Saya telah menemukan lubang keamanan utama di salah satu situs yang menghadap publik perusahaan saya. Ini adalah situs menghadap publik pertama kami yang dikonversi dari situs intranet. Saya membawa masalah ini ke atasan saya dan mereka pada dasarnya mengabaikannya, mengatakan bahwa akan butuh banyak pekerjaan untuk merancang kembali situs tersebut agar aman.
Ini benar-benar mengganggu saya dan saya berpikir tentang mengeksploitasi lubang untuk menunjukkan efek bahwa ini bisa terjadi jika seorang peretas yang sebenarnya melakukannya. Ini mungkin bukan ide terbaik karena efeknya bisa membuat saya kehilangan pekerjaan saya jika bukan sesuatu yang lebih buruk.
Apa beberapa hal yang dapat saya lakukan untuk menunjukkan besarnya situasi kepada manajemen?
Jawaban:
Tanggung jawab manajer adalah mengelola risiko.
Ketika lubang keamanan lintas-skrip ditemukan di Gmail, ini menghadirkan risiko yang sangat kritis yang harus segera diselesaikan oleh tim. Karena ada jutaan pengguna Gmail, jika saya menulis aplikasi Web yang mengeksploitasi kelemahan ini, akan ada peluang bagus bahwa pengguna aplikasi Web saya mungkin menggunakan Gmail dan mungkin membukanya di tab lain. Jadi, sebagai phisher, mungkin layak bagi saya untuk membangun aplikasi semacam itu untuk mendapatkan akses ke data pengguna.
Pertanyaan yang mungkin ditanyakan oleh manajer Anda kepada dirinya sendiri adalah: Seberapa berisiko lubang keamanan ini? Apa kemungkinan ada aplikasi Web di luar sana yang menargetkan lubang keamanan khusus ini di situs tertentu ini? Apa risiko bahwa karyawan yang mengunjungi Situs Web kami juga menggunakan situs web pihak ketiga ini?
Dalam pengalaman saya, jika situs Anda tidak mendapatkan banyak lalu lintas, maka tidak ada banyak risiko.
Bos Anda mungkin berpikir bahwa biaya peluang untuk tidak memperbaiki lubang keamanan khusus ini yang mungkin atau mungkin tidak menjadi masalah, adalah bahwa ia malah dapat memfokuskan sumber daya pada kegiatan yang akan membantu mengembangkan bisnis dan menghasilkan pendapatan.
Dengan itu, ada masalah yang sangat mirip dengan ini di mana Github diretas, dan ada pertanyaan tentang Manajemen Proyek SE yang mencakup topik ini dari perspektif manajemen proyek. Pengguna yang meretas Github berada dalam situasi yang sama dengan Anda, dan hak istimewa Github-nya ditangguhkan untuk jangka waktu tertentu.
Pertanyaan saya kepada Anda adalah ini: Apa yang terjadi pada bisnis Anda jika situsnya turun? Apa kemungkinan bahwa Anda bahkan akan melihat lubang keamanan ini dieksploitasi?
Jika Anda benar-benar memilih untuk mengejar ini, Anda harus secara objektif memperoleh bukti bahwa ini adalah ancaman nyata yang nyata terhadap kelangsungan bisnis.
Berikut adalah beberapa saran untuk mendapatkan bukti bahwa ini adalah masalah nyata:
Lakukan pencarian Google untuk mencari artikel berita, blog, atau pengalaman lain dari perusahaan yang telah mengalami masalah besar sebagai akibat dari celah keamanan serupa yang terkait. Tunjukkan bahwa ini memang risiko yang layak ditangani sebagai pengganti peluang bisnis lainnya.
Diskusikan dengan tenaga teknis lainnya di tim dan dapatkan wawasan mereka. Jika masalah ini sangat parah, Anda harus dapat menemukan orang lain yang dapat mendukung Anda juga. Jika tidak, maka kekhawatiran Anda tidak dijamin atau Anda memiliki masalah besar dalam keamanan dalam budaya perusahaan Anda.
Diskusikan opsi lain dengan departemen TI Anda untuk menambal lubang yang melibatkan solusi perbaikan lebih cepat yang - meskipun tidak ideal - dapat mengurangi risiko dan memberi Anda ketenangan pikiran tanpa merusak celengan perusahaan. Terkadang sejumlah kecil pekerjaan dapat membantu menghilangkan sebagian risiko, jika tidak semuanya.
Jika poin-poin di atas tidak berhasil, maka saya pertimbangkan untuk membiarkannya, dan tahu bahwa masalah-masalah ini hanya akan menjadi bagian normal dari manajemen risiko bisnis.
sumber
Jika Anda memiliki keadilan, dorong untuk menjadwalkan pertemuan mingguan atau bulanan untuk meninjau masalah keamanan dan kemudian ini bisa menjadi item dalam agenda itu. Memindahkan fokus dari masalah tertentu ke area umum seringkali merupakan teknik yang efektif.
Jika Anda tidak memiliki ekuitas, lanjutkan.
Anda telah mengangkat masalah ini ke manajemen dan mereka telah lulus. Anda dapat mencoba lagi jika itu penting bagi Anda. Dan lagi jika itu benar-benar penting. Jika itu benar-benar sangat penting, dapatkan pekerjaan lain dan beri tahu majikan potensial mengapa. Orang yang paling menghargai etika mungkin akan menghargainya.
Juga ingatlah bahwa jika Anda telah mengangkat masalah dan mendapat jawaban tidak, Anda sekarang dihadapkan pada perubahan pikiran orang-orang yang sangat sulit. Saya akan menempuh jalan untuk membuat mereka setuju dengan Anda dan memberi Anda ya. mis. "kita berdua ingin perusahaan sukses". Iya. "Aku tahu kita sama-sama peduli dengan keamanan". Iya. "Kami tahu kami memiliki anggaran yang sangat terbatas untuk menangani barang-barang seperti itu". Iya. Dapatkan beberapa dari ini kemudian mulai mengarahkan ke beberapa jadwal untuk melakukan perbaikan keamanan.
Pendekatan 'lunak' lain adalah dengan menyetujui bahwa Anda tidak punya waktu / sumber daya untuk melakukan ini sekarang. Tetapi bisakah Anda mendorong persetujuan pada tanggal yang akan dituju. Bisa dalam seminggu, atau sebulan, atau 6 bulan. Biasanya waktu berlalu dan Anda tiba di sana.
sumber