Что делать, если вы обнаружили дыру в безопасности на сайте вашей компании

13

Я обнаружил серьезную дыру в безопасности на одном из публичных сайтов моей компании. Это наш первый общедоступный сайт, который был преобразован из интрасети. Я довел эту проблему до своего босса, и они, по сути, отмахнулись от него, сказав, что потребуется много усилий, чтобы изменить архитектуру сайта, чтобы сделать его безопасным.

Это действительно беспокоило меня, и я подумал об использовании дыры, чтобы показать эффекты, которые могут произойти, если настоящий хакер доберется до нее. Вероятно, это не лучшая идея, так как последствия могут стоить мне работы, если не чего-то худшего.

Что я могу сделать, чтобы показать масштабы ситуации руководству?

security ethics Джим
источник
8
Убедитесь, что у вас есть все в письменной форме. Включая ваше упоминание о дыре в безопасности и их увольнении.
FrustratedWithFormsDesigner

Ответы:

13

Ответственность менеджера заключается в управлении рисками.

Когда в Gmail была обнаружена дыра в безопасности между сценариями, это создало очень серьезный риск, который команда быстро поработала над устранением. Поскольку существуют миллионы пользователей Gmail, если бы я написал веб-приложение, использующее этот недостаток, был бы хороший шанс, что пользователи моего веб-приложения могут использовать Gmail и открыть его на другой вкладке. Таким образом, как фишер, может быть, стоит создать такое приложение, чтобы получить доступ к пользовательским данным.

Вопрос, который может задать себе ваш менеджер, таков: насколько опасна эта дыра в безопасности? Какова вероятность того, что существует веб-приложение, предназначенное для этой конкретной дыры в безопасности на этом конкретном сайте? Каков риск того, что сотрудники, посещающие наш сайт, также используют этот сторонний сайт?

По моему опыту, если ваш сайт не получает тонны трафика, то нет риска тонны.

Ваш начальник может подумать, что альтернативная цена не устранения этой конкретной дыры в безопасности, которая может или не может быть проблемой, заключается в том, что вместо этого он или она может сосредоточить ресурсы на действиях, которые помогут развивать бизнес и приносить доход.

С учетом вышесказанного, была проблема, очень похожая на эту, когда Github был взломан, и есть вопрос о Project Management SE, который охватывает эту тему с точки зрения управления проектами. Пользователь, взломавший Github, находился в такой же ситуации, как и вы, и его привилегии на Github были временно приостановлены.

Мой вопрос к вам: что произойдет с вашим бизнесом, если сайт не работает? Какова вероятность того, что вы даже увидите, что эта дыра в безопасности эксплуатируется?

Если вы решите заняться этим, вам нужно будет объективно получить доказательства того, что это очень реальная, неизбежная угроза жизнеспособности бизнеса.

Вот несколько предложений для получения доказательств того, что это реальная проблема:

  • Выполняйте поиск в Google в поисках новостных статей, блогов или других сообщений о компаниях, которые столкнулись с серьезными проблемами в результате подобной связанной дыры в безопасности. Продемонстрируйте, что это действительно риск, который стоит учитывать вместо других возможностей для бизнеса.

  • Обсудите с другими техническими специалистами команды и узнайте их. Если проблема действительно серьезная, вы сможете найти других, которые также могут вас поддержать. Если нет, то либо ваши опасения не обоснованы, либо у вас есть серьезные проблемы с безопасностью в культуре вашей компании.

  • Обсудите с вашим ИТ-отделом другие варианты исправления дыры, в которую входят решения для более быстрого устранения неполадок, которые - хотя и не идеальные - могут снизить риск и дать вам некоторое спокойствие, не нарушая корпоративную копилку. Иногда небольшой объем работы может помочь устранить часть риска, если не весь.

Если вышеперечисленные пункты не сработают, тогда я расскажу об этом, и знаю, что эти проблемы просто станут нормальной частью управления бизнес-рисками.

jmort253
источник
2
Я чувствую, что этот ответ не охватывает достаточно темы. Природа дыры в безопасности не упоминалась в ОП; Насколько нам известно, это может позволить злоумышленникам получить информацию о кредитной карте из своей базы данных, что может иметь катастрофические последствия, не говоря уже о том, что в случае игнорирования она может иметь юридические последствия.
Дейнит
+1: в конце дня а) речь идет о затратах и ​​выгодах, и люди с правами на принятие решений будут принимать решения, и б) природа дыры в безопасности не упоминалась, но держу пари, что руководство знает об этом гораздо больше, чем любой из нас на этой доске. Так что да, OP поднял проблему, и теперь мы вернулись к «обязанности менеджера по управлению рисками»
DXM
@Daenyth - Вы абсолютно правы. Спасибо! Я добавил несколько предложений в качестве маркеров для решения этой проблемы, если опер решит продолжить. В конце концов, это действительно серьезная проблема, которая может повлиять не только на компанию, но и на безопасность миллионов пользователей.
jmort253
@ jmort253: обновление намного лучше - +1 от меня!
Daenyth
1
Джим, я не знаю, какой у вас опыт или сколько у вас было других рабочих мест для разработчиков, но я думаю, что вы столкнетесь с этим, когда пойдете в другие места. Целью любого бизнеса является получение прибыли, и я думаю, что иногда разработчики, которые отделены от операционной и финансовой стороны бизнеса, забывают, что целью бизнеса является получение прибыли. Также учтите следующее: ваш район - не единственная область, где существуют риски. Возможно, ваш менеджер видит еще больший риск, если не сосредоточиться на создании команды продаж или выпуске продукта или маркетингового плана, чувствительного ко времени.
jmort253
10

Если у вас есть справедливость, нажмите на расписание еженедельного или ежемесячного собрания, чтобы рассмотреть проблемы безопасности, и тогда это может быть просто пунктом в этой повестке дня. Перемещение фокуса с конкретной проблемы на общую область часто является эффективной техникой.

Если у вас нет капитала, двигайтесь дальше.
Вы подняли вопрос для руководства, и они прошли. Вы можете попробовать еще раз, если это важно для вас. И снова, если это действительно важно. Если это действительно очень важно, найдите другую работу и скажите потенциальным работодателям, почему. Те, кто больше всего ценят этику, наверняка оценят это.

Также имейте в виду, что если вы подняли вопрос и получили «нет», то теперь вы сталкиваетесь с изменением мнения людей, что очень сложно. Я бы пошел по пути, чтобы заставить их согласиться с вами и дать вам «да». например, «мы оба хотим, чтобы компания достигла успеха». Да. «Я знаю, что мы оба заботимся о безопасности». Да. «Мы знаем, что у нас очень ограниченный бюджет для решения таких вопросов». Да. Получите несколько из них, а затем начните движение к определенному графику для внесения исправлений безопасности

Другой «более мягкий» подход - согласиться с тем, что у вас нет времени / ресурсов, чтобы сделать это сейчас. Но можете ли вы настаивать на соглашении на дату, когда оно будет решено. Это может быть через неделю, или месяц, или 6 месяцев. Обычно время летит, а потом ты там.

Майкл Даррант
источник
Я бы позаботился о том, чтобы я написал предупреждение в письменном виде и сохранил копию, но если вы дали знать нужным людям, значит, вы поступили правильно. То, что они решили сделать с этим, хорошо, что это их проблема.
Захари К