Co zrobić, gdy znajdziesz lukę w zabezpieczeniach na stronie swojej firmy?

13

Znalazłem poważną lukę bezpieczeństwa w jednej z publicznych witryn mojej firmy. To nasza pierwsza publiczna witryna, która została przekonwertowana z witryny intranetowej. Przedstawiłem ten problem mojemu szefowi, który w zasadzie go wzruszył ramionami, mówiąc, że przebudowanie witryny zajmie sporo czasu, aby zapewnić jej bezpieczeństwo.

Naprawdę mnie to niepokoiło i zastanawiałem się nad wykorzystaniem tej dziury, aby pokazać efekty, które mogą się zdarzyć, jeśli dojdzie do tego prawdziwy haker. To chyba nie najlepszy pomysł, bo efekty mogą mnie kosztować moją pracę, jeśli nie coś gorszego.

Co mogę zrobić, aby pokazać zarządowi ogrom sytuacji?

Jim
źródło
8
Upewnij się, że masz wszystko na piśmie. W tym wspomnienie o luce w zabezpieczeniach i ich odrzucenie.
FrustratedWithFormsDesigner

Odpowiedzi:

13

Obowiązkiem kierownika jest zarządzanie ryzykiem.

Kiedy w Gmailu wykryto lukę w zabezpieczeniach związaną ze skryptami, stanowiło to bardzo krytyczne ryzyko, które zespół szybko pracował nad rozwiązaniem. Ponieważ istnieją miliony użytkowników Gmaila, gdybym napisał aplikację internetową wykorzystującą tę lukę, istnieje duża szansa, że ​​użytkownicy mojej aplikacji internetowej mogą korzystać z Gmaila i mieć otwartą na innej karcie. Tak więc, jako phisher, może być dla mnie warte zbudowania takiej aplikacji, aby uzyskać dostęp do danych użytkownika.

Pytanie, które może zadać sobie sam kierownik, brzmi: jak ryzykowna jest ta dziura w zabezpieczeniach? Jakie jest prawdopodobieństwo, że istnieje aplikacja sieciowa atakująca tę lukę w zabezpieczeniach w tej konkretnej witrynie? Jakie ryzyko wiąże się z tym, że pracownicy odwiedzający naszą Witrynę korzystają również z tej strony trzeciej?

Z mojego doświadczenia wynika, że ​​jeśli Twoja witryna nie generuje dużego ruchu, to nie ma żadnego ryzyka.

Twój szef może myśleć, że koszt alternatywny nie naprawienia tej konkretnej dziury w zabezpieczeniach, który może, ale nie musi stanowić problemu, polega na tym, że zamiast tego może skoncentrować zasoby na działaniach, które pomogą rozwijać biznes i generować przychody.

To powiedziawszy, był problem bardzo podobny do tego, w którym Github został zhakowany, a na Project Management SE jest pytanie, które obejmuje ten temat z perspektywy zarządzania projektami. Użytkownik, który zhakował Githuba, był w podobnej sytuacji jak Ty, a jego uprawnienia do Githuba zostały zawieszone na pewien czas.

Moje pytanie do Ciebie brzmi: co stanie się z Twoją firmą, jeśli strona nie działa? Jakie jest prawdopodobieństwo wykorzystania tej luki w zabezpieczeniach?

Jeśli zdecydujesz się na to, musisz obiektywnie uzyskać dowody, że jest to bardzo realne, bezpośrednie zagrożenie dla rentowności firmy.

Oto kilka sugestii dotyczących uzyskania dowodów, że jest to prawdziwy problem:

  • Przeszukuj Google, szukając artykułów prasowych, blogów lub innych doświadczeń firm, które miały poważne problemy z powodu podobnej luki w zabezpieczeniach. Zademonstruj, że rzeczywiście jest to ryzyko, które warto zająć zamiast innych możliwości biznesowych.

  • Porozmawiaj z innym personelem technicznym w zespole i uzyskaj ich wgląd. Jeśli problem jest naprawdę poważny, powinieneś być w stanie znaleźć innych, którzy również mogą cię poprzeć. Jeśli nie, to albo twoje obawy nie są uzasadnione, albo masz poważne problemy z bezpieczeństwem w kulturze firmy.

  • Przedyskutuj z działem IT inne opcje załatania dziury, które wymagają szybszych rozwiązań, które - choć nie idealne - mogą zmniejszyć ryzyko i dać ci spokój bez rozbijania korporacyjnej skarbonki. Czasami niewielka ilość pracy może pomóc wyeliminować część ryzyka, jeśli nie całość.

Jeśli powyższe punkty nie działają, zastanawiam się nad odpuszczeniem tego i wiem, że te problemy będą po prostu normalną częścią zarządzania ryzykiem biznesowym.

jmort253
źródło
2
Uważam, że ta odpowiedź nie obejmuje wystarczająco dużo tematu. Charakter luki w zabezpieczeniach nie został wspomniany w PO; z tego co wiemy, może pozwolić atakującym na odzyskanie informacji o karcie kredytowej z ich bazy danych, co może być katastrofalne, nie wspominając o tym, że może mieć prawne konsekwencje, jeśli zostanie zignorowany.
Daenyth,
+1: na koniec dnia a) chodzi o koszty vs. korzyści, a osoby z prawami do podejmowania decyzji podejmą decyzje oraz b) nie wspomniano o charakterze luki w zabezpieczeniach, ale założę się, że kierownictwo wie o tym znacznie więcej niż którykolwiek z nas na tym forum. Więc tak, OP poruszył ten problem i teraz wróciliśmy do „odpowiedzialności menedżera za zarządzanie ryzykiem”
DXM
@ Daenyth - Masz absolutną rację. Dziękuję Ci! Dodałem kilka sugestii jako punktorów, aby rozwiązać ten problem, jeśli operacja zdecyduje się kontynuować. W końcu może to być poważny, paraliżujący problem, który może wpłynąć nie tylko na firmę, ale także na bezpieczeństwo milionów użytkowników.
jmort253
@ jmort253: Aktualizacja jest znacznie lepsza - +1 ode mnie!
Daenyth,
1
Jim, nie wiem, ile masz doświadczenia, ani ile innych prac programistycznych miałeś, ale myślę, że napotkasz to, gdy będziesz w innym miejscu. Celem każdej firmy jest osiąganie zysków i myślę, że czasami programiści, którzy są w oderwaniu od operacyjnej i finansowej strony firmy, zapominają, że celem firmy jest generowanie zysku. Zastanów się również: Twój obszar nie jest jedynym obszarem, w którym istnieje ryzyko. Być może Twój menedżer widzi jeszcze większe ryzyko, że nie skupi się na budowaniu zespołu sprzedaży lub wydaniu produktu lub planu marketingowego, który jest wrażliwy na czas.
jmort253
10

Jeśli masz kapitał, popchnij, aby zaplanować cotygodniowe lub comiesięczne spotkanie w celu przeglądu obaw dotyczących bezpieczeństwa, a następnie może to być tylko jeden z punktów tego porządku obrad. Przeniesienie uwagi z konkretnego zagadnienia na obszar ogólny jest często skuteczną techniką.

Jeśli nie masz kapitału, przejdź dalej.
Podnieśliście ten problem do zarządzania, a oni zdali. Możesz spróbować ponownie, jeśli jest to dla Ciebie ważne. I znowu, jeśli to naprawdę ważne. Jeśli to naprawdę bardzo ważne, znajdź inną pracę i powiedz potencjalnym pracodawcom dlaczego. Ci, którzy najbardziej cenią etykę, prawdopodobnie ją docenią.

Pamiętaj również, że jeśli poruszyłeś ten problem i nie masz go, to teraz masz do czynienia ze zmianą zdania ludzi, co jest bardzo trudne. Zrobiłbym ścieżkę, aby skłonić ich do zgodzenia się z tobą i dać ci tak. np. „oboje chcemy sukcesu firmy”. Tak. „Wiem, że oboje dbamy o bezpieczeństwo”. Tak. „Wiemy, że mamy bardzo ograniczony budżet na takie produkty”. Tak. Zdobądź kilka z nich, a następnie zacznij wprowadzać harmonogram wprowadzania poprawek bezpieczeństwa.

Innym „bardziej miękkim” podejściem jest uzgodnienie, że nie masz teraz czasu / zasobów, aby to zrobić. Ale czy możesz nalegać na porozumienie w dniu, w którym zostanie to rozwiązane. Może to być za tydzień, miesiąc lub 6 miesięcy. Zwykle czas płynie i wtedy jesteś na miejscu.

Michael Durrant
źródło
Upewniłbym się, że napisałem moje ostrzeżenie na piśmie i zachowałem kopię, ale jeśli dasz znać właściwym ludziom, to zrobiłeś właściwą rzecz. To, co postanowili z tym zrobić, to ich problem.
Zachary K,