Назад | Перейти на главную страницу

ИТ-менеджер уходит - что мне заблокировать?

ИТ-менеджер может уйти, и возможно, что расставание не будет полностью вежливым. Я бы не ожидал злого умысла, но на всякий случай, что мне проверить, изменить или заблокировать?

Примеры:

Очевидно, что необходимо заняться физической безопасностью, но после этого ...

Предполагая, что у вас нет задокументированной процедуры ухода сотрудников (общая среда, поскольку вы не указываете, какие платформы вы используете):

  1. Начните с охраны периметра. Измените все пароли на любом оборудовании периметра, таком как маршрутизаторы, брандмауэры, vpn и т. Д. Затем заблокируйте все учетные записи, которые были у ИТ-менеджера, а также проверьте все оставшиеся учетные записи на предмет тех, которые больше не используются, и тех, которые не используются. т принадлежат (в случае, если он добавил вторичный).
  2. Электронная почта - удалите его учетную запись или хотя бы отключите вход в нее в зависимости от политики вашей компании.
  3. Затем пройдите через безопасность вашего хоста. Все машины и службы каталогов должны быть отключены и / или удалены. (Удалить предпочтительнее, но вам может потребоваться их аудит на случай, если у него в первую очередь запущено что-то, что является допустимым для них). Опять же, также проверьте наличие учетных записей, которые больше не используются, а также тех, которые не принадлежат. Отключите / удалите и их. Если вы используете ключи ssh, вы должны изменить их в учетных записях администратора / root.
  4. Для общих учетных записей, если таковые имеются, все пароли должны быть изменены. Вам также следует рассматривать удаление общих учетных записей или отключение интерактивного входа в них как общую практику.
  5. Учетные записи приложений ... не забудьте изменить пароли или отключить / удалить учетные записи всех приложений, к которым у него был доступ, начиная с учетных записей доступа администратора.
  6. Ведение журнала ... убедитесь, что у вас есть хороший журнал для использования учетной записи, и внимательно следите за ним, чтобы найти любую подозрительную активность.
  7. Резервные копии ... убедитесь, что ваши резервные копии актуальны и безопасны (желательно вне офиса). Убедитесь, что вы проделали то же самое со своими системами резервного копирования, что и учетные записи.
  8. Документы ... постарайтесь как можно больше идентифицировать, запросите у него, если возможно, и скопируйте в безопасное место всю его документацию.
  9. Если у вас есть какие-либо услуги, переданные на аутсорсинг (электронная почта, фильтрация спама, хостинг любого типа и т. Д.), Убедитесь, что вы выполняете все вышеперечисленное, что подходит и для этих услуг.

Когда вы все это делаете, задокументируйте это, так что у вас есть процедура для будущих прекращений.

Кроме того, если вы пользуетесь услугами по размещению, убедитесь, что его имя удалено из списка доступа и списка отправки билетов. Было бы разумно сделать то же самое для любых других поставщиков, где он был основным лицом, обслуживающим его, чтобы он не мог отменять или вмешиваться в услуги, которые вы получаете от этих поставщиков, а также чтобы поставщики знали, к кому обращаться для продления. проблемы и т. д., которые могут избавить вас от головной боли, когда что-то не задокументировал ИТ-менеджер.

Я уверен, что я пропустил еще кое-что, но это не в моей голове.

Не забывайте о физической безопасности - убедитесь, что он не может попасть в какое-либо здание - это здорово, что у вас есть весь сетевой комплект, но если он сможет добраться до центра обработки данных, это бессмысленно.

Мы подозревали, что недовольный сотрудник, который все еще находился в периоде уведомления, возможно, установил некоторые программы удаленного доступа, поэтому мы ограничили его учетную запись для входа только в рабочее время, чтобы он не мог удаленно работать в нерабочее время, когда вокруг никого не было. вещи (в рабочее время мы могли ясно видеть его экран, поэтому, если бы он пошалил, мы бы знали).

Как оказалось, он установил LogMeIn и действительно пытался получить доступ в нерабочее время.

(это была сеть небольшой компании, без списков контроля доступа или необычных межсетевых экранов)

Также будьте осторожны, чтобы не блокировать слишком много. Я помню ситуацию, когда кто-то ушел, и через день стало очевидно, что какое-то критически важное для бизнеса программное обеспечение действительно работает под его личной учетной записью.

Также убедитесь, прежде чем отпустить этого человека, понять, что все может и будет идти плохо или будет проблематично, пока вы не замените этого человека. Я надеюсь, что вы не будете винить их во всем, что происходит, только потому, что вы предполагаете / знаете, что это не будет хорошим разделением, или думаете, что они каким-то образом взламывают вас, потому что унитаз переполнен.

Надеюсь, этот сценарий покажется вам абсурдным. Но это правдивая история из моей последней работы, что теперь владелец пытается подать на меня в суд за саботаж (в основном потому, что я уволился, а они не готовы платить кому-либо по рыночной ставке, чтобы заменить меня) и киберпреступления, такие как взлом и Интернет-рэкет.

Суть в том, оцените «почему» по причине их увольнения. Если это не экономические нужды, я предлагаю вам усовершенствовать процедуры приема на работу, чтобы вы могли нанять более профессионального человека, который по профессии должен быть надежным и заслуживающим доверия с критически важной и, как правило, конфиденциальной информацией для бизнеса, и который может правильно установить процедуры безопасности, которым должен следовать каждый.

Один из способов узнать во время собеседования - это то, насколько хорошо они взамен собеседуют вас и ваш бизнес. Ответственность (как и в том, что компания считает, что ИТ-менеджер может быть обвинен в том, что если что-то пойдет не так - обычно это оговорено в контракте), и общая сетевая безопасность - это одна из трех главных вещей, о которых думает любой надлежащий ИТ-менеджер / технический директор. на собеседование для приема на работу.

Просто добавьте - также убедитесь, что у вас есть аудит неудачных и успешные входы в систему - множество неудач для учетной записи с последующим успехом может быть равно взлому. Вы также можете заставить всех остальных изменить свои пароли, если ИТ-менеджер участвовал в настройке паролей. Не забывайте также пароли к базе данных, и вы можете очистить его / ее учетную запись электронной почты для получения безопасной информации. Я бы также проверил доступ к любой конфиденциальной информации / базам данных и запретил ему / ей выполнять резервное копирование системы / базы данных.

Надеюсь это поможет.

Измените все пароли администратора (серверы, маршрутизаторы, коммутаторы, удаленный доступ, брандмауэры). Удалите все правила брандмауэра для удаленного доступа для ИТ-менеджера. Если вы используете токены безопасности, отключите токен (ы) ИТ-менеджера от любого доступа. Удалите доступ TACACS (если вы его используете).

Обязательно выполняйте эти изменения вместе с ИТ-менеджером в конференц-зале или под физическим контролем, чтобы он не мог наблюдать за процессом. Хотя чтение пароля при его вводе на клавиатуре нетривиально (не сложно, просто нетривиально), если это нужно повторить, существует более высокий риск подбора пароля.

По возможности поменяйте замки. Если ключи можно реплицировать (короче говоря, они могут), это помешает ИТ-менеджеру получить физический доступ впоследствии. Отключите любую карту доступа, которую вы не можете использовать (не только карту (карты), которые, как вы знаете, были выданы ИТ-менеджеру).

Если у вас несколько входящих телефонных линий, отметьте ВСЕ они, чтобы убедиться, что к ним не подключены неизвестные устройства.

Не забудьте удалить любые учетные записи в экстранете, которые он может иметь от имени вашей компании. Их часто не замечают, и они часто становятся причиной многих вскрытий горя.

Возможно (по треку «Я ультра-параноик») также захочется уведомить ваших торговых представителей разных поставщиков, с которыми вы работаете, на случай, если он попытается связаться с кем-то там.

Это зависит от того, насколько вы параноик. Некоторые люди идут до такой степени - если это достаточно плохо - до замены всех ключей и замков. Еще одна причина быть милой сисадминам;)

Все вышеупомянутые советы хороши - еще один, возможно, даже заставит всех пользователей изменить свои пароли (и, если Windows) применить сложную политику паролей.

Также - если вы когда-либо оказывали удаленную поддержку или настраивали удаленный офис / клиент (например, другой сайт) - попросите их также изменить свои пароли.

Проверьте политики брандмауэра
Измените пароль администратора и проверьте учетные записи, которые больше не используются.
Отозвать его / ее сертификаты
Сделайте резервную копию его / ее рабочей станции и отформатируйте ее.
Используйте контрольные суммы для важных файлов на своих серверах и на время подключите IDS к порту span в вашей стойке.

Просто мой 2цт.

Также проверьте наличие дополнительных учетных записей. Он легко сможет добавить новую учетную запись, если узнает, что уходит. Или даже вскоре после его приезда.

На предыдущей работе в небольшой компании уволенный системный администратор знал пароли многих других сотрудников. Утром, когда его отпустили, мы установили свойство «пользователь должен сменить пароль» для любой учетной записи Active Directory, имеющей удаленный доступ.

Это может быть осуществимо не везде, но может быть разумным в зависимости от ситуации.

Двумя ключевыми вещами, которыми нужно управлять немедленно, являются:

  1. Физический доступ - если у вас есть электронная система, отзовите его карту. Если все ваши замки являются физическими, либо убедитесь, что все ключи, выданные ему, возвращены, либо, если вы действительно беспокоитесь о вреде, замените замки на критические области.

  2. Удаленный доступ - убедитесь, что VPN / Citrix / другая учетная запись удаленного доступа этого администратора отключена. Надеюсь, вы не разрешаете удаленный вход с использованием общих учетных записей; если да, измените пароли на всех из них. Также не забудьте отключить его учетную запись AD / NIS / LDAP.

Однако это лишь покрывает очевидное; всегда есть вероятность, например, что он установил пару модемов в серверных комнатах с консольными кабелями к ключевым сетевым устройствам / серверам. После того, как вы выполнили первоначальную блокировку, вы, вероятно, захотите, чтобы его замена провела полную очистку инфраструктуры, чтобы: A) убедиться, что документация обновлена, и B) выделить все, что выглядит странно.

Моя компания не так давно уволила разработчика, и была похожая ситуация. Он много знал об этой системе, и крайне важно было убедиться, что его отключат, как только ему сообщат о своем увольнении. Помимо приведенных выше советов, я также использовал Spectre Pro для наблюдения за всей его работой за 2 недели до его ухода: сетевая активность (IO), окна чатов, электронные письма, скриншоты каждые 2 минуты и т. Д. Это, вероятно, было излишним, и я никогда даже посмотрел на любой из них, потому что он ушел в хороших отношениях. Хотя это была хорошая страховка.

Если бы он контролировал веб-хостинг вашей компании,

  • перепроверить все пути доступа через веб-страницы
  • получить весь код, подтвержденный для возможных задних дверей

Слабые стороны в этой области могут повлиять на то, как устроен ваш хостинг,

  • Клетчатый хостинг с административным управлением - минимум возможность испортить сайт
  • Локальный хостинг из вашего помещения - доступ к внутренней сети (если у вас нет DMZ, которая также заблокирована)

Сообщите всем сотрудникам, что этот сотрудник уходит, чтобы они считались уязвимыми для попыток взлома через социальные сети.

Он уже знает, как работает система и что там. Так что ему не понадобится слишком много информации, чтобы вернуться, если он захочет.

Если бы я ушел сегодня при неблагоприятных обстоятельствах, я считаю, что смогу позвонить персоналу, что мне все равно приходится делать время от времени, и узнать достаточно информации, чтобы вернуться в систему.

Возможно, я дал бы существующему пользователю домена права администратора (перед уходом). Я могу позвонить этому пользователю и попросить его / ее сообщить мне свой пароль.

Я бы порекомендовал следующие процедуры:

  • отключить все карты доступа безопасности здания
  • отключите все известные учетные записи (особенно VPN и учетные записи, которые можно использовать извне)
  • отключить неизвестные аккаунты (!)
  • изменить все пароли администратора
  • просмотреть правила брандмауэра

Это должно охватывать большинство возможных вариантов доступа. Просмотрите всю информацию, имеющую отношение к безопасности, в следующие недели, чтобы убедиться, что ни один из вариантов не остался «открытым».

  • Отключите их учетную запись пользователя в Active Directory. Проверьте наличие других учетных записей, пароль от которых может быть известен ИТ-менеджеру, и измените или отключите их.
  • Отключите любые другие учетные записи, не входящие в Active Directory, либо потому, что они находятся на другом компьютере, либо потому, что они были написаны внутри компании. Попросите законных пользователей сменить пароль. (Я до сих пор могу войти как администратор в учетную запись другого сотрудника.)
  • Если веб-сайт вашей компании размещен вне здания, измените пароли и для этого.
  • Для недовольного сотрудника также может быть довольно тривиально отменить ваше Интернет- и / или телефонное обслуживание. Хотя не знаю, как от этого защититься.
  • Измените замки И код сигнализации. Взлом может остаться незамеченным достаточно долго, чтобы украсть все ваши вещи.

Единственный способ быть полностью безопасным в случае с серверами - это точно так же, как вы убедитесь, что взломанный ящик чист: переустановите. Благодаря кукольный (или какой-либо другой системы управления конфигурацией) переустановка серверов и перевод их в определенное состояние может быть довольно быстрой и автоматизированной.