现在,高级管理人员必须向我们的客户致歉。如何防止这种行为再次发生?
#1 楼
正如Yu Zhang所说,切勿未经允许就执行安全测试。此规则没有例外。您需要向团队成员明确指出,高级管理人员因其鲁ck行为而被解雇是合理的。为此,您的客户可以选择对他采取法律行动,包括刑事指控。
这就是说,如果您的团队中的一个成员认为对某个产品进行安全测试是适当的,那么显然存在培训问题。客户的实时数据。
除了Yu Zhang的优点之外,我还会考虑以下几点:
尽可能在可能的情况下运行具有破坏性的安全性测试孤立的非生产环境。其中包括单独的服务器。
如果没有单独的环境,则当很少或没有客户使用该应用程序时,必须在下班时间进行潜在的破坏性或破坏性安全测试。在这种情况下,必须格外小心,以确保不会破坏真实数据。
始终事先约定并遵守约定规则。必须采用书面合同的形式。强调任何未经事先同意的安全测试都是非法黑客。
不要害怕使用此事件提醒您的团队成员潜在的后果。安全性很重要,但是所有知名的安全测试组织都使用详细的合同和约定规则的原因之一是进行中的安全测试与黑客尝试是无法区分的。我不能太强调。对于尚未通知安全测试的客户或系统管理员,黑客尝试与正在进行的安全测试之间没有区别。
我最近参与了其中一个应用程序的渗透测试。我测试渗透测试公司进行了以下安排:
我们提供了一个与我们的生产环境隔离的沙盒环境和生产环境的镜像。
安全测试人员每天都在开始测试之前通知我们。
在每个测试会话结束时,安全测试人员向我们发送了他们的发现的简要概述。
他们发现的每个严重漏洞都立即向我们报告了。
参与规则包括,如果他们获得对服务器或数据库的直接访问权,那就是“游戏结束”,他们停止了测试并通知我们他们做了什么以及如何解决问题(虽然没有发生,但是值得对此加以限制)。
列出这样的术语是值得的让您的团队成员记住与客户合作的标准做法。
评论
我认为可以肯定地说,任何针对生产的测试都需要多个部门的明确签字。正如您所发现的,我是繁文tape节的对手,但您不会对产品感到迷惑……实际上,如果测试是自动化的,那么在没有注销的情况下运行测试应该是不可能的因为您将把高质量的门放入测试工具中。
–corsiKa♦
17年6月1日在16:11
@corsiKa-绝对。在最佳情况下,进行生产测试可能很危险。当您可能破坏数据,DDOS系统或对实时数据进行任何其他类型的更改时,必须进行生产测试,这需要得到明确的同意或您做错了
–凯特·保罗克♦
17年6月2日在11:36
#2 楼
安全测试只能在获得客户书面同意的情况下执行。您的团队成员的意图可能不是恶意的,但是由于其软件安全性非常敏感,因此必须在获得客户的书面同意后执行所有与安全性相关的测试。
在某些国家/地区,拥有安全测试工具是非法的。唯一的例外是在同意的情况下使用这些安全测试工具,否则可能会采取法律措施。
执行任何类型的安全测试之前,应与高级管理层讨论如何教育所有员工获得客户的书面同意。签订劳动合同时应提及这一点,并应定期将其作为提醒发送给所有员工。
#3 楼
这件事发生的事实意味着您团队内部的安全测试过程中存在错误。至少在双方之间应该有一个协议/同意-一个负责测试和客户本身的团队。您可以采取一些实际措施来防止这种情况再次发生:
提高教育水平和认识
建立正式的准则/清单,其中应包括征得所有相关方的同意(清单很强大!)
设置安全性/渗透性时的通知测试开始
,看看是否可以通过让其他提示明确指出将针对哪些目标执行“攻击”的提示来改进现有的安全测试工具,例如像“粉红草帽” “原则-使这些动作“响亮”且引人注目:
生产服务器上的任何编辑代码都必须在此期间穿上这种粉红色草帽工作。
#4 楼
我该如何防止这种行为再次发生?
我会假设这个人不了解任何事情。
(也许您)需要清楚地告诉每个人什么是允许的,什么不是。
未经许可在客户系统上进行安全测试之类的事情似乎很明显,但是显然需要教育。
我敢肯定还有很多其他可疑的做法可以澄清(如何传达正式许可?应该在生产中进行测试吗?应该在生产中使用测试数据?等等)。 )
如果一个人确实确实了解得更多,但是无论如何都会前进,那么也许他就应该被别人作为榜样。
评论
不要在生产环境上进行如此严格的测试!这个团队成员的角色是什么?为什么要首先部署它们(为了进行渗透测试,而不是针对生产?为了进行生产渗透而没有破坏性测试?完全不同吗?)?团队成员是否向您解释了他们为什么执行此攻击?回答这些问题将有助于确定将来如何防止这种情况发生(并使该问题更明确)。
或者更确切地说,不要在别人的生产环境中这样做。
更好的培训?
即使在公司内部场景中,这种东西也让Randall Schwartz陷入了痛苦的世界!