آیا نقایص امنیتی شرکت خود را آشکار کنیم؟
تحلیلی از دژافزارنت
تاریخ انتشار :
۱۳۹۹/۹/۴
دسته بندیها :
شبکه
اگر با خبر باشید، احتمالا متوجه چند گزارش اخیر در مورد شرکت هایی شده اید که ممکن است نسبت به مسائل امنیتی (حملات و نقایص امنیتی) کمتر در مورد آنها صحبت شده است (نسبت به وسیع بودن کار آنها). به عنوان مثال، ما به تازگی متوجه شدیم که Uber در سال 2016 مورد حمله موفق قرار گرفته است. همانطور که ما ازگزارش های مطبوعاتی بعد نیزآموخته ایم، ممکن است این شرکت مهاجم در خواست های مالی مهاجمان را برآورده کرده است تا آنها ضعف های امنیتی را آشکار نکنند.
به عنوان نمونه ای همه ما احتمالا نقض Equifax که تاریخ اعتبار میلیونها نفر را در بر میگیرد، به یاد میآوریم و هنوز با عواقب آن مواجه هستیم. هیئت مدیره Equifax اخیرا یک گزارش را برای بررسی مدیران کلیدی فروش سهام در مدت کوتاهی پس از نقض انجام داده است. یافته های این تحقیق نشان می دهد که مدیران اجرایی که در آن زمان سهام را به فروش می رسانند، در مورد نقض امنیتی اطلاعی نداشته اند
نکته اصلی این ماجراها این است که دارای درس های بسیار آموزنده هستند. از جمله اینکه شرکت های امنیتی و غیر امنیتی آمادگی لازم را به دست می آورند، اقدامات لازم را درمیابند و یاد میگیرند که یک حمله تا چه سطح ا کارکنان باید دریابند و مطلع شوند و…
حال باید نقایص امنیتی را آشکار کنیم یا خیر؟
این موضوع تصمیم بسیار سختی است. اما تجربه نشان میدهد که افشای به موقع این موضوع و نحوه افشای درست آن کمک میکند تا امنیت خود و جامعه را بالا ببریم. مثلا ما یک محصول امنیتی داریم که به تازگی متوجه یک نقض امنیتی در آن شده ایم و یکی از مشتریان ما که از این محصول استفاده میکند مورد حمله قرار گرفته است. ما با اطلاع رسانی درست میتوانیم بقیه مشتریان را در برابر حمله مشابهی ایمن کنیم. ممکن است بگویم اعتماد مشتریان نسبت به ما سلب خواهد شد. اما به این توجه داشته باشیم که در صورت وقوع حمله فراگیر چه پیامدهای ممکن است ما و حرفه ما را تهدید کند.
اطلاع رسانی درست و برنامه ریزی شده با توجه به سطح دسترسی کارکنان ما بسیار با اهمیت است. و اینجا به یاد یکی از اولین جملاتی که از استاد درس امنیت پیشرفته به یاد دارم میافتم: سعی کنیم به هر کس به اندازه ای اطلاعات بدهیم که به آن نیاز دارد
Equifax نقض
Uber
دژافزار
دژافزارنت
شرکت دژافزارنت
گردآوری و تالیف : n.manochehri
ارتباط با ما
شبکه های اجتماعی دژافزارنت
از طریق شبکه های زیر می توانید با ما در ارتباط باشید در اولین فرصت ممکن پاسخگوییم