Etapas a serem tomadas quando a equipe técnica sair

20

Como você lida com o processo de saída quando funcionários privilegiados ou técnicos renunciam / são demitidos? Você tem uma lista de verificação para garantir a operação / segurança contínua da infraestrutura da empresa?

Estou tentando criar uma boa lista canônica de coisas que meus colegas devem fazer quando sair (me demiti há uma semana, então tenho um mês para arrumar o GTFO).

Até agora eu tenho:

  1. Acompanhe-os para fora das instalações
  2. Excluir a caixa de entrada do email (defina todos os emails para encaminhar para um catch-all)
  3. Exclua suas chaves SSH no (s) servidor (es)

  4. Exclua suas contas de usuário mysql

    ...

Então o que vem depois. O que eu esqueci de mencionar ou pode ser igualmente útil?

(nota de rodapé: por que isso é fora de tópico? Eu sou um administrador de sistemas e isso diz respeito à segurança contínua dos negócios, isso é definitivamente tópico).

security  physical-security 
Tom O'Connor
fonte
relevante (não necessariamente um
idiota
4
Esteja ciente do encaminhamento de email; existem vários países onde isso não é permitido. Na Noruega, nem temos permissão para fornecer respostas automáticas afirmando que o funcionário não trabalha mais aqui, temos que limpar a conta completamente. O NDR padrão (usuário inexistente) é a única coisa permitida.
pauska
1
É comum as pessoas serem exportadas para fora das instalações? Eu imaginaria que isso só seria necessário quando as pessoas fossem demitidas.
Vetle
3
Tem certeza de que deseja excluir a caixa de entrada de e-mail deles? Quando um colega de trabalho foi demitido instantaneamente de um emprego em que trabalhava, passar pela caixa de entrada permitiu-me descobrir rapidamente quais decisões haviam sido tomadas em projetos que de repente me vi gerenciando. Eu acho que (dependendo da legalidade) você pode querer reconsiderar o item 2.
Brian Stinar
2
pauska

Respostas:

7

Eu sugiro que você crie uma lista de verificação das coisas que você faz quando um novo administrador de sistemas ingressa na empresa (sistemas aos quais você precisa adicioná-las, grupos em que suas contas precisam entrar etc.) e inclui coisas técnicas e físicas - por exemplo, chaves físicas e alarmes códigos são tão importantes quanto chaves e senhas SSH.

Garanta que você mantenha essa lista atualizada - é mais fácil falar do que fazer, eu sei. Mas torna mais fácil processar novos membros da equipe na empresa e processá-los novamente. Você ainda pode fazer isso agora e obter pelo menos alguns dos benefícios de usá-lo para ajudar a pessoa que está saindo. A razão de eu mencionar uma lista de verificação é porque todos nós tendemos a pensar em nossas próprias esferas de conforto e coisas diferentes podem ser perdidas de outra forma, dependendo de quem está processando a partida. Por exemplo: um "gerente de segurança predial" ou um "gerente de escritório" estará pensando mais em chaves de porta do que chaves SSH e uma pessoa de TI será exatamente o oposto e acabará revogando seu acesso ao sistema, deixando-os capazes de entrar no prédio à noite.

Depois, basta acessar a lista de verificação quando sair, use-a como uma lista de itens para desfazer / retornar. Toda a sua equipe de TI deve estar entusiasmada com isso, se eles são profissionais, pois um processo acordado como esse os protege da culpa injustificada de um ex-empregador, tanto quanto protege o empregador deles.

Não se esqueça de coisas como acesso a datacenters remotos ou acesso físico a um repositório de dados de backup de terceiros.

RobM
fonte
6

Estou surpreso que ninguém tenha mencionado isso antes, mas ...

Se sua rede Wi-Fi usa WPA ou (espero que não) WEP, em vez de tocar no servidor Radius, convém alterar essa chave.

É uma porta enorme deixada aberta, se você é o administrador da rede, há uma boa chance de você conhecer essa chave de cor ... imagine como seria fácil voltar à rede a partir do estacionamento ou algo dessa natureza .

Alex
fonte
1
Isso geralmente é resolvido com a autenticação no AD ou em qualquer outro serviço de diretório. Depois que a conta é excluída, você não pode mais continuar.
Split71
@ Split71: O administrador que partiu agora pode não conseguir acessar os servidores diretamente, mas, se estiverem na rede local e confiável, terão acesso à parte inferior macia e mole de toda a sua infraestrutura.
womble
5

Outras coisas que vêm à mente:

  • Segurança física - tire as chaves / tags de acesso / tags vpn / laptops
  • Leve telefones / amoras
  • Remover / desativar todas as contas que eles têm em sites / serviços externos
  • Bloquear sua conta de usuário
  • Altere as senhas compartilhadas que elas possam conhecer (compreendo que você não deva ter senhas compartilhadas)
  • Desativar conta VPN
  • Garanta que todos os bugs / tickets / problemas, etc, em qualquer sistema de rastreamento, sejam reatribuídos
jamespo
fonte
4
  • Retire-os do sistema nagios / paging
  • Remova o sudo (apenas no caso)
  • Informe o (s) datacenter (s)
  • Desabilitar / revogar qualquer sistema VPN na rede do escritório
  • Desative todos os aplicativos da Web / apache confs / firewalls que tenham seus endereços IP codificados
Rory
fonte
2

Se algum administrador de sistemas deixar a empresa, alteraremos todas as senhas dos usuários (em vez da alteração mensal da senha). Temos LDAP e raio, por isso não é muito difícil. Depois, analisamos os sistemas nos quais ele estava trabalhando, bem como os arquivos criados por / modificados por ele. Se houver dados importantes em sua estação de trabalho, nós os limpamos ou arquivamos.

Temos auditoria de acesso para todos os serviços que possuem usuários. Se houver algum usuário desconhecido usando o serviço, nós o bloquearemos, pelo menos até que a identificação seja aprovada.

Outros sistemas serão limpos em uma semana; a maioria é para fins de desenvolvimento, não possui informações valiosas e é regularmente limpa por reinstalação.

MealstroM
fonte
1

Muitas boas idéias neste segmento ... Algumas outras coisas a considerar:

Concordo em alterar as senhas ou desativar as contas de usuário com termo versus excluí-las (pelo menos inicialmente); no entanto, pode ser uma boa ideia verificar se a conta do usuário está sendo usada para executar serviços / tarefas agendadas antes de tomar uma ação. Provavelmente isso é mais importante em um ambiente Windows / AD do que em um U

Alguns dos itens a seguir podem ser difíceis de fazer se o funcionário sair rapidamente ou sob circunstâncias abaixo do ideal; mas isso pode ser importante (principalmente naquelas 2 da manhã, quando aconteceu momentos)

Transferência de conhecimento - Enquanto todos mantemos toda a documentação atualizada (ahem, embaralha os pés), pode ser uma boa ideia agendar um horário com o temporizador curto e fazer algumas perguntas e respostas ou orientações com outro administrador. Se você tem várias opções personalizadas de execução, ou um ambiente complexo, pode ser realmente útil fazer perguntas e obter um tempo individual.

Junto com isso vai Senhas. Espero que todos estejam usando algum tipo de armazenamento de conta / senha criptografada (KeePass / PassSafe, etc). Se for esse o caso, isso deve ser bem fácil - obtenha uma cópia do arquivo e a chave dele. Caso contrário, é hora de despejar o cérebro.

Cybersylum
fonte
1

Comece alterando todas as senhas de "perímetro" da sua rede. Quaisquer contas que ele possa usar para acessar sua rede em casa (ou no estacionamento com Wi-Fi) devem ser alteradas imediatamente.

  • Senhas de administração remota para roteadores e firewalls?
  • Contas VPN? E as contas de administrador na VPN?
  • Criptografia WiFi?
  • Email baseado em navegador (OWA)?

Uma vez cobertos, trabalhe para dentro.

myron-semack
fonte
1

Outras coisas para verificar apenas para arrumar as coisas:

  • se eles tivessem um endereço IP estático, marque como disponível
  • remova / limpe todos os registros DNS personalizados, se possível
  • remover de qualquer tipo de diretório de funcionários
  • telefones
  • remova o endereço de email de qualquer tipo de relatório automatizado enviado por um servidor ou serviço
  • se você mantiver o inventário de hardware / software, marque as licenças de hardware e software como disponíveis (isso realmente depende de como você gerencia essas coisas).
Safado
fonte
1

Tente garantir que todas as alterações de senha ocorram entre 'leaver isolado da rede' (talvez uma entrevista de saída em uma sala de conferências, após o retorno do laptop de trabalho) e 'leaver seja deixado para possuir dispositivos'. Isso diminui drasticamente a chance de o leaver espionar as novas credenciais (mas com smartphones e similares, ainda é nulo).

Vatine
fonte
0

As respostas acima são todas muito boas. Como profissional praticante da profissão da InfoSec (IT Auditor), alguns outros pontos para você considerar:

  1. Remova direitos administrativos privilegiados, como administrador de domínio, se você usar o Active Directory

  2. Remova as funções de banco de dados privilegiadas que elas possam ter (ex: db_owner)

  3. Informe aos clientes externos que o usuário finalizado pode ter acesso, para que os privilégios de acesso possam ser revogados.

  4. Remova as contas da máquina local, se houver, além do acesso ao domínio

Anthony
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.