Şirketinizin sitesinde bir güvenlik açığı bulduğunuzda ne yapmalısınız?

13

Şirketimin halka açık alanlarından birinde büyük bir güvenlik açığı buldum. Bu, intranet sitesinden dönüştürülen halka açık ilk sitemiz. Bu sorunu patronuma getirdim ve siteyi güvenli hale getirmek için yeniden mimariyi yeniden yapılandırmanın çok fazla iş gerektireceğini söyleyerek temelde omuz silktiler.

Bu beni gerçekten rahatsız etti ve gerçek bir bilgisayar korsanı ona ulaşırsa bunun olabileceği etkileri göstermek için deliği kullanmayı düşündüm. Bu muhtemelen en iyi fikir değildir çünkü daha kötü bir şey olmasa da etkileri bana işime mal olabilir.

Durumun büyüklüğünü yönetime göstermek için yapabileceğim bazı şeyler nelerdir?

security  ethics 
Jim
kaynak
8
Yazılı her şeye sahip olduğunuzdan emin olun. Güvenlik açıklığından bahsetme ve işten çıkarılmalarını da içerir.
SinirliWithFormsDesigner

Yanıtlar:

13

Yöneticinin sorumluluğu riski yönetmektir.

Gmail'de çapraz komut dosyası oluşturma güvenlik açığı keşfedildiğinde, bu, ekibin hızlı bir şekilde çözmek için çalıştığı çok kritik bir risk sundu. Milyonlarca Gmail kullanıcısı olduğu için, bu kusurdan yararlanan bir Web uygulaması yazsaydım, Web uygulamamın kullanıcılarının Gmail kullanıyor olmaları ve başka bir sekmede açmaları iyi bir olasılık olurdu. Bu nedenle, bir kimlik avcısı olarak, kullanıcı verilerine erişmek için böyle bir uygulama oluşturmak benim için faydalı olabilir.

Yöneticinizin kendisine sorduğu soru şu: Bu güvenlik açığı ne kadar riskli? Belirli bir güvenlik açığını bu siteye hedefleyen bir Web uygulaması olması ihtimali nedir? Web Sitemizi ziyaret eden çalışanların da bu üçüncü taraf web sitesini kullanması riski nedir?

Deneyimlerime göre, siteniz bir ton trafik almıyorsa, bir ton risk yoktur.

Patronunuz, sorun yaratabilecek ya da olmayabilecek bu özel güvenlik açığını düzeltmemenin fırsat maliyetinin, bunun yerine, kaynakları işin büyümesine ve gelir elde etmesine yardımcı olacak faaliyetlere odaklayabileceğini düşünüyor olabilir.

Bununla birlikte, Github'un saldırıya uğradığı konuya çok benzer bir sorun vardı ve Proje Yönetimi SE'de bu konuyu bir proje yönetimi perspektifinden kapsayan bir soru var . Github'ı hackleyen kullanıcı sizinle benzer bir durumdaydı ve Github ayrıcalıkları bir süre askıya alındı.

Size sorum şu: Site kapanırsa işletmenize ne olur? Bu güvenlik açığından yararlanıldığını bile görme olasılığı nedir?

Bunu takip etmeyi seçerseniz , bunun işletmenin uygulanabilirliği için çok gerçek ve yakın bir tehdit olduğuna dair objektif olarak kanıt elde etmeniz gerekir .

Bunun gerçek bir sorun olduğuna dair kanıt elde etmek için bazı öneriler:

  • Benzer, ilgili bir güvenlik açığı sonucunda önemli sorunlar yaşayan şirketlerin haber makalelerini, bloglarını veya diğer deneyimlerini aramak için Google aramaları yapın. Bunun gerçekten de diğer iş fırsatları yerine değinmeye değer bir risk olduğunu gösterin.

  • Takımdaki diğer teknik personel ile görüşün ve fikirlerini alın. Sorun gerçekten ciddiyse, sizi de destekleyebilecek başkalarını bulabilmelisiniz. Değilse, ya endişeleriniz garanti edilmez ya da şirket kültürünüzde güvenlik konusunda önemli sorunlar yaşarsınız.

  • İdeal olmasa da riski azaltabilecek ve şirket kumbarasını bozmadan size biraz huzur verebilecek daha hızlı çözümlerin yer aldığı deliği yamalamak için BT departmanınızla diğer seçenekleri tartışın. Bazen az miktarda çalışma, hepsi olmasa da riskin bir kısmını ortadan kaldırmaya yardımcı olabilir.

Yukarıdaki noktalar işe yaramazsa, o zaman bunu bırakmayı düşünürüm ve bu sorunların iş riski yönetiminin normal bir parçası olacağını biliyorum.

jmort253
kaynak
2
Bu cevabın konuyu yeterince kapsamadığını hissediyorum. OP'de güvenlik açığının niteliğinden bahsedilmedi; herkes için biliyoruz ki, saldırganlar veritabanından kredi kartı bilgilerini almalarına izin verebilir, bu felaket olabilir, göz ardı edilirse yasal sonuçları olabileceğinden bahsetmez.
Daenyth
+1: günün sonunda a) maliyetler ve faydalar hakkında ve karar hakları olan insanlar karar verecek ve b) güvenlik açığının niteliğinden bahsedilmedi, ancak yönetimin bundan daha fazla şey bildiğinden eminim bu tahtadaki herhangi birimiz. Evet, OP sorunu gündeme getirdi ve şimdi "yöneticinin sorumluluğu riski yönetmektir"
DXM
@Daenyth - Kesinlikle haklısın. Teşekkür ederim! Operasyonun devam etmesine karar vermesi durumunda, meseleyi ele almak için mermi noktaları olarak bazı öneriler ekledim. Sonuçta, sadece şirketi değil milyonlarca kullanıcının güvenliğini de etkileyebilecek ciddi ve sakat bir sorun olabilir.
jmort253
@ jmort253: Güncelleme çok daha iyi - +1 benden!
Daenyth
1
Jim, ne kadar tecrübeli olduğunu ya da kaç tane geliştirici işinin olduğunu bilmiyorum, ama bence başka yerlere gittiğinizde bununla karşılaşacaksınız. Herhangi bir işletmenin amacı kar elde etmektir ve bence bazen işletmenin operasyonel ve finansal yönünden ayrılan geliştiriciler, bir işletmenin amacının kar elde etmek olduğunu unuturlar. Ayrıca şunu da dikkate alın: Bölgeniz risklerin bulunduğu tek alan değildir. Belki de yöneticiniz satış ekibini oluşturmaya veya zamana duyarlı bir ürün ya da pazarlama planı yayınlamaya odaklanmada daha büyük bir risk görüyor.
jmort253
10

Özkaynağınız varsa, güvenlik endişelerini gözden geçirmek için haftalık veya aylık bir toplantı planlayın ve bu yalnızca bu gündemdeki bir öğe olabilir. Odağı belirli bir konudan genel alana taşımak genellikle etkili bir tekniktir.

Eşitliğiniz yoksa, devam edin.
Sorunu yönetime taşıdınız ve geçtiler. Sizin için önemliyse tekrar deneyebilirsiniz. Ve yine eğer gerçekten önemliyse. Gerçekten çok önemliyse, başka bir iş bulun ve potansiyel işverenlere nedenini söyleyin. Etiğe en çok değer verenler muhtemelen takdir edecektir.

Ayrıca, konuyu gündeme getirdiyseniz ve bir hayır aldıysanız, şimdi çok zor olan insanların fikrini değiştirmekle karşı karşıya olduğunuzu unutmayın. Sana katılmalarını ve sana evet vermelerini sağlama yolunda ilerlerdim. örneğin "ikimiz de şirketin başarısını istiyoruz". Evet. "İkimizin de güvenliği önemsediğimizi biliyorum". Evet. "Bu tür öğeleri ele almak için çok sınırlı bir bütçemiz olduğunu biliyoruz". Evet. Bunlardan birkaçını alın ve ardından güvenlik düzeltmelerini yapmak için bir programa yönelmeye başlayın.

Başka bir 'daha yumuşak' yaklaşım, şimdi bunu yapmak için zamanınız / kaynaklarınız olmadığını kabul etmektir. Ancak, ele alınacağı bir tarihte anlaşma için itebilir misiniz? Bir hafta, bir ay veya 6 ay içinde olabilir. Genellikle zaman uçar ve sonra oradasınız demektir.

Michael Durrant
kaynak
Uyarımı yazılı hale getirdiğimden ve bir kopyasını sakladığımdan emin olurdum, ancak doğru insanlara haber verdiyseniz, doğru şeyi yaptınız. Bununla ne yapmayı seçtikleri, sorun bu.
Zachary K
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.