Як ви шукаєте на задньому плані від попереднього ІТ-людини?

Ми всі знаємо, що це відбувається. Гіркий старий ІТ-хлопець залишає задній простір у системі та мережі, щоб розважитися з новими хлопцями та показати компанії, як погані речі без нього.

Я ніколи особисто цього не відчував. Найбільше, що я переживав - це хтось, хто зламав і вкрав речі безпосередньо перед від'їздом. Я впевнений, що це трапляється.

Отже, приймаючи мережу, якій не можна повністю довіряти, які дії потрібно вжити, щоб усе було надійним та надійним?

Це справді, справді, дуже важко. Це вимагає дуже повного аудиту. Якщо ви дуже впевнені, що старий залишив щось позаду, що піде бум, або вимагає їх повторного найму, тому що вони єдині, хто може розпалити вогонь, тоді прийшов час припустити, що вас укоренив ворожа партія. Ставтесь до цього так, як група хакерів зайшла і вкрала речі, і вам доведеться прибирати після їхнього безладу. Бо так воно і є.

• Перевірте кожен обліковий запис у кожній системі, щоб переконатися, що він пов’язаний із певним об'єктом.
  • Облікові записи, які здаються асоційованими із системами, але їх ніхто не може обліковувати, підлягають недовірі.
  • Облікові записи, які не пов’язані ні з чим, потрібно очистити (це все одно потрібно зробити, але в цьому випадку це особливо важливо)
• Змініть будь-які паролі, з якими, можливо, вони зіткнулися б.
  • Це може бути справжньою проблемою для облікових записів утиліти, оскільки ці паролі, як правило, чітко кодуються в речі.
  • Якщо вони були службою підтримки, яка відповідала на дзвінки кінцевих користувачів, припустіть, що вони мають пароль усіх, кому вони допомогли.
  • Якщо у них було адміністратора підприємства або адміністратора домену в Active Directory, припустімо, що вони схопили копію хешей паролів перед тим, як виїхати. Вони можуть бути зламані настільки швидко, що потрібно змінити пароль для загальної компанії протягом кількох днів.
  • Якщо вони мали кореневий доступ до будь-яких * nix полів, припускають, що вони пішли з хешами паролів.
  • Перегляньте все використання SSH-ключів з відкритим ключем, щоб переконатися, що їх ключі очищені, і перевірити, чи були відкриті будь-які приватні ключі, поки ви знаходитесь на ньому.
  • Якщо вони мали доступ до будь-якої передачі телекомунікацій, змініть будь-які паролі маршрутизатора / комутатора / шлюзу / АТС. Це може бути справді королівським болем, оскільки це може спричинити значні перебої.
• Повністю перевірте свої заходи безпеки по периметру.
  • Переконайтеся, що всі отвори брандмауера простежуються на відомих авторизованих пристроях та портах.
  • Переконайтесь, що в усіх методах віддаленого доступу (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail і т. Д.) Відсутні додаткові аутентифікації, і повністю перевіряйте їх щодо несанкціонованих методів доступу.
  • Переконайтесь, що віддалені WAN-посилання відслідковують людей, які працюють повністю, та перевіряють це. Особливо бездротові з'єднання. Ви не хочете, щоб вони гуляли з мобільним мобільним модемом або смартфоном, який платить компанія. Зверніться до всіх таких користувачів, щоб переконатися, що вони мають потрібний пристрій.
• Повний аудит внутрішніх механізмів пільгового доступу. Це такі речі, як доступ SSH / VNC / RDP / DRAC / iLO / IMPI до серверів, яких загальні користувачі не мають, або будь-який доступ до чутливих систем, таких як зарплата.
• Працюйте з усіма зовнішніми постачальниками та постачальниками послуг, щоб забезпечити правильність контактів.
  • Переконайтесь, що вони виключені з усіх списків контактів та послуг. Це слід робити у будь-якому разі після будь-якого від'їзду, але зараз це надзвичайно важливо.
  • Підтвердьте, що всі контакти є законними та мають правильну контактну інформацію. Це для того, щоб знайти привидів, на яких можна себе представити.
• Почніть полювати на логічні бомби.
  • Перевірте всю автоматизацію (планувальників завдань, завдання в Cron, списки викликів UPS або все, що працює за графіком або викликає події) на наявність ознак зла. Під "Усі" я маю на увазі всіх. Перевірте кожен crontab. Перевірте кожну автоматизовану дію в системі моніторингу, включаючи самі зонди. Перевірте кожен планувальник завдань Windows; навіть робочі станції. Якщо ви не працюєте для уряду у високочутливій сфері, ви не зможете дозволити собі "всіх", робіть скільки завгодно.
  • Перевірити ключові бінарні системи на кожному сервері, щоб переконатися, що вони є такими, якими вони мають бути. Це складно, особливо в Windows, і майже неможливо зробити заднім числом в одноразових системах.
  • Почніть полювати на руткіти. За визначенням їх важко знайти, але для цього є сканери.

Нелегко принаймні, навіть не віддалено близько. Виправдати витрати на все це може бути дуже важко без певних доказів того, що нинішній адміністратор був насправді злим. Все вищесказане навіть неможливо з активами компанії, що вимагає наймання консультантів з питань безпеки для виконання певної роботи.

Якщо фактичне зло виявлено, особливо якщо зло є в якомусь програмному забезпеченні, кваліфіковані фахівці з безпеки найкраще визначають масштаб проблеми. Це також момент, коли кримінальну справу можна почати будувати, і ви дуже хочете, щоб люди, які навчаються поводженню з доказами, робили цей аналіз.

Але, дійсно, як далеко ви повинні пройти? Тут грає управління ризиками . Простіше кажучи, це метод збалансування очікуваного ризику перед втратами. Сисадміни роблять це, коли ми вирішуємо, в якому місці поза сайтом ми хочемо розмістити резервні копії; банківський сейф порівняно з центром обробки даних за межами регіону. Визначення того, наскільки потрібно цього списку, є вправою щодо управління ризиками.

У цьому випадку оцінка розпочнеться з кількох речей:

• Очікуваний рівень майстерності відійшов
• Доступ відійшов
• Сподівання, що зло було зроблено
• Потенційна шкода будь-якого зла
• Нормативні вимоги щодо звітності про зло, що посягає проти превентивного виявленого зла. Як правило, ви повинні повідомити про це, але не пізніше.

Рішення про те, наскільки далеко внизу є вище кроляча нора, буде залежати від відповідей на ці питання. Для звичайних відправлень адміністратора, де очікування зла дуже незначне, повний цирк не потрібен; зміна паролів рівня адміністратора та повторна клавіша будь-яких зовнішніх хостів SSH, ймовірно, достатньо. Знову ж, позиція безпеки корпоративного управління ризиками визначає це.

Для адміністраторів, які були припинені за справу, або зло, зібране після їх нормального від'їзду, цирк стає більш необхідним. Найгірший сценарій - це параноїдальний тип BOFH, який отримав сповіщення про те, що їх позиція буде знищена через 2 тижні, оскільки це дає їм достатньо часу для підготовки; в таких обставинах, як ідея Кайла про щедрий викупний пакет може пом'якшити всілякі проблеми. Навіть параноїди можуть пробачити багато гріхів після того, як надійде чек, що містить 4-місячну оплату. Ця перевірка, ймовірно, обійдеться дешевше, ніж витрати на консультантів з безпеки, необхідні для викриття їх зла.

Але врешті-решт, це зводиться до вартості визначення того, чи було вчинено зло проти потенційної вартості будь-якого зла, яке фактично робиться.

Я б сказав, що це баланс того, скільки турбот ви маєте проти тих грошей, які ви готові платити.

Дуже стурбовано:
якщо ви дуже стурбовані, то, можливо, ви захочете найняти зовнішнього консультанта з питань безпеки, щоб зробити повне сканування всього, як із зовнішньої, так і з внутрішньої точки зору. Якщо ця людина була особливо розумною, у вас можуть виникнути проблеми, у них може виникнути щось, що буде спати деякий час. Інший варіант - просто все відновити. Це може здатися дуже надмірним, але ви навчитесь навколишньому середовищу, а також зробите проект по відновленню аварій.

Легко стурбований:
Якщо ви лише з легкої стурбованістю, ви можете просто зробити:

• Сканування порту ззовні.
• Сканування вірусів та шпигунських програм. Сканування Rootkit для машин Linux.
• Перегляньте конфігурацію брандмауера, щоб не зрозуміти нічого.
• Змініть усі паролі та знайдіть будь-які невідомі акаунти (переконайтеся, що вони не активували когось, хто більше не має компанії, щоб вони могли використовувати це тощо).
• Це також може бути вдалий час для розгляду встановлення системи виявлення вторгнень (IDS).
• Слідкуйте за журналами уважніше, ніж зазвичай.

На майбутнє:
Ідучи вперед, коли адміністратор виїжджає, приносять йому приємну вечірку, а потім, коли він п’яний, просто запропонують йому покататися додому - тоді перекиньте його в найближчу річку, болото чи озеро. Більш серйозно, це одна з вагомих причин дати адміністраторам щедрий вихідний внесок. Ви хочете, щоб вони почували себе добре якнайшвидше виїжджати. Навіть якщо вони не повинні почувати себе добре, кого це хвилює?, Висмоктати це і зробити їх щасливими. Зробіть вигляд, що ви винні, а не їхні. Вартість підвищення витрат на страхування від безробіття та виплату виплат не співпадають із збитком, який вони можуть заподіяти. Це все про шлях найменшого опору і створення якомога менше драматизму.

Не забувайте про подібність Teamviewer, LogmeIn тощо ... Я знаю, про це вже згадувалося, але аудит програмного забезпечення (багато додатків там) кожного сервера / робочої станції не зашкодить, включаючи сканування підмереж (-ів) з nmap's Сценарії NSE.

Перш за все, спочатку - отримайте резервну копію всього, що знаходиться на зовнішньому сховищі (наприклад, стрічки або жорсткого диска, які ви від'єднуєте та зберігаєте). Таким чином, якщо станеться щось шкідливе, ви, можливо, зможете трохи відновитись.

Далі розчісуйте правила брандмауера. Будь-які підозрілі відкриті порти повинні бути закриті. Якщо є задня дверцята, то запобігання доступу до неї було б добре.

Облікові записи користувачів - шукайте свого незадоволеного користувача та переконайтесь, що їх доступ буде видалений якнайшвидше. Якщо є SSH ключі, / / ​​etc / passwd файли, або записи LDAP, навіть .htaccess файли, слід сканувати всі.

На своїх важливих серверах шукайте програми та порти активного прослуховування. Переконайтесь, що запущені процеси, що додаються до них, виглядають розумними.

Зрештою, рішучий незадоволений працівник може зробити все, що завгодно - адже він володіє знаннями про всі внутрішні системи. Можна сподіватися, що вони мають цілісність не робити негативних дій.

Налагоджена інфраструктура матиме інструменти, моніторинг та контроль, щоб значною мірою запобігти цьому. До них належать:

• Правильна сегментація мережі та брандмауер
• Ідентифікований хост
• Мережевий IDS
• Центральний лісозаготівля
• Управління доступом
• Змінити контроль

Якщо ці інструменти встановлені належним чином, у вас з'явиться аудиторський слід. В іншому випадку вам доведеться провести повний тест на проникнення .

Першим кроком буде перевірка доступу та зміна всіх паролів. Зосередьтеся на зовнішньому доступі та потенційних точках входу - саме тут найкраще проводити свій час. Якщо зовнішній слід не виправданий, усуньте його або зменшіть. Це дасть вам час зосередитися на більшій кількості деталей всередині. Будьте в курсі і всього вихідного трафіку, оскільки програмні рішення можуть передавати обмежені дані зовні.

Зрештою, бути адміністратором системи та мережі дозволить отримати повний доступ до більшості, якщо не всіх речей. З цим випливає висока ступінь відповідальності. Наймання з таким рівнем відповідальності не слід сприймати з легкістю, а слід вживати заходів для мінімізації ризику з самого початку. Якщо професіонала приймають на роботу, навіть залишаючи на поганих умовах, вони не будуть вживати дій, які були б непрофесійними чи незаконними.

Про помилку сервера є багато детальних публікацій, які охоплюють належний аудит системи для безпеки, а також що робити у разі припинення когось. Ця ситуація не є унікальною.

Розумний BOFH може зробити що-небудь із наступного:

1. Періодична програма, яка ініціює вихідне з'єднання netcat на добре відомому порту для підбору команд. Напр. Порт 80. Якщо добре виконано рух назад і назад, він мав би вигляд трафіку для цього порту. Тож якби на порту 80 він мав би заголовки HTTP, а корисне навантаження було б шматками, вбудованими у зображення.

2. Aperiodic команда, яка шукає у певних місцях для виконання файлів. Місця можуть бути на комп'ютерах користувачів, мережевих комп'ютерах, додаткових таблицях у базах даних, тимчасових каталогах файлів котушки.

3. Програми, які перевіряють, чи є ще один або кілька інших на задньому плані. Якщо це не так, то на ньому встановлюється варіант, і деталі надсилаються електронною поштою до BOFH

4. Оскільки багато чого на шляху резервного копіювання робиться з диском, змініть резервні копії, щоб вони містили принаймні деякі ваші кореневі набори.

Способи убезпечити себе від подібних речей:

1. Коли співробітник класу BOFH виїжджає, встановіть нову коробку в DMZ. Він отримує копію всього трафіку, що проходить між брандмауером. Шукайте аномалії в цьому трафіку. Останнє нетривіально, особливо якщо BOFH добре імітує нормальні схеми руху.

2. Повторіть свої сервери, щоб критичні бінарні файли зберігалися на носіях, які лише для читання. Тобто, якщо ви хочете змінити / bin / ps, вам доведеться перейти до машини, фізично перемістити перемикач з RO на RW, перезавантажити одного користувача, перезавантажити цей розділ rw, встановити нову копію ps, синхронізувати, перезавантажити, тумблер. Система, зроблена таким чином, має принаймні деякі довірені програми та надійне ядро ​​для подальшої роботи.

Звичайно, якщо ви користуєтеся вікнами, ви шлангуєте.

3. Розділіть свою інфраструктуру. Недоцільно для малих та середніх фірм.

Способи запобігти такій справі.

1. Ретельно перевіряйте заявників.

2. З’ясуйте, чи не є ці люди незадоволеними і виправляйте кадрові проблеми достроково.

3. Коли ви звільняєте адміністратора з такими повноваженнями, підсолоджуйте пиріг:

   а. Його заробітна плата або частка його заробітної плати зберігається протягом певного періоду часу або до тих пір, поки не відбудеться серйозна зміна в поведінці системи, яка не пояснюється ІТ-персоналом. Це може бути експоненціальним розпадом. Наприклад , він отримує повну оплату в протягом 6 місяців, 80% того , що в протягом 6 місяців, 80 відсотків від , що в протягом наступних 6 місяців.

   б. Частина його заробітної плати здійснюється у формі акцій, які не набувають чинності протягом одного-п’яти років після від'їзду. Ці варіанти не знімаються, коли він піде. Він має стимул переконатися, що компанія буде працювати добре через 5 років.

Мене вражає, що проблема існує ще до відходу адміністратора. Просто проблема ще більше помічає проблему.

-> Потрібен процес для аудиту кожної зміни, і частина процесу полягає в тому, що зміни застосовуються лише через неї.

Обов’язково повідомте всім у компанії, як тільки вони пішли. Це усуне вектор атаки на соціальну інженерію. Якщо компанія велика, то переконайтеся, що люди, яким потрібно знати, знають.

Якщо адміністратор також відповідав за написання коду (корпоративний веб-сайт тощо), вам також знадобиться зробити аудит коду.

Є велика, яку залишили всі.

Пам'ятайте, що існують не просто системи.

• Чи знають продавці, що особа не має персоналу, і їй не слід дозволити доступ (колонія, telco)
• Чи існують зовнішні розміщені служби, які можуть мати окремі паролі (обмін, CRM)
• Чи могли б вони в будь-якому разі мати шантажні матеріали (добре, це починає трохи доходити ...)

Якщо ви насправді не параноїдальні, тоді моя пропозиція просто запустить кілька інструментів сканування TCP / IP (tcpview, wireshark тощо), щоб побачити, чи є щось підозріле при спробі зв’язатися із зовнішнім світом.

Змініть паролі адміністратора та переконайтесь, що немає "додаткових" облікових записів адміністраторів, які не повинні бути там.

Крім того, не забудьте змінити паролі бездротового доступу та перевірити налаштування програмного забезпечення безпеки (зокрема, AV та брандмауера)

Перевірте журнали на своїх серверах (та на комп’ютерах, на яких вони безпосередньо працюють). Подивіться не лише на їхній рахунок, але й на акаунти, які не відомі адміністраторам. Шукайте отвори у своїх журналах. Якщо журнал подій був очищений на сервері нещодавно, це підозра.

Перевірте змінену дату у файлах на своїх веб-серверах. Запустіть швидкий скрипт, щоб перелічити всі нещодавно змінені файли та переглянути їх.

Перевірте останню оновлену дату для всіх ваших групових політик та об’єктів користувачів в AD.

Переконайтесь, що всі ваші резервні копії працюють, а існуючі резервні копії все ще існують.

Перевірте, чи відсутні сервери, на яких ви працюєте з послугами Volume Shadow Copy, для попередньої історії.

Я вже бачу в списку багато хороших речей і просто хотів додати ці інші речі, які ви можете швидко перевірити. Варто було б зробити повний огляд всього. Але почніть з місць з останніми змінами. Деякі з цих речей можна швидко перевірити, і вони можуть підняти кілька червоних прапорів, щоб допомогти вам вийти.

В основному, я б сказав, що якщо у вас грамотний БОФХ, ви приречені ... існує безліч способів встановлення бомб, які були б непоміченими. І якщо ваша компанія використовує для викидання «ману-військових» тих, кого звільняють, будьте впевнені, що бомба буде посаджена добре перед звільненням !!!

Найкращий спосіб - мінімізувати ризики виникнення розлюченого адміністратора ... Уникайте "звільнення від скорочення витрат" (якщо він грамотний і злий БОФХ, втрати, які ви можете понести, будуть, ймовірно, набагато більшими, ніж ви отримаєте від звільнення) ... Якщо він допустив якусь неприйнятну помилку, краще запропонувати йому виправити (неоплачено) як альтернативу звільнення ... Наступного разу він буде більш розсудливим, щоб не повторити помилку (що буде збільшенням в його цінність) ... Але обов'язково вдарити в добру ціль (звичайно, що некомпетентні люди з хорошою харизмою відкидають власну провину компетентній, але менш соціальній).

І якщо ви зіткнулися з справжнім БОФ в гіршому сенсі (і що така поведінка є причиною звільнення), вам краще бути готовим перевстановити з нуля всю систему, з якою він контактував (що, мабуть, означатиме кожен комп'ютер).

Не забувайте, що одна зміна бітів може збити всю систему ... (встановлений біт, Перейти, якщо перенести, перейти, якщо немає перенесення, ...) і що навіть компіляційні інструменти можуть бути порушені.

Удачі, якщо він насправді щось знає і заздалегідь налаштує що-небудь. Навіть dimwit може зателефонувати / надіслати електронною поштою / факсу телекомунікаційну систему з відключеннями або навіть попросити їх виконати повний тестовий зразок на схемах протягом дня.

Якщо серйозно, виявляючи трохи кохання та кілька сотень у від'їзді, це дійсно зменшує ризик.

О так, на випадок, коли вони закликають "отримати пароль або щось таке", нагадуйте їм про вашу ціну 1099 та 1 годину хвилини та 100 витрат на поїздку за дзвінок, незалежно від того, чи потрібно вам десь бути ...

Гей, це те саме, що і мій багаж! 1,2,3,4!

Я пропоную вам почати по периметру. Перевірте конфігурації брандмауера, переконайтеся, що у вас немає непередбачених точок входу в мережу. Переконайтеся, що мережа фізично захищена від нього, повторного входу та отримання доступу до будь-яких комп'ютерів.

Переконайтеся, що ви повністю працюєте та відновлюєте резервні копії. Хороші резервні копії дозволять уникнути втрати даних, якщо він зробить щось руйнівне.

Перевірка будь-яких служб, дозволених по периметру, і переконайтеся, що йому заборонено доступ. Переконайтесь, що ці системи мають належні робочі механізми ведення журналу.

Видаліть усе, почніть знову;)

Спалити .... спалити це все.

Це єдиний спосіб бути впевненим.

Потім спаліть усі свої зовнішні інтереси, реєстраторів доменів, постачальників платежів за допомогою кредитних карток.

По-друге, можливо, простіше попросити будь-яких товаришів з Бікі переконати людину, що здоровіше їх не турбувати.

Імовірно, компетентний адміністратор десь по дорозі зробив те, що називається BACKUP конфігурації базової системи. Також можна було б припустити, що є резервні копії, зроблені з певним розумним рівнем частоти, що дозволяє відновити відому безпечну резервну копію.

З огляду на , що деякі речі дійсно змінюються, це гарна ідея , щоб працювати з вашої резервної копії віртуалізованних , якщо це можливо , поки ви не переконаєтеся , що первинна налаштування не буде порушена.

Припускаючи, що найгірше стає очевидним, ви зливаєте те, що можете, і вводите вручну решту.

Я вражений, що ніхто не згадував про використання безпечної резервної копії. Це означає, що я повинен надіслати своє резюме до відділу кадрів?

Спробуйте зайняти його точку зору.

Ви знаєте свою систему і що вона робить. Таким чином, ви можете спробувати уявити, що можна придумати для підключення ззовні, навіть коли ви більше не будете системним адміністратором ...

Залежно від того, якою є мережна інфраструктура та як все це працює, ви найкраща людина, яка може знати, що робити і де це може бути розташоване.

Але як вам здається, що говорите з експериментованого bofh , вам доведеться шукати поблизу скрізь ...

Відстеження мережі

Оскільки головна мета - це віддалений контроль над вашою системою, через інтернет-з'єднання, ви можете дивитися (навіть замінювати, тому що це теж може бути пошкоджено !!) брандмауер і намагатися ідентифікувати кожен активний з’єднання.

Заміна брандмауера не забезпечить повний захист, але гарантує, що нічого не залишається прихованим. Тож якщо ви спостерігаєте за переадресацією брандмауера пакетом, ви повинні побачити все, включаючи небажаний трафік.

Ви можете використовувати tcpdumpдля відстеження всього (як це параноїд у США;) та переглядати дамп-файл із розширеним інструментом, як-от wireshark. Знайдіть кілька разів, щоб побачити, що ця команда (потрібно 100 Гбіт вільного місця на диску):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не довіряйте всьому

Навіть якщо ви щось знайдете, ви не будете впевнені, що вас знайшли цілі погані речі!

Нарешті, ви не будете по-справжньому тихими, перш ніж все встановите наново (з надійних джерел!)

Якщо ви не можете переробити сервер, наступне найкраще - це, мабуть, максимально заблокувати файрволи. Дотримуйтесь кожного можливого вхідного з'єднання та переконайтесь, що воно зменшено до абсолютного мінімуму.

Змінити всі паролі.

Замініть всі ключі ssh.

Як правило, це досить важко ...

але якщо його веб-сайт, перегляньте код прямо за кнопкою Вхід.

Ми один раз знайшли тип "if username = 'admin" "

По суті, зробити знання попередніх ІТ-людей нікчемними.

Змініть все, що можна змінити, не впливаючи на ІТ-інфраструктуру.

Зміна або диверсифікація постачальників - ще одна добра практика.