회사 사이트에서 보안 허점을 찾을 때 수행 할 작업

13

회사의 공개 사이트 중 하나에서 주요 보안 허점을 발견했습니다. 이것은 인트라넷 사이트에서 변환 된 최초의 공개 사이트입니다. 나는이 문제를 상사에게 가져 왔고, 사이트를 안전하게 재구성하기 위해 사이트를 재구성하는 데 상당한 작업이 필요하다고 말하면서 본질적으로 문제를 해결했다.

이것은 실제로 나를 귀찮게했고 실제 해커가 도착했을 때 발생할 수있는 영향을 보여주기 위해 구멍을 악용하는 것에 대해 생각했습니다. 효과가 나쁘지 않은 경우 내 직업에 비용이들 수 있기 때문에 이것은 아마도 최선의 생각이 아닙니다.

경영진에게 상황의 규모를 보여주기 위해 무엇을 할 수 있습니까?

security  ethics 

소스
8
모든 것이 서면으로 작성되어 있는지 확인하십시오. 보안 허점에 대한 언급과 해고를 포함합니다.
FrustratedWithFormsDesigner

답변:

13

관리자의 책임은 위험을 관리하는 것입니다.

Gmail에서 크로스 스크립팅 보안 허점이 발견되면 팀이 신속하게 해결하기 위해 매우 중요한 위험을 초래했습니다. 수백만 명의 Gmail 사용자가 있기 때문에이 결함을 악용 한 웹 응용 프로그램을 작성한 경우 내 웹 응용 프로그램 사용자가 Gmail을 사용하고 다른 탭에서 열릴 가능성이 큽니다. 따라서 피셔로서 사용자 데이터에 액세스하기 위해 이러한 응용 프로그램을 구축하는 것이 좋습니다.

관리자가 자신에게 묻는 질문은 다음과 같습니다.이 보안 허점이 얼마나 위험합니까? 이 특정 사이트의 특정 보안 허점을 대상으로하는 웹 응용 프로그램이있을 가능성은 무엇입니까? 당사 웹 사이트를 방문하는 직원이이 타사 웹 사이트를 사용하는 위험은 무엇입니까?

내 경험에 따르면 귀하의 사이트에 많은 트래픽이 발생하지 않으면 많은 위험이 없습니다.

상사는 문제가 될 수도 있고 그렇지 않을 수도있는이 특정 보안 허점을 수정하지 않는 기회 비용은 비즈니스 성장과 수익 창출에 도움이되는 활동에 자원을 집중할 수 있다고 생각할 수 있습니다.

그렇기 때문에 Github가 해킹당한 것과 매우 유사한 문제가 있었고 프로젝트 관리 관점에서이 주제를 다루는 프로젝트 관리 SE에 대한 질문 이 있습니다. Github를 해킹 한 사용자는 귀하와 비슷한 상황에 있었으며 그의 Github 권한은 일정 기간 동안 일시 중지되었습니다.

귀하에게 제 질문은 이것입니다 : 사이트가 다운되면 귀하의 비즈니스는 어떻게됩니까? 이 보안 허점이 악용 될 가능성은 무엇입니까?

이것을 추구하기로 결정했다면, 이것이 비즈니스의 생존력에 매우 현실적이고 임박한 위협이라는 증거 를 객관적으로 얻어야합니다.

이것이 실제 문제라는 증거를 얻기위한 몇 가지 제안입니다.

  • 유사한 관련 보안 허점으로 인해 주요 문제가 발생한 뉴스 기사, 블로그 또는 회사의 기타 경험을 찾아 Google 검색을 수행하십시오. 이것이 실제로 다른 비즈니스 기회 대신 해결해야 할 위험이라는 것을 보여줍니다.

  • 팀의 다른 기술 담당자와상의하고 통찰력을 얻으십시오. 문제가 실제로 심각하면 백업 할 수있는 다른 사람을 찾을 수 있어야합니다. 그렇지 않은 경우, 귀하의 우려가 보증되지 않거나 회사 문화의 보안에 중대한 문제가 있습니다.

  • 이상적이지는 않지만 회사 돼지 저금통을 깰 필요없이 위험을 완화하고 마음의 평화를 줄 수있는 신속한 수정 솔루션이 포함 된 취약점을 해결하기 위해 IT 부서와 다른 옵션을 논의하십시오. 때로는 소량의 작업으로 일부 위험을 제거하는 데 도움이 될 수도 있습니다.

위의 사항이 효과가 없다면, 이것을 내버려 두는 것이 좋습니다. 이러한 문제가 비즈니스 위험 관리의 정상적인 부분이라는 것을 알고 있습니다.

jmort253
소스
2
이 답변이 주제를 충분히 다루지 못한다고 생각합니다. OP에 보안 허점의 특성은 언급되지 않았습니다. 우리는 공격자가 자신의 데이터베이스에서 신용 카드 정보를 검색 할 수 있다는 것을 알고 있습니다.
데니스
+1 : 하루가 끝나면 a) 비용 대 이익에 관한 것이며 의사 결정 권한을 가진 사람들이 결정을 내릴 것입니다. b) 보안 허점의 특성은 언급되지 않았지만 경영진은 그것에 대해 더 많은 것을 알고 있다고 확신합니다 이 보드에 우리 중 누군가. 그래, OP는 문제를 제기하고 이제 우리는 관리자의 책임은 위험을 관리하는 것입니다
DXM
@Daenyth-당신은 절대적으로 맞습니다. 감사합니다! 작전이 추구하기로 결정한 경우이 문제를 해결하기위한 몇 가지 제안을 글 머리 기호로 추가했습니다. 결국 회사에 영향을 줄뿐만 아니라 수백만 명의 사용자 보안에 심각한 심각한 문제가 될 수 있습니다.
jmort253
@ jmort253 : 업데이트가 훨씬 좋습니다-나에게서 +1!
데니스
1
Jim, 나는 당신이 얼마나 경험이 많았는지 또는 당신이 가진 다른 개발자 직업이 얼마나 많은지 모르겠지만 다른 곳으로 갈 때 당신이 이것에 부딪 칠 것이라고 생각합니다. 비즈니스의 목적은 수익을 창출하는 것이며, 때로는 비즈니스의 운영 및 재무 측면에서 이혼 한 개발자는 비즈니스의 목적이 이익을 얻는 것임을 잊어 버린다고 생각합니다. 또한 다음 사항을 고려하십시오. 해당 지역이 위험이 존재하는 유일한 지역은 아닙니다. 아마도 관리자는 영업 팀을 구축하지 않거나 시간에 민감한 제품 또는 마케팅 계획을 발표하는 데 더 큰 위험이있을 수 있습니다.
jmort253
10

주식이있는 경우 보안 문제를 검토하기 위해 매주 또는 매월 회의 일정을 잡으십시오. 그러면 해당 안건의 항목 일 수 있습니다. 특정 이슈에서 일반적인 영역으로 포커스를 옮기는 것은 종종 효과적인 기술입니다.

형평성이 없다면 계속 진행하십시오.
경영진에게 문제를 제기했으며 통과했습니다. 중요한 경우 다시 시도 할 수 있습니다. 그리고 그것이 정말로 중요하다면. 그것이 정말로 정말로 중요하다면, 다른 일자리를 얻고 잠재적 인 고용주에게 이유를 말하십시오. 윤리를 가장 중요하게 생각하는 사람들은 아마 그것을 좋아할 것입니다.

또한 문제를 제기하고 거부 한 사람은 이제 사람들의 마음을 바꾸는 데 어려움을 겪고 있음을 명심하십시오. 나는 그들이 당신에게 동의하고 당신에게 '예'를 줄 수있는 길을 갔다. 예를 들어 "우리 둘 다 회사가 성공하기를 원합니다". 예. "우리 둘 다 보안에 관심이 있다는 것을 알고 있습니다." 예. "우리는 그러한 품목을 다루기위한 예산이 매우 제한적이라는 것을 알고 있습니다." 예. 이 중 몇 가지를 얻은 다음 보안 수정을위한 일정을 잡으십시오.

또 다른 '더 부드러운'접근 방식은 지금 할 시간 / 자원이 없다는 데 동의하는 것입니다. 그러나 해결 될 날짜에 합의를 추진할 수 있습니까? 일주일, 한 달 또는 6 개월이 될 수 있습니다. 보통 시간이 지나면 거기에 있습니다.

마이클 듀란트
소스
나는 경고를 서면으로 작성하고 사본을 보관했는지 확인하지만 올바른 사람들에게 알리면 올바른 일을 한 것입니다. 그들이 그것으로하기로 선택한 것은 문제입니다.
Zachary K
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.