Cosa fare quando trovi un buco nella sicurezza nel sito della tua azienda

13

Ho trovato un grosso buco di sicurezza in uno dei siti pubblici della mia azienda. Questo è il nostro primo sito pubblico che è stato convertito da un sito intranet. Ho portato questo problema al mio capo e in sostanza l'hanno scrollato di dosso, dicendo che ci sarebbe voluto molto tempo per riprogettare il sito per renderlo sicuro.

Questo mi ha davvero infastidito e ho pensato di sfruttare il buco per mostrare gli effetti che questo potrebbe accadere se un vero hacker arrivasse ad esso. Questa probabilmente non è la migliore idea in quanto gli effetti potrebbero costarmi il mio lavoro se non qualcosa di peggio.

Quali sono alcune cose che posso fare per mostrare l'entità della situazione alla gestione?

    
posta Jim 09.05.2012 - 04:24
fonte

2 risposte

13

La responsabilità di un manager è di gestire il rischio.

Quando in Gmail è stato rilevato un buco di sicurezza cross-scripting, questo ha presentato un rischio molto critico che il team ha rapidamente risolto. Poiché ci sono milioni di utenti Gmail, se avessi scritto un'applicazione Web che sfruttasse questo difetto, ci sarebbero buone possibilità che gli utenti della mia applicazione Web stiano utilizzando Gmail e potrebbero averlo aperto in un'altra scheda. Quindi, come phisher, potrebbe valere la pena di costruire un'applicazione del genere per accedere ai dati degli utenti.

La domanda che il tuo manager potrebbe chiedersi è questa: quanto è rischioso questo buco di sicurezza? Qual è la probabilità che ci sia una applicazione Web là fuori che sta prendendo di mira questo particolare buco di sicurezza in questo particolare sito? Qual è il rischio che i dipendenti che visitano il nostro sito Web utilizzino anche questo sito Web di terzi?

Secondo la mia esperienza, se il tuo sito non riceve un sacco di traffico, allora non c'è un sacco di rischi.

Il tuo capo potrebbe pensare che il costo opportunità di non fissare questo particolare buco di sicurezza che può o meno essere un problema, è che lui o lei invece può concentrare risorse su attività che aiuteranno a far crescere il business e generare entrate.

Detto ciò, c'era un problema molto simile a quello in cui Github era stato violato, e c'è una domanda sulla gestione dei progetti SE che copre questo argomento dal punto di vista della gestione del progetto. L'utente che ha hackerato Github si trovava in una situazione simile a te e i suoi privilegi Github sono stati sospesi per un periodo di tempo.

La mia domanda è questa: cosa succede alla tua azienda se il sito non funziona? Qual è la probabilità che tu possa vedere sfruttato questo buco di sicurezza?

Se scegli di perseguire questo obiettivo, dovrai oggettivamente ottenere la prova che si tratta di una minaccia molto reale, imminente, alla redditività dell'azienda.

Ecco alcuni suggerimenti per ottenere prove che questo è un problema reale:

  • Esegui ricerche su Google alla ricerca di articoli di notizie, blog o altre esperienze di aziende che hanno riscontrato problemi importanti a causa di una simile lacuna di sicurezza correlata. Dimostra che questo è davvero un rischio che vale la pena affrontare al posto di altre opportunità di business.

  • Parla con il personale tecnico del team e ottieni informazioni. Se il problema è davvero grave, dovresti riuscire a trovare anche altri che possono supportarti. In caso contrario, le tue preoccupazioni non sono garantite o hai problemi di sicurezza nella cultura aziendale.

  • Descrivi altre opzioni con il tuo dipartimento IT per correggere le lacune che comportano soluzioni più rapide che, sebbene non ideali, possono mitigare il rischio e darti un po 'di tranquillità senza rompere il salvadanaio aziendale. A volte una piccola quantità di lavoro può contribuire ad eliminare parte del rischio, se non a tutti.

Se i punti di cui sopra non funzionano, allora considero che lasciar andare e sappia che questi problemi saranno solo una parte normale della gestione dei rischi aziendali.

    
risposta data 09.05.2012 - 04:46
fonte
10

Se hai equity, spingi a pianificare una riunione settimanale o mensile per esaminare i problemi di sicurezza e quindi questo può essere solo un elemento di quell'agenda. Spostare l'attenzione dal problema specifico all'area generale è spesso una tecnica efficace.

Se non hai equity, vai avanti.
Hai sollevato il problema alla gestione e sono passati. Puoi riprovare se è importante per te. E ancora se è davvero importante. Se è davvero molto importante, prendi un altro lavoro e spiega ai potenziali datori di lavoro perché. Quelli che apprezzano di più l'etica probabilmente lo apprezzeranno.

Ricorda inoltre che se hai sollevato il problema e ottenuto un no, ora sei costretto a cambiare la mentalità delle persone che è molto difficile. Vorrei seguire la strada per convincerli a concordare con te e darti sì. per esempio. "entrambi vogliamo che l'azienda abbia successo". Sì. "So che entrambi ci preoccupiamo per la sicurezza". Sì. "Sappiamo di avere un budget molto limitato per affrontare tali articoli". Sì. Prendi alcuni di questi quindi inizia a orientarti verso una pianificazione per la correzione della sicurezza.

Un altro approccio "più morbido" è quello di convenire che non si dispone del tempo / delle risorse per farlo ora. Ma puoi spingere per un accordo su una data che sarà affrontata. Può essere in una settimana, o un mese o 6 mesi. Di solito il tempo vola e poi ci sei.

    
risposta data 09.05.2012 - 05:15
fonte

Leggi altre domande sui tag