Il responsabile IT sta lasciando: cosa devo bloccare?

Il responsabile IT potrebbe essere in procinto di partire ed è possibile che la separazione dei modi non sia del tutto civile. Non mi aspetterei davvero alcuna malizia, ma per ogni evenienza, cosa devo controllare, modificare o bloccare?

Esempi:

• Password amministratore
• Password wireless
• Regole di accesso VPN
• Impostazioni del router / firewall

Ovviamente la sicurezza fisica deve essere affrontata, ma dopo ...

Supponendo che non abbiate una procedura documentata per quando i dipendenti lasciano (ambiente generico poiché non menzionate quali piattaforme utilizzate):

1. Inizia con la sicurezza perimetrale. Cambia tutte le password su qualsiasi attrezzatura perimetrale come router, firewall, VPN, ecc ... Quindi blocca tutti gli account che aveva il responsabile IT, oltre a rivedere tutti gli account rimanenti per quelli che non vengono più utilizzati e quelli che non " appartengono (nel caso in cui abbia aggiunto un secondario).
2. Email: rimuovi il suo account o almeno disabilita gli accessi ad esso in base alla politica della tua azienda.
3. Quindi passa attraverso la sicurezza del tuo host. Tutte le macchine e i servizi di directory dovrebbero avere il suo account disabilitato e / o rimosso. (Rimosso è preferito, ma potrebbe essere necessario controllarli nel caso in cui abbia qualcosa in esecuzione che sia valido prima sotto di loro). Ancora una volta, controlla anche gli account che non vengono più utilizzati e quelli che non appartengono. Disabilita / rimuovi anche quelli. Se usi chiavi ssh dovresti cambiarle su account admin / root.
4. Gli account condivisi, se ne hai, dovrebbero cambiare tutte le password. Dovresti anche cercare di rimuovere gli account condivisi o disabilitare l'accesso interattivo su di essi come pratica generale.
5. Account delle applicazioni ... non dimenticare di modificare le password o disabilitare / rimuovere gli account da tutte le applicazioni a cui ha avuto accesso, a partire dagli account di accesso dell'amministratore.
6. Registrazione ... assicurati di disporre di una buona registrazione per l'utilizzo dell'account e monitorala attentamente per cercare attività sospette.
7. Backup ... assicurati che i tuoi backup siano aggiornati e sicuri (preferibilmente fuori sede). Assicurati di aver fatto come sopra con i tuoi sistemi di backup per quanto riguarda gli account.
8. Documenti ... prova il più possibile a identificare, richiedere da lui, se possibile, e copiare in un posto sicuro tutta la sua documentazione.
9. Se disponi di servizi esternalizzati (e-mail, filtro antispam, hosting di qualsiasi tipo, ecc.), Assicurati di fare tutto quanto sopra appropriato anche con tali servizi.

Mentre fai tutto questo, documentalo , in modo da avere una procedura in atto per le terminazioni future.

Inoltre, se si utilizzano servizi di colocation, assicurarsi di aver rimosso il suo nome dall'elenco di accesso e dall'elenco di invio dei ticket. Sarebbe saggio fare lo stesso per tutti gli altri fornitori in cui si occupava della persona principale, in modo che non possa annullare o pasticciare con i servizi che ricevi da quei fornitori e anche che i venditori sappiano chi contattare per i rinnovi, problemi, ecc ... che possono farti venire il mal di testa quando succede qualcosa che il responsabile IT non ha documentato.

Sono sicuro che ce ne sono altri che mi sono persi, ma questo è fuori di testa.

Non dimenticare la sicurezza fisica - assicurati che non possa entrare in nessun edificio - è fantastico che tu sia in tutto il kit di rete, ma se riesce ad accedere al data center è inutile.

Sospettavamo che un dipendente scontento che fosse ancora nel periodo di preavviso potesse aver installato alcuni programmi di accesso remoto, quindi abbiamo limitato il suo account di accesso solo alle ore di lavoro, in modo che non potesse effettuare il controllo remoto dopo le ore in cui nessuno era in giro per fare cose (durante l'orario di lavoro abbiamo potuto vedere chiaramente il suo schermo, quindi se si fosse alzato per malizia lo avremmo saputo).

Si è rivelato prezioso, aveva installato LogMeIn e in effetti ha tentato l'accesso dopo le ore.

(questa era una piccola rete aziendale, niente ACL o fantasiosi firewall)

Fai anche attenzione a non bloccare troppo. Ricordo una situazione in cui qualcuno se ne andò e il giorno dopo divenne evidente che alcuni software business-critical erano effettivamente in esecuzione con il suo account utente personale.

Solo per aggiungere - assicurati anche di avere il controllo degli accessi non riusciti e riusciti - un sacco di errori per un account seguito dal successo potrebbe eguagliare l'hacking. Potresti anche far cambiare anche la password a chiunque altro se il responsabile IT fosse coinvolto nelle impostazioni della password. Non dimenticare anche le password del database e potresti voler cancellare il suo account e-mail per informazioni sicure. Metterei anche controlli di accesso su qualsiasi informazione / database confidenziale e gli impedirei di eseguire backup di sistema / database.

Spero che sia di aiuto.

Assicurati anche, prima di lasciar andare questo individuo, di capire che le cose possono e andranno in giù, o essere problematiche fino a quando non lo sostituirai. Spero che non li biasimerai per tutto ciò che accade solo perché presumi / sai che non sarà una buona separazione dei modi, o pensi che ti stiano hackerando in qualche modo perché il water traboccava.

Spero che quello scenario ti suoni assurdo. Ma è una storia vera dal mio ultimo lavoro che ora il proprietario sta cercando di farmi causa per sabotaggio (fondamentalmente perché ho lasciato e non sono disposti a pagare a nessuno il tasso di mercato per sostituirmi) e crimini informatici come l'hacking e racket su Internet.

La linea di fondo è, valutare il "perché" per il motivo del loro licenziamento. Se si tratta di qualcosa di diverso dalle esigenze economiche, ti suggerisco di perfezionare le tue procedure di assunzione in modo da poter assumere un individuo più professionale in cui, per professione, deve essere affidabile e affidabile con informazioni strategiche e generalmente riservate di missione aziendale e che possono installare correttamente procedure di sicurezza che tutti devono seguire.

Un modo per sapere mentre stai intervistando è quanto stanno intervistando te e la tua azienda in cambio. Responsabilità (come in ciò che la società ritiene che il responsabile IT possa essere ritenuto responsabile in caso di problemi, di solito in un contratto) e la sicurezza generale della rete è una delle 3 cose principali nella mente di qualsiasi responsabile IT / CTO quando arriva per intervistare un lavoro.

Modifica tutte le password dell'amministratore (server, router, switch, accesso remoto, firewall) Rimuovere tutte le regole del firewall per l'accesso remoto per il responsabile IT. Se si utilizzano token di sicurezza, dissociare i token del responsabile IT da tutti gli accessi. Rimuovere l'accesso TACACS (se lo si utilizza).

Assicurati di apportare queste modifiche con il responsabile IT in una sala conferenze o in altro modo sotto il controllo fisico, in modo che non possa osservare il processo. Mentre leggere un poassword mentre viene digitato su una tastiera non è banale (non è difficile, ma non banale), se questo deve essere ripetuto, c'è un rischio maggiore di ottenere la password.

Se possibile, modificare i blocchi. Se le chiavi possono essere replicate (e in breve, possono), ciò impedirà al responsabile IT di ottenere l'accesso fisico in seguito. Disabilita qualsiasi passcard per la quale non riesci a tenere conto (non solo le carte che conosci sono state emesse al responsabile IT).

Se si dispone di più linee telefoniche in entrata, controllare TUTTE, per assicurarsi che non siano collegati dispositivi sconosciuti.

Controlla i criteri del firewall
Cambia la password dell'amministratore e controlla gli account che non sono più in uso.
Revoca i suoi certificati
Esegui il backup della sua workstation e formattalo.
Usa i controlli di checksum per i file importanti sui tuoi server e metti un IDS su una porta span nel tuo rack per un po '.

Solo i miei 2 ct.

Controlla anche altri account. Potrebbe facilmente aggiungere un nuovo account una volta che sa che se ne sta andando. O anche poco dopo il suo arrivo.

Dipende da quanto sei paranoico. Alcune persone arrivano al punto - se è abbastanza male - di sostituire tutte le chiavi e le serrature. Un altro motivo per essere gentili con gli amministratori di sistema;)

Tutti i consigli di cui sopra sono buoni - un altro è forse anche quello di indurre tutti gli utenti a cambiare le loro password (e se Windows) impongono la complessa politica delle password.

Inoltre, se hai mai effettuato assistenza remota o impostato un ufficio / client remoto (ad es. Un altro sito), puoi anche cambiare le loro password.

Non dimenticare di eliminare tutti gli account di tipo Extranet che potrebbe avere per conto della tua azienda. Questi sono spesso trascurati e spesso la causa di molto dolore post-mortem.

Potrebbe (lungo la traccia "I'm ultra-paranoid") voler anche informare i tuoi rappresentanti di vendita per i diversi fornitori con cui lavori nel caso in cui provasse a contattare qualcuno lì.

Se avesse alcun controllo sul web hosting della tua azienda,

• ricontrollare tutti i percorsi di accesso attraverso le pagine Web
• ottenere tutto il codice convalidato per eventuali backdoor

Le debolezze in quest'area possono influire in base al modo in cui viene eseguito il tuo hosting,

• Hosting in gabbia con controllo amministrativo - per lo meno possibilità di un sito deturpato
• Hosting locale dalla tua sede - accesso alla rete interna (a meno che tu non abbia una DMZ che è anche bloccata)

La mia azienda ha lasciato andare uno sviluppatore non molto tempo fa ed era una situazione simile. Conosceva molto del sistema ed era della massima importanza assicurarsi che venisse interrotto nel momento in cui fu informato del suo licenziamento. A parte i consigli di cui sopra ho anche usato Spectre Pro per monitorare tutto il suo lavoro per le 2 settimane prima della sua partenza: attività di rete (IO), finestre di chat, e-mail, schermate ogni 2 minuti, ecc. Probabilmente era eccessivo e non ho mai ne ho persino guardato perché se n'è andato in buoni rapporti. Era una buona assicurazione però.

Le due cose chiave da gestire immediatamente sono:

1. Accesso fisico: se si dispone di un sistema elettronico, revocare la sua carta. Se i tuoi lucchetti sono tutti fisici, assicurati che vengano restituite tutte le chiavi che gli sono state fornite, o se sei davvero preoccupato per i malizia, cambia i lucchetti in aree critiche.

2. Accesso remoto: assicurarsi che VPN / Citrix / altri account di accesso remoto di questo amministratore siano disabilitati. Si spera che non si consentano accessi remoti con account condivisi; se lo sei, cambia le password su tutte. Assicurati anche di disabilitare il suo account AD / NIS / LDAP.

Questo copre solo l'ovvio comunque; c'è sempre la possibilità, ad esempio, di aver installato un paio di modem nelle sale server, con cavi console in dispositivi / server di rete chiave. Una volta terminato il blocco iniziale, probabilmente si desidera che il suo sostituto esegua una scansione completa dell'infrastruttura verso A) assicurarsi che la documentazione sia aggiornata e B) evidenziare tutto ciò che sembra strano.

In un precedente lavoro presso una società più piccola, l'amministratore di sistema lasciato andare conosceva molte password di altri dipendenti. La mattina in cui è stato lasciato andare, abbiamo impostato la proprietà "L'utente deve cambiare la password" sull'account Active Directory di chiunque avesse accesso remoto.

Questo potrebbe non essere fattibile ovunque, ma può essere prudente a seconda della situazione.

Consiglierei le seguenti procedure:

• disabilita tutte le carte d'accesso alla sicurezza dell'edificio
• disabilitare tutti gli account noti (in particolare VPN e account che potrebbero essere utilizzati dall'esterno dell'azienda)
• disabilita account sconosciuti (!)
• cambia tutte le password dell'amministratore
• rivedere le regole del firewall

Questo dovrebbe coprire la maggior parte delle possibili opzioni di accesso. Esamina tutte le informazioni rilevanti per la sicurezza nelle settimane successive, in modo da assicurarti che nessuna opzione sia stata lasciata "aperta".

Informare tutto il personale che questo dipendente se ne sta andando in modo da non essere più vulnerabile ai tentativi di social hacking telefonici.

Sa già come funziona il sistema e cosa c'è lì. Quindi non avrebbe bisogno di troppe informazioni per rientrare se lo desiderasse.

Se me ne andassi di giorno in circostanze tutt'altro che desiderabili, credo di poter chiamare il personale, cosa che devo fare di volta in volta, e scoprire abbastanza informazioni per rientrare nel sistema.

Forse darei i privilegi di amministratore di un utente di dominio esistente (prima di partire). Potrei telefonare a questo utente e farmi rivelare la sua password.

• Disabilita il loro account utente in Active Directory. Verificare la presenza di eventuali altri account di cui il responsabile IT potrebbe conoscere la password e modificarli o disabilitarli.
• Disabilita tutti gli altri account che non fanno parte di Active Directory perché si trovano su un computer diverso o perché sono stati scritti internamente. Ottieni utenti legittimi per cambiare la loro password. (Posso ancora accedere come amministratore all'account di un altro dipendente fino ad oggi.)
• Se il sito Web della tua azienda è ospitato all'esterno dell'edificio, cambia anche le password.
• Può anche essere abbastanza banale per un dipendente scontento ottenere la cancellazione di Internet e / o del servizio telefonico. Non sono sicuro di come difendermi però.
• Modifica i blocchi E il codice di allarme. Un'irruzione potrebbe passare inosservata abbastanza a lungo da rubare tutta la tua roba.

L'unico modo per essere totalmente sicuri nel caso dei server è lo stesso modo in cui si assicura che una casella compromessa sia pulita: reinstallare. Grazie al pupazzo (o qualche altro sistema di gestione della configurazione), reinstallare i server e portarli a uno stato specifico può essere abbastanza rapido e automatizzato.