Apa yang harus dilakukan ketika Anda menemukan lubang keamanan di situs perusahaan Anda

13

Saya telah menemukan lubang keamanan utama di salah satu situs yang menghadap publik perusahaan saya. Ini adalah situs menghadap publik pertama kami yang dikonversi dari situs intranet. Saya membawa masalah ini ke atasan saya dan mereka pada dasarnya mengabaikannya, mengatakan bahwa akan butuh banyak pekerjaan untuk merancang kembali situs tersebut agar aman.

Ini benar-benar mengganggu saya dan saya berpikir tentang mengeksploitasi lubang untuk menunjukkan efek bahwa ini bisa terjadi jika seorang peretas yang sebenarnya melakukannya. Ini mungkin bukan ide terbaik karena efeknya bisa membuat saya kehilangan pekerjaan saya jika bukan sesuatu yang lebih buruk.

Apa beberapa hal yang dapat saya lakukan untuk menunjukkan besarnya situasi kepada manajemen?

security ethics Jim
sumber
8
Pastikan Anda memiliki semuanya secara tertulis. Termasuk Anda menyebutkan lubang keamanan dan pemberhentian mereka terhadapnya.
FrustratedWithFormsDesigner

Jawaban:

13

Tanggung jawab manajer adalah mengelola risiko.

Ketika lubang keamanan lintas-skrip ditemukan di Gmail, ini menghadirkan risiko yang sangat kritis yang harus segera diselesaikan oleh tim. Karena ada jutaan pengguna Gmail, jika saya menulis aplikasi Web yang mengeksploitasi kelemahan ini, akan ada peluang bagus bahwa pengguna aplikasi Web saya mungkin menggunakan Gmail dan mungkin membukanya di tab lain. Jadi, sebagai phisher, mungkin layak bagi saya untuk membangun aplikasi semacam itu untuk mendapatkan akses ke data pengguna.

Pertanyaan yang mungkin ditanyakan oleh manajer Anda kepada dirinya sendiri adalah: Seberapa berisiko lubang keamanan ini? Apa kemungkinan ada aplikasi Web di luar sana yang menargetkan lubang keamanan khusus ini di situs tertentu ini? Apa risiko bahwa karyawan yang mengunjungi Situs Web kami juga menggunakan situs web pihak ketiga ini?

Dalam pengalaman saya, jika situs Anda tidak mendapatkan banyak lalu lintas, maka tidak ada banyak risiko.

Bos Anda mungkin berpikir bahwa biaya peluang untuk tidak memperbaiki lubang keamanan khusus ini yang mungkin atau mungkin tidak menjadi masalah, adalah bahwa ia malah dapat memfokuskan sumber daya pada kegiatan yang akan membantu mengembangkan bisnis dan menghasilkan pendapatan.

Dengan itu, ada masalah yang sangat mirip dengan ini di mana Github diretas, dan ada pertanyaan tentang Manajemen Proyek SE yang mencakup topik ini dari perspektif manajemen proyek. Pengguna yang meretas Github berada dalam situasi yang sama dengan Anda, dan hak istimewa Github-nya ditangguhkan untuk jangka waktu tertentu.

Pertanyaan saya kepada Anda adalah ini: Apa yang terjadi pada bisnis Anda jika situsnya turun? Apa kemungkinan bahwa Anda bahkan akan melihat lubang keamanan ini dieksploitasi?

Jika Anda benar-benar memilih untuk mengejar ini, Anda harus secara objektif memperoleh bukti bahwa ini adalah ancaman nyata yang nyata terhadap kelangsungan bisnis.

Berikut adalah beberapa saran untuk mendapatkan bukti bahwa ini adalah masalah nyata:

  • Lakukan pencarian Google untuk mencari artikel berita, blog, atau pengalaman lain dari perusahaan yang telah mengalami masalah besar sebagai akibat dari celah keamanan serupa yang terkait. Tunjukkan bahwa ini memang risiko yang layak ditangani sebagai pengganti peluang bisnis lainnya.

  • Diskusikan dengan tenaga teknis lainnya di tim dan dapatkan wawasan mereka. Jika masalah ini sangat parah, Anda harus dapat menemukan orang lain yang dapat mendukung Anda juga. Jika tidak, maka kekhawatiran Anda tidak dijamin atau Anda memiliki masalah besar dalam keamanan dalam budaya perusahaan Anda.

  • Diskusikan opsi lain dengan departemen TI Anda untuk menambal lubang yang melibatkan solusi perbaikan lebih cepat yang - meskipun tidak ideal - dapat mengurangi risiko dan memberi Anda ketenangan pikiran tanpa merusak celengan perusahaan. Terkadang sejumlah kecil pekerjaan dapat membantu menghilangkan sebagian risiko, jika tidak semuanya.

Jika poin-poin di atas tidak berhasil, maka saya pertimbangkan untuk membiarkannya, dan tahu bahwa masalah-masalah ini hanya akan menjadi bagian normal dari manajemen risiko bisnis.

jmort253
sumber
2
Saya merasa bahwa jawaban ini tidak cukup untuk menutupi topik. Sifat lubang keamanan tidak disebutkan dalam OP; untuk semua yang kita tahu itu bisa memungkinkan penyerang untuk mengambil informasi kartu kredit dari database mereka, yang dapat menjadi bencana, belum lagi bahwa itu dapat memiliki konsekuensi hukum jika diabaikan.
Daenyth
+1: pada akhirnya a) ini tentang biaya vs. manfaat dan orang-orang dengan hak keputusan akan membuat keputusan dan b) sifat lubang keamanan tidak disebutkan, tapi saya yakin manajemen tahu lebih banyak tentang hal itu daripada siapa pun dari kita di papan ini. Jadi ya, OP mengangkat masalah ini dan sekarang kita kembali ke "tanggung jawab manajer adalah mengelola risiko"
DXM
@Daenyth - Anda memang benar. Terima kasih! Saya menambahkan beberapa saran sebagai poin-poin untuk mengatasi masalah ini, jika op memutuskan untuk melanjutkan. Bagaimanapun, itu benar-benar bisa menjadi masalah yang parah dan melumpuhkan yang mungkin tidak hanya mempengaruhi perusahaan tetapi jutaan keamanan pengguna.
jmort253
@ jmort253: Pembaruan jauh lebih baik - +1 dari saya!
Daenyth
1
Jim, saya tidak tahu seberapa berpengalaman Anda atau berapa banyak pekerjaan pengembang yang pernah Anda miliki, tetapi saya pikir Anda akan mengalami hal ini ketika Anda pergi ke tempat lain. Tujuan dari bisnis apa pun adalah untuk menghasilkan laba, dan saya pikir kadang-kadang pengembang yang bercerai dari sisi operasional dan keuangan bisnis lupa bahwa tujuan bisnis adalah untuk menghasilkan keuntungan. Juga, pertimbangkan ini: Area Anda bukan satu-satunya area di mana risiko ada. Mungkin manajer Anda melihat risiko yang lebih besar karena tidak fokus membangun tim penjualan, atau merilis produk atau rencana pemasaran yang sensitif terhadap waktu.
jmort253
10

Jika Anda memiliki keadilan, dorong untuk menjadwalkan pertemuan mingguan atau bulanan untuk meninjau masalah keamanan dan kemudian ini bisa menjadi item dalam agenda itu. Memindahkan fokus dari masalah tertentu ke area umum seringkali merupakan teknik yang efektif.

Jika Anda tidak memiliki ekuitas, lanjutkan.
Anda telah mengangkat masalah ini ke manajemen dan mereka telah lulus. Anda dapat mencoba lagi jika itu penting bagi Anda. Dan lagi jika itu benar-benar penting. Jika itu benar-benar sangat penting, dapatkan pekerjaan lain dan beri tahu majikan potensial mengapa. Orang yang paling menghargai etika mungkin akan menghargainya.

Juga ingatlah bahwa jika Anda telah mengangkat masalah dan mendapat jawaban tidak, Anda sekarang dihadapkan pada perubahan pikiran orang-orang yang sangat sulit. Saya akan menempuh jalan untuk membuat mereka setuju dengan Anda dan memberi Anda ya. mis. "kita berdua ingin perusahaan sukses". Iya. "Aku tahu kita sama-sama peduli dengan keamanan". Iya. "Kami tahu kami memiliki anggaran yang sangat terbatas untuk menangani barang-barang seperti itu". Iya. Dapatkan beberapa dari ini kemudian mulai mengarahkan ke beberapa jadwal untuk melakukan perbaikan keamanan.

Pendekatan 'lunak' lain adalah dengan menyetujui bahwa Anda tidak punya waktu / sumber daya untuk melakukan ini sekarang. Tetapi bisakah Anda mendorong persetujuan pada tanggal yang akan dituju. Bisa dalam seminggu, atau sebulan, atau 6 bulan. Biasanya waktu berlalu dan Anda tiba di sana.

Michael Durrant
sumber
Saya akan memastikan bahwa saya menuliskan peringatan saya dan menyimpan salinannya, tetapi jika Anda telah memberi tahu orang yang tepat maka Anda telah melakukan hal yang benar. Apa yang mereka pilih untuk dilakukan dengannya, itu adalah masalah mereka.
Zachary K