Der IT-Manager geht - Was sperre ich ab?

Der IT-Manager verlässt möglicherweise das Unternehmen, und es ist möglich, dass die Trennung der Wege nicht vollständig zivil ist. Ich würde wirklich keine Bosheit erwarten, aber nur für den Fall, was überprüfe, ändere oder sperre ich?

Beispiele:

• Admin-Passwörter
• WLAN-Passwörter
• VPN-Zugriffsregeln
• Router- / Firewall-Einstellungen

Natürlich muss die physische Sicherheit angesprochen werden, aber danach ...

Angenommen, Sie haben kein dokumentiertes Verfahren für den Zeitpunkt, zu dem Mitarbeiter das Unternehmen verlassen (allgemeine Umgebung, da Sie nicht angeben, welche Plattformen Sie ausführen):

1. Beginnen Sie mit der Perimetersicherheit. Ändern Sie alle Kennwörter für Peripheriegeräte wie Router, Firewalls, VPNs usw. Sperren Sie dann alle Konten, die der IT-Manager hatte, und überprüfen Sie alle verbleibenden Konten auf nicht mehr verwendete und nicht mehr verwendete Konten. nicht dazugehören (für den Fall, dass er eine sekundäre hinzugefügt hat).
2. E-Mail - entfernen Sie sein Konto oder deaktivieren Sie zumindest die Anmeldung, je nach Unternehmensrichtlinie.
3. Dann gehen Sie Ihre Host-Sicherheit durch. Auf allen Rechnern und Verzeichnisdiensten sollte sein Konto deaktiviert und / oder entfernt sein. (Entfernt wird bevorzugt, aber Sie müssen sie möglicherweise prüfen, falls etwas ausgeführt wird, das zuerst unter ihnen gültig ist.) Überprüfen Sie auch hier, ob nicht mehr verwendete und nicht dazugehörige Konten vorhanden sind. Deaktivieren / entfernen Sie diese ebenfalls. Wenn Sie SSH-Schlüssel verwenden, sollten Sie diese auf Admin- / Root-Konten ändern.
4. Wenn Sie gemeinsame Konten haben, sollten deren Kennwörter für alle geändert werden. Außerdem sollten Sie allgemein das Entfernen freigegebener Konten oder das Deaktivieren der interaktiven Anmeldung für diese Konten in Betracht ziehen.
5. Anwendungskonten ... Vergessen Sie nicht, Kennwörter zu ändern oder Konten für alle Anwendungen, auf die er Zugriff hatte, zu deaktivieren / zu entfernen, beginnend mit Administratorzugriffskonten.
6. Protokollierung ... Stellen Sie sicher, dass Sie über eine ordnungsgemäße Protokollierung für die Kontonutzung verfügen, und überwachen Sie diese genau, um verdächtige Aktivitäten festzustellen.
7. Backups ... stellen Sie sicher, dass Ihre Backups aktuell und sicher sind (vorzugsweise außerhalb des Standorts). Stellen Sie sicher, dass Sie mit Ihren Sicherungssystemen die gleichen Schritte wie oben ausgeführt haben, was Konten anbelangt.
8. Dokumente ... versuchen Sie so viel wie möglich zu identifizieren, fordern Sie ihn nach Möglichkeit an und kopieren Sie alle seine Dokumente an einen sicheren Ort.
9. Wenn Sie Dienste ausgelagert haben (E-Mail, Spam-Filter, Hosting jeglicher Art usw.), stellen Sie sicher, dass Sie alle oben genannten Schritte ausführen, die auch für diese Dienste geeignet sind.

Wenn Sie dies alles tun, dokumentieren Sie dies , damit Sie über ein Verfahren für zukünftige Kündigungen verfügen.

Wenn Sie Colocation-Dienste verwenden, müssen Sie sicherstellen, dass sein Name aus der Zugriffsliste und der Ticketübermittlungsliste entfernt wird. Es wäre ratsam, dasselbe für alle anderen Anbieter zu tun, bei denen er der Hauptverantwortliche war, damit er die von diesen Anbietern erhaltenen Dienste nicht stornieren oder damit die Anbieter nicht wissen, an wen sie sich bei Erneuerungen wenden müssen. Probleme, etc ... die Ihnen Kopfschmerzen ersparen können, wenn etwas passiert, das der IT-Manager nicht dokumentiert hat.

Ich bin mir sicher, dass ich noch mehr verpasst habe, aber das ist mir ein Rätsel.

Vergessen Sie nicht die physische Sicherheit - stellen Sie sicher, dass er kein Gebäude betreten kann - es ist großartig, dass Sie das gesamte Netzwerk-Kit nutzen, aber wenn er das Rechenzentrum erreichen kann, ist es sinnlos.

Wir hatten den Verdacht, dass ein verärgerter Mitarbeiter, der sich noch in der Kündigungsfrist befand, möglicherweise einige Fernzugriffsprogramme installiert hat. Deshalb haben wir sein Anmeldekonto auf die Arbeitszeit beschränkt, damit er nach Geschäftsschluss keine Fernzugriffszeiten einhalten kann, in denen niemand da ist Dinge (während der Arbeitszeit konnten wir seinen Bildschirm deutlich sehen, wenn er Unheil angerichtet hätte, hätten wir es gewusst).

Als wertvoll erwiesen, hatte er LogMeIn installiert und tatsächlich versucht, außerhalb der Geschäftszeiten darauf zuzugreifen.

(Dies war ein kleines Firmennetzwerk, keine ACLs oder ausgefallenen Firewalls)

Seien Sie auch vorsichtig, um nicht zu viel zu sperren. Ich erinnere mich an eine Situation, in der jemand gegangen ist, und einen Tag später stellte sich heraus, dass eine geschäftskritische Software tatsächlich unter seinem persönlichen Benutzerkonto ausgeführt wurde.

Nur um hinzuzufügen - stellen Sie auch sicher, dass Sie eine Überprüfung fehlgeschlagener und erfolgreicher Anmeldungen haben - kann eine Reihe von Fehlern für ein Konto, gefolgt von Erfolg, gleichbedeutend mit Hacking sein. Sie können auch festlegen, dass alle anderen Benutzer ihre Kennwörter ändern, wenn der IT-Manager an den Kennworteinstellungen beteiligt war. Vergessen Sie nicht auch die Datenbankkennwörter, und Sie möchten möglicherweise das E-Mail-Konto des Benutzers löschen, um sichere Informationen zu erhalten. Ich würde auch Zugriffskontrollen für vertrauliche Informationen / Datenbanken durchführen und ihm / ihr verbieten, System- / Datenbank-Backups durchzuführen.

Hoffe das hilft.

Stellen Sie auch sicher, bevor Sie diese Person gehen lassen, um zu verstehen, dass die Dinge untergehen können und werden oder problematisch sein, bis Sie diese Person ersetzen. Ich würde hoffen, dass Sie ihnen nicht die Schuld für alles geben, was untergeht, nur weil Sie annehmen / wissen, dass es kein guter Abschied ist, oder dass sie Sie irgendwie hacken, weil die Toilette übergelaufen ist.

Hoffentlich klingt dieses Szenario für Sie absurd. Aber es ist eine wahre Geschichte aus meinem letzten Job, dass der Eigentümer jetzt versucht, mich wegen Sabotage zu verklagen (im Grunde, weil ich kündige und sie nicht bereit sind, jemandem den Marktzins zu zahlen, um mich zu ersetzen) und Cyber-Verbrechen wie Hacking und Internet-Racketeering.

Fazit ist, bewerten Sie das "Warum" für den Grund ihrer Entlassung. Wenn es sich nicht nur um wirtschaftliche Bedürfnisse handelt, schlage ich vor, dass Sie Ihre Einstellungsverfahren verfeinern, damit Sie eine professionellere Person einstellen können, die von Beruf zuverlässig und vertrauenswürdig sein muss und geschäftskritische und in der Regel vertrauliche Informationen enthält und die die richtigen Informationen installieren kann Sicherheitsverfahren, die jeder befolgen muss.

Eine Möglichkeit zu wissen, wie gut Sie und Ihr Unternehmen im Gegenzug interviewt werden. Haftung (Wie das Unternehmen glaubt, kann der IT-Manager für den Fall, dass etwas schief geht, ein Verschulden begangen werden - normalerweise ist dies in einem Vertrag vermerkt) und die allgemeine Netzwerksicherheit ist eines der drei wichtigsten Dinge, die ein ordnungsgemäßer IT-Manager / CTO zu erwarten hat in für einen Job zu interviewen.

Ändern Sie alle Administratorkennwörter (Server, Router, Switches, Remore-Zugriff, Firewalls). Entfernen Sie alle Firewall-Regeln für den Remotezugriff für den IT-Manager. Wenn Sie Sicherheitstoken verwenden, müssen Sie die Zuordnung der Token des IT-Managers zu allen Zugriffen aufheben. Entfernen Sie den TACACS-Zugriff (falls Sie diesen verwenden).

Stellen Sie sicher, dass Sie diese Änderungen mit dem IT-Manager in einem Konferenzraum oder auf andere Weise unter physischer Kontrolle durchführen, damit er den Prozess nicht beobachten kann. Das Lesen eines Passworts, während es auf einer Tastatur eingegeben wird, ist nicht trivial (nicht schwer, nur nicht trivial). Wenn dies wiederholt werden muss, besteht ein höheres Risiko, dass das Passwort gefunden wird.

Wenn möglich, Schlösser wechseln. Wenn Schlüssel repliziert werden können (und in Kürze auch), kann der IT-Manager danach keinen physischen Zugriff mehr erhalten. Deaktivieren Sie alle Passcards, die Sie nicht berücksichtigen können (nicht nur die Karten, die Sie dem IT-Manager ausgestellt haben).

Wenn Sie mehrere eingehende Telefonleitungen haben, markieren Sie ALLE, um sicherzustellen, dass keine unbekannten Geräte an sie angeschlossen sind.

Überprüfen Sie die Firewall-Richtlinien.
Ändern Sie das Administratorkennwort und suchen Sie nach Konten, die nicht mehr verwendet werden.
Sperren Sie seine Zertifikate.
Sichern Sie seine Workstation und formatieren Sie sie.
Verwenden Sie Prüfsummensteuerelemente für die wichtigen Dateien auf Ihren Servern und legen Sie eine IDS für eine Weile an einem Span-Port in Ihrem Rack ab.

Nur meine 2cts.

Suchen Sie auch nach zusätzlichen Konten. Er könnte leicht ein neues Konto hinzufügen, sobald er weiß, dass er geht. Oder sogar kurz nach seiner Ankunft.

Es kommt darauf an, wie paranoid du bist. Einige Leute gehen soweit - wenn es schlimm genug ist - alle Schlüssel und Schlösser auszutauschen. Ein weiterer grund nett zu sys admins zu sein;)

Alle oben genannten Ratschläge sind gut - ein anderer Ratschlag fordert möglicherweise alle Benutzer auf, ihre Kennwörter zu ändern (und wenn Windows die Richtlinien für komplexe Kennwörter einhält).

Auch - wenn Sie jemals Remote-Support geleistet oder ein Remote-Büro / einen Remote-Client (dh einen anderen Standort) eingerichtet haben - lassen Sie diese Benutzer auch ihre Kennwörter ändern.

Vergessen Sie nicht, alle Extranet-Konten auszublasen, die er möglicherweise für Ihr Unternehmen eingerichtet hat. Diese werden oft übersehen und sind oft die Ursache für viel Trauer post mortem.

Vielleicht möchten Sie (entlang der Liste "Ich bin ultra-paranoid") auch Ihre Vertriebsmitarbeiter von verschiedenen Anbietern benachrichtigen, mit denen Sie zusammenarbeiten, falls er versucht hat, jemanden dort zu kontaktieren.

Wenn er die Kontrolle über das Webhosting Ihres Unternehmens hatte,

• Überprüfen Sie alle Zugriffspfade auf den Webseiten erneut
• Lassen Sie den gesamten Code für mögliche Hintertüren validieren

Schwächen in diesem Bereich können sich auf die Art und Weise auswirken, wie Ihr Hosting durchgeführt wird.

• Caged Hosting mit administrativer Kontrolle - zumindest die Möglichkeit einer unleserlichen Site
• Lokales Hosting von Ihrem Standort aus - Zugriff auf das interne Netzwerk (es sei denn, Sie haben eine DMZ, die ebenfalls gesperrt ist)

Meine Firma hat einen Entwickler vor nicht allzu langer Zeit gehen lassen und es war eine ähnliche Situation. Er wusste viel über das System und es war von größter Wichtigkeit sicherzustellen, dass er abgeschnitten wurde, sobald er über seine Entlassung informiert wurde. Abgesehen von den oben gegebenen Ratschlägen habe ich Spectre Pro auch verwendet, um seine gesamte Arbeit für die 2 Wochen vor seinem Verlassen zu überwachen: Netzwerkaktivität (IO), Chat-Fenster, E-Mails, Screenshots alle 2 Minuten usw. Es war wahrscheinlich übertrieben und ich habe es nie getan schaute sich sogar irgendetwas davon an, weil er zu guten Konditionen abreiste. Es war jedoch eine gute Versicherung.

Die beiden wichtigsten Dinge, die Sie sofort erledigen müssen, sind:

1. Physischer Zugang - Wenn Sie ein elektronisches System haben, widerrufen Sie seine Karte. Wenn Ihre Sperren physisch sind, stellen Sie entweder sicher, dass alle an ihn ausgegebenen Schlüssel zurückgegeben werden, oder ändern Sie die Sperren in kritische Bereiche, wenn Sie ernsthafte Bedenken haben.

2. Remotezugriff - Stellen Sie sicher, dass VPN / Citrix / andere Remotezugriffskonten dieses Administrators deaktiviert sind. Hoffentlich erlauben Sie keine Remoteanmeldungen mit gemeinsam genutzten Konten. Wenn ja, ändern Sie die Kennwörter für alle. Stellen Sie außerdem sicher, dass Sie sein AD / NIS / LDAP-Konto deaktivieren.

Dies deckt jedoch nur das Offensichtliche ab; Es besteht zum Beispiel immer die Möglichkeit, dass er in den Serverräumen einige Modems mit Konsolenkabeln in wichtigen Netzwerkgeräten / Servern installiert hat. Sobald Sie die erste Sperre durchgeführt haben, möchten Sie wahrscheinlich, dass sein Ersatz die gesamte Infrastruktur durchsucht.

Bei einem früheren Job in einem kleineren Unternehmen kannte der Sysadmin, der entlassen wurde, viele Passwörter anderer Mitarbeiter. An dem Morgen, an dem er freigelassen wurde, haben wir die Eigenschaft "Benutzer muss Kennwort ändern" für jeden Active Directory-Account festgelegt, der über Remotezugriff verfügte.

Dies ist möglicherweise nicht überall möglich, kann jedoch je nach Situation umsichtig sein.

Ich würde folgende Prozeduren empfehlen:

• Deaktivieren Sie alle Gebäude-Sicherheitszugriffskarten
• Deaktivieren Sie alle bekannten Konten (insbesondere VPN und Konten, die von außerhalb des Unternehmens verwendet werden könnten).
• deaktiviere unbekannte Accounts (!)
• Ändern Sie alle Administratorkennwörter
• Überprüfen Sie die Firewall-Regeln

Dies sollte die meisten möglichen Zugriffsoptionen abdecken. Überprüfen Sie in den folgenden Wochen alle sicherheitsrelevanten Informationen, um sicherzustellen, dass keine Option "offen" gelassen wurde.

Machen Sie alle Mitarbeiter darauf aufmerksam, dass dieser Mitarbeiter das Unternehmen verlässt, damit sie anfällig für telefonische Hacking-Versuche sind.

Er weiß bereits, wie das System funktioniert und was dort ist. Er würde also nicht zu viele Informationen benötigen, um wieder einzusteigen, wenn er es wünschte.

Wenn ich heute unter weniger als wünschenswerten Umständen abreiste, glaube ich, dass ich das Personal, das ich sowieso von Zeit zu Zeit erledigen muss, anrufen und genügend Informationen herausfinden könnte, um wieder in das System zu gelangen.

Vielleicht würde ich einem vorhandenen Domänenbenutzer Administratorrechte geben (bevor ich gehe). Ich könnte diesen Benutzer anrufen und ihn / sie mir ihr Passwort mitteilen lassen.

• Deaktivieren Sie ihr Benutzerkonto in Active Directory. Suchen Sie nach anderen Konten, deren Kennwort dem IT-Manager möglicherweise bekannt ist, und ändern oder deaktivieren Sie sie.
• Deaktivieren Sie alle anderen Konten, die nicht zu Active Directory gehören, entweder weil sie sich auf einem anderen Computer befinden oder weil sie intern erstellt wurden. Fordern Sie legitime Benutzer auf, ihr Kennwort zu ändern. (Ich kann mich bis heute als Administrator bei einem anderen Mitarbeiter anmelden.)
• Wenn Ihre Unternehmenswebsite außerhalb des Gebäudes gehostet wird, ändern Sie auch dafür die Kennwörter.
• Es kann für einen verärgerten Mitarbeiter auch ziemlich trivial sein, Ihren Internet- und / oder Telefondienst stornieren zu lassen. Ich bin mir nicht sicher, wie ich mich dagegen verteidigen soll.
• Ändern Sie die Schlösser und den Alarmcode. Ein Einbruch könnte lange genug unbemerkt bleiben, dass alle Ihre Sachen gestohlen werden.

Der einzige Weg, um bei Servern vollkommen sicher zu sein, ist der gleiche Weg, wie Sie sicherstellen, dass eine gehackte Box sauber ist: Neu installieren. Dank Puppet (oder einem anderen Konfigurationsmanagementsystem) können Server schnell und automatisch neu installiert und in einen bestimmten Status versetzt werden.