ITセキュリティの最大の未解決の問題は何ですか？

社会工学断然。

人間は今後もソーシャルエンジニアリングに対して脆弱なままであり、「セキュリティは最も弱いリンクと同じくらい優れている」ということわざがあります。

ここでの答えの多くは、未解決の問題は「ユーザー」または何らかのバリアントであると述べているため、最大の未解決の問題はユーザーが敵であると信じるセキュリティ専門家であると結論せざるを得ません。

根本的な原因は、目に見える利点のないセキュリティポリシーまたは手順です。つまり、ユーザーが何をしているかをユーザーが見ることができず、ユーザーの時間と労力を消費します。この問題を解決するには、Infosecの専門知識とユーザビリティエンジニアリングおよび社会科学を組み合わせて、有効にする新しいセキュリティエクスペリエンスを発明し、ユーザーがそのメリットを認識できるようにする必要があります。

ハイステークス選挙のための自宅またはオフィスのコンピューターからのインターネット投票は、「未解決の問題」のスケールからかなりかけ離れています。海外および/または軍隊にいて、有権者検証済みの紙の投票用紙を返却するための迅速で信頼できる方法がない有権者にとっては、特に重要です（潜水艦：と考えてください）。 DESSECで X-PRIZE に値するものとしてノミネートされました：セキュアシステムエンジニアリングコンテストへの参加

「RSA」の「R」であるRon Rivestは、2010年にUOCAVAリモート投票システムワークショップでいくつかの説得力のある講演の1つを行いました。プレゼンテーションはこちらの「議題とプレゼンテーション」ページでご覧いただけます http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm

投票は匿名でなければならず、投票の販売は禁止されており、システムは透明性が高い必要があるため、この問題は安全な電子商取引の問題よりもはるかに困難です。以下も含まれます：

1. 資金の豊富な攻撃者によるstuxnetのような攻撃で世界のサーバーを保護することの難しさ
2. ウイルスと経験の浅いユーザーの世界でクライアントを保護することの難しさ
3. 非常に簡単 DDoS 特に重要な時間帯に稼働している必要があるサーバーへの攻撃。

コロンビア特別区によるインターネット投票パブリックテストの最近のクラッシュアンドバーンを検討する際、 ワシントンポストはそれを正しく理解しました 。

もっと見る

• オンラインで買い物や銀行取引ができるのに、なぜオンラインで投票できないのですか？|確認済み投票ブログ -David Jeffersonによる非常に洞察に満ちた投稿

• インターネット投票とUOCAVAに関するUSACM問題の概要- http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf

• 安全なインターネットポーリング （ITセキュリティの質問）

スマートフォンのセキュリティ

ウイルスや企業情報の漏洩の標的となっているスマートフォンは数多くあります。これらのセキュリティの脆弱性に対処するための統一された方法を見つけると同時に、柔軟なユーザー環境を提供することは困難です。

現在、複数のデバイスにメールセキュリティを提供するためにGoodlinkを検討しています。他にご存知の場合はコメントしてください

安心して考えない人。

HTTPSを正しく展開する

認証後は常にSSL/TLSセッションを使用してください... Webセッションの残りの部分については...

https://www.eff.org/pages/how-deploy-https-correctly

同様に、誰かがGoogle AdSense/AdWordsにHTTPSをサポートするように指示できますか？！？！ログインを要求するすべてのサイトは、ユーザーに「混合コンテンツ」の警告が表示されないようにするため、通常はHTTPに戻ります。

少し話題から外れましたが、誰もCIAの前にあるクリプトス彫刻の最後の行を解決していません。

http://en.wikipedia.org/wiki/Kryptos

メール送信者の確認

多くのソリューションとサードパーティは、「ユーザーxが実際にメールメッセージを送信したのか」という問題に対処しようとしています。またはそれは偽装されましたか？

[〜＃〜] dmarc [〜＃〜] 、DomainKeys、SenderID、およびSPFはすべて、何らかの方法で問題に対処するテクノロジーの例ですが、採用率はどこにも近くありませんそれが必要です。さらに、この領域でListSrvを処理する場合にも完全な解決策はないと思います。

現在、大きな問題はパスワードの再利用だと思います。

XKCD＃792 は、ユーモアの「ビット」に関する問題を示しています。

未解決の大きな問題-シニア（CEO、FDなど）に情報セキュリティを理解してもらう。 IT管​​理者はITセキュリティを（かなり）理解する傾向がありますが、上級管理者は理解していません。彼らはビジネス、運用、財務リスクに焦点を当てているので、ISリスクを同等のものに変換し、相対的な影響とともに、平等な競争条件で議論できるようにすることが、変更の予算を確保する唯一の一貫した方法です。情報セキュリティの革命的変化の現在の推進力とは対照的に、通常は大きな事件への対応であり、タブロイド紙が次の目標に到達するまでの短い間、高い予算と緊急性が必要です。

パスワードと人々の考え方。私の意見では、パスワードはパスフレーズに変更する必要があります。ユーザーのパスワードポリシーが悪いため、今日ハッキングされるアカウントが多すぎます。

例：ユーザーが10文字未満のパスワードを選択した。彼が登録したサイトがハイジャックされ、DBが空になると、簡単にブルートフォース攻撃を受けます。残念ながら、彼は自分の電子メールにも同じパスワードを使用しています（もちろん??誰が使用しませんか？！バカじゃない！）。これにより、彼はすべての資格情報と基本的にはオンラインIDを失います。誰もが彼がそれについて多くを知らなくてもこの犠牲者を容易に悪用することができます。

入力検証ではXSSを解決できません。あなたは間違っています。

SQLインジェクションは準備されたステートメント以上のものです。 SQLステートメントや変数バインディングなどのトピックが含まれています。 HibernateにはHQLインジェクションがあり、適切な変数バインディングを持つ名前付きパラメーターによってオフセットされます。

ITセキュリティの最大の問題はエンドユーザーです。

私の知る限り、クリックジャッキングやスクレイピングを防ぐための実際の解決策はありません。後者の場合、最善の解決策は、IPベースの監視、またはすべてのページ読み込み時のキャプチャです。どれも完璧ではありません。

クラウドセキュリティは証明されていません

SaaS、PaaS、およびIaaSソリューションのセキュリティは、時間テストされておらず、信頼されていません。これは、ビジネスがあり、信頼できない、実績のないソリューションを販売する営業担当者がいるときに問題になると思います。

時間とともに、おそらくこれは変化するでしょう。

DNSSec の広範な採用と使用

すべてのゾーンを公開することに関しては論争がありますが、一部の国での使用に関しては法的な問題があります。全体として、ニワトリと卵の症候群を克服するために必要な技術です。

少ないスタッフで増加する脅威に対処します。

2010年に学んだ問題について尋ねたので、レイオフは情報の盗難や社内スタッフからの不正な開示のリスクを高めると言います。

レイオフがセキュリティ部門に影響を与える場合、前述の問題の多くがチェックされず、会社が危険にさらされる可能性があります。

P = NP

P対NP問題は、コンピューターサイエンスの主要な未解決の問題です。

最も一般的な攻撃 はXSSであり clickjacking は私の知る限りです。

安全に公衆インターネットに接続していますか？