Кроки, які потрібно вжити, коли технічний персонал піде

Як ви поводитесь із процесом від'їзду, коли пільговик чи технічний персонал подають у відставку / звільняють? Чи є у вас контрольний список, що потрібно зробити для забезпечення тривалої роботи / безпеки інфраструктури компанії?

Я намагаюся скласти приємний канонічний список речей, які повинні робити мої колеги, коли я виїжджаю (тиждень тому я пішов у відставку, тому у мене є місяць, щоб привести в порядок та GTFO).

Поки що у мене є:

1. Ескортуйте їх із приміщення
2. Видаліть папку "Вхідні" електронної пошти (встановіть всю пошту для переадресації на лову)
3. Видаліть їх SSH ключі на серверах

4. Видаліть їх облікові записи mysql

   ...

Отже, що далі. Що я забув згадати чи може бути подібним чином корисним?

(кінцева примітка: Чому це поза темою? Я системний адміністратор, і це стосується постійної безпеки бізнесу. Це, безумовно, тематично.)

Я б запропонував створити контрольний список речей, які ви робите, коли до компанії приєднається новий sysadmin (системи, до яких потрібно додати їх, групи, до яких повинен входити ваш обліковий запис тощо) і включати як технічні, так і фізичні речі - наприклад, фізичні ключі та сигнал тривоги коди так само важливі, як SSH ключі та паролі.

Переконайтеся, що ви постійно оновлюєте цей список - простіше сказати, ніж зробити, я знаю. Але це полегшує як обробку нових членів команди в компанії, так і знову їх обробку. Ви все ще можете зробити це зараз і отримати хоча б частину користі, скориставшись ним, щоб допомогти людині, яка виїжджає. Причина, про яку я згадую контрольний список, полягає в тому, що всі ми схильні думати у власних сферах комфорту, і різні речі можуть бути пропущені інакше, залежно від того, хто обробляє випускник. Наприклад: "менеджер з безпеки будівлі" або "менеджер офісу" буде думати більше про ключі від дверей, ніж SSH-ключі, і ІТ-людина буде з точністю до навпаки, і в кінцевому підсумку відкликає свій доступ до системи, залишаючи їм можливість ходити в будівлю вночі.

Потім просто перегляньте їх контрольний список, коли вони виїжджають, використовуйте його як контрольний список речей, щоб скасувати / повернути. Усі ваші ІТ-команди повинні бути захоплені цим, якщо вони професійні, оскільки вони мають узгоджений процес, подібний цьому, захищає їх від необґрунтованої вини колишнього роботодавця так само, наскільки захищає роботодавця від них.

Не забувайте про такі речі, як доступ до віддалених центрів обробки даних або фізичний доступ до стороннього сховища резервних даних.

Я здивований, що ніхто раніше не згадував про це, але ...

Якщо у вашій мережі WiFi використовується WPA або (я сподіваюся, що не) WEP, на відміну від натискання на сервері Radius, можливо, ви захочете подумати про зміну цього ключа.

Це величезна двері, яка залишається відкритою, якщо ви адміністратор мережі, є досить хороший шанс, що ви знаєте цей ключ напам’ять ... уявіть, як легко було б повернутися в мережу з стоянки чи чогось подібного характеру .

Інші речі, які спадають на думку:

• Фізична безпека - забирайте ключі / теги доступу / теги vpn / ноутбуки
• Забирайте телефони / ожини
• Видаліть / вимкніть будь-які облікові записи, які вони мають на зовнішніх службах / сайтах
• Заблокуйте їх обліковий запис користувача
• Змініть усі спільні паролі, які вони можуть знати (я вдячний, що ви не повинні мати загальних паролів)
• Вимкнути обліковий запис VPN
• Переконайтеся, що всі помилки / квитки / проблеми тощо в будь-яких системах відстеження перепризначені

• Зніміть їх із системи нагіосів / пейджингів
• Приберіть їх судо (про всяк випадок)
• Повідомте даніцентри
• Вимкнути / відкликати будь-яку систему vpn в офісну мережу
• Вимкніть будь-які веб-програми / apache confs / брандмауери, у яких жорстко закодовано їхні IP-адреси

Якщо якийсь sysadmin покидає компанію, ми змінюємо всі паролі для користувачів (замість щомісячної зміни пароля). У нас ldap і радіус, тому це не дуже складно. Потім ми розглядаємо системи, над якими він працював, а також файли, які були створені / модифіковані ним. Якщо на його робочій станції є важливі дані, ми їх чистимо або архівуємо.

У нас є аудит доступу для всіх служб, які мають користувачів. Якщо якийсь невідомий користувач використовує послугу, ми блокуємо його, принаймні, поки не буде передано ідентифікацію.

Інші системи будуть очищені через тиждень; більшість призначені для розробки і не мають цінної інформації, і їх регулярно очищають шляхом перевстановлення.

Багато хороших ідей у ​​цій темі ... Ще кілька речей, які слід врахувати:

Я погоджуюся із зміною паролів або відключенням облікових записів користувачів term term, а також видаленням (принаймні спочатку), однак, можливо, буде гарною ідеєю перевірити і перевірити, чи використовується обліковий запис користувача для запуску служб / запланованих завдань перед тим, як вживати заходів. Це, мабуть, важливіше в середовищі Windows / AD, ніж U

Деякі з наступних пунктів можуть бути важкими для виконання, якщо працівник виїжджає швидко або за менш ідеальних обставин; але це може бути важливо (особливо в ті 2 години ночі, коли траплялися моменти)

Передача знань - Хоча ми всі постійно оновлюємо всю свою документацію (гм, перетасовує ноги), це може бути непогано запланувати час із короткочасним таймером і виконати якісь питання або інструкції з іншим адміністратором. Якщо у вас багато користувальницького / без бігу або складна середовище, вам може бути дуже корисно задати питання та отримати кілька разів один на один.

Поряд з цим йде Паролі. Сподіваємось, кожен використовує певний тип зашифрованого облікового запису / зберігання паролів (KeePass / PassSafe тощо). Якщо це так, це має бути досить просто - дістаньте копію свого файлу та ключ до нього. Якщо ні, то час для демпінгу мозку.

Почніть із зміни всіх паролів "по периметру" для вашої мережі. Будь-які акаунти, якими він може скористатися, щоб потрапити у вашу мережу з дому (або зі стоянки з Wi-Fi), слід негайно змінити.

• Віддалені паролі адміністрування для маршрутизаторів і брандмауерів?
• VPN-акаунти? Як щодо облікових записів адміністратора в VPN?
• Шифрування Wi-Fi?
• Електронна пошта на базі браузера (OWA)?

Після того, як вони прикриються, просуньтеся всередину.

Інші речі, щоб перевірити, щоб просто привести в дію речі:

• якщо у них була статична IP-адреса, позначте як доступну
• видалити / очистити будь-які власні записи DNS, якщо це можливо
• видалити з будь-якого каталогу службовців
• телефони
• видалити електронну адресу з будь-якого автоматизованого звіту, що надсилається сервером чи службою
• якщо ви зберігаєте обладнання та програмне забезпечення, позначайте ліцензії на апаратні та програмні засоби як доступні (це дійсно залежить від того, яким чином ви керуєте цими речами).

Постарайтеся переконатися, що всі зміни пароля трапляються між "вивільненим від мережі" (можливо інтерв'ю виходу в конференц-залі, після повернення робочого ноутбука) і "залишком для власних пристроїв". Це різко зменшує ймовірність того, що випускник перегляне нові облікові дані (але зі смартфонами та подібними, це все ще не має значення).

Наведені вище відповіді дуже хороші. Як професіонал-професіонал у професії InfoSec (ІТ-аудитор), вам слід врахувати деякі інші моменти:

1. Видаліть привілейовані адміністративні права, такі як адміністратор домену, якщо ви використовуєте Active Directory

2. Видаліть привілейовані ролі бази даних, які вони могли мати (наприклад: db_owner)

3. Повідомте зовнішніх клієнтів, що користувач, що припинив, можливо, мав доступ до нього, щоб привілеї доступу могли бути відкликані.

4. Видаліть локальні облікові записи, якщо вони мали додатковий доступ до домену