Was tun, wenn Sie eine Sicherheitslücke in der Site Ihres Unternehmens finden?

Ich habe eine wichtige Sicherheitslücke in einer öffentlich zugänglichen Site meines Unternehmens gefunden. Dies ist unsere erste öffentlich zugängliche Site, die von einer Intranetsite konvertiert wurde. Ich brachte dieses Problem zu meinem Chef und er sagte, dass es eine Menge Arbeit kosten würde, die Site neu zu strukturieren, um sie sicherer zu machen.

Das hat mich sehr beunruhigt und ich habe darüber nachgedacht, das Loch auszunutzen, um zu zeigen, welche Auswirkungen dies haben könnte, wenn ein tatsächlicher Hacker es schafft. Dies ist wahrscheinlich nicht die beste Idee, da die Auswirkungen mich meinen Job kosten könnten, wenn nicht etwas Schlimmeres.

Was kann ich tun, um dem Management das Ausmaß der Situation zu zeigen?

Die Verantwortung eines Managers liegt im Risikomanagement.

Als in Google Mail eine Cross-Scripting-Sicherheitslücke entdeckt wurde, stellte dies ein sehr kritisches Risiko dar, an dessen Lösung das Team schnell arbeitete. Da es Millionen von Google Mail-Nutzern gibt, die eine Webanwendung geschrieben haben, die diesen Fehler ausnutzt, besteht eine gute Chance, dass Benutzer meiner Webanwendung Google Mail verwenden und es in einem anderen Tab öffnen. Daher kann es sich für mich als Phisher lohnen, eine solche Anwendung zu erstellen, um auf Benutzerdaten zugreifen zu können.

Die Frage, die sich Ihr Manager möglicherweise stellt, lautet: Wie riskant ist diese Sicherheitslücke? Wie hoch ist die Wahrscheinlichkeit, dass es eine Webanwendung gibt, die auf diese bestimmte Sicherheitslücke auf dieser bestimmten Site abzielt? Welches Risiko besteht, dass Mitarbeiter, die unsere Website besuchen, auch diese Website eines Drittanbieters nutzen?

Meiner Erfahrung nach besteht für Ihre Website kein hohes Risiko, wenn auf der Website kein hohes Verkehrsaufkommen zu verzeichnen ist.

Ihr Chef ist möglicherweise der Ansicht, dass die Opportunitätskosten für die Behebung dieser Sicherheitslücke, die möglicherweise ein Problem darstellt, darin bestehen, dass er oder sie die Ressourcen auf Aktivitäten konzentrieren kann, die zum Wachstum des Unternehmens und zur Erzielung von Einnahmen beitragen.

Vor diesem Hintergrund gab es ein ähnliches Problem, bei dem Github gehackt wurde, und es gibt eine Frage zur Project Management SE , die dieses Thema aus Sicht des Projektmanagements behandelt. Der Benutzer, der Github gehackt hat, war in einer ähnlichen Situation wie Sie und seine Github-Berechtigungen wurden für einen bestimmten Zeitraum gesperrt.

Meine Frage an Sie lautet: Was passiert mit Ihrem Unternehmen, wenn die Website ausfällt? Wie hoch ist die Wahrscheinlichkeit, dass diese Sicherheitslücke überhaupt ausgenutzt wird?

Wenn Sie sich dazu entschließen, müssen Sie objektiv nachweisen, dass dies eine sehr reale, unmittelbar bevorstehende Bedrohung für die Rentabilität des Unternehmens darstellt.

Hier sind einige Vorschläge, um Beweise dafür zu erhalten, dass dies ein echtes Problem ist:

• Durchführen von Google-Suchen nach Nachrichtenartikeln, Blogs oder anderen Erfahrungen von Unternehmen, bei denen aufgrund einer ähnlichen Sicherheitslücke erhebliche Probleme aufgetreten sind. Zeigen Sie, dass dies in der Tat ein Risiko ist, das es wert ist, anstelle anderer Geschäftsmöglichkeiten angesprochen zu werden.

• Diskutieren Sie mit anderen Technikern im Team und erhalten Sie Einblicke. Wenn das Problem wirklich schwerwiegend ist, sollten Sie in der Lage sein, andere zu finden, die Sie ebenfalls unterstützen können. Wenn nicht, sind entweder Ihre Bedenken nicht berechtigt oder Sie haben wichtige Sicherheitsbedenken in Ihrer Unternehmenskultur.

• Besprechen Sie mit Ihrer IT-Abteilung weitere Möglichkeiten, um die Lücke zu schließen, die schnellere Lösungen umfasst, die zwar nicht ideal sind, aber das Risiko mindern und Ihnen ein gewisses Maß an Sicherheit geben, ohne das Sparschwein des Unternehmens zu beschädigen. Manchmal kann ein geringer Arbeitsaufwand dazu beitragen, ein gewisses, wenn nicht sogar das gesamte Risiko auszuschließen.

Wenn die oben genannten Punkte nicht funktionieren, dann denke ich darüber nach, dies loszulassen und zu wissen, dass diese Probleme nur ein normaler Teil des Geschäftsrisikomanagements sein werden.

Wenn Sie über Eigenkapital verfügen, sollten Sie eine wöchentliche oder monatliche Besprechung planen, um Sicherheitsbedenken zu prüfen. Dies kann dann nur ein Punkt auf der Tagesordnung sein. Oft ist es eine effektive Technik, den Fokus von einem bestimmten Thema auf den allgemeinen Bereich zu verlagern.

Wenn Sie kein Eigenkapital haben, fahren Sie fort.
Sie haben das Problem beim Management angesprochen und es wurde bestanden. Sie können es erneut versuchen, wenn es Ihnen wichtig ist. Und nochmal, wenn es wirklich wichtig ist. Wenn es wirklich sehr wichtig ist, besorgen Sie sich einen anderen Job und erklären Sie potenziellen Arbeitgebern, warum. Diejenigen, die Ethik am meisten schätzen, werden es wahrscheinlich zu schätzen wissen.

Denken Sie auch daran, dass Sie, wenn Sie das Problem angesprochen haben und ein Nein erhalten haben, jetzt mit einer Änderung der Meinung der Menschen konfrontiert sind, die sehr schwierig ist. Ich würde den Weg gehen, sie dazu zu bringen, Ihnen zuzustimmen und Ihnen Ja zu geben. zB "Wir wollen beide, dass das Unternehmen erfolgreich ist". Ja. "Ich weiß, dass uns beide die Sicherheit am Herzen liegt". Ja. "Wir wissen, dass wir ein sehr begrenztes Budget haben, um solche Probleme anzugehen." Ja. Holen Sie sich einige davon und steuern Sie dann einen Zeitplan für die Vornahme der Sicherheitsupdates an.

Ein anderer "weicherer" Ansatz besteht darin, zuzustimmen, dass Sie nicht die Zeit / Ressourcen haben, dies jetzt zu tun. Aber können Sie auf eine Einigung über einen Termin drängen, an dem er behandelt wird? Es kann in einer Woche oder einem Monat oder 6 Monaten sein. Normalerweise vergeht die Zeit und dann bist du da.