Il responsabile IT sta lasciando – Che cosa block?

Il responsabile IT potrebbe partire, ed è ansible che la separazione dei modi potrebbe non essere completamente civile. Non vorrei veramente aspettarmi alcuna malizia, ma solo nel caso, cosa controllavo, cambierò o bloccassi?

Esempi:
Password amministratore
Password wireless
Regole di accesso VPN
Impostazioni Router / Firewall

  • Filtro dei registri di protezione per utente e tipo di accesso
  • Quanto è sicura la connessione a Desktop remoto?
  • Heartbleed: che cosa è e quali sono le opzioni per mitigare?
  • Configurazione di elenchi di mailing-blind in Outlook per AD / utenti esterni con replay-tutti disabilitati?
  • Heartbleed: sono servizi diversi da HTTPS interessati?
  • Toolkit di Security Admins? Cosa c'è nel tuo?
  • Tutti i consigli apprezzati.

    19 Solutions collect form web for “Il responsabile IT sta lasciando – Che cosa block?”

    Ovviamente la sicurezza fisica deve essere affrontata, ma dopo che …

    Supponendo che non si dispone di una procedura documentata per quando i dipendenti si allontanano (ambiente generico in quanto non si menziona quali piattaforms si esegue):

    1. Inizia con la sicurezza perimetrale. Cambiare tutte le password su qualsiasi perimetro come router, firewall, vpn, ecc … Quindi bloccare tutti i conti che il gestore IT aveva, oltre a rivedere tutti gli altri account che non sono più utilizzati, t appartengono (nel caso in cui ha aggiunto un secondo).
    2. Email – rimuovi il tuo account o alless disabilita gli accessi a seconda della tua politica aziendale.
    3. Quindi passare attraverso la sicurezza dell'ospite. Tutte le macchine ei servizi di directory dovrebbero avere il suo account disabilitato e / o rimosso. (È preferibile rimuoverlo, ma potrebbe essere necessario controllarli nel caso in cui abbia eseguito qualsiasi cosa valida sotto di essi). Ancora una volta, esamina anche i conti che non sono più utilizzati, oltre a quelli che non appartengono. Distriggersre / rimuovere anche quelli. Se si utilizzano le chiavi ssh, è necessario modificarle su account amministratore / root.
    4. I conti condivisi, se ne hai, dovranno cambiare tutte le password. Dovresti anche considerare la rimozione di account condivisi o distriggersre l'accesso interattivo su di essi come pratica generale.
    5. Account di applicazioni … non dimenticate di cambiare le password o distriggersre / rimuovere gli account da tutte le applicazioni di cui ha avuto accesso, a partire dagli account di accesso amministrativo.
    6. Logging … assicuratevi di avere una buona logging per l'utilizzo dell'account e monitorarlo da vicino per cercare qualsiasi attività sospetta.
    7. Backup … assicurati che i tuoi backup siano attuali e protetti (preferibilmente fuori sede). Assicurarsi di aver fatto lo stesso di quanto sopra con i tuoi sisthemes di backup per quanto riguarda i conti.
    8. Documenti … provate quanto più ansible per identificare, chiedere da lui se ansible e copiare da qualche parte sicuro, tutta la sua documentazione.
    9. Se hai servizi in outsourcing (email, filtraggio spam, hosting di qualsiasi tipo, ecc.), Assicuratevi di fare tutto quanto sopra opportuno con questi servizi.

    Come fai tutto questo, documentalo , in modo che tu abbia una procedura in atto per future scadenze.

    Inoltre, se utilizzi un servizio di colocazione, assicurati di aver rimosso il suo nome dall'elenco di accesso e nell'elenco dei biglietti. Sarebbe opportuno fare lo stesso per tutti gli altri fornitori in cui era la persona principale a gestire, in modo che non potesse annullare o compromettere i servizi che otteniate da questi fornitori e anche perché i fornitori sappiano chi contattare per i rinnovi, problemi, ecc … che possono risparmiare qualche mal di testa quando qualcosa che il gestore IT non ha documentato accade.

    Sono sicuro che ci sia più che ho perso, ma questo è fuori dalla parte superiore della mia testa.

    Non dimenticate la sicurezza fisica – assicuratevi di non poter entrare in nessun edificio – è fantastico che tu sia tutto il kit di networking, ma se riesce a raggiungere il centro dati, è inutile.

    Sospettavamo che un dipendente scoraggiato che fosse ancora nel loro periodo di preavviso potrebbe avere installato alcuni programmi di accesso remoto, pertanto abbiamo limitato il suo account di accesso solo alle ore di lavoro, in modo che non poteva essere remoto in ore di lavoro quando nessuno era in giro a fare cose (durante le ore di lavoro abbiamo potuto vedere il suo schermo chiaramente, quindi se si alzò a male che avremmo conosciuto).

    Si è rivelato prezioso, ha installato LogMeIn e ha effettivamente tentato l'accesso alle ore successive.

    (questa era una piccola networking aziendale, non ACL o firewall)

    Anche fare attenzione a non bloccare troppo. Mi ricordo di una situazione in cui qualcuno se ne andò e un giorno dopo si rese conto che alcuni software aziendali critici erano in esecuzione sotto il proprio account utente personale.

    Solo per aggiungere – anche assicurarsi di avere il controllo di login non riusciti e di successo – un sacco di errori per un account seguito dal successo potrebbe essere uguale all'hacking. Potresti anche far modificare tutte le password anche se il responsabile IT è stato coinvolto nelle impostazioni della password. Non dimenticare anche le password del database e si potrebbe desiderare di pulire il proprio account di posta elettronica per get informazioni sicure. Avrei anche messo i controlli di accesso su qualsiasi informazione / database riservati, e non lo consentirei per eseguire backup di sistema / database.

    Spero che questo ti aiuti.

    Assicurati anche che prima di lasciare che questo individuo vada, capire che le cose possono e scenderanno, o essere problematiche fino a quando non sostituirà quella persona. Spero che non li incolpate per tutto ciò che scende solo perché si assume / sa che non sarà una buona separazione dei modi, o pensi che ti stanno hacking in qualche modo perché il bagno è traboccato.

    Speriamo che lo scenario possa sembrare preposto a te. Ma è una storia vera del mio ultimo lavoro che ora il proprietario sta cercando di denunciarmi per il sabotaggio (fondamentalmente perché ho rinunciato e non sono disposti a pagare a nessuno il tasso di mercato per sostituirmi) e crimini informatici come hacking e racketeering internet.

    La linea inferiore è, valutare il "perché" per il motivo del loro licenziamento. Se non si tratta di esigenze economiche, suggerisco di perfezionare le procedure di assunzione in modo da poter assumere un individuo più professionale in cui, per professione, deve essere affidabile e affidabile con informazioni aziendali critiche e di solito riservate e chi può installare correttamente procedure di sicurezza che tutti devono seguire.

    Un modo per sapere come stai intervistando è quanto bene stanno intervistando voi e la tua attività in cambio. Responsabilità (come in quello che la società pensa che il responsabile IT possa essere detenuto in caso di errore se qualcosa dovrebbe andare in errore, di solito sarebbe in un contratto) e la sicurezza generale della networking è una delle tre cose principali su qualunque gestore IT / CTO in un'intervista per un lavoro.

    Modificare tutte le password amministrative (server, router, switch, remore access, firewall) Rimuovere tutte le regole del firewall per l'accesso remoto per il gestore IT. Se state utilizzando i token di sicurezza, dissociate i token del gestore IT da tutti gli accessi. Rimuovere l'accesso TACACS (se lo si utilizza).

    Assicurarsi di fare queste modifiche con il gestore IT in una sala conferenze o in altro modo sotto controllo fisico, quindi non può osservare il process. Durante la lettura di una parola d'ordine poiché viene digitata su una tastiera non è banale (non è difficile, solo non banale), se questo deve essere ripetuto, c'è un rischio più elevato di una password che viene raccolta.

    Se ansible, cambiare le serrature. Se le chiavi possono essere replicate (e, in breve, possono), questo arresterà il responsabile IT a get l'accesso fisico in seguito. Disabilitate tutte le carte di credito che non puoi accludere (non solo le carte che si conosce sono state rilasciate al gestore IT).

    Se si dispone di più linee telefoniche in arrivo, controllare TUTTI, per assicurarsi che non siano collegati dispositivi sconosciuti.

    Controllare le norme del firewall
    Modifica la password dell'amministratore e controlla gli account che non sono più in uso.
    Revoca i suoi certificati
    Eseguire il backup della sua stazione di lavoro e formattare.
    Utilizzare controlli di checksum per i file importnti sui server e inserire un IDS in una port di span nel tuo rack per un po '.

    Solo i miei 2ct.

    Controlla anche i conti extra. Poteva facilmente aggiungere un nuovo account una volta che lui sapeva che stava andando via. O anche subito dopo il suo arrivo.

    Dipende dal paranoico che tu sei. Alcune persone vanno nella misura – se è abbastanza male – di sostituire tutte le chiavi e le serrature. Un altro motivo per essere gentile con amministratori sys;)

    Tutti i suggerimenti di cui sopra sono buoni – un altro è addirittura ansible che tutti gli utenti cambino le loro password (e se Windows) attuano la politica complessa della password.

    Inoltre – se hai mai eseguito un supporto remoto o configurato un ufficio / client remoto (ad esempio un altro sito), puoi anche cambiare le password.

    Non dimenticare di espellere qualsiasi account di tipo extranet che potrebbe avere per conto della tua azienda. Questi sono spesso trascurati e spesso la causa di un grande dolore post-mortem.

    Potrebbe (lungo la traccia "sono ultra-paranoide") vogliono anche comunicare ai vostri rappresentanti di vendita per diversi fornitori con cui lavorate nel caso in cui ha cercato di contattare qualcuno.

    Se avesse il controllo della tua azienda web-hosting,

    • ricontrollare tutti i routes di accesso attraverso le pagine web
    • get tutti i codici validationti per eventuali porte posteriori

    Le debolezze in questo settore possono avere un impatto sulla base del modo in cui viene eseguito il tuo hosting,

    • Gabbia ospitata con controllo amministrativo – al minimo, possibilità di un sito defaced
    • Hosting locale dai locali – accesso alla networking interna (a less che non si dispone di un DMZ che sia anche bloccato)

    La mia azienda ha lasciato uno sviluppatore andare non troppo tempo fa ed è stata una situazione simile. Sapeva gran parte del sistema ed era di fondamentale importnza assicurarsi che fosse stato tagliato al secondo quando fu informato del suo licenziamento. Oltre ai consigli sopra indicati ho anche usato Specter Pro per monitorare tutto il suo lavoro per le 2 settimane prima della sua partenza: attività di networking (IO), chat, email, screenshot each 2 minuti, ecc. Era probabilmente overkill e non ho mai neppure lo guardò, perché ha lasciato in buone condizioni. Era una buona assicurazione però.

    Le due chiavi le cose da gestire immediatamente sono:

    1. Accesso fisico – se si dispone di un sistema elettronico, revoca la sua carta. Se le tue serrature sono fisiche, assicurati che venga restituita alcuna chiavetta o se siete veramente preoccupati per la malattia, cambiate le serrature in aree critiche.

    2. Accesso remoto – assicurarsi che il VPN / Citrix / altro account di accesso remoto di questo amministratore sia disabilitato. Speriamo che tu non ti consente di accedere a remoti con account condivisi; se sei, cambia le password su tutti. Assicurarsi inoltre di distriggersre il suo account AD / NIS / LDAP.

    Questo solo copre l'ovvio tuttavia; c'è sempre la possibilità per esempio di avere installato un paio di modem nelle sale dei server, con i cavi della console in dispositivi / server chiave di networking. Una volta che hai fatto il block iniziale, probabilmente vuoi che la sua sostituzione faccia una spazzata completa dell'infrastruttura a) assicurati che la documentazione sia aggiornata e che B) evidenzi qualcosa che sembra strano.

    A un lavoro precedente in una società più piccola, il sistema che era stato lasciato conosceva molte altre password del dipendente. La mattina è stato lasciato andare, abbiamo impostato la properties; "utente deve cambiare password" in nessun account di Active Directory che aveva accesso remoto.

    Questo può non essere fattibile ovunque, ma può essere prudente a seconda della situazione.

    Raccommand le seguenti procedure:

    • disabilitare tutte le tabs di accesso alla sicurezza degli edifici
    • disabilitare tutti i conti conosciuti (in particolare VPN e account che potrebbero essere utilizzati dall'esterno della società)
    • disabilitare account ignoti (!)
    • modificare tutte le password amministratore
    • rivedere le regole del firewall

    Questo dovrebbe coprire la maggior parte delle possibili opzioni di accesso. Rivedere tutte le informazioni pertinenti alla sicurezza nelle prossime settimane, in modo da garantire che non sia stata lasciata alcuna opzione "aperta".

    Rendere tutto il personale consapevole che questo dipendente sta lasciando in modo che possano essere vulnerabili ai tentativi di social-hacking telefonici.

    Già sa come funziona il sistema e cosa c'è. Quindi non avrebbe bisogno di troppe informazioni per tornare indietro se lo desiderasse.

    Se ho lasciato al giorno sotto circostanze less auspicabili credo che potrei call il personale, che devo fare di tanto in tanto e trovare informazioni sufficienti per tornare al sistema.

    Forse dovrei dare un privilegio amministrativo utente di dominio esistente (prima di partire). Potrei telefonare a questo utente e farlo rivelare la sua password.

    • Disabilita il loro account utente in Active Directory. Controllare che altri gestori possano conoscere la password e modificare o disabilitarli.
    • Distriggersre tutti gli altri account che non fanno parte di Active Directory, perché sono in una macchina diversa o perché sono stati scritti in proprio. Ottieni utenti legittimi a cambiare la propria password. (Posso ancora accedere come admin al conto di un altro dipendente fino ad oggi).
    • Se il tuo sito web aziendale è ospitato al di fuori dell'edificio, cambiare anche le password.
    • Può anche essere abbastanza banale per un dipendente disgustato per get il vostro Internet e / o il servizio telefonico annullato. Non so come difendermi da quello.
    • Modificare le serrature e il codice di allarme. Una pausa potrebbe andare inosservata abbastanza a lungo da rubare tutta la tua roba.

    L'unico modo per essere totalmente sicuri nel caso dei server è lo stesso modo per assicurare che una casella hacker sia pulita: reinstallare. Grazie al fantoccio (o ad un altro sistema di gestione delle configurazioni) la reinstallazione dei server e l'inserimento in uno stato specifico può essere molto veloce e automatizzata.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.