จะทำอย่างไรเมื่อคุณพบช่องโหว่ในเว็บไซต์ของ บริษัท คุณ

13

ฉันพบช่องโหว่ที่สำคัญในไซต์สาธารณะของ บริษัท แห่งหนึ่ง นี่เป็นเว็บไซต์สาธารณะแห่งแรกของเราที่ถูกแปลงจากไซต์อินทราเน็ต ฉันนำเรื่องนี้ขึ้นมาให้เจ้านายของฉันและพวกเขาก็ยักไหล่ออกเป็นหลักโดยบอกว่ามันจะต้องใช้เวลามากในการปรับโครงสร้างเว็บไซต์เพื่อให้ปลอดภัย

สิ่งนี้ทำให้ฉันรำคาญใจจริงๆและฉันคิดว่าจะใช้ช่องโหว่เพื่อแสดงเอฟเฟกต์ที่อาจเกิดขึ้นได้หากแฮ็กเกอร์ตัวจริงไปถึงแล้ว นี่อาจไม่ใช่ความคิดที่ดีที่สุดเพราะเอฟเฟกต์อาจทำให้ฉันเสียงานถ้าไม่ได้อะไรที่แย่กว่านี้

ฉันสามารถทำอะไรได้บ้างเพื่อแสดงขนาดของสถานการณ์ต่อการจัดการ

security  ethics 
จิม
แหล่งที่มา
8
ตรวจสอบให้แน่ใจว่าคุณมีทุกอย่างเป็นลายลักษณ์อักษร รวมถึงการพูดถึงหลุมรักษาความปลอดภัยและการเลิกจ้างของพวกเขา
FrustratedWithFormsDesigner

คำตอบ:

13

ความรับผิดชอบของผู้จัดการคือการจัดการความเสี่ยง

เมื่อมีการค้นพบช่องโหว่ความปลอดภัยข้ามสคริปต์ใน Gmail สิ่งนี้นำเสนอความเสี่ยงที่สำคัญอย่างยิ่งที่ทีมแก้ไขได้อย่างรวดเร็ว เนื่องจากมีผู้ใช้ Gmail นับล้านคนถ้าฉันเขียนแอปพลิเคชันเว็บที่ใช้ประโยชน์จากข้อบกพร่องนี้จะมีโอกาสที่ผู้ใช้เว็บแอปพลิเคชันของฉันอาจใช้ Gmail และอาจเปิดในแท็บอื่น ดังนั้นในฐานะที่เป็นฟิชเชอร์มันอาจจะคุ้มค่าสำหรับฉันที่จะสร้างแอพพลิเคชั่นดังกล่าวเพื่อเข้าถึงข้อมูลผู้ใช้

คำถามที่ผู้จัดการของคุณอาจถามตัวเองคือ: ช่องโหว่ความปลอดภัยนี้มีความเสี่ยงเพียงใด? มีความเป็นไปได้ที่จะมีเว็บแอปพลิเคชั่นออกมาที่กำหนดเป้าหมายไปที่ช่องโหว่ด้านความปลอดภัยนี้ในเว็บไซต์นี้หรือไม่ ความเสี่ยงที่พนักงานที่เข้าชมเว็บไซต์ของเรากำลังใช้เว็บไซต์บุคคลที่สามนี้คืออะไร

จากประสบการณ์ของฉันหากเว็บไซต์ของคุณไม่ได้รับปริมาณการเข้าชมมากแสดงว่ามีความเสี่ยงไม่มาก

เจ้านายของคุณอาจคิดว่าค่าเสียโอกาสในการไม่แก้ไขช่องโหว่ความปลอดภัยนี้ซึ่งอาจจะใช่หรือไม่ใช่ปัญหาก็คือเขาหรือเธอสามารถมุ่งเน้นไปที่ทรัพยากรในกิจกรรมที่จะช่วยให้ธุรกิจเติบโตและสร้างรายได้

จากที่กล่าวมามีปัญหาคล้ายกันมากกับสิ่งที่ Github ถูกแฮ็กและมีคำถามเกี่ยวกับ Project Management SEที่ครอบคลุมหัวข้อนี้จากมุมมองการจัดการโครงการ ผู้ใช้ที่แฮ็ค Github อยู่ในสถานการณ์ที่คล้ายกันกับคุณและสิทธิ์ GitHub ของเขาก็ถูกระงับเป็นระยะเวลาหนึ่ง

คำถามของฉันคือคุณ: สิ่งนี้จะเกิดขึ้นกับธุรกิจของคุณหากเว็บไซต์ไม่ทำงาน? โอกาสที่คุณจะเห็นช่องโหว่ด้านความปลอดภัยนี้ถูกโจมตี

หากคุณเลือกที่จะทำสิ่งนี้คุณจะต้องได้รับหลักฐานอย่างเป็นกลางว่านี่เป็นภัยคุกคามที่แท้จริงและใกล้เคียงกับความมีชีวิตของธุรกิจ

นี่คือคำแนะนำสำหรับการรับหลักฐานว่านี่เป็นปัญหาจริง:

  • ดำเนินการค้นหาโดย Google เพื่อค้นหาบทความข่าวบล็อกหรือประสบการณ์อื่น ๆ ของ บริษัท ที่ประสบปัญหาสำคัญอันเป็นผลมาจากช่องโหว่ด้านความปลอดภัยที่คล้ายกัน แสดงให้เห็นว่านี่เป็นความเสี่ยงที่คุ้มค่าที่จะพูดถึงโอกาสทางธุรกิจอื่น ๆ

  • พูดคุยกับบุคลากรด้านเทคนิคอื่น ๆ ในทีมและทำความเข้าใจ หากปัญหารุนแรงมากคุณควรหาคนอื่นที่สามารถช่วยคุณได้เช่นกัน ถ้าไม่เช่นนั้นความกังวลของคุณจะไม่ได้รับการรับประกันหรือคุณมีปัญหาสำคัญเกี่ยวกับความปลอดภัยในวัฒนธรรมของ บริษัท

  • พูดคุยทางเลือกอื่น ๆ กับแผนกไอทีของคุณสำหรับการแก้ไขช่องโหว่ที่เกี่ยวข้องกับการแก้ปัญหาที่รวดเร็วกว่าซึ่งอาจไม่เหมาะกับความเสี่ยงและทำให้คุณอุ่นใจโดยไม่ทำลายธนาคารลูกหมูขององค์กร บางครั้งการทำงานเพียงเล็กน้อยก็สามารถช่วยขจัดความเสี่ยงบางส่วนได้หากไม่ใช่ทั้งหมด

หากคะแนนด้านบนใช้งานไม่ได้ฉันควรปล่อยให้เรื่องนี้ไปและรู้ว่าปัญหาเหล่านี้เป็นเพียงส่วนหนึ่งของการบริหารความเสี่ยงทางธุรกิจ

jmort253
แหล่งที่มา
2
ฉันรู้สึกว่าคำตอบนี้ไม่ครอบคลุมหัวข้อเพียงพอ ธรรมชาติของช่องโหว่ไม่ได้กล่าวถึงใน OP สำหรับสิ่งที่เรารู้ว่ามันอาจทำให้ผู้โจมตีสามารถดึงข้อมูลบัตรเครดิตจากฐานข้อมูลของพวกเขาซึ่งอาจเป็นหายนะไม่ต้องพูดถึงว่ามันอาจมีเครือข่ายทางกฎหมายหากไม่สนใจ
Daenyth
+1: ในตอนท้ายของวันก) มันเกี่ยวกับค่าใช้จ่ายเทียบกับผลประโยชน์และผู้ที่มีสิทธิ์ในการตัดสินใจจะทำการตัดสินใจและ b) ลักษณะของหลุมความปลอดภัยไม่ได้กล่าวถึง แต่ฉันพนันได้เลยว่าผู้บริหารรู้วิธีมากกว่า พวกเราคนใดในกระดานนี้ ดังนั้นใช่ OP นำปัญหาขึ้นมาและตอนนี้เรากลับไปที่ "ความรับผิดชอบของผู้จัดการคือการจัดการความเสี่ยง"
DXM
@Denenyth - ถูกต้องแน่นอน ขอขอบคุณ! ฉันได้เพิ่มข้อเสนอแนะบางอย่างเป็นสัญลักษณ์แสดงหัวข้อย่อยเพื่อแก้ไขปัญหาควร op ตัดสินใจที่จะติดตาม ท้ายที่สุดมันอาจเป็นปัญหาที่รุนแรงและทำให้หมดกำลังใจที่ไม่เพียงส่งผลกระทบต่อ บริษัท แต่ยังมีความปลอดภัยของผู้ใช้อีกหลายล้านคน
jmort253
@ jmort253: อัปเดตดีขึ้นมาก - +1 จากฉัน!
Daenyth
1
จิมฉันไม่รู้ว่าคุณมีประสบการณ์มากแค่ไหนหรือมีงานพัฒนาอื่น ๆ อีกมากมายที่คุณเคยมี แต่ฉันคิดว่าคุณจะต้องประสบกับปัญหานี้เมื่อคุณไปที่อื่น จุดประสงค์ของธุรกิจใด ๆ คือการทำกำไรและบางครั้งฉันคิดว่านักพัฒนาที่หย่าร้างจากการดำเนินงานและด้านการเงินของธุรกิจลืมไปว่าจุดประสงค์ของธุรกิจคือการทำกำไร พิจารณาสิ่งนี้ด้วย: พื้นที่ของคุณไม่ได้เป็นพื้นที่เดียวที่มีความเสี่ยง บางทีผู้จัดการของคุณอาจเห็นความเสี่ยงที่ใหญ่กว่าในการไม่เน้นการสร้างทีมขายหรือปล่อยผลิตภัณฑ์หรือแผนการตลาดที่คำนึงถึงเวลา
jmort253
10

หากคุณมีส่วนของผู้ถือหุ้นให้กำหนดการประชุมทุกสัปดาห์หรือทุกเดือนเพื่อทบทวนข้อกังวลด้านความปลอดภัยแล้วนี่อาจเป็นเพียงรายการในวาระนั้น การย้ายโฟกัสจากปัญหาเฉพาะไปยังพื้นที่ทั่วไปมักเป็นเทคนิคที่มีประสิทธิภาพ

หากคุณไม่มีทุนให้เดินหน้าต่อไป
คุณได้หยิบยกปัญหานี้ขึ้นมาเพื่อการจัดการและพวกเขาได้ผ่านไปแล้ว คุณสามารถลองอีกครั้งหากสำคัญกับคุณ และอีกครั้งถ้ามันสำคัญจริงๆ หากเป็นสิ่งสำคัญจริงๆให้หางานใหม่และบอกนายจ้างว่าทำไม คนที่ให้ความสำคัญกับจรรยาบรรณมากที่สุดอาจจะชื่นชมมัน

โปรดจำไว้ด้วยว่าถ้าคุณหยิบยกประเด็นขึ้นมาและไม่ได้คุณก็ต้องเผชิญกับการเปลี่ยนใจของผู้คนซึ่งยากมาก ฉันจะลงไปตามเส้นทางของการให้พวกเขาเห็นด้วยกับคุณและให้คุณใช่ เช่น "เราทั้งคู่ต้องการให้ บริษัท ประสบความสำเร็จ" ใช่. "ฉันรู้ว่าเราทั้งคู่ใส่ใจเรื่องความปลอดภัย" ใช่. "เรารู้ว่าเรามีงบประมาณ จำกัด มากในการจัดการกับรายการดังกล่าว" ใช่. รับสิ่งเหล่านี้เล็กน้อยจากนั้นเริ่มต้นปรับทิศทางตามกำหนดเวลาเพื่อทำการแก้ไขความปลอดภัย

อีกวิธีที่ 'นุ่มกว่า' คือการยอมรับว่าคุณไม่มีเวลา / ทรัพยากรที่จะทำเช่นนี้ แต่คุณสามารถผลักดันข้อตกลงในวันที่จะได้รับการแก้ไข อาจเป็นในหนึ่งสัปดาห์หรือหนึ่งเดือนหรือ 6 เดือน เวลามักจะบินแล้วคุณอยู่ที่นั่น

Michael Durrant
แหล่งที่มา
ฉันจะทำให้แน่ใจว่าฉันใส่คำเตือนเป็นลายลักษณ์อักษรและเก็บสำเนาไว้ แต่ถ้าคุณให้คนที่ถูกต้องรู้ว่าคุณทำสิ่งที่ถูกต้องแล้ว สิ่งที่พวกเขาเลือกที่จะทำกับมันคือปัญหาของพวกเขา
Zachary K
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.