O gerente de TI está saindo - O que eu bloqueio?

Obviamente, a segurança física precisa ser tratada, mas depois disso ...

Supondo que você não tenha um procedimento documentado para quando os funcionários saírem (ambiente genérico, já que você não menciona quais plataformas você executa):

1. Comece com a segurança do perímetro. Altere todas as senhas em qualquer equipamento de perímetro, como roteadores, firewalls, vpns, etc ... Em seguida, bloqueie todas as contas que o gerente de TI tinha, além de revisar todas as contas restantes para quaisquer que não sejam mais usadas, e quaisquer que não t pertence (no caso ele adicionou um secundário).
2. E-mail - remova sua conta ou, pelo menos, desative os logins, dependendo da política da sua empresa.
3. Em seguida, passe pela segurança do seu host. Todas as máquinas e serviços de diretório devem ter sua conta desativada e / ou removida. (Removido é o preferido, mas você pode precisar auditá-los caso ele tenha algo em execução que seja válido primeiro). Novamente, analise também as contas que não são mais usadas, bem como as que não pertencem. Desative / remova esses também. Se você usa chaves ssh, você deve alterá-las em contas admin / root.
4. Contas compartilhadas, se você tiver alguma, todas devem ter suas senhas alteradas. Você também deve verificar a remoção de contas compartilhadas ou a desativação do login interativo como uma prática geral.
5. Contas de aplicativos ... não se esqueça de alterar senhas ou desativar / remover contas de todos os aplicativos aos quais ele também tem acesso, começando pelas contas de acesso de administrador.
6. Registro em log ... certifique-se de ter um bom registro em log para o uso da conta e monitore-o atentamente para procurar qualquer atividade suspeita.
7. Backups ... verifique se seus backups são atuais e seguros (de preferência externos). Certifique-se de que você fez o mesmo que acima com seus sistemas de backup, tanto quanto contas.
8. Documentos ... tente o máximo que puder para identificar, solicitar a ele, se possível, e copiar em algum lugar seguro, toda a documentação dele.
9. Se você tiver algum serviço terceirizado (e-mail, filtragem de spam, hospedagem de qualquer tipo, etc.), certifique-se de fazer todos os itens acima que sejam apropriados para esses serviços também.

Como você faz tudo isso, documente , para que você tenha um procedimento em vigor para terminações futuras.

Além disso, se você usar qualquer serviço de colocation, certifique-se de que o nome dele seja removido da lista de acesso e da lista de envio de tickets. Seria sensato fazer o mesmo com outros fornecedores onde ele era o principal responsável, para que ele não pudesse cancelar ou mexer nos serviços que você recebe desses fornecedores, e também para que os fornecedores saibam quem entrar em contato para renovações, problemas, etc ... que podem lhe poupar algumas dores de cabeça quando algo que o gerente de TI não documentou acontece.

Tenho certeza que há mais coisas que perdi, mas isso está fora do meu limite.

Não se esqueça da segurança física - certifique-se de que ele não pode entrar em nenhum prédio - é ótimo que você esteja em todo o kit de rede, mas se ele conseguir chegar ao data center, será inútil.

Suspeitamos que um funcionário insatisfeito que ainda estivesse em período de aviso prévio tenha instalado alguns programas de acesso remoto, por isso limitamos sua conta de logon apenas a horas de trabalho, para que ele não pudesse ficar fora do expediente em torno de fazer as coisas (durante as horas de trabalho, poderíamos ver sua tela claramente, então se ele levasse a malícia, nós saberíamos).

Se mostrou valioso, ele instalou o LogMeIn e fez, de fato, um acesso após o expediente.

(esta era uma rede de pequena empresa, sem ACLs ou firewalls sofisticados)

Tenha também cuidado para não bloquear demais. Lembro-me de uma situação em que alguém saiu e, um dia depois, ficou claro que alguns softwares críticos para os negócios estavam realmente sendo executados em sua conta de usuário pessoal.

Apenas para adicionar - também verifique se você fez a auditoria de logins bem-sucedidos com êxito e - um monte de falhas para uma conta seguida de sucesso pode ser igual a invasão. Você também pode fazer com que todos os outros mudem suas senhas também se o Gerente de TI estiver envolvido nas configurações de senha. Não se esqueça também das senhas do banco de dados e você pode querer limpar sua conta de e-mail para obter informações seguras. Eu também coloquei verificações de acesso em qualquer informação / banco de dados confidencial, e proíbo que ele faça backups de sistema / banco de dados.

Espero que isso ajude.

Certifique-se também, antes de deixar este indivíduo ir, para entender que as coisas podem e vão cair, ou seja problemático até você substituir esse indivíduo. Eu espero que você não os culpe por tudo o que desce só porque você assume / sabe que não será uma boa separação, ou acha que eles estão te invadindo de alguma forma porque o banheiro transbordou.

Espero que esse cenário pareça absurdo para você. Mas é uma história real do meu último trabalho que agora o dono está tentando me processar por sabotagem (basicamente porque eu parei e eles não estão dispostos a pagar a ninguém a taxa de mercado para me substituir) e crimes cibernéticos como hacking e extorsão de internet.

A linha de fundo é, avalie o "porquê" pelo motivo de sua demissão. Se for algo diferente de necessidades econômicas, sugiro que você refine seus procedimentos de contratação para poder contratar um profissional mais profissional no qual, por profissão, precisa ser confiável e confiável com informações críticas de negócios e geralmente confidenciais e quem pode instalar procedimentos de segurança que todos devem seguir.

Uma maneira de saber como você está entrevistando é o quão bem eles estão entrevistando você e sua empresa em troca. Responsabilidade (como no caso em que a empresa acha que o gerente de TI pode ser responsabilizado caso algo dê errado - geralmente seria em um contrato) e a segurança geral da rede é uma das três principais preocupações de qualquer gerente de TI / CTO em entrevista para um trabalho.

Altere todas as senhas de administrador (servidores, roteadores, switches, acesso remoto, firewalls) Remova todas as regras de firewall para acesso remoto para o gerente de TI. Se você estiver usando tokens de segurança, desassocie o (s) token (s) do gerente de TI de todo o acesso. Remova o acesso TACACS (se você usar isso).

Certifique-se de fazer essas alterações com o gerente de TI em uma sala de conferência ou sob controle físico, para que ele não possa observar o processo. Embora a leitura de uma palavra-senha como ela está sendo digitada em um teclado não seja trivial (não é difícil, não é trivial), se isso precisar ser repetido, há um risco maior de a senha ser obtida.

Se possível, troque os bloqueios. Se as chaves puderem ser replicadas (e, em resumo, podem), isso impedirá que o gerente de TI obtenha acesso físico posteriormente. Desabilite qualquer passcard que você não possa contabilizar (não apenas os cartões que você sabe que foram emitidos para o gerente de TI).

Se você tiver várias linhas telefônicas, marque TODAS, para garantir que nenhum dispositivo desconhecido seja anexado a elas.

Verifique as políticas de firewall
Altere a senha do administrador e verifique as contas que não estão mais em uso.
Revogar seus certificados | Faça backup de sua estação de trabalho e formate-a.
Use controles de soma de verificação para os arquivos importantes em seus servidores e coloque um IDS em uma porta de span em seu rack por enquanto.

Apenas meus 2cts.

Verifique se há contas extras também. Ele poderia facilmente adicionar uma nova conta, uma vez que ele sabe que está saindo. Ou mesmo logo depois que ele chegou.

Depende do quanto você é paranóico. Algumas pessoas chegam ao ponto - se é ruim o suficiente - de substituir todas as chaves e fechaduras. Outra razão para ser legal com os administradores do sistema;)

Todos os conselhos acima mencionados são bons - outro é até mesmo fazer com que todos os usuários alterem suas senhas (e, se o Windows forçar) a política de senha complexa.

Além disso - se você já fez suporte remoto ou configurou um escritório / cliente remoto (ou seja, outro site) - faça com que eles também alterem suas senhas.

Não se esqueça de excluir as contas do tipo extranet que ele possa ter em nome da sua empresa. Estes são muitas vezes ignorados e muitas vezes a causa de muito luto post-mortem.

Você pode também notificar seus representantes de vendas para diferentes fornecedores com quem você trabalha, caso ele tente entrar em contato com alguém.

Se ele tivesse algum controle sobre sua empresa na Web,

• verifique novamente todos os caminhos de acesso pelas páginas da web
• obtenha todo o código validado para possíveis portas dos fundos

Os pontos fracos nesta área podem impactar com base na maneira como sua hospedagem é feita,

• hospedagem em Caged com controle administrativo - no mínimo, possibilidade de um site desfigurado
• Hospedagem local de suas instalações - acesso à rede interna (a menos que você tenha uma DMZ que também esteja bloqueada)

Minha empresa deixou um desenvolvedor não muito tempo atrás e foi uma situação semelhante. Ele sabia muito do sistema e era de suma importância garantir que ele fosse eliminado no segundo em que fosse informado de sua demissão. Além do conselho dado acima, também usei o Specter Pro para monitorar todo o seu trabalho nas duas semanas anteriores: atividades de rede (IO), janelas de bate-papo, e-mails, capturas de tela a cada 2 minutos, etc. até mesmo olhou para qualquer coisa porque ele saiu em bons termos. Foi bom seguro embora.

As duas coisas que devem ser gerenciadas imediatamente são:

1. Acesso físico - se você tiver um sistema eletrônico, revogue o cartão dele. Se seus bloqueios forem todos físicos, garanta que todas as chaves emitidas para ele sejam devolvidas ou, se você estiver realmente preocupado com danos, mude os bloqueios para áreas críticas.

2. Acesso remoto - garanta que a conta VPN / Citrix / outras contas de acesso remoto desse administrador esteja desativada. Espero que você não esteja permitindo logins remotos com contas compartilhadas; se você for, mude as senhas em todas elas. Certifique-se também de desativar sua conta AD / NIS / LDAP.

Isso apenas cobre o óbvio, no entanto; Há sempre a possibilidade, por exemplo, de que ele tenha instalado alguns modems nas salas de servidores, com cabos de console nos principais dispositivos / servidores de rede. Depois de ter feito o bloqueio inicial, você provavelmente quer que o substituto faça uma varredura completa da infraestrutura para A) certifique-se de que a documentação esteja atualizada e B) destaque algo que pareça estranho.

Em um trabalho anterior em uma empresa menor, o sysadmin sendo dispensado conhecia muitas senhas de outros funcionários. Na manhã em que ele foi liberado, definimos a propriedade "usuário deve alterar a senha" na conta do Active Directory de qualquer pessoa que tivesse acesso remoto.

Isso pode não ser viável em todos os lugares, mas pode ser prudente dependendo da situação.

Eu recomendaria os seguintes procedimentos:

• desativar todos os cartões de acesso de segurança de construção
• desativa todas as contas conhecidas (especialmente VPN e contas que podem ser usadas fora da empresa)
• desabilitar contas desconhecidas (!)
• alterar todas as senhas de administrador
• revise as regras de firewall

Isso deve abranger a maioria das possíveis opções de acesso. Revise todas as informações relevantes sobre segurança nas próximas semanas para garantir que nenhuma opção seja deixada "aberta".

Faça com que todos os funcionários saibam que esse funcionário está saindo, para que eles fiquem vulneráveis a tentativas de hackear redes sociais.

Ele já sabe como o sistema funciona e o que está lá. Então ele não precisaria de muita informação para voltar se quisesse.

Se eu saísse para o dia em circunstâncias menos do que desejáveis, acredito que poderia telefonar para o pessoal, o que tenho que fazer de vez em quando, e descobrir informações suficientes para voltar ao sistema.

Talvez eu forneça privilégios de administrador de usuário de domínio (antes de sair). Eu poderia telefonar para esse usuário e fazer com que ele revelasse sua senha para mim.

• Desative sua conta de usuário no Active Directory. Verifique se há outras contas que o gerente de TI possa saber sobre a senha e alterá-las ou desativá-las.
• Desabilite qualquer outra conta que não faça parte do Active Directory porque está em uma máquina diferente ou porque foi escrita internamente. Faça com que usuários legítimos alterem sua senha. (Ainda posso fazer login como administrador na conta de outro funcionário até hoje.)
• Se o site da sua empresa estiver hospedado fora do prédio, altere as senhas também.
• Também pode ser bastante trivial para um funcionário insatisfeito cancelar sua Internet e / ou serviço telefônico. Não sei como se defender contra isso.
• Altere os bloqueios E o código de alarme. Um arrombamento pode passar despercebido por tempo suficiente para que eles roubem todas as suas coisas.

A única maneira de estar totalmente seguro no caso de servidores, é a mesma maneira que você garante que uma caixa hackeada esteja limpa: reinstale. Graças ao fantoche (ou a algum outro sistema de gerenciamento de configuração), a reinstalação dos servidores e sua obtenção para um estado específico podem ser bastante rápidos e automatizado.