El gerente de TI se va: ¿qué bloqueo?

Es posible que el gerente de TI se vaya, y es posible que la separación de caminos no sea completamente civil. Realmente no esperaría ninguna malicia, pero por si acaso, ¿qué verifico, cambio o bloqueo?

Ejemplos:

• Contraseñas de administrador
• Contraseñas inalámbricas
• Reglas de acceso VPN
• Configuración del enrutador / firewall

Obviamente, la seguridad física debe abordarse, pero después de eso ...

Suponiendo que no tiene un procedimiento documentado para cuando los empleados se van (entorno genérico ya que no menciona qué plataformas ejecuta):

1. Comience con seguridad perimetral. Cambie todas las contraseñas en cualquier equipo perimetral como enrutadores, cortafuegos, VPN, etc. Luego, bloquee las cuentas que tenía el administrador de TI, y revise todas las cuentas restantes de las que ya no se usan y las que no. t pertenecen (en caso de que agregue un secundario).
2. Correo electrónico: elimine su cuenta o, al menos, desactive los inicios de sesión según la política de su empresa.
3. Luego, revise la seguridad de su host. Todas las máquinas y servicios de directorio deben tener su cuenta desactivada y / o eliminada. (Se prefiere eliminarlo, pero es posible que deba auditarlos en caso de que tenga algo en ejecución que sea válido primero). Nuevamente, también revise las cuentas que ya no se usan, así como las que no pertenecen. Deshabilitar / eliminar esos también. Si usa claves ssh, debe cambiarlas en las cuentas de administrador / root.
4. Las cuentas compartidas, si tiene alguna, deberían cambiar sus contraseñas. También debe considerar eliminar cuentas compartidas o deshabilitar el inicio de sesión interactivo en ellas como una práctica general.
5. Cuentas de aplicaciones ... no olvide cambiar las contraseñas, o deshabilitar / eliminar cuentas de todas las aplicaciones a las que también tuvo acceso, comenzando con las cuentas de acceso de administrador.
6. Registro ... asegúrese de tener un buen registro para el uso de la cuenta y vigílelo de cerca para detectar cualquier actividad sospechosa.
7. Copias de seguridad ... asegúrese de que sus copias de seguridad estén actualizadas y sean seguras (preferiblemente fuera del sitio). Asegúrese de haber hecho lo mismo que anteriormente con sus sistemas de respaldo en cuanto a cuentas.
8. Documentos ... haga todo lo posible para identificar, solicítele si es posible y copie en algún lugar seguro, toda su documentación.
9. Si tiene servicios subcontratados (correo electrónico, filtrado de spam, alojamiento de cualquier tipo, etc.), asegúrese de hacer todo lo anterior que sea apropiado con esos servicios también.

Mientras hace todo esto, documente , de modo que tenga un procedimiento para futuras terminaciones.

Además, si utiliza algún servicio de colocación, asegúrese de eliminar su nombre de la lista de acceso y la lista de envío de tickets. Sería aconsejable hacer lo mismo con cualquier otro proveedor en el que él fuera la persona principal que maneja, para que no pueda cancelar o meterse con los servicios que obtiene de esos proveedores, y también para que los proveedores sepan a quién contactar para renovaciones, problemas, etc., que pueden ahorrarle dolores de cabeza cuando sucede algo que el gerente de TI no documentó.

Estoy seguro de que hay más que me perdí, pero eso está fuera de mi alcance.

No olvides la seguridad física, asegúrate de que no pueda entrar a ningún edificio, es genial que estés en todo el kit de red, pero si puede llegar al centro de datos no tiene sentido.

Sospechamos que un empleado descontento que todavía estaba en su período de notificación puede haber instalado algunos programas de acceso remoto, por lo que limitamos su cuenta de inicio de sesión a horas de trabajo solamente, de modo que no podía alejarse después de las horas de trabajo cuando no había nadie cerca para hacerlo. cosas (durante las horas de trabajo pudimos ver su pantalla con claridad, así que si se levantara para hacer travesuras lo hubiéramos sabido)

Resultó ser valioso, había instalado LogMeIn y, de hecho, intentó acceder fuera del horario de atención.

(se trataba de una red de pequeña empresa, sin ACL o firewalls sofisticados)

También tenga cuidado de no bloquear demasiado. Recuerdo una situación en la que alguien se fue y un día después se hizo evidente que algún software crítico para el negocio realmente se estaba ejecutando en su cuenta de usuario personal.

Solo para agregar, también asegúrese de tener una auditoría de inicios de sesión fallidos y exitosos, un montón de fallas para una cuenta seguida de éxito podría equivaler a piratería. También puede hacer que todos los demás cambien sus contraseñas si el administrador de TI estuvo involucrado en la configuración de la contraseña. No olvide las contraseñas de la base de datos también y es posible que desee eliminar su cuenta de correo electrónico para obtener información segura. También puse controles de acceso en cualquier información / base de datos confidenciales, y no le permití realizar copias de seguridad del sistema / base de datos.

Espero que esto ayude.

Asegúrese también, antes de dejar ir a esta persona, para comprender que las cosas pueden y se irán abajo, o serán problemáticas hasta que reemplace a esa persona. Espero que no los culpes por todo lo que se cae solo porque asumes / sabes que no será una buena partida, o crees que te están pirateando de alguna manera porque el inodoro se desbordó.

Esperemos que ese escenario te parezca absurdo. Pero es una historia real de mi último trabajo que ahora el propietario está tratando de demandarme por sabotaje (básicamente porque renuncié y no están dispuestos a pagarle a nadie la tasa de mercado para reemplazarme) y delitos cibernéticos como piratería informática y estafa en internet.

La conclusión es evaluar el "por qué" por la razón de su despido. Si se trata de algo más que necesidades económicas, le sugiero que refine sus procedimientos de contratación para que pueda contratar a una persona más profesional en la cual, por profesión, debe ser confiable y confiable con información crítica y generalmente confidencial de la misión comercial y quién puede instalar adecuadamente procedimientos de seguridad que todos deben seguir.

Una forma de saber mientras estás entrevistando es qué tan bien te están entrevistando a ti y a tu negocio a cambio. Responsabilidad (Al igual que en lo que la compañía cree que el administrador de TI puede ser culpable en caso de que algo salga mal, por lo general estaría en un contrato) y la seguridad general de la red es una de las 3 principales cosas en la mente de cualquier gerente de TI / CTO adecuado cuando viene en entrevista para un trabajo.

Cambie todas las contraseñas de administrador (servidores, enrutadores, conmutadores, acceso de eliminación, firewalls). Elimine todas las reglas de firewall para el acceso remoto para el administrador de TI. Si está utilizando tokens de seguridad, disocie los tokens del administrador de TI de todos los accesos. Elimine el acceso a TACACS (si lo usa).

Asegúrese de hacer estos cambios con el gerente de TI en una sala de conferencias o de otro modo bajo control físico, para que no pueda observar el proceso. Si bien leer una contraseña como se está escribiendo en un teclado no es trivial (no es difícil, simplemente no es trivial), si esto necesita repetirse, existe un mayor riesgo de que la contraseña sea descubierta.

Si es posible, cambie las cerraduras. Si las claves pueden replicarse (y, en resumen, pueden), esto evitará que el administrador de TI obtenga acceso físico después. Desactive cualquier tarjeta de acceso que no pueda tener en cuenta (no solo las tarjetas que sabe que se han emitido al administrador de TI).

Si tiene varias líneas telefónicas entrantes, verifíquelas TODAS para asegurarse de que no haya dispositivos desconocidos conectados a ellas.

Verifique las políticas del firewall
Cambie la contraseña de administrador y verifique las cuentas que ya no están en uso.
Revocar sus certificados
Haga una copia de seguridad de su estación de trabajo y formatee.
Use controles de suma de comprobación para los archivos importantes en sus servidores y coloque un IDS en un puerto span en su rack por un tiempo.

Solo mis 2cts.

Verifique si hay cuentas adicionales también. Podría agregar fácilmente una nueva cuenta una vez que sepa que se va. O incluso poco después de su llegada.

Depende de lo paranoico que seas. Algunas personas llegan al extremo, si es suficientemente malo, de reemplazar todas las llaves y cerraduras. Otra razón para ser amable con los administradores del sistema;)

Todos los consejos mencionados son buenos: otro posiblemente incluso haga que todos los usuarios cambien sus contraseñas (y si Windows) aplican la compleja política de contraseñas.

Además, si alguna vez ha realizado asistencia remota o ha configurado una oficina / cliente remoto (es decir, otro sitio), haga que también cambien sus contraseñas.

No olvide eliminar las cuentas de tipo extranet que pueda tener en nombre de su empresa. Estos a menudo se pasan por alto y, a menudo, son la causa de mucho dolor post-mortem.

Es posible que (a lo largo de la pista "Soy ultra paranoico") también desee notificar a sus representantes de ventas de diferentes proveedores con los que trabaje en caso de que intente contactar a alguien allí.

Si él tuviera algún control sobre el alojamiento web de su empresa,

• Vuelva a comprobar todas las rutas de acceso a través de las páginas web.
• obtener todo el código validado para posibles puertas traseras

Las debilidades en esta área pueden afectar en función de la forma en que se realiza su alojamiento,

• Alojamiento en jaula con control administrativo: en lo más mínimo, posibilidad de un sitio desfigurado
• Alojamiento local desde sus instalaciones: acceso a la red interna (a menos que tenga una DMZ que también esté bloqueada)

Mi compañía dejó ir a un desarrollador no hace mucho tiempo y fue una situación similar. Sabía mucho del sistema y era de suma importancia asegurarse de que lo cortaran en el momento en que se le informara de su despido. Además del consejo dado anteriormente, también utilicé Specter Pro para monitorear todo su trabajo durante las 2 semanas previas a su partida: actividad de red (IO), ventanas de chat, correos electrónicos, capturas de pantalla cada 2 minutos, etc. Probablemente fue excesivo y nunca incluso lo miró porque se fue en buenos términos. Sin embargo, fue un buen seguro.

Las dos cosas clave para administrar de inmediato son:

1. Acceso físico: si tiene un sistema electrónico, revoque su tarjeta. Si todas sus cerraduras son físicas, asegúrese de que le devuelvan las llaves que le fueron entregadas o si realmente le preocupan las travesuras, cambie las cerraduras a áreas críticas.

2. Acceso remoto: asegúrese de que VPN / Citrix / otra cuenta de acceso remoto de este administrador esté deshabilitada. Esperemos que no permita inicios de sesión remotos con cuentas compartidas; si es así, cambie las contraseñas en todas ellas. También asegúrese de deshabilitar su cuenta AD / NIS / LDAP.

Sin embargo, esto solo cubre lo obvio; siempre existe la posibilidad, por ejemplo, de que haya instalado un par de módems en las salas de servidores, con cables de consola en dispositivos / servidores de red clave. Una vez que haya realizado el bloqueo inicial, probablemente desee que su reemplazo realice un barrido completo de la infraestructura para A) asegurarse de que la documentación esté actualizada y B) resalte todo lo que parezca extraño.

En un trabajo anterior en una empresa más pequeña, el administrador del sistema que conocía sabía muchas contraseñas de otros empleados. La mañana en que lo dejaron ir, configuramos la propiedad "el usuario debe cambiar la contraseña" en la cuenta de Active Directory de cualquiera que tuviera acceso remoto.

Esto puede no ser factible en todas partes, pero puede ser prudente dependiendo de la situación.

Yo recomendaría los siguientes procedimientos:

• deshabilitar todas las tarjetas de acceso de seguridad del edificio
• deshabilite todas las cuentas conocidas (especialmente VPN y cuentas que podrían usarse desde fuera de la empresa)
• deshabilitar cuentas desconocidas (!)
• cambiar todas las contraseñas de administrador
• revisar las reglas del firewall

Esto debería cubrir la mayoría de las posibles opciones de acceso. Revise toda la información relevante para la seguridad en las próximas semanas, de modo que pueda asegurarse de que ninguna opción quede "abierta".

Informe a todo el personal de que este empleado se va para que sea tan vulnerable a los intentos de piratería social telefónica.

Él ya sabe cómo funciona el sistema y qué hay allí. Por lo tanto, no necesitaría demasiada información para volver a entrar si lo desea.

Si me fuera al día en circunstancias menos que deseables, creo que podría llamar al personal, lo que tengo que hacer de vez en cuando de todos modos, y encontrar suficiente información para volver al sistema.

Tal vez le daría privilegios de administrador de usuario a un dominio existente (antes de salir). Podría llamar a este usuario y pedirle que me revele su contraseña.

• Deshabilite su cuenta de usuario en Active Directory. Compruebe si hay otras cuentas de las que el administrador de TI pueda conocer la contraseña y cámbielas o desactívelas.
• Deshabilite cualquier otra cuenta que no sea parte de Active Directory, ya sea porque están en una máquina diferente o porque fueron escritas internamente. Obtenga usuarios legítimos para cambiar su contraseña. (Todavía puedo iniciar sesión como administrador en la cuenta de otro empleado hasta el día de hoy).
• Si el sitio web de su empresa está alojado fuera del edificio, cambie las contraseñas para eso también.
• También puede ser bastante trivial para un empleado descontento que se cancele su servicio de Internet y / o teléfono. Sin embargo, no estoy seguro de cómo defenderse de eso.
• Cambie las cerraduras Y el código de alarma. Un robo podría pasar desapercibido el tiempo suficiente para que roben todas tus cosas.

La única forma de estar totalmente seguro en el caso de los servidores es la misma forma en que se asegura de que una caja pirateada esté limpia: reinstalar. Gracias a Puppet (o algún otro sistema de gestión de configuración) reinstalar servidores y llevarlos a un estado específico puede ser bastante rápido y automatizado.