ИТ-менеджер уходит - что мне заблокировать?

ИТ-менеджер может уходить, и вполне возможно, что разделение путей может быть не совсем гражданским. Я действительно не ожидал бы злого умысла, но на всякий случай, что я могу проверить, изменить или заблокировать?

Примеры:

• Пароли администратора
• Беспроводные пароли
• Правила доступа к VPN
• Настройки роутера / брандмауэра

Очевидно, что физическая безопасность должна быть решена, но после этого ...

Предполагая, что у вас нет документированной процедуры, когда сотрудники уходят (общая среда, поскольку вы не упоминаете, какие платформы вы используете):

1. Начните с охраны периметра. Измените все пароли на любом оборудовании по периметру, таком как маршрутизаторы, брандмауэры, виртуальные частные сети и т. Д. Затем заблокируйте все учетные записи, которые имел ИТ-менеджер, а также просмотрите все оставшиеся учетные записи на предмет тех, которые больше не используются, и любых, которые не используются. принадлежит (в случае, если он добавил вторичную).
2. Электронная почта - удалите свою учетную запись или, по крайней мере, отключите входы в нее в зависимости от политики вашей компании.
3. Затем пройдите проверку безопасности вашего хоста. На всех машинах и в службах каталогов его учетная запись должна быть отключена и / или удалена. (Удаленный является предпочтительным, но вам может потребоваться проверить их на случай, если у него есть что-нибудь работающее, что в первую очередь действует под ними). Опять же, просмотрите все учетные записи, которые больше не используются, а также те, которые не принадлежат. Отключить / удалить их. Если вы используете ssh-ключи, вы должны изменить их в учетной записи администратора / root.
4. У всех общих учетных записей, если они есть, все пароли должны быть изменены. Также следует обратить внимание на удаление общих учетных записей или отключение интерактивного входа в них.
5. Учетные записи приложений ... не забудьте изменить пароли или отключить / удалить учетные записи из всех приложений, к которым у него был доступ, начиная с учетных записей администратора.
6. Ведение журнала ... убедитесь, что у вас есть хорошая регистрация для использования учетной записи и внимательно следите за ней для поиска любых подозрительных действий.
7. Резервные копии ... убедитесь, что ваши резервные копии являются текущими и безопасными (желательно удаленными). Убедитесь, что вы сделали то же, что и выше, с вашими системами резервного копирования в отношении учетных записей.
8. Документы ... постарайтесь как можно больше опознать, запросить у него, если это возможно, и скопировать в безопасное место всю его документацию.
9. Если у вас есть какие-либо услуги на аутсорсинг (электронная почта, фильтрация спама, хостинг любого типа и т. Д.), Убедитесь, что вы выполнили все вышеперечисленное, что также подходит для этих сервисов.

Поскольку вы делаете все это, документируйте это , чтобы у вас была процедура для будущих прекращений.

Кроме того, если вы используете какие-либо службы колокейшн, убедитесь, что его имя удалено из списка доступа и списка отправки билетов. Было бы разумно сделать то же самое для любых других поставщиков, для которых он был основным лицом, чтобы он не мог отменить или связываться с услугами, которые вы получаете от этих поставщиков, а также чтобы поставщики знали, к кому обращаться за обновлениями, проблемы и т.д., которые могут избавить вас от головной боли, когда что-то, что ИТ-менеджер не задокументировал, происходит.

Я уверен, что есть еще что я пропустил, но это от моей головы.

Не забывайте физическую безопасность - убедитесь, что он не может войти ни в какое здание - это здорово, что вы во всем сетевом комплекте, но если он сможет добраться до центра обработки данных, это бессмысленно.

Мы подозревали, что недовольный сотрудник, который все еще находился в периоде уведомления, мог установить некоторые программы удаленного доступа, поэтому мы ограничили его учетную запись для входа только рабочими часами, чтобы он не мог работать в нерабочее время, когда никто не собирался делать вещи (в рабочее время мы могли ясно видеть его экран, поэтому, если бы он добрался до зла, мы бы знали).

Оказалось ценным, он установил LogMeIn и на самом деле пытался получить доступ в нерабочее время.

(это была сеть небольшой компании, без ACL-списков или причудливых межсетевых экранов)

Также будьте осторожны, чтобы не заблокировать слишком много. Я помню ситуацию, когда кто-то ушел, и через день стало очевидно, что какое-то критически важное для бизнеса программное обеспечение фактически работает под его личной учетной записью.

Просто добавьте - также убедитесь, что у вас есть аудит неудачных и успешных входов в систему - куча сбоев для учетной записи, за которой следует успех, может равняться взлому. Вы также можете попросить всех остальных изменить свои пароли, если ИТ-менеджер участвовал в настройке пароля. Не забывайте также пароли базы данных, и вы можете очистить его / ее учетную запись электронной почты для безопасной информации. Я также ставлю проверки доступа к любой конфиденциальной информации / базам данных и запрещаю ему / ей выполнять резервное копирование системы / баз данных.

Надеюсь это поможет.

Прежде чем отпустить этого человека, убедитесь, что вы понимаете, что все может и будет ухудшаться или будет проблематичным, пока вы не замените этого человека. Я надеюсь, что вы не будете обвинять их во всем, что рушится, только потому, что вы предполагаете / знаете, что это не будет хорошим разводом, или думаете, что они вас как-то взламывают, потому что туалет переполнен.

Надеюсь, этот сценарий звучит нелепо для вас. Но с моей прошлой работы это правдивая история о том, что теперь владелец пытается предъявить мне иск за саботаж (в основном потому, что я ухожу, а они не хотят никому платить рыночную ставку, чтобы заменить меня), а также за киберпреступления, такие как взлом и Интернет рэкет.

Суть в том, оцените «почему» по причине их увольнения. Если это что-то помимо экономических потребностей, я предлагаю вам уточнить ваши процедуры найма, чтобы вы могли нанять более профессионального сотрудника, которому по профессии необходимо быть надежным и заслуживающим доверия с важной деловой миссией и, как правило, конфиденциальной информацией, и которая может правильно установить процедуры безопасности, которым должен следовать каждый.

Один из способов узнать, как вы проводите собеседование, - насколько хорошо они взяли интервью у вас и вашего бизнеса взамен. Ответственность (как в том, что, по мнению компании, ИТ-менеджер может быть обвинен в случае, если что-то пойдет не так, как правило, в контракте), и общая сетевая безопасность - это одна из 3 главных вещей, о которой думает любой надлежащий ИТ-менеджер / технический директор при приходе. в интервью для работы.

Измените все пароли администратора (серверы, маршрутизаторы, коммутаторы, удаленный доступ, брандмауэры). Удалите все правила брандмауэра для удаленного доступа для ИТ-менеджера. Если вы используете токены безопасности, отсоедините токены ИТ-менеджера от всех прав доступа. Удалите доступ TACACS (если вы используете это).

Обязательно внесите эти изменения с ИТ-менеджером в конференц-зале или иным образом под физическим контролем, чтобы он / она не мог наблюдать за процессом. Хотя чтение пароля по мере его ввода на клавиатуре нетривиально (не сложно, просто не тривиально), если это необходимо повторить, существует более высокий риск получения пароля.

Если возможно, поменяйте замки. Если ключи можно реплицировать (и, вкратце, они могут), это помешает ИТ-менеджеру впоследствии получить физический доступ. Отключите любую пасс-карту, которую вы не можете учесть (не только те, которые, как вы знаете, были выданы ИТ-менеджеру).

Если у вас несколько входящих телефонных линий, проверьте ВСЕ из них, чтобы убедиться, что к ним не подключены неизвестные устройства.

Проверьте политики брандмауэра.
Измените пароль администратора и проверьте учетные записи, которые больше не используются.
Отзовите его / ее сертификаты. Сделайте резервную копию его / ее
рабочей станции и отформатируйте ее.
Используйте контрольные суммы для важных файлов на ваших серверах и на какое-то время поместите IDS в промежуточный порт в вашей стойке.

Просто мои 2ct.

Проверьте и дополнительные аккаунты. Он может легко добавить новую учетную запись, как только узнает, что уходит. Или даже вскоре после его прибытия.

Это зависит от того, насколько ты параноик. Некоторые люди идут - до степени - если это достаточно плохо - замены всех ключей и замков. Еще одна причина быть милым с админами sys;)

Все вышеупомянутые рекомендации хороши - еще один, возможно, даже заставляет всех пользователей менять свои пароли (и, если Windows), применяет сложную политику паролей.

Также - если вы когда-либо делали удаленную поддержку или настраивали удаленный офис / клиента (то есть другой сайт) - попросите их изменить свои пароли тоже.

Не забудьте удалить любые аккаунты типа экстрасети, которые он может иметь от имени вашей компании. Они часто упускаются из виду и часто являются причиной большого горя после смерти.

Возможно, (по треку «Я ультра-параноик») захотите также уведомить своих торговых представителей о различных продавцах, с которыми вы работаете, в случае, если он попытается связаться с кем-то там.

Если он контролировал веб-хостинг вашей компании,

• перепроверить все пути доступа через веб-страницы
• получить весь код, подтвержденный для возможных задних дверей

Слабые стороны в этой области могут повлиять в зависимости от того, как устроен ваш хостинг,

• Клеточный хостинг с административным контролем - как минимум, возможность испорченного сайта
• Локальный хостинг из вашего помещения - доступ к внутренней сети (если у вас нет DMZ, которая также заблокирована)

Моя компания выпустила разработчика не так давно, и была похожая ситуация. Он много знал о системе, и было чрезвычайно важно обеспечить, чтобы он был отключен, как только ему сообщили о его увольнении. Помимо приведенного выше совета, я также использовал Spectre Pro для мониторинга всей его работы за 2 недели до его ухода: сетевой активности (IO), окон чата, электронной почты, снимков экрана каждые 2 минуты и т. Д. Вероятно, это было излишним, и я никогда даже посмотрел на все это, потому что он ушел в хороших отношениях. Это была хорошая страховка, хотя.

Две ключевые вещи, которыми нужно управлять сразу:

1. Физический доступ - если у вас есть электронная система, отзовите его карту. Если все ваши замки являются физическими, либо убедитесь, что все выданные ему ключи возвращены, либо, если вы действительно обеспокоены вредом, измените замки на критические области.

2. Удаленный доступ - убедитесь, что VPN / Citrix / другая учетная запись удаленного доступа этого администратора отключены. Надеюсь, вы не разрешаете удаленный вход с общими учетными записями; если да, измените пароли на всех из них. Также обязательно отключите его учетную запись AD / NIS / LDAP.

Это только покрывает очевидное однако; например, всегда есть вероятность, что он установил пару модемов в серверных комнатах с консольными кабелями в ключевые сетевые устройства / серверы. После того, как вы сделали первоначальную блокировку, вы, вероятно, захотите, чтобы его замена полностью развернула инфраструктуру: A) убедитесь, что документация обновлена, и B) выделите все, что выглядит странно.

На предыдущей работе в небольшой компании уволенный системный администратор знал множество паролей других сотрудников. Утром, когда его отпустили, мы установили свойство «пользователь должен сменить пароль» в любой учетной записи Active Directory, которая имела удаленный доступ.

Это не может быть осуществимо везде, но может быть разумным в зависимости от ситуации.

Я бы порекомендовал следующие процедуры:

• отключить все карты доступа безопасности здания
• отключить все известные учетные записи (особенно VPN и учетные записи, которые могут быть использованы извне компании)
• отключить неизвестные аккаунты (!)
• изменить все пароли администратора
• пересмотреть правила брандмауэра

Это должно охватывать большинство возможных вариантов доступа. Просмотрите всю информацию, относящуюся к безопасности, в следующие недели, чтобы убедиться, что ни один из вариантов не был оставлен «открытым».

Сообщите всем сотрудникам о том, что этот сотрудник уходит, чтобы они чувствовали себя уязвимыми по отношению к попыткам социального взлома по телефону.

Он уже знает, как работает система и что там. Так что ему не нужно слишком много информации, чтобы вернуться, если он захочет.

Если я уйду сегодня из-за нежелательных обстоятельств, я верю, что могу позвонить персоналу, что мне все равно придется делать время от времени, и найти достаточно информации, чтобы вернуться в систему.

Может быть, я бы дал существующим пользователям домена права администратора (перед уходом). Я мог бы позвонить этому пользователю и попросить его / ее сообщить мне ее пароль.

• Отключите их учетную запись пользователя в Active Directory. Проверьте любые другие учетные записи, для которых ИТ-менеджер может знать пароль, и измените или отключите их.
• Отключите любые другие учетные записи, не являющиеся частью Active Directory, либо потому, что они находятся на другом компьютере, либо потому, что они были написаны собственными силами. Получите законных пользователей, чтобы изменить их пароль. (Я все еще могу войти как администратор в учетную запись другого сотрудника по сей день.)
• Если веб-сайт вашей компании размещен за пределами здания, измените пароли для этого тоже.
• Также недовольным сотрудникам может быть довольно тривиально отменить вашу интернет- и / или телефонную связь. Не уверен, как защититься от этого, хотя.
• Измените замки И код тревоги. Взлом может остаться незамеченным достаточно долго, чтобы украсть все ваши вещи.

Единственный способ быть полностью безопасным в случае серверов - это то же самое, что вы гарантируете, что взломанный ящик чист: переустановите. Благодаря Puppet (или какой-либо другой системе управления конфигурацией) переустановка серверов и приведение их в определенное состояние может быть довольно быстрым и автоматизированным.