Was tun, wenn Sie eine Sicherheitslücke in der Site Ihres Unternehmens finden?

13

Ich habe eine wichtige Sicherheitslücke in einer öffentlich zugänglichen Site meines Unternehmens gefunden. Dies ist unsere erste öffentlich zugängliche Site, die von einer Intranetsite konvertiert wurde. Ich brachte dieses Problem zu meinem Chef und er sagte, dass es eine Menge Arbeit kosten würde, die Site neu zu strukturieren, um sie sicherer zu machen.

Das hat mich sehr beunruhigt und ich habe darüber nachgedacht, das Loch auszunutzen, um zu zeigen, welche Auswirkungen dies haben könnte, wenn ein tatsächlicher Hacker es schafft. Dies ist wahrscheinlich nicht die beste Idee, da die Auswirkungen mich meinen Job kosten könnten, wenn nicht etwas Schlimmeres.

Was kann ich tun, um dem Management das Ausmaß der Situation zu zeigen?

Jim
quelle
8
Stellen Sie sicher, dass Sie alles schriftlich haben. Einschließlich Ihrer Erwähnung der Sicherheitslücke und deren Beseitigung.
FrustratedWithFormsDesigner

Antworten:

13

Die Verantwortung eines Managers liegt im Risikomanagement.

Als in Google Mail eine Cross-Scripting-Sicherheitslücke entdeckt wurde, stellte dies ein sehr kritisches Risiko dar, an dessen Lösung das Team schnell arbeitete. Da es Millionen von Google Mail-Nutzern gibt, die eine Webanwendung geschrieben haben, die diesen Fehler ausnutzt, besteht eine gute Chance, dass Benutzer meiner Webanwendung Google Mail verwenden und es in einem anderen Tab öffnen. Daher kann es sich für mich als Phisher lohnen, eine solche Anwendung zu erstellen, um auf Benutzerdaten zugreifen zu können.

Die Frage, die sich Ihr Manager möglicherweise stellt, lautet: Wie riskant ist diese Sicherheitslücke? Wie hoch ist die Wahrscheinlichkeit, dass es eine Webanwendung gibt, die auf diese bestimmte Sicherheitslücke auf dieser bestimmten Site abzielt? Welches Risiko besteht, dass Mitarbeiter, die unsere Website besuchen, auch diese Website eines Drittanbieters nutzen?

Meiner Erfahrung nach besteht für Ihre Website kein hohes Risiko, wenn auf der Website kein hohes Verkehrsaufkommen zu verzeichnen ist.

Ihr Chef ist möglicherweise der Ansicht, dass die Opportunitätskosten für die Behebung dieser Sicherheitslücke, die möglicherweise ein Problem darstellt, darin bestehen, dass er oder sie die Ressourcen auf Aktivitäten konzentrieren kann, die zum Wachstum des Unternehmens und zur Erzielung von Einnahmen beitragen.

Vor diesem Hintergrund gab es ein ähnliches Problem, bei dem Github gehackt wurde, und es gibt eine Frage zur Project Management SE , die dieses Thema aus Sicht des Projektmanagements behandelt. Der Benutzer, der Github gehackt hat, war in einer ähnlichen Situation wie Sie und seine Github-Berechtigungen wurden für einen bestimmten Zeitraum gesperrt.

Meine Frage an Sie lautet: Was passiert mit Ihrem Unternehmen, wenn die Website ausfällt? Wie hoch ist die Wahrscheinlichkeit, dass diese Sicherheitslücke überhaupt ausgenutzt wird?

Wenn Sie sich dazu entschließen, müssen Sie objektiv nachweisen, dass dies eine sehr reale, unmittelbar bevorstehende Bedrohung für die Rentabilität des Unternehmens darstellt.

Hier sind einige Vorschläge, um Beweise dafür zu erhalten, dass dies ein echtes Problem ist:

  • Durchführen von Google-Suchen nach Nachrichtenartikeln, Blogs oder anderen Erfahrungen von Unternehmen, bei denen aufgrund einer ähnlichen Sicherheitslücke erhebliche Probleme aufgetreten sind. Zeigen Sie, dass dies in der Tat ein Risiko ist, das es wert ist, anstelle anderer Geschäftsmöglichkeiten angesprochen zu werden.

  • Diskutieren Sie mit anderen Technikern im Team und erhalten Sie Einblicke. Wenn das Problem wirklich schwerwiegend ist, sollten Sie in der Lage sein, andere zu finden, die Sie ebenfalls unterstützen können. Wenn nicht, sind entweder Ihre Bedenken nicht berechtigt oder Sie haben wichtige Sicherheitsbedenken in Ihrer Unternehmenskultur.

  • Besprechen Sie mit Ihrer IT-Abteilung weitere Möglichkeiten, um die Lücke zu schließen, die schnellere Lösungen umfasst, die zwar nicht ideal sind, aber das Risiko mindern und Ihnen ein gewisses Maß an Sicherheit geben, ohne das Sparschwein des Unternehmens zu beschädigen. Manchmal kann ein geringer Arbeitsaufwand dazu beitragen, ein gewisses, wenn nicht sogar das gesamte Risiko auszuschließen.

Wenn die oben genannten Punkte nicht funktionieren, dann denke ich darüber nach, dies loszulassen und zu wissen, dass diese Probleme nur ein normaler Teil des Geschäftsrisikomanagements sein werden.

jmort253
quelle
2
Ich bin der Meinung, dass diese Antwort das Thema nicht ausreichend abdeckt. Die Art der Sicherheitslücke wurde im OP nicht erwähnt. Soweit wir wissen, können Angreifer damit Kreditkarteninformationen aus ihrer Datenbank abrufen. Dies kann katastrophal sein und kann rechtliche Konsequenzen haben, wenn sie ignoriert werden.
Daenyth
+1: Am Ende des Tages a) geht es um Kosten und Nutzen und Menschen mit Entscheidungsrechten werden die Entscheidungen treffen und b) die Art der Sicherheitslücke wurde nicht erwähnt, aber ich wette, dass das Management viel mehr darüber weiß als Jeder von uns in diesem Forum. Also ja, OP hat das Problem
angesprochen
@ Daenyth - Sie haben absolut Recht. Vielen Dank! Ich fügte einige Vorschläge als Aufzählungspunkte hinzu, um das Problem anzugehen, falls die Operation beschließen sollte, es weiter zu verfolgen. Schließlich könnte es sich tatsächlich um ein schwerwiegendes, lähmendes Problem handeln, das nicht nur das Unternehmen, sondern auch die Sicherheit von Millionen von Benutzern beeinträchtigt.
jmort253
@ jmort253: Update ist viel besser - +1 von mir!
Daenyth
1
Jim, ich weiß nicht, wie erfahren Sie sind oder wie viele andere Entwicklerjobs Sie hatten, aber ich denke, Sie werden darauf stoßen, wenn Sie an andere Orte gehen. Der Zweck eines Unternehmens ist es, Gewinn zu erzielen, und ich denke, dass Entwickler, die von der operativen und finanziellen Seite des Unternehmens getrennt sind, manchmal vergessen, dass der Zweck eines Unternehmens darin besteht, Gewinn zu erzielen. Bedenken Sie auch Folgendes: Ihre Region ist nicht die einzige Region, in der Risiken bestehen. Vielleicht sieht Ihr Manager ein noch größeres Risiko darin, sich nicht auf den Aufbau des Verkaufsteams oder die Veröffentlichung eines zeitkritischen Produkt- oder Marketingplans zu konzentrieren.
jmort253
10

Wenn Sie über Eigenkapital verfügen, sollten Sie eine wöchentliche oder monatliche Besprechung planen, um Sicherheitsbedenken zu prüfen. Dies kann dann nur ein Punkt auf der Tagesordnung sein. Oft ist es eine effektive Technik, den Fokus von einem bestimmten Thema auf den allgemeinen Bereich zu verlagern.

Wenn Sie kein Eigenkapital haben, fahren Sie fort.
Sie haben das Problem beim Management angesprochen und es wurde bestanden. Sie können es erneut versuchen, wenn es Ihnen wichtig ist. Und nochmal, wenn es wirklich wichtig ist. Wenn es wirklich sehr wichtig ist, besorgen Sie sich einen anderen Job und erklären Sie potenziellen Arbeitgebern, warum. Diejenigen, die Ethik am meisten schätzen, werden es wahrscheinlich zu schätzen wissen.

Denken Sie auch daran, dass Sie, wenn Sie das Problem angesprochen haben und ein Nein erhalten haben, jetzt mit einer Änderung der Meinung der Menschen konfrontiert sind, die sehr schwierig ist. Ich würde den Weg gehen, sie dazu zu bringen, Ihnen zuzustimmen und Ihnen Ja zu geben. zB "Wir wollen beide, dass das Unternehmen erfolgreich ist". Ja. "Ich weiß, dass uns beide die Sicherheit am Herzen liegt". Ja. "Wir wissen, dass wir ein sehr begrenztes Budget haben, um solche Probleme anzugehen." Ja. Holen Sie sich einige davon und steuern Sie dann einen Zeitplan für die Vornahme der Sicherheitsupdates an.

Ein anderer "weicherer" Ansatz besteht darin, zuzustimmen, dass Sie nicht die Zeit / Ressourcen haben, dies jetzt zu tun. Aber können Sie auf eine Einigung über einen Termin drängen, an dem er behandelt wird? Es kann in einer Woche oder einem Monat oder 6 Monaten sein. Normalerweise vergeht die Zeit und dann bist du da.

Michael Durrant
quelle
Ich würde sicherstellen, dass ich meine Warnung schriftlich abschreibe und eine Kopie behalte, aber wenn Sie die richtigen Personen informiert haben, dann haben Sie das Richtige getan. Was sie damit anfangen wollen, ist ihr Problem.
Zachary K