O gerente de TI está saindo - O que bloqueio?

O gerente de TI pode estar saindo e é possível que a separação de maneiras possa não ser completamente civilizada. Eu realmente não esperava nenhuma malícia, mas por precaução, o que eu verifico, troco ou tranco?

Exemplos:

• Senhas de administrador
• Senhas sem fio
• Regras de acesso VPN
• Configurações de roteador / firewall

Obviamente, a segurança física precisa ser tratada, mas depois disso ...

Supondo que você não tenha um procedimento documentado para quando os funcionários saem (ambiente genérico, pois você não menciona quais plataformas são executadas):

1. Comece com segurança de perímetro. Altere todas as senhas em qualquer equipamento de perímetro, como roteadores, firewalls, VPNs, etc ... Em seguida, bloqueie as contas que o gerente de TI possuía, além de revisar todas as contas restantes para as que não são mais usadas e aquelas que não são mais usadas. não pertence (caso ele tenha adicionado um secundário).
2. Email - remova a conta dele ou, pelo menos, desabilite os logins, dependendo da política da sua empresa.
3. Depois, passe pela segurança do seu host. Todas as máquinas e serviços de diretório devem ter sua conta desativada e / ou removida. (Removido é o preferido, mas pode ser necessário auditá-los, caso ele tenha algo em execução que seja válido primeiro). Mais uma vez, verifique também as contas que não são mais usadas e as que não pertencem. Desative / remova-os também. Se você usar chaves ssh, deverá alterá-las nas contas de administrador / raiz.
4. Todas as contas compartilhadas, se houver, devem ter suas senhas alteradas. Você também deve remover contas compartilhadas ou desativar o logon interativo nelas como prática geral.
5. Contas de aplicativos ... não esqueça de alterar senhas ou desativar / remover contas de todos os aplicativos aos quais ele teve acesso, começando pelas contas de acesso de administrador.
6. Registro ... verifique se você possui um bom registro para uso da conta e monitore-o de perto para procurar qualquer atividade suspeita.
7. Backups ... verifique se seus backups são atuais e seguros (de preferência fora do local). Certifique-se de ter feito o mesmo acima com seus sistemas de backup até as contas.
8. Documentos ... tente o máximo que puder para identificar, solicitar dele, se possível, e copiar em algum lugar seguro, toda a documentação dele.
9. Se você possui algum serviço terceirizado (email, filtragem de spam, hospedagem de qualquer tipo, etc.), certifique-se de executar todas as opções acima apropriadas também para esses serviços.

Ao fazer tudo isso, documente-o , para que você tenha um procedimento para futuras rescisões.

Além disso, se você usar algum serviço de colocação, certifique-se de remover o nome dele da lista de acesso e da lista de envio de tickets. Seria bom fazer o mesmo com qualquer outro fornecedor em que ele fosse a pessoa principal, para que ele não possa cancelar ou mexer nos serviços que você obtém desses fornecedores e também para que os fornecedores saibam com quem entrar em contato para renovações, problemas, etc ... o que pode poupar algumas dores de cabeça quando algo que o gerente de TI não documentou acontece.

Tenho certeza de que perdi mais, mas isso está fora da minha cabeça.

Não se esqueça da segurança física - verifique se ele não pode entrar em nenhum prédio - é ótimo que você esteja em todo o kit de rede, mas se ele puder acessar o datacenter, é inútil.

Suspeitamos que um funcionário insatisfeito que ainda estava no período de aviso prévio possa ter instalado alguns programas de acesso remoto; portanto, limitamos sua conta de logon apenas ao horário de trabalho, para que ele não pudesse se conectar após o expediente, quando não havia ninguém por perto. coisas (durante o horário de trabalho, poderíamos ver sua tela claramente, de modo que, se ele se metesse em travessuras, saberíamos).

Acabou sendo valioso, ele instalou o LogMeIn e tentou de fato o acesso fora do horário comercial.

(era uma rede de empresa pequena, sem ACLs ou firewalls sofisticados)

Também tenha cuidado para não travar demais. Lembro-me de uma situação em que alguém foi embora e, um dia depois, ficou claro que algum software crítico para os negócios estava sendo executado na sua conta de usuário pessoal.

Apenas para adicionar - também verifique se você tem auditoria de logons com êxito e com êxito - muitas falhas de uma conta seguidas de sucesso podem ser iguais a hackers. Você também pode fazer com que todos os outros alterem suas senhas também se o gerente de TI estiver envolvido nas configurações de senha. Não esqueça também as senhas do banco de dados e você pode consultar a conta de email dele para obter informações seguras. Eu também colocaria verificações de acesso a quaisquer informações / bancos de dados confidenciais e o proibiria de executar backups do sistema / banco de dados.

Espero que isto ajude.

Certifique-se também, antes de deixar esse indivíduo ir, de entender que as coisas podem e vão cair ou ser problemáticas até você substituí-lo. Eu espero que você não os culpe por tudo o que acontece, apenas porque você assume / sabe que não será uma boa separação, ou pensa que eles estão invadindo você de alguma forma porque o banheiro transbordou.

Espero que esse cenário pareça absurdo para você. Mas é uma história verdadeira do meu último emprego que agora o proprietário está tentando me processar por sabotagem (basicamente porque eu parei e eles não estão realmente dispostos a pagar a ninguém a taxa de mercado para me substituir) e crimes cibernéticos como hackers e extorsão na Internet.

Resumindo, avalie o "porquê" pelo motivo de sua demissão. Se for algo diferente de necessidades econômicas, sugiro que você refine seus procedimentos de contratação para poder contratar um indivíduo mais profissional, no qual, por profissão, precisa ser confiável e confiável com informações essenciais da missão comercial e, geralmente, confidenciais, e quem pode instalar os procedimentos adequados. procedimentos de segurança que todos devem seguir.

Uma maneira de saber como você está entrevistando é quão bem eles estão entrevistando você e sua empresa em troca. Responsabilidade (como no que a empresa acha que o gerente de TI pode ser responsabilizado, caso algo dê errado - normalmente estaria em um contrato) e a segurança geral da rede é uma das 3 principais coisas de qualquer gerente de TI / CTO adequado quando chegar para entrevistar para um emprego.

Alterar todas as senhas de administrador (servidores, roteadores, comutadores, acesso remoto, firewalls) Remova todas as regras de firewall para acesso remoto ao gerente de TI. Se você estiver usando tokens de segurança, desassocie o (s) token (s) do gerente de TI de todo acesso. Remova o acesso TACACS (se você usar isso).

Certifique-se de fazer essas alterações com o gerente de TI em uma sala de conferências ou sob controle físico, para que ele não possa observar o processo. Embora a leitura de uma palavra-passe durante a digitação em um teclado não seja trivial (não é difícil, apenas não é trivial), se isso precisar ser repetido, há um risco maior de a senha ser coletada.

Se possível, troque os bloqueios. Se as chaves puderem ser replicadas (e, em resumo, elas podem), isso impedirá o gerente de TI de obter acesso físico posteriormente. Desative qualquer cartão de acesso que você não consiga contabilizar (não apenas os cartões que você sabe que foram emitidos para o gerente de TI).

Se você tiver várias linhas telefônicas de entrada, verifique TODAS para garantir que nenhum dispositivo desconhecido esteja conectado a elas.

Verifique as políticas de firewall
Altere a senha do administrador e verifique as contas que não estão mais em uso.
Revogar seus certificados Faça
backup de sua estação de trabalho e formate-a.
Use controles de soma de verificação para os arquivos importantes em seus servidores e coloque um IDS em uma porta de extensão no rack por enquanto.

Apenas meus 2cts.

Verifique também por contas extras. Ele pode facilmente adicionar uma nova conta assim que souber que está saindo. Ou mesmo logo depois que ele chegou.

Depende de como você é paranóico. Algumas pessoas chegam ao ponto - se já é ruim o suficiente - de substituir todas as chaves e bloqueios. Outro motivo para ser legal com os administradores de sistemas;)

Todos os conselhos mencionados acima são bons - outro é possivelmente fazer com que todos os usuários alterem suas senhas (e se o Windows) imponha a complexa política de senhas.

Além disso - se você já fez suporte remoto, ou configurou um escritório / cliente remoto (ou seja, outro site) - faça com que eles também alterem suas senhas.

Não se esqueça de explodir quaisquer contas do tipo extranet que ele possa ter em nome da sua empresa. Estes são frequentemente negligenciados e, muitas vezes, a causa de muita tristeza post-mortem.

Pode (ao longo da faixa "Eu sou ultra-paranóico") também querer notificar seus representantes de vendas para diferentes fornecedores com quem você trabalha, caso ele tente entrar em contato com alguém lá.

Se ele tivesse algum controle sobre a hospedagem da sua empresa,

• verifique novamente todos os caminhos de acesso através das páginas da web
• obtenha todo o código validado para possíveis portas traseiras

As fraquezas nessa área podem impactar com base na maneira como sua hospedagem é feita,

• Hospedagem em gaiola com controle administrativo - no mínimo, possibilidade de um site desfigurado
• Hospedagem local de suas instalações - acesso à rede interna (a menos que você tenha uma DMZ que também esteja bloqueada)

Minha empresa deixou um desenvolvedor ir há pouco tempo e era uma situação semelhante. Ele conhecia muito do sistema e era da maior importância garantir que ele fosse cortado no segundo em que fosse informado de sua demissão. Além dos conselhos fornecidos acima, também usei o Spectre Pro para monitorar todo o seu trabalho nas duas semanas anteriores à sua partida: atividade de rede (IO), janelas de bate-papo, e-mails, capturas de tela a cada 2 minutos, etc. Provavelmente foi um exagero e eu nunca até olhou para qualquer coisa, porque ele saiu em bons termos. Foi um bom seguro embora.

As duas principais coisas para gerenciar imediatamente são:

1. Acesso físico - se você tiver um sistema eletrônico, revogue o cartão dele. Se todos os seus bloqueios forem físicos, verifique se todas as chaves emitidas para ele foram devolvidas ou se você está realmente preocupado com danos, altere os bloqueios para áreas críticas.

2. Acesso remoto - verifique se a VPN / Citrix / outra conta de acesso remoto deste administrador está desabilitada. Espero que você não esteja permitindo logins remotos com contas compartilhadas; se você for, altere as senhas em todas elas. Também não se esqueça de desativar a conta AD / NIS / LDAP.

Isso apenas cobre o óbvio, no entanto; sempre existe a possibilidade, por exemplo, de que ele tenha instalado alguns modems nas salas de servidores, com cabos de console nos principais dispositivos / servidores de rede. Depois de fazer o bloqueio inicial, você provavelmente deseja que a substituição dele faça uma varredura completa da infraestrutura para A) verifique se a documentação está atualizada e B) destaque qualquer coisa que pareça estranha.

Em um trabalho anterior em uma empresa menor, o administrador de sistemas liberado conhecia muitas senhas de outros funcionários. Na manhã em que ele foi solto, definimos a propriedade "o usuário deve alterar a senha" na conta do Active Directory de qualquer pessoa que tenha acesso remoto.

Isso pode não ser viável em qualquer lugar, mas pode ser prudente, dependendo da situação.

Eu recomendaria os seguintes procedimentos:

• desativar todos os cartões de acesso de segurança de construção
• desativar todas as contas conhecidas (especialmente VPN e contas que podem ser usadas de fora da empresa)
• desativar contas desconhecidas (!)
• alterar todas as senhas de administrador
• revisar regras de firewall

Isso deve cobrir a maioria das opções de acesso possíveis. Revise todas as informações relevantes sobre segurança nas semanas seguintes, para garantir que nenhuma opção foi deixada "aberta".

Informe todos os funcionários de que esse funcionário está saindo, para que se tornem vulneráveis ​​a tentativas de hackers sociais por telefone.

Ele já sabe como o sistema funciona e o que existe. Então ele não precisaria de muita informação para voltar, se quisesse.

Se eu fosse embora em circunstâncias menos desejáveis, acredito que poderia chamar a equipe, o que tenho que fazer de vez em quando, e descobrir informações suficientes para voltar ao sistema.

Talvez eu conceda privilégios de administrador de usuário de domínio (antes de sair). Eu poderia telefonar para esse usuário e fazer com que ele revelasse sua senha para mim.

• Desabilite sua conta de usuário no Active Directory. Verifique outras contas nas quais o gerente de TI possa conhecer a senha e altere ou desative-as.
• Desative outras contas que não façam parte do Active Directory, porque elas estão em uma máquina diferente ou porque foram gravadas internamente. Faça com que usuários legítimos alterem sua senha. (Ainda posso fazer login como administrador na conta de outro funcionário até hoje.)
• Se o site da sua empresa estiver hospedado fora do prédio, altere as senhas também.
• Também pode ser bastante trivial para um funcionário insatisfeito cancelar a sua Internet e / ou serviço telefônico. Não sei como se defender contra isso.
• Mude os bloqueios E o código do alarme. Uma invasão pode passar despercebida o tempo suficiente para roubar todas as suas coisas.

A única maneira de estar totalmente seguro no caso de servidores é da mesma maneira que você garante que uma caixa invadida esteja limpa: reinstale. Graças ao fantoche (ou a algum outro sistema de gerenciamento de configuração), a reinstalação dos servidores e a obtenção de um estado específico pode ser bastante rápida e automatizada.