Я обнаружил серьезную дыру в безопасности на одном из публичных сайтов моей компании. Это наш первый общедоступный сайт, который был преобразован из интрасети. Я довел эту проблему до своего босса, и они, по сути, отмахнулись от него, сказав, что потребуется много усилий, чтобы изменить архитектуру сайта, чтобы сделать его безопасным.
Это действительно беспокоило меня, и я подумал об использовании дыры, чтобы показать эффекты, которые могут произойти, если настоящий хакер доберется до нее. Вероятно, это не лучшая идея, так как последствия могут стоить мне работы, если не чего-то худшего.
Что я могу сделать, чтобы показать масштабы ситуации руководству?
Ответы:
Ответственность менеджера заключается в управлении рисками.
Когда в Gmail была обнаружена дыра в безопасности между сценариями, это создало очень серьезный риск, который команда быстро поработала над устранением. Поскольку существуют миллионы пользователей Gmail, если бы я написал веб-приложение, использующее этот недостаток, был бы хороший шанс, что пользователи моего веб-приложения могут использовать Gmail и открыть его на другой вкладке. Таким образом, как фишер, может быть, стоит создать такое приложение, чтобы получить доступ к пользовательским данным.
Вопрос, который может задать себе ваш менеджер, таков: насколько опасна эта дыра в безопасности? Какова вероятность того, что существует веб-приложение, предназначенное для этой конкретной дыры в безопасности на этом конкретном сайте? Каков риск того, что сотрудники, посещающие наш сайт, также используют этот сторонний сайт?
По моему опыту, если ваш сайт не получает тонны трафика, то нет риска тонны.
Ваш начальник может подумать, что альтернативная цена не устранения этой конкретной дыры в безопасности, которая может или не может быть проблемой, заключается в том, что вместо этого он или она может сосредоточить ресурсы на действиях, которые помогут развивать бизнес и приносить доход.
С учетом вышесказанного, была проблема, очень похожая на эту, когда Github был взломан, и есть вопрос о Project Management SE, который охватывает эту тему с точки зрения управления проектами. Пользователь, взломавший Github, находился в такой же ситуации, как и вы, и его привилегии на Github были временно приостановлены.
Мой вопрос к вам: что произойдет с вашим бизнесом, если сайт не работает? Какова вероятность того, что вы даже увидите, что эта дыра в безопасности эксплуатируется?
Если вы решите заняться этим, вам нужно будет объективно получить доказательства того, что это очень реальная, неизбежная угроза жизнеспособности бизнеса.
Вот несколько предложений для получения доказательств того, что это реальная проблема:
Выполняйте поиск в Google в поисках новостных статей, блогов или других сообщений о компаниях, которые столкнулись с серьезными проблемами в результате подобной связанной дыры в безопасности. Продемонстрируйте, что это действительно риск, который стоит учитывать вместо других возможностей для бизнеса.
Обсудите с другими техническими специалистами команды и узнайте их. Если проблема действительно серьезная, вы сможете найти других, которые также могут вас поддержать. Если нет, то либо ваши опасения не обоснованы, либо у вас есть серьезные проблемы с безопасностью в культуре вашей компании.
Обсудите с вашим ИТ-отделом другие варианты исправления дыры, в которую входят решения для более быстрого устранения неполадок, которые - хотя и не идеальные - могут снизить риск и дать вам некоторое спокойствие, не нарушая корпоративную копилку. Иногда небольшой объем работы может помочь устранить часть риска, если не весь.
Если вышеперечисленные пункты не сработают, тогда я расскажу об этом, и знаю, что эти проблемы просто станут нормальной частью управления бизнес-рисками.
источник
Если у вас есть справедливость, нажмите на расписание еженедельного или ежемесячного собрания, чтобы рассмотреть проблемы безопасности, и тогда это может быть просто пунктом в этой повестке дня. Перемещение фокуса с конкретной проблемы на общую область часто является эффективной техникой.
Если у вас нет капитала, двигайтесь дальше.
Вы подняли вопрос для руководства, и они прошли. Вы можете попробовать еще раз, если это важно для вас. И снова, если это действительно важно. Если это действительно очень важно, найдите другую работу и скажите потенциальным работодателям, почему. Те, кто больше всего ценят этику, наверняка оценят это.
Также имейте в виду, что если вы подняли вопрос и получили «нет», то теперь вы сталкиваетесь с изменением мнения людей, что очень сложно. Я бы пошел по пути, чтобы заставить их согласиться с вами и дать вам «да». например, «мы оба хотим, чтобы компания достигла успеха». Да. «Я знаю, что мы оба заботимся о безопасности». Да. «Мы знаем, что у нас очень ограниченный бюджет для решения таких вопросов». Да. Получите несколько из них, а затем начните движение к определенному графику для внесения исправлений безопасности
Другой «более мягкий» подход - согласиться с тем, что у вас нет времени / ресурсов, чтобы сделать это сейчас. Но можете ли вы настаивать на соглашении на дату, когда оно будет решено. Это может быть через неделю, или месяц, или 6 месяцев. Обычно время летит, а потом ты там.
источник