آیا نقایص امنیتی شرکت خود را آشکار کنیم؟

تحلیلی از دژافزارنت

تاریخ انتشار : ۱۳۹۹/۹/۴
دسته بندیها : شبکه

تحلیل-دژافزارنت

اگر با خبر باشید، احتمالا متوجه چند گزارش اخیر در مورد شرکت هایی شده اید که ممکن است نسبت به مسائل امنیتی (حملات و نقایص امنیتی) کمتر در مورد آنها صحبت شده است (نسبت به وسیع بودن کار آنها). به عنوان مثال، ما به تازگی متوجه شدیم که Uber در سال 2016 مورد حمله موفق قرار گرفته است. همانطور که ما ازگزارش های مطبوعاتی بعد نیزآموخته ایم، ممکن است این شرکت مهاجم در خواست های مالی مهاجمان را برآورده کرده است تا آنها ضعف های امنیتی را آشکار نکنند.
 
به عنوان نمونه ای همه ما احتمالا نقض Equifax که تاریخ اعتبار میلیونها نفر را در بر میگیرد، به یاد میآوریم و هنوز با عواقب آن مواجه هستیم. هیئت مدیره Equifax اخیرا یک گزارش را برای بررسی مدیران کلیدی فروش سهام در مدت کوتاهی پس از نقض انجام داده است. یافته های این تحقیق نشان می دهد که مدیران اجرایی که در آن زمان سهام را به فروش می رسانند، در مورد نقض امنیتی اطلاعی نداشته اند
 
نکته اصلی این ماجراها این است که دارای درس های بسیار آموزنده هستند. از جمله اینکه شرکت های امنیتی و غیر امنیتی آمادگی لازم را به دست می آورند، اقدامات لازم را درمیابند و یاد میگیرند که یک حمله تا چه سطح ا کارکنان باید دریابند و مطلع شوند و…
 
 

حال باید نقایص امنیتی را آشکار کنیم یا خیر؟

این موضوع تصمیم بسیار سختی است. اما تجربه نشان میدهد که افشای به موقع این موضوع و نحوه افشای درست آن کمک میکند تا امنیت خود و جامعه را بالا ببریم. مثلا ما یک محصول امنیتی داریم که به تازگی متوجه یک نقض امنیتی در آن شده ایم و یکی از مشتریان ما که از این محصول استفاده میکند مورد حمله قرار گرفته است. ما با اطلاع رسانی درست میتوانیم بقیه مشتریان را در برابر حمله مشابهی ایمن کنیم. ممکن است بگویم اعتماد مشتریان نسبت به ما سلب خواهد شد. اما به این توجه داشته باشیم که در صورت وقوع حمله فراگیر چه پیامدهای ممکن است ما و حرفه ما را تهدید کند.
 
اطلاع رسانی درست و برنامه ریزی شده با توجه به سطح دسترسی کارکنان ما بسیار با اهمیت است. و اینجا به یاد یکی از اولین جملاتی که از استاد درس امنیت پیشرفته به یاد دارم میافتم: سعی کنیم به هر کس به اندازه ای اطلاعات بدهیم که به آن نیاز دارد
 
Equifax نقض Uber دژافزار دژافزارنت شرکت دژافزارنت

گردآوری و تالیف : n.manochehri

ارتباط با ما

شبکه های اجتماعی دژافزارنت

از طریق شبکه های زیر می توانید با ما در ارتباط باشید در اولین فرصت ممکن پاسخگوییم