkan