Що робити, коли ви знайдете дірку в безпеці на сайті своєї компанії

13

Я знайшов основну дірку в безпеці на одному з громадських сайтів моєї компанії. Це наш перший загальнодоступний веб-сайт, який був перетворений з інтранет-сайту. Я поставив це питання своєму начальнику, і він, по суті, відмовився від нього, сказавши, що для реконструкції сайту знадобиться велика робота, щоб зробити його безпечним.

Це мене дуже турбувало, і я думав про те, щоб використати яму, щоб показати наслідки, що це може статися, якщо до нього потрапить справжній хакер. Це, мабуть, не найкраща ідея, оскільки ефекти можуть коштувати мені моєї роботи, якщо не щось гірше.

Які я можу зробити, щоб показати масштабність ситуації керівництву?

security  ethics 
Джим
джерело
8
Переконайтеся, що у вас все є в письмовій формі. У тому числі і ваша згадка про дірку в безпеці та її звільнення з неї.
FrustratedWithFormsDesigner

Відповіді:

13

Відповідальність менеджера полягає в управлінні ризиком.

Коли в Gmail було відкрито перехресний сценарій, це створило дуже критичний ризик, що команда швидко працювала над вирішенням проблеми. Оскільки є мільйони користувачів Gmail, якби я написав веб-додаток, який використовував цей недолік, є хороший шанс, що користувачі мого веб-додатка можуть використовувати Gmail і можуть відкрити його на іншій вкладці. Таким чином, як фішер, мені, можливо, варто було б створити таку програму для отримання доступу до даних користувачів.

Питання, яке ваш менеджер може задати самому собі, таке: наскільки ризикована ця дірка в безпеці? Яка ймовірність того, що там є веб-додаток, націлений на цей конкретний отвір у безпеці саме на цьому веб-сайті? Який ризик співробітники, які відвідують наш веб-сайт, також використовують цей сторонній веб-сайт?

На мій досвід, якщо ваш сайт не отримує багато трафіку, то ризик не існує.

Ваш начальник, можливо, думає, що альтернативна ціна не фіксації цього конкретного отвору в безпеці, що може бути, а може і не бути проблемою, полягає в тому, що він або вона натомість можуть зосередити ресурси на діяльності, яка допоможе розрости бізнес і отримати прибуток.

З огляду на це, виникла проблема, дуже схожа на цю, де була взята Github, і є питання щодо управління проектами SE, яке висвітлює цю тему з точки зору управління проектами. Користувач, який зламав Github, опинився в подібній ситуації, як ви, і його привілеї Github були призупинені на певний період.

Моє запитання до вас таке: Що трапиться з вашим бізнесом, якщо сайт дійсно знизиться? Яка ймовірність того, що ви навіть побачите, що цей отвір у безпеці експлуатується?

Якщо ви вирішите зробити це, вам потрібно буде об'єктивно отримати докази того, що це дуже реальна, неминуча загроза життєздатності бізнесу.

Ось кілька пропозицій для отримання доказів того, що це справжня проблема:

  • Виконуйте пошук у Google, шукаючи статті новин, блоги чи інший досвід компаній, які зазнали серйозних проблем внаслідок подібного, пов’язаного прорізу в безпеці. Продемонструйте, що це дійсно ризик, на який варто звернутись замість інших можливостей бізнесу.

  • Обговоріть з командою інший технічний персонал і ознайомтеся з ними. Якщо проблема дійсно гостра, ви повинні знайти інших, хто також може вас підтримати. Якщо ні, то або ваші занепокоєння не виправдані, або у вас є основні проблеми щодо безпеки в культурі вашої компанії.

  • Обговоріть з Вашим ІТ-відділом інші варіанти для виправлення отворів, які передбачають швидше виправити рішення, які, хоча і не є ідеальними, - можуть зменшити ризик та дати спокій, не порушуючи корпоративну скарбничку. Іноді невеликий обсяг роботи може допомогти усунути певний ризик, якщо не весь.

Якщо вищезазначені моменти не спрацюють, я можу розглянути можливість відмовитися від цього, і знаю, що ці проблеми просто стануть нормальною частиною управління бізнес-ризиками.

jmort253
джерело
2
Я вважаю, що ця відповідь недостатньо висвітлює тему. Про природу захисного отвору в ОП не згадувалося; наскільки ми знаємо, це може дозволити зловмисникам отримувати інформацію про кредитні картки зі своєї бази даних, що може бути згубно, не кажучи вже про те, що при ігноруванні вона може мати юридичні наслідки.
Деніят
+1: врешті-решт а) мова йде про витрати порівняно з вигодами, а люди, які мають права на прийняття рішень, приймуть рішення; б) характер пробоїни в безпеці не згадувався, але я думаю, що керівництво знає про це більше, ніж будь-хто з нас на цій дошці. Так, так, ОП підняло цю проблему, і тепер ми повернулися до "відповідальності менеджера за управління ризиком"
DXM
@Daenyth - Ти абсолютно правий. Дякую! Я додав кілька пропозицій як пункти для вирішення проблеми, якщо оператор вирішить продовжувати. Зрештою, це дійсно може бути серйозним, калічним питанням, яке може торкнутися не лише компанії, але й мільйонів безпеки користувачів.
jmort253
@ jmort253: Оновлення набагато краще - +1 від мене!
Деніят
1
Джіме, я не знаю, наскільки ти досвідчений чи скільки у тебе інших робочих місць розробника, але я думаю, ти зіткнешся з цим, коли їдеш в інші місця. Метою будь-якого бізнесу є отримання прибутку, і я думаю, що іноді розробники, розлучені з операційної та фінансової сторони бізнесу, забувають, що метою бізнесу є отримання прибутку. Також врахуйте це: Ваша область не єдина область, де існують ризики. Можливо, ваш менеджер бачить ще більший ризик у тому, щоб не зосередитись на створенні торгової команди чи випуску продукту чи маркетингового плану, залежного від часу.
jmort253
10

Якщо у вас є власний капітал, натисніть, щоб запланувати щотижневі чи щомісячні зустрічі, щоб переглянути проблеми безпеки, і тоді це може бути лише пунктом порядку денного. Переміщення фокусу від конкретного питання до загальної області часто є ефективною методикою.

Якщо у вас немає власного капіталу, рухайтеся далі.
Ви підняли це питання до управління, і вони пройшли. Ви можете спробувати ще раз, якщо це важливо для вас. І знову, якщо це дійсно важливо. Якщо це дійсно дуже важливо, знайдіть іншу роботу і скажіть, чому потенційні роботодавці. Ті, хто найбільше цінує етику, ймовірно оцінять її.

Також майте на увазі, що якщо ви підняли проблему і отримали ні, ви зараз стикаєтеся з тим, що змінюєте думку людей, що дуже важко. Я б пішов по шляху змусити їх погодитися з вами і дати вам так. наприклад, "ми обоє бажаємо успіху компанії". Так. "Я знаю, що ми обидва дбаємо про безпеку". Так. "Ми знаємо, що у нас дуже обмежений бюджет для вирішення таких питань". Так. Отримайте декілька з них, потім почніть спрямовуватись на деякий графік внесення виправлень безпеки.

Ще один «м'якший» підхід - погодитися, що у вас немає часу / ресурсів для цього. Але чи можете ви домовитися про дату, коли вона буде адресована. Це може бути через тиждень, або місяць, або 6 місяців. Зазвичай час летить, і тоді ти там.

Майкл Дюрант
джерело
Я би переконався, що я написав своє попередження в письмовій формі і зберігав копію, але якщо ви повідомили правильних людей, то ви зробили правильно. Що вони вирішили зробити з цим, добре, це їхня проблема.
Захарій К
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.