जब आप अपनी कंपनी की साइट में सुरक्षा छेद पाते हैं तो क्या करें

13

मुझे अपनी कंपनी के सार्वजनिक सामना करने वाली साइट में एक प्रमुख सुरक्षा छेद मिला है। यह हमारी पहली सार्वजनिक सामना करने वाली साइट है जिसे इंट्रानेट साइट से परिवर्तित किया गया था। मैंने इस मुद्दे को अपने बॉस तक पहुंचाया और उन्होंने यह कहते हुए इसे अनिवार्य रूप से बंद कर दिया कि साइट को सुरक्षित बनाने के लिए इसे फिर से आर्किटेक्चर करने के लिए काम करना अच्छा होगा।

यह वास्तव में मुझे परेशान कर रहा है और मैंने उन छेदों के दोहन के बारे में सोचा है जो प्रभाव दिखाते हैं कि ऐसा हो सकता है यदि एक वास्तविक हैकर को मिल जाए। यह शायद सबसे अच्छा विचार नहीं है क्योंकि प्रभाव मुझे कुछ बुरा नहीं तो मेरी नौकरी खर्च कर सकते हैं।

स्थिति को प्रबंधन की भयावहता दिखाने के लिए मैं कुछ चीजें क्या कर सकता हूं?

security  ethics 
जिम
स्रोत
8
सुनिश्चित करें कि आपके पास लेखन में सब कुछ है। जिसमें सुरक्षा छेद का उल्लेख और उनकी बर्खास्तगी शामिल है।
FrustratedWithFormsDesigner

जवाबों:

13

एक प्रबंधक की जिम्मेदारी जोखिम का प्रबंधन करना है।

जब जीमेल में एक क्रॉस-स्क्रिप्टिंग सुरक्षा छेद की खोज की गई थी, तो इसने एक बहुत ही महत्वपूर्ण जोखिम प्रस्तुत किया, जिसे टीम ने जल्दी से हल करने के लिए काम किया। क्योंकि लाखों Gmail उपयोगकर्ता हैं, अगर मैंने इस दोष का फायदा उठाने वाले वेब एप्लिकेशन को लिखा, तो इस बात की अच्छी संभावना होगी कि मेरे वेब एप्लिकेशन के उपयोगकर्ता Gmail का उपयोग कर रहे हों और हो सकता है कि वह किसी अन्य टैब में खुला हो। इस प्रकार, एक फ़िशर के रूप में, उपयोगकर्ता डेटा तक पहुंच प्राप्त करने के लिए इस तरह के एप्लिकेशन का निर्माण करना मेरे लिए इसके लायक हो सकता है।

आपके प्रबंधक स्वयं या स्वयं से यह प्रश्न पूछ सकते हैं: यह सुरक्षा छेद कितना जोखिम भरा है? क्या संभावना है कि वहाँ एक वेब अनुप्रयोग है जो इस विशेष साइट पर इस विशेष सुरक्षा छेद को लक्षित कर रहा है? यह जोखिम क्या है कि जो कर्मचारी हमारी वेबसाइट पर जा रहे हैं वे भी इस तीसरे पक्ष की वेबसाइट का उपयोग कर रहे हैं?

मेरे अनुभव में, यदि आपकी साइट को एक टन ट्रैफ़िक नहीं मिल रहा है, तो एक टन जोखिम नहीं है।

आपका बॉस सोच रहा होगा कि इस विशेष सुरक्षा छेद को ठीक नहीं करने का अवसर लागत जो एक समस्या हो सकती है या नहीं भी हो सकती है, वह यह है कि वह इसके बजाय उन गतिविधियों पर संसाधनों को केंद्रित कर सकता है जो व्यापार को बढ़ाने और राजस्व उत्पन्न करने में मदद करेंगे।

इसके साथ ही, एक मुद्दा यह था कि जहां गिथब को हैक किया गया था, वहां भी ऐसा ही एक मुद्दा था, और परियोजना प्रबंधन एसई पर एक सवाल है जो इस विषय को एक परियोजना प्रबंधन के दृष्टिकोण से कवर करता है। जीथब को हैक करने वाला उपयोगकर्ता आपके जैसी ही स्थिति में था, और उसके जीथूब विशेषाधिकार विशेष समय के लिए निलंबित कर दिए गए थे।

आपके लिए मेरा सवाल यह है: यदि साइट नीचे जाती है तो आपके व्यवसाय का क्या होगा? क्या संभावना है कि आप भी इस सुरक्षा छेद का दोहन देखेंगे?

यदि आप इसे आगे बढ़ाने के लिए चुनते हैं, तो आपको उद्देश्यपूर्ण रूप से सबूत प्राप्त करने की आवश्यकता होगी कि यह व्यवसाय की व्यवहार्यता के लिए एक बहुत ही वास्तविक, आसन्न खतरा है।

यहाँ साक्ष्य प्राप्त करने के लिए कुछ सुझाव दिए गए हैं कि यह एक वास्तविक समस्या है:

  • Google लेख, समाचार लेख, ब्लॉग या उन कंपनियों के अन्य अनुभवों की तलाश करना, जो एक समान, संबंधित सुरक्षा छेद के परिणामस्वरूप प्रमुख मुद्दों का अनुभव करते हैं। प्रदर्शित करें कि यह वास्तव में एक जोखिम है जो अन्य व्यावसायिक अवसरों के बदले में संबोधित करने के लायक है।

  • टीम के अन्य तकनीकी कर्मियों के साथ चर्चा करें और उनकी जानकारी प्राप्त करें। यदि समस्या वास्तव में गंभीर है, तो आपको दूसरों को खोजने में सक्षम होना चाहिए जो आपको वापस कर सकते हैं। यदि नहीं, तो या तो आपकी चिंताओं पर ध्यान नहीं दिया जाता है या आपकी कंपनी की संस्कृति में सुरक्षा के प्रमुख मुद्दे हैं।

  • छेद को तेज करने के लिए अपने आईटी विभाग के साथ अन्य विकल्पों पर चर्चा करें जिसमें तेज-फिक्स समाधान शामिल हैं - हालांकि आदर्श नहीं - जोखिम को कम कर सकते हैं और कॉर्पोरेट गुल्लक को तोड़ने के बिना आपको मन की कुछ शांति दे सकते हैं। कभी-कभी काम की थोड़ी मात्रा जोखिम को खत्म करने में मदद कर सकती है, यदि सभी नहीं।

यदि उपरोक्त बिंदु काम नहीं करते हैं, तो मेरा विचार है कि इसे जाने दें, और यह जान लें कि ये मुद्दे सिर्फ व्यापार जोखिम प्रबंधन का एक सामान्य हिस्सा होने जा रहे हैं।

jmort253
स्रोत
2
मुझे लगता है कि इस उत्तर में विषय का पर्याप्त समावेश नहीं है। ओपी में सुरक्षा छेद की प्रकृति का उल्लेख नहीं किया गया था; हम सभी जानते हैं कि यह हमलावरों को अपने डेटाबेस से क्रेडिट कार्ड की जानकारी प्राप्त करने की अनुमति दे सकता है, जो विनाशकारी हो सकता है, यह उल्लेख नहीं करने के लिए कि इसे नजरअंदाज करने पर कानूनी रूप से नुकसान हो सकता है।
डेनिथ
+1: दिन के अंत में ए) यह लागत बनाम लाभ के बारे में है और निर्णय अधिकारों वाले लोग निर्णय लेंगे और बी) सुरक्षा छेद की प्रकृति का उल्लेख नहीं किया गया था, लेकिन मुझे यकीन है कि प्रबंधन इसके बारे में अधिक से अधिक जानता है इस बोर्ड में हममें से कोई भी। तो हाँ, ओपी ने इस मुद्दे को उठाया और अब हम "प्रबंधक की जिम्मेदारी जोखिम का प्रबंधन करने के लिए वापस आ गए हैं"
डीएक्सएम
@ डैनिथ - आप बिल्कुल सही कह रहे हैं। धन्यवाद! मैंने मुद्दे को संबोधित करने के लिए बुलेट-पॉइंट के रूप में कुछ सुझाव जोड़े हैं, क्या ऑप्स को आगे बढ़ाने का फैसला करना चाहिए। आखिरकार, यह वास्तव में एक गंभीर, भयावह मुद्दा हो सकता है जो न केवल कंपनी को प्रभावित कर सकता है, बल्कि लाखों उपयोगकर्ताओं की सुरक्षा को प्रभावित कर सकता है।
jmort253
@ jmort253: अपडेट मेरे से बहुत बेहतर है - +1!
डेनिथ
1
जिम, मुझे नहीं पता कि आप कितने अनुभवी हैं या आपके पास कितनी अन्य डेवलपर नौकरियां हैं, लेकिन मुझे लगता है कि जब आप अन्य स्थानों पर जाते हैं तो आप इसमें भाग लेंगे। किसी भी व्यवसाय का उद्देश्य लाभ कमाना है, और मुझे लगता है कि कभी-कभी व्यवसाय के परिचालन और वित्तीय पक्ष से तलाक लेने वाले डेवलपर्स यह भूल जाते हैं कि व्यवसाय का उद्देश्य लाभ कमाना है। इसके अलावा, इस पर विचार करें: आपका क्षेत्र एकमात्र क्षेत्र नहीं है जहां जोखिम मौजूद हैं। शायद आपके प्रबंधक को बिक्री टीम के निर्माण पर ध्यान केंद्रित न करने, या समय-संवेदनशील उत्पाद या विपणन योजना जारी करने में एक बड़ा जोखिम दिखाई देता है।
jmort253
10

यदि आपके पास इक्विटी है, तो सुरक्षा चिंताओं की समीक्षा करने के लिए एक साप्ताहिक या मासिक बैठक अनुसूची करने के लिए धक्का दें और फिर यह उस एजेंडे पर एक आइटम हो सकता है। विशेष मुद्दे से सामान्य क्षेत्र पर ध्यान केंद्रित करना अक्सर एक प्रभावी तकनीक है।

यदि आपके पास इक्विटी नहीं है, तो आगे बढ़ें।
आपने प्रबंधन को समस्या को उठाया है और वे पास हो गए हैं। यदि आपके लिए यह महत्वपूर्ण है तो आप फिर से कोशिश कर सकते हैं। और फिर अगर यह वास्तव में महत्वपूर्ण है। यदि यह वास्तव में वास्तव में महत्वपूर्ण है, तो एक और नौकरी प्राप्त करें और संभावित नियोक्ताओं को बताएं कि क्यों। नैतिकता को महत्व देने वाले शायद इसकी सराहना करेंगे।

इस बात को भी ध्यान में रखें कि यदि आपने इस मुद्दे को उठाया है और आपको ऐसा नहीं मिला है, जिसका सामना अब आप लोगों के दिमाग को बदलने में करेंगे, जो बहुत कठिन है। मैं आपसे सहमत होने और आपको हां करने के लिए उन्हें पाने के रास्ते पर चलूंगा। उदाहरण के लिए "हम दोनों कंपनी को सफलता चाहते हैं"। हाँ। "मुझे पता है कि हम दोनों सुरक्षा के बारे में परवाह करते हैं"। हाँ। "हम जानते हैं कि हमें ऐसी वस्तुओं को संबोधित करने के लिए बहुत सीमित बजट मिला है"। हाँ। इनमें से कुछ प्राप्त करें फिर सुरक्षा फ़िक्स बनाने के लिए कुछ शेड्यूल की ओर कदम बढ़ाना शुरू करें।

एक और 'नरम' दृष्टिकोण इस बात से सहमत है कि आपके पास अब ऐसा करने के लिए समय / संसाधन नहीं है। लेकिन क्या आप किसी ऐसी तारीख पर समझौते के लिए जोर दे सकते हैं, जिसे संबोधित किया जाएगा। यह एक हफ्ते, या एक महीने या 6 महीने में हो सकता है। आमतौर पर समय उड़ जाता है और फिर आप वहां पहुंच जाते हैं।

माइकल डुरंट
स्रोत
मैं यह सुनिश्चित करूंगा कि मैंने अपनी चेतावनी को लिखित रूप में रखा और एक प्रति रखी, लेकिन अगर आपने सही लोगों को बताया है तो आपने सही काम किया है। वे इसके साथ क्या करना चुनते हैं, यह उनकी समस्या है।
ज़ाचरी के
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.