Der IT-Manager verlässt möglicherweise das Unternehmen, und es ist möglich, dass die Trennung der Wege nicht vollständig zivil ist. Ich würde wirklich keine Bosheit erwarten, aber nur für den Fall, was überprüfe, ändere oder sperre ich?
Beispiele:
- Admin-Passwörter
- WLAN-Passwörter
- VPN-Zugriffsregeln
- Router- / Firewall-Einstellungen
Antworten:
Natürlich muss die physische Sicherheit angesprochen werden, aber danach ...
Angenommen, Sie haben kein dokumentiertes Verfahren für den Zeitpunkt, zu dem Mitarbeiter das Unternehmen verlassen (allgemeine Umgebung, da Sie nicht angeben, welche Plattformen Sie ausführen):
Wenn Sie dies alles tun, dokumentieren Sie dies , damit Sie über ein Verfahren für zukünftige Kündigungen verfügen.
Wenn Sie Colocation-Dienste verwenden, müssen Sie sicherstellen, dass sein Name aus der Zugriffsliste und der Ticketübermittlungsliste entfernt wird. Es wäre ratsam, dasselbe für alle anderen Anbieter zu tun, bei denen er der Hauptverantwortliche war, damit er die von diesen Anbietern erhaltenen Dienste nicht stornieren oder damit die Anbieter nicht wissen, an wen sie sich bei Erneuerungen wenden müssen. Probleme, etc ... die Ihnen Kopfschmerzen ersparen können, wenn etwas passiert, das der IT-Manager nicht dokumentiert hat.
Ich bin mir sicher, dass ich noch mehr verpasst habe, aber das ist mir ein Rätsel.
quelle
Vergessen Sie nicht die physische Sicherheit - stellen Sie sicher, dass er kein Gebäude betreten kann - es ist großartig, dass Sie das gesamte Netzwerk-Kit nutzen, aber wenn er das Rechenzentrum erreichen kann, ist es sinnlos.
quelle
Wir hatten den Verdacht, dass ein verärgerter Mitarbeiter, der sich noch in der Kündigungsfrist befand, möglicherweise einige Fernzugriffsprogramme installiert hat. Deshalb haben wir sein Anmeldekonto auf die Arbeitszeit beschränkt, damit er nach Geschäftsschluss keine Fernzugriffszeiten einhalten kann, in denen niemand da ist Dinge (während der Arbeitszeit konnten wir seinen Bildschirm deutlich sehen, wenn er Unheil angerichtet hätte, hätten wir es gewusst).
Als wertvoll erwiesen, hatte er LogMeIn installiert und tatsächlich versucht, außerhalb der Geschäftszeiten darauf zuzugreifen.
(Dies war ein kleines Firmennetzwerk, keine ACLs oder ausgefallenen Firewalls)
quelle
Seien Sie auch vorsichtig, um nicht zu viel zu sperren. Ich erinnere mich an eine Situation, in der jemand gegangen ist, und einen Tag später stellte sich heraus, dass eine geschäftskritische Software tatsächlich unter seinem persönlichen Benutzerkonto ausgeführt wurde.
quelle
Nur um hinzuzufügen - stellen Sie auch sicher, dass Sie eine Überprüfung fehlgeschlagener und erfolgreicher Anmeldungen haben - kann eine Reihe von Fehlern für ein Konto, gefolgt von Erfolg, gleichbedeutend mit Hacking sein. Sie können auch festlegen, dass alle anderen Benutzer ihre Kennwörter ändern, wenn der IT-Manager an den Kennworteinstellungen beteiligt war. Vergessen Sie nicht auch die Datenbankkennwörter, und Sie möchten möglicherweise das E-Mail-Konto des Benutzers löschen, um sichere Informationen zu erhalten. Ich würde auch Zugriffskontrollen für vertrauliche Informationen / Datenbanken durchführen und ihm / ihr verbieten, System- / Datenbank-Backups durchzuführen.
Hoffe das hilft.
quelle
Stellen Sie auch sicher, bevor Sie diese Person gehen lassen, um zu verstehen, dass die Dinge untergehen können und werden oder problematisch sein, bis Sie diese Person ersetzen. Ich würde hoffen, dass Sie ihnen nicht die Schuld für alles geben, was untergeht, nur weil Sie annehmen / wissen, dass es kein guter Abschied ist, oder dass sie Sie irgendwie hacken, weil die Toilette übergelaufen ist.
Hoffentlich klingt dieses Szenario für Sie absurd. Aber es ist eine wahre Geschichte aus meinem letzten Job, dass der Eigentümer jetzt versucht, mich wegen Sabotage zu verklagen (im Grunde, weil ich kündige und sie nicht bereit sind, jemandem den Marktzins zu zahlen, um mich zu ersetzen) und Cyber-Verbrechen wie Hacking und Internet-Racketeering.
Fazit ist, bewerten Sie das "Warum" für den Grund ihrer Entlassung. Wenn es sich nicht nur um wirtschaftliche Bedürfnisse handelt, schlage ich vor, dass Sie Ihre Einstellungsverfahren verfeinern, damit Sie eine professionellere Person einstellen können, die von Beruf zuverlässig und vertrauenswürdig sein muss und geschäftskritische und in der Regel vertrauliche Informationen enthält und die die richtigen Informationen installieren kann Sicherheitsverfahren, die jeder befolgen muss.
Eine Möglichkeit zu wissen, wie gut Sie und Ihr Unternehmen im Gegenzug interviewt werden. Haftung (Wie das Unternehmen glaubt, kann der IT-Manager für den Fall, dass etwas schief geht, ein Verschulden begangen werden - normalerweise ist dies in einem Vertrag vermerkt) und die allgemeine Netzwerksicherheit ist eines der drei wichtigsten Dinge, die ein ordnungsgemäßer IT-Manager / CTO zu erwarten hat in für einen Job zu interviewen.
quelle
Ändern Sie alle Administratorkennwörter (Server, Router, Switches, Remore-Zugriff, Firewalls). Entfernen Sie alle Firewall-Regeln für den Remotezugriff für den IT-Manager. Wenn Sie Sicherheitstoken verwenden, müssen Sie die Zuordnung der Token des IT-Managers zu allen Zugriffen aufheben. Entfernen Sie den TACACS-Zugriff (falls Sie diesen verwenden).
Stellen Sie sicher, dass Sie diese Änderungen mit dem IT-Manager in einem Konferenzraum oder auf andere Weise unter physischer Kontrolle durchführen, damit er den Prozess nicht beobachten kann. Das Lesen eines Passworts, während es auf einer Tastatur eingegeben wird, ist nicht trivial (nicht schwer, nur nicht trivial). Wenn dies wiederholt werden muss, besteht ein höheres Risiko, dass das Passwort gefunden wird.
Wenn möglich, Schlösser wechseln. Wenn Schlüssel repliziert werden können (und in Kürze auch), kann der IT-Manager danach keinen physischen Zugriff mehr erhalten. Deaktivieren Sie alle Passcards, die Sie nicht berücksichtigen können (nicht nur die Karten, die Sie dem IT-Manager ausgestellt haben).
Wenn Sie mehrere eingehende Telefonleitungen haben, markieren Sie ALLE, um sicherzustellen, dass keine unbekannten Geräte an sie angeschlossen sind.
quelle
Überprüfen Sie die Firewall-Richtlinien.
Ändern Sie das Administratorkennwort und suchen Sie nach Konten, die nicht mehr verwendet werden.
Sperren Sie seine Zertifikate.
Sichern Sie seine Workstation und formatieren Sie sie.
Verwenden Sie Prüfsummensteuerelemente für die wichtigen Dateien auf Ihren Servern und legen Sie eine IDS für eine Weile an einem Span-Port in Ihrem Rack ab.
Nur meine 2cts.
quelle
Suchen Sie auch nach zusätzlichen Konten. Er könnte leicht ein neues Konto hinzufügen, sobald er weiß, dass er geht. Oder sogar kurz nach seiner Ankunft.
quelle
Es kommt darauf an, wie paranoid du bist. Einige Leute gehen soweit - wenn es schlimm genug ist - alle Schlüssel und Schlösser auszutauschen. Ein weiterer grund nett zu sys admins zu sein;)
Alle oben genannten Ratschläge sind gut - ein anderer Ratschlag fordert möglicherweise alle Benutzer auf, ihre Kennwörter zu ändern (und wenn Windows die Richtlinien für komplexe Kennwörter einhält).
Auch - wenn Sie jemals Remote-Support geleistet oder ein Remote-Büro / einen Remote-Client (dh einen anderen Standort) eingerichtet haben - lassen Sie diese Benutzer auch ihre Kennwörter ändern.
quelle
Vergessen Sie nicht, alle Extranet-Konten auszublasen, die er möglicherweise für Ihr Unternehmen eingerichtet hat. Diese werden oft übersehen und sind oft die Ursache für viel Trauer post mortem.
Vielleicht möchten Sie (entlang der Liste "Ich bin ultra-paranoid") auch Ihre Vertriebsmitarbeiter von verschiedenen Anbietern benachrichtigen, mit denen Sie zusammenarbeiten, falls er versucht hat, jemanden dort zu kontaktieren.
quelle
Wenn er die Kontrolle über das Webhosting Ihres Unternehmens hatte,
Schwächen in diesem Bereich können sich auf die Art und Weise auswirken, wie Ihr Hosting durchgeführt wird.
quelle
Meine Firma hat einen Entwickler vor nicht allzu langer Zeit gehen lassen und es war eine ähnliche Situation. Er wusste viel über das System und es war von größter Wichtigkeit sicherzustellen, dass er abgeschnitten wurde, sobald er über seine Entlassung informiert wurde. Abgesehen von den oben gegebenen Ratschlägen habe ich Spectre Pro auch verwendet, um seine gesamte Arbeit für die 2 Wochen vor seinem Verlassen zu überwachen: Netzwerkaktivität (IO), Chat-Fenster, E-Mails, Screenshots alle 2 Minuten usw. Es war wahrscheinlich übertrieben und ich habe es nie getan schaute sich sogar irgendetwas davon an, weil er zu guten Konditionen abreiste. Es war jedoch eine gute Versicherung.
quelle
Die beiden wichtigsten Dinge, die Sie sofort erledigen müssen, sind:
Physischer Zugang - Wenn Sie ein elektronisches System haben, widerrufen Sie seine Karte. Wenn Ihre Sperren physisch sind, stellen Sie entweder sicher, dass alle an ihn ausgegebenen Schlüssel zurückgegeben werden, oder ändern Sie die Sperren in kritische Bereiche, wenn Sie ernsthafte Bedenken haben.
Remotezugriff - Stellen Sie sicher, dass VPN / Citrix / andere Remotezugriffskonten dieses Administrators deaktiviert sind. Hoffentlich erlauben Sie keine Remoteanmeldungen mit gemeinsam genutzten Konten. Wenn ja, ändern Sie die Kennwörter für alle. Stellen Sie außerdem sicher, dass Sie sein AD / NIS / LDAP-Konto deaktivieren.
Dies deckt jedoch nur das Offensichtliche ab; Es besteht zum Beispiel immer die Möglichkeit, dass er in den Serverräumen einige Modems mit Konsolenkabeln in wichtigen Netzwerkgeräten / Servern installiert hat. Sobald Sie die erste Sperre durchgeführt haben, möchten Sie wahrscheinlich, dass sein Ersatz die gesamte Infrastruktur durchsucht.
quelle
Bei einem früheren Job in einem kleineren Unternehmen kannte der Sysadmin, der entlassen wurde, viele Passwörter anderer Mitarbeiter. An dem Morgen, an dem er freigelassen wurde, haben wir die Eigenschaft "Benutzer muss Kennwort ändern" für jeden Active Directory-Account festgelegt, der über Remotezugriff verfügte.
Dies ist möglicherweise nicht überall möglich, kann jedoch je nach Situation umsichtig sein.
quelle
Ich würde folgende Prozeduren empfehlen:
Dies sollte die meisten möglichen Zugriffsoptionen abdecken. Überprüfen Sie in den folgenden Wochen alle sicherheitsrelevanten Informationen, um sicherzustellen, dass keine Option "offen" gelassen wurde.
quelle
Machen Sie alle Mitarbeiter darauf aufmerksam, dass dieser Mitarbeiter das Unternehmen verlässt, damit sie anfällig für telefonische Hacking-Versuche sind.
Er weiß bereits, wie das System funktioniert und was dort ist. Er würde also nicht zu viele Informationen benötigen, um wieder einzusteigen, wenn er es wünschte.
Wenn ich heute unter weniger als wünschenswerten Umständen abreiste, glaube ich, dass ich das Personal, das ich sowieso von Zeit zu Zeit erledigen muss, anrufen und genügend Informationen herausfinden könnte, um wieder in das System zu gelangen.
Vielleicht würde ich einem vorhandenen Domänenbenutzer Administratorrechte geben (bevor ich gehe). Ich könnte diesen Benutzer anrufen und ihn / sie mir ihr Passwort mitteilen lassen.
quelle
quelle
Der einzige Weg, um bei Servern vollkommen sicher zu sein, ist der gleiche Weg, wie Sie sicherstellen, dass eine gehackte Box sauber ist: Neu installieren. Dank Puppet (oder einem anderen Konfigurationsmanagementsystem) können Server schnell und automatisch neu installiert und in einen bestimmten Status versetzt werden.
quelle