Menedżer IT odchodzi - Co mogę zablokować?

Menedżer IT może odchodzić i możliwe, że rozstanie się może nie być całkowicie cywilne. Nie spodziewałbym się złośliwości, ale na wszelki wypadek, co mam sprawdzić, zmienić lub zablokować?

Przykłady:

• Hasła administratora
• Hasła bezprzewodowe
• Zasady dostępu VPN
• Ustawienia routera / zapory

Oczywiście należy zająć się bezpieczeństwem fizycznym, ale potem ...

Zakładając, że nie masz udokumentowanej procedury dotyczącej odejścia pracowników (ogólne środowisko, ponieważ nie wspominasz o obsługiwanych platformach):

1. Zacznij od ochrony obwodowej. Zmień wszystkie hasła na dowolnym sprzęcie zewnętrznym, takim jak routery, zapory ogniowe, sieci VPN itp. Następnie zablokuj wszystkie konta, które posiadał kierownik działu IT, a także przejrzyj wszystkie pozostałe konta dla tych, które nie są już używane, i które nie należą (na wypadek gdyby dodał drugorzędne).
2. E-mail - usuń jego konto lub przynajmniej wyłącz logowanie do niego, w zależności od zasad firmy.
3. Następnie przejdź przez zabezpieczenia swojego hosta. Wszystkie maszyny i usługi katalogowe powinny mieć wyłączone i / lub usunięte jego konto. (Preferowane jest usunięcie, ale może zajść potrzeba ich skontrolowania, jeśli ma coś, co działa najpierw pod nimi). Ponownie, sprawdź także wszystkie konta, które nie są już używane, a także te, które nie należą. Wyłącz / usuń również. Jeśli używasz kluczy ssh, powinieneś zmienić je na kontach administratora / root.
4. Na wszystkich kontach wspólnych, jeśli je masz, wszystkie hasła powinny zostać zmienione. Powinieneś również rozważyć usunięcie wspólnych kont lub wyłączenie interaktywnego logowania na nich jako ogólną praktykę.
5. Konta aplikacji ... nie zapomnij zmienić haseł lub wyłącz / usuń konta ze wszystkich aplikacji, do których miał dostęp, zaczynając od kont dostępu administratora.
6. Logowanie ... upewnij się, że masz dobre logowanie do korzystania z konta i uważnie go monitoruj, aby wyszukać podejrzane działania.
7. Kopie zapasowe ... upewnij się, że kopie zapasowe są aktualne i bezpieczne (najlepiej poza siedzibą). Upewnij się, że zrobiłeś to samo, co powyżej z systemami kopii zapasowych, jeśli chodzi o konta.
8. Dokumenty ... staraj się jak najlepiej zidentyfikować, poproś go, jeśli to możliwe, i skopiuj gdzieś bezpiecznie całą jego dokumentację.
9. Jeśli masz jakieś usługi zlecone na zewnątrz (e-mail, filtrowanie spamu, hosting dowolnego rodzaju itp.), Upewnij się, że wykonałeś wszystkie powyższe czynności, które są odpowiednie również dla tych usług.

Wykonując to wszystko, udokumentuj to , aby mieć procedurę dotyczącą przyszłych wypowiedzeń.

Ponadto, jeśli korzystasz z usług kolokacji, upewnij się, że jego nazwisko zostało usunięte z listy dostępu i listy zgłoszeń. Mądrze byłoby zrobić to samo dla wszystkich innych dostawców, w których był on główną osobą zajmującą się obsługą, aby nie mógł anulować ani nie zadzierać z usługami otrzymywanymi od tych dostawców, a także aby sprzedawcy wiedzieli, z kim się skontaktować w celu przedłużenia, problemy itp., które mogą zaoszczędzić ci bólu głowy, gdy zdarzy się coś, czego nie udokumentował menedżer IT.

Jestem pewien, że coś więcej mi umknęło, ale to jest poza moją głową.

Nie zapomnij o bezpieczeństwie fizycznym - upewnij się, że nie może dostać się do żadnego budynku - to świetnie, że jesteś w całym zestawie sieciowym, ale jeśli może dostać się do centrum danych, nie ma sensu.

Podejrzewaliśmy, że niezadowolony pracownik, który był jeszcze w okresie wypowiedzenia, mógł zainstalować niektóre programy zdalnego dostępu, dlatego ograniczyliśmy jego konto logowania tylko do godzin pracy, aby nie mógł zdalnie pracować po godzinach, kiedy nikogo nie było w pobliżu rzeczy (w godzinach pracy mogliśmy wyraźnie zobaczyć jego ekran, więc gdyby wpadł w błąd, wiedzielibyśmy).

Okazał się cenny, zainstalował LogMeIn i faktycznie próbował uzyskać dostęp po godzinach.

(to była sieć małych firm, brak list ACL lub wymyślnych zapór ogniowych)

Uważaj również, aby nie za bardzo zablokować. Pamiętam sytuację, w której ktoś wyszedł, a dzień później stało się jasne, że niektóre kluczowe dla biznesu oprogramowanie działało na jego osobistym koncie użytkownika.

Wystarczy dodać - upewnij się, że masz kontrolę nieudanych i udanych logowań - kilka awarii konta, po których nastąpi sukces, może równać się z hackowaniem. Możesz również zmusić wszystkich innych do zmiany haseł, jeśli Menedżer IT był zaangażowany w ustawienia haseł. Nie zapomnij również haseł do baz danych, a możesz chcieć wyczyścić jego / jej konto e-mail w celu uzyskania bezpiecznych informacji. Chciałbym również sprawdzić dostęp do wszelkich poufnych informacji / baz danych i zabronić mu / jej wykonywania kopii zapasowych systemu / bazy danych.

Mam nadzieję że to pomoże.

Upewnij się także, zanim pozwolisz tej osobie odejść, aby zrozumieć, że rzeczy mogą i będą spadać, lub będą problematyczne, dopóki nie zastąpisz tej osoby. Mam nadzieję, że nie obwiniesz ich za wszystko, co zejdzie na dół tylko dlatego, że zakładasz / wiesz, że to nie będzie dobre rozstanie, lub myślisz, że w jakiś sposób cię hakują, ponieważ toaleta się przepełniła.

Mam nadzieję, że ten scenariusz brzmi dla ciebie niedorzecznie. Ale to jest prawdziwa historia z mojej ostatniej pracy, że teraz właściciel próbuje pozwać mnie za sabotaż (głównie dlatego, że rezygnuję i nie są w stanie zapłacić nikomu stawki rynkowej za mnie) i cyberprzestępstwa, takie jak hackowanie i ściąganie haraczy przez internet.

Podsumowując, oceń „dlaczego” z powodu ich zwolnienia. Jeśli jest to coś innego niż potrzeby ekonomiczne, proponuję dopracować swoje procedury rekrutacyjne, abyś mógł zatrudnić bardziej profesjonalną osobę, w której z zawodu musi być rzetelna i godna zaufania z ważnymi i zwykle poufnymi informacjami biznesowymi oraz która może zainstalować odpowiednią procedury bezpieczeństwa, których wszyscy muszą przestrzegać.

Jednym ze sposobów, aby wiedzieć, kiedy przeprowadzasz wywiad, jest to, jak dobrze przeprowadzają wywiad z tobą i twoją firmą w zamian. Odpowiedzialność (jak w opinii firmy kierownik IT może zostać pociągnięty do winy, gdyby coś poszło nie tak - zwykle w umowie), a ogólne bezpieczeństwo sieci jest jedną z 3 najważniejszych rzeczy, o których myśli właściwy kierownik IT / CTO w celu rozmowy kwalifikacyjnej o pracę.

Zmień wszystkie hasła administratora (serwery, routery, przełączniki, dostęp do remore, zapory) Usuń wszystkie reguły zapory dla zdalnego dostępu dla menedżera IT. Jeśli korzystasz z tokenów bezpieczeństwa, odłącz token (y) menedżera IT od wszelkiego dostępu. Usuń dostęp TACACS (jeśli z niego korzystasz).

Pamiętaj o wprowadzeniu tych zmian z kierownikiem IT w sali konferencyjnej lub w inny sposób pod fizyczną kontrolą, aby nie mógł obserwować procesu. Podczas odczytywania poassworda wpisywanego na klawiaturze nie jest trywialne (nie trudne, po prostu nie trywialne), jeśli trzeba to powtórzyć, istnieje większe ryzyko, że hasło zostanie zebrane.

Jeśli to możliwe, zmień blokady. Jeśli klucze mogą zostać zreplikowane (w skrócie, mogą), uniemożliwi to późniejemu menedżerowi IT uzyskanie fizycznego dostępu. Wyłącz wszelkie karty dostępu, których nie możesz uwzględnić (nie tylko karty, o których wiesz, że zostały wydane menedżerowi IT).

Jeśli masz wiele przychodzących linii telefonicznych, sprawdź WSZYSTKIE z nich, aby upewnić się, że nie są do nich podłączone żadne nieznane urządzenia.

Sprawdź zasady zapory
Zmień hasło administratora i sprawdź, czy nie są już używane konta.
Odwołaj jego certyfikaty
Wykonaj kopię zapasową stacji roboczej i sformatuj ją.
Użyj kontroli sumy kontrolnej dla ważnych plików na swoich serwerach i umieść IDS na porcie zakresu w stojaku na chwilę.

Tylko moje 2 centy.

Sprawdź też dodatkowe konta. Mógłby z łatwością dodać nowe konto, gdy dowie się, że odchodzi. Lub nawet wkrótce po jego przybyciu.

To zależy jak jesteś paranoikiem. Niektórzy ludzie idą w takim stopniu - jeśli to wystarczająco złe - wymienić wszystkie klucze i zamki. Kolejny powód, aby być miły dla administratorów systemu;)

Wszystkie powyższe porady są dobre - kolejna może nawet zmusić wszystkich użytkowników do zmiany haseł (a jeśli Windows) wymusza stosowanie złożonych zasad haseł.

Ponadto - jeśli kiedykolwiek przeprowadzałeś zdalną pomoc techniczną lub konfigurowałeś zdalne biuro / klient (tj. Inną witrynę) - poproś ich o zmianę haseł.

Nie zapomnij wysadzić kont typu ekstranet, które mógłby mieć w imieniu Twojej firmy. Są one często pomijane i często są przyczyną wielu żałoby pośmiertnych.

Może (wzdłuż ścieżki „Jestem ultra-paranoikiem”) chcę również powiadomić przedstawicieli handlowych o różnych sprzedawcach, z którymi współpracujesz, na wypadek, gdyby próbował się z kimś skontaktować.

Jeśli miałby kontrolę nad hostingiem Twojej firmy,

• ponownie sprawdź wszystkie ścieżki dostępu przez strony internetowe
• uzyskać cały kod sprawdzony pod kątem ewentualnych tylnych drzwi

Słabości w tym obszarze mogą mieć wpływ na sposób prowadzenia hostingu,

• Hosting w klatkach z kontrolą administracyjną - przynajmniej możliwość uszkodzenia witryny
• Lokalny hosting z Twojej siedziby - dostęp do sieci wewnętrznej (chyba że masz strefę DMZ, która jest również zablokowana)

Moja firma wypuściła programistę nie tak dawno temu i była podobna sytuacja. Znał wiele z systemu i sprawą najwyższej wagi było zapewnienie, że zostanie odcięty, gdy tylko zostanie poinformowany o zwolnieniu. Oprócz wyżej wymienionych rad użyłem również Spectre Pro do monitorowania całej jego pracy przez 2 tygodnie przed jego odejściem: aktywność w sieci (IO), okna czatu, e-maile, zrzuty ekranu co 2 minuty itp. Prawdopodobnie była to przesada i nigdy nie nawet spojrzał na którekolwiek z nich, ponieważ wyjechał na dobrych warunkach. To było dobre ubezpieczenie.

Dwie kluczowe rzeczy, którymi należy zarządzać natychmiast, to:

1. Dostęp fizyczny - jeśli masz system elektroniczny, odwołaj jego kartę. Jeśli wszystkie twoje zamki są fizyczne, upewnij się, że wszystkie klucze mu wydane zostały zwrócone, lub jeśli naprawdę martwisz się psotami, zmień zamki na obszary krytyczne.

2. Zdalny dostęp - upewnij się, że VPN / Citrix / inne konto zdalnego dostępu tego administratora jest wyłączone. Mamy nadzieję, że nie zezwalasz na zdalne logowanie przy użyciu wspólnych kont; jeśli tak, zmień hasła na wszystkich z nich. Pamiętaj też o wyłączeniu jego konta AD / NIS / LDAP.

Dotyczy to jednak oczywistości; zawsze istnieje możliwość, na przykład, zainstalowania kilku modemów w serwerowniach, z kablami konsoli do kluczowych urządzeń / serwerów sieciowych. Po dokonaniu początkowej blokady prawdopodobnie chcesz, aby jego zastępca wykonał pełny przegląd infrastruktury do A) upewnienia się, że dokumentacja jest aktualna, a B) zaznaczenia wszystkiego, co wygląda dziwnie.

Podczas poprzedniej pracy w mniejszej firmie zwolniony sysadmin znał wiele haseł innych pracowników. Rano, gdy został wypuszczony, ustawiliśmy właściwość „użytkownik musi zmienić hasło” na dowolnym koncie Active Directory, które miało zdalny dostęp.

Może to nie być możliwe wszędzie, ale może być ostrożne w zależności od sytuacji.

Poleciłbym następujące procedury:

• wyłącz wszystkie karty bezpieczeństwa budynku
• wyłącz wszystkie znane konta (zwłaszcza VPN i konta, z których można korzystać spoza firmy)
• wyłącz nieznane konta (!)
• zmień wszystkie hasła administratora
• przejrzyj reguły zapory

Powinno to obejmować większość możliwych opcji dostępu. Przejrzyj wszystkie informacje dotyczące bezpieczeństwa w kolejnych tygodniach, aby upewnić się, że żadna opcja nie pozostała „otwarta”.

Poinformuj wszystkich pracowników, że ten pracownik odchodzi, aby uważali się za podatnych na próby hackowania przez telefon.

On już wie, jak działa system i co tam jest. Więc nie potrzebowałby zbyt wielu informacji, aby wrócić, gdyby chciał.

Jeśli odejdę na dzień w mniej niż pożądane okoliczności, uważam, że mógłbym wezwać personel, co i tak muszę od czasu do czasu, i znaleźć wystarczającą ilość informacji, aby wrócić do systemu.

Może dałbym istniejące uprawnienia administratora użytkownika domeny (przed opuszczeniem). Mogę zadzwonić do tego użytkownika i poprosić go o ujawnienie mi swojego hasła.

• Wyłącz ich konto użytkownika w usłudze Active Directory. Sprawdź wszystkie inne konta, o których kierownik IT może znać hasło, i zmień je lub wyłącz.
• Wyłącz wszystkie inne konta, które nie są częścią Active Directory, ponieważ znajdują się one na innym komputerze lub zostały utworzone wewnętrznie. Poproś uprawnionych użytkowników o zmianę hasła. (Do dziś mogę zalogować się jako administrator na konto innego pracownika).
• Jeśli witryna firmowa znajduje się na zewnątrz budynku, zmień również hasła do tego.
• Niezadowolenie pracownika może być dość trywialne, aby anulować Twój Internet i / lub usługę telefoniczną. Nie jestem jednak pewien, jak się przed tym bronić.
• Zmień zamki ORAZ kod alarmu. Włamanie może pozostać niezauważone wystarczająco długo, aby ukraść wszystkie twoje rzeczy.

Jedynym sposobem, aby być całkowicie bezpiecznym w przypadku serwerów, jest taki sam sposób, w jaki upewniasz się, że zaatakowane urządzenie jest czyste: zainstaluj ponownie. Dzięki marionetce (lub innemu systemowi zarządzania konfiguracją) ponowna instalacja serwerów i doprowadzenie ich do określonego stanu może być dość szybka i zautomatyzowana.