Phải làm gì khi bạn tìm thấy lỗ hổng bảo mật trong trang web của công ty bạn

13

Tôi đã tìm thấy một lỗ hổng bảo mật lớn ở một trong những trang web công khai của công ty tôi. Đây là trang web đối mặt công khai đầu tiên của chúng tôi đã được chuyển đổi từ một trang mạng nội bộ. Tôi đã đưa vấn đề này lên cho sếp của tôi và về cơ bản họ đã loại bỏ nó, nói rằng sẽ mất rất nhiều công sức để tái cấu trúc trang web để đảm bảo an toàn.

Điều này thực sự làm phiền tôi và tôi đã nghĩ đến việc khai thác lỗ hổng để chỉ ra những tác động mà điều này có thể xảy ra nếu một hacker thực sự có được nó. Đây có lẽ không phải là ý tưởng tốt nhất vì các hiệu ứng có thể khiến tôi mất việc nếu không phải điều gì tồi tệ hơn.

Một số điều tôi có thể làm để thể hiện tầm quan trọng của tình huống đối với quản lý là gì?

security  ethics 
Jim
nguồn
8
Hãy chắc chắn rằng bạn có mọi thứ bằng văn bản. Bao gồm cả việc bạn đề cập đến lỗ hổng bảo mật và việc họ sa thải nó.
Thất vọngWithFormsDesigner

Câu trả lời:

13

Trách nhiệm của người quản lý là quản lý rủi ro.

Khi lỗ hổng bảo mật tập lệnh chéo được phát hiện trong Gmail, điều này mang đến rủi ro rất nghiêm trọng mà nhóm đã nhanh chóng giải quyết. Vì có hàng triệu người dùng Gmail, nếu tôi viết một ứng dụng Web khai thác lỗ hổng này, rất có thể người dùng ứng dụng Web của tôi có thể đang sử dụng Gmail và có thể mở nó trong một tab khác. Do đó, với tư cách là một kẻ lừa đảo, tôi nên xây dựng một ứng dụng như vậy để có quyền truy cập vào dữ liệu người dùng.

Câu hỏi mà người quản lý của bạn có thể tự hỏi mình là: Lỗ hổng bảo mật này nguy hiểm đến mức nào? Khả năng có một ứng dụng Web ngoài kia đang nhắm mục tiêu lỗ hổng bảo mật cụ thể này trên trang web cụ thể này là gì? Rủi ro mà nhân viên đang truy cập Trang web của chúng tôi cũng đang sử dụng trang web của bên thứ ba này là gì?

Theo kinh nghiệm của tôi, nếu trang web của bạn không nhận được rất nhiều lưu lượng truy cập, thì sẽ không có nhiều rủi ro.

Sếp của bạn có thể nghĩ rằng chi phí cơ hội của việc không khắc phục lỗ hổng bảo mật cụ thể này có thể gây ra hoặc không phải là vấn đề, thay vào đó, anh ta hoặc cô ta có thể tập trung nguồn lực vào các hoạt động sẽ giúp phát triển doanh nghiệp và tạo doanh thu.

Như đã nói, có một vấn đề rất giống với vấn đề này khi Github bị hack, và có một câu hỏi về Project Management SE bao gồm chủ đề này từ góc độ quản lý dự án. Người dùng đã hack Github cũng ở trong tình huống tương tự như bạn và các đặc quyền Github của anh ta đã bị đình chỉ trong một khoảng thời gian.

Câu hỏi của tôi cho bạn là: Điều gì xảy ra với doanh nghiệp của bạn nếu trang web bị sập? Khả năng mà bạn thậm chí sẽ thấy lỗ hổng bảo mật này được khai thác là gì?

Nếu bạn chọn theo đuổi điều này, bạn sẽ cần phải có được bằng chứng khách quan rằng đây là một mối đe dọa rất thực tế, sắp xảy ra đối với khả năng tồn tại của doanh nghiệp.

Dưới đây là một số gợi ý để có được bằng chứng cho thấy đây là một vấn đề thực sự:

  • Thực hiện các tìm kiếm Google tìm kiếm các bài báo, blog hoặc kinh nghiệm khác của các công ty đã gặp phải các vấn đề lớn do lỗ hổng bảo mật liên quan tương tự. Chứng minh rằng đây thực sự là một rủi ro đáng để giải quyết thay cho các cơ hội kinh doanh khác.

  • Thảo luận với các nhân viên kỹ thuật khác trong nhóm và hiểu rõ hơn về họ. Nếu vấn đề thực sự nghiêm trọng, bạn cũng có thể tìm thấy những người khác cũng có thể hỗ trợ bạn. Nếu không, thì mối quan tâm của bạn không được bảo đảm hoặc bạn có vấn đề lớn về bảo mật trong văn hóa công ty của bạn.

  • Thảo luận về các lựa chọn khác với bộ phận CNTT của bạn để vá lỗ hổng liên quan đến các giải pháp khắc phục nhanh hơn - mặc dù không lý tưởng - có thể giảm thiểu rủi ro và giúp bạn yên tâm mà không phá vỡ con heo đất của công ty. Đôi khi một lượng nhỏ công việc có thể giúp loại bỏ một số rủi ro, nếu không phải tất cả.

Nếu các điểm trên không hoạt động, thì tôi sẽ cân nhắc việc này và biết rằng những vấn đề này sẽ chỉ là một phần bình thường trong quản lý rủi ro kinh doanh.

jmort253
nguồn
2
Tôi cảm thấy rằng câu trả lời này không bao gồm đủ chủ đề. Bản chất của lỗ hổng bảo mật đã không được đề cập trong OP; đối với tất cả chúng ta biết nó có thể cho phép kẻ tấn công lấy thông tin thẻ tín dụng từ cơ sở dữ liệu của họ, điều này có thể là thảm họa, chưa kể rằng nó có thể có sự phân nhánh hợp pháp nếu bị bỏ qua.
Daenyth
+1: vào cuối ngày a) về chi phí so với lợi ích và những người có quyền quyết định sẽ đưa ra quyết định và b) bản chất của lỗ hổng bảo mật không được đề cập, nhưng tôi cá rằng ban lãnh đạo biết nhiều hơn về nó bất cứ ai trong chúng tôi trên bảng này. Vì vậy, vâng, OP đã đưa vấn đề lên và bây giờ chúng tôi quay lại "trách nhiệm của người quản lý là quản lý rủi ro"
DXM
@Daenyth - Bạn hoàn toàn đúng. Cảm ơn bạn! Tôi đã thêm một số đề xuất như các gạch đầu dòng để giải quyết vấn đề, nếu op quyết định theo đuổi. Rốt cuộc, nó thực sự có thể là một vấn đề nghiêm trọng, làm tê liệt, không chỉ ảnh hưởng đến công ty mà còn bảo mật hàng triệu người dùng.
jmort253
@ jmort253: Cập nhật tốt hơn nhiều - +1 từ tôi!
Daenyth
1
Jim, tôi không biết bạn có kinh nghiệm như thế nào hoặc có bao nhiêu công việc nhà phát triển khác mà bạn đã có, nhưng tôi nghĩ bạn sẽ gặp phải vấn đề này khi bạn đi nơi khác. Mục đích của bất kỳ doanh nghiệp nào là tạo ra lợi nhuận và tôi nghĩ đôi khi các nhà phát triển đã ly dị khỏi khía cạnh hoạt động và tài chính của doanh nghiệp quên rằng mục đích của một doanh nghiệp là kiếm lợi nhuận. Ngoài ra, hãy xem xét điều này: Khu vực của bạn không phải là khu vực duy nhất có rủi ro tồn tại. Có lẽ người quản lý của bạn nhìn thấy rủi ro thậm chí còn lớn hơn khi không tập trung vào việc xây dựng đội ngũ bán hàng hoặc phát hành một sản phẩm hoặc kế hoạch tiếp thị nhạy cảm với thời gian.
jmort253
10

Nếu bạn có vốn chủ sở hữu, hãy thúc đẩy lên lịch một cuộc họp hàng tuần hoặc hàng tháng để xem xét các mối quan tâm về bảo mật và sau đó đây có thể chỉ là một mục trong chương trình nghị sự đó. Chuyển trọng tâm từ vấn đề cụ thể sang khu vực chung thường là một kỹ thuật hiệu quả.

Nếu bạn không có vốn chủ sở hữu, hãy tiếp tục.
Bạn đã nêu vấn đề lên quản lý và họ đã thông qua. Bạn có thể thử lại nếu nó quan trọng với bạn. Và một lần nữa nếu nó thực sự quan trọng. Nếu nó thực sự thực sự quan trọng, hãy kiếm một công việc khác và nói với các nhà tuyển dụng tiềm năng tại sao. Những người coi trọng đạo đức nhất có lẽ sẽ đánh giá cao nó.

Cũng nên nhớ rằng nếu bạn nêu ra vấn đề và không có thì bây giờ bạn đang phải đối mặt với việc thay đổi suy nghĩ của mọi người, điều này rất khó. Tôi sẽ đi theo con đường khiến họ đồng ý với bạn và cho bạn đồng ý. ví dụ: "cả hai chúng tôi đều muốn công ty thành công". Đúng. "Tôi biết cả hai chúng tôi quan tâm đến an ninh". Đúng. "Chúng tôi biết rằng chúng tôi có ngân sách rất hạn chế để giải quyết các mục đó". Đúng. Nhận một vài trong số này sau đó bắt đầu hướng tới một số lịch trình để thực hiện các sửa lỗi bảo mật.

Một cách tiếp cận 'nhẹ nhàng' hơn là đồng ý rằng bạn không có thời gian / tài nguyên để thực hiện việc này ngay bây giờ. Nhưng bạn có thể thúc đẩy thỏa thuận vào một ngày mà nó sẽ được giải quyết. Nó có thể trong một tuần, hoặc một tháng, hoặc 6 tháng. Thông thường thời gian trôi nhanh và sau đó bạn đang ở đó.

Michael Durrant
nguồn
Tôi sẽ đảm bảo rằng tôi đã đưa ra cảnh báo bằng văn bản và giữ một bản sao, nhưng nếu bạn đã cho đúng người biết thì bạn đã làm đúng. Những gì họ chọn để làm với nó, đó là vấn đề của họ.
Zachary K
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.