Вопрос: Как искать заднюю часть от предыдущего ИТ-специалиста?


Мы все это знаем. Голый старый ИТ-парень покидает задняя дверь в систему и сеть, чтобы повеселиться с новыми парнями и показать компании, насколько плохие вещи без него.

Я никогда лично не испытывал этого. Больше всего я пережил тот, кто сломал и украл вещи прямо перед отъездом. Я уверен, что это происходит.

Итак, когда вы берете на себя сеть, которой нельзя доверять, какие шаги следует предпринять для обеспечения безопасности и безопасности?


352
2017-08-18 15:04


Источник


+1, мне нравится этот вопрос. Это моя наименее любимая вещь, когда мы имеем дело с новым клиентом, особенно если последний парень ушел на плохих условиях. - DanBig
В большинстве мест, которые я оставил, я не говорю, что «Не делай этого», чтобы снизить сеть. Мне не нужно оставлять задние двери. - Paul Tomblin
@Paul, это говорит о том, что вы не документировали правильно. Будем надеяться, что новый человек (ы) выполнит эту часть своей работы должным образом. - John Gardeniers
@ Джон, ваши пользователи и сотрудники читают документацию? Где я могу получить некоторые из них? - Paul Tomblin
@Paul, пользователи - нет, почему они должны? Сотрудники (при условии, что вы имеете в виду ИТ-специалистов) - да. Чтение документов должно быть первым шагом в начале нового задания. - John Gardeniers


Ответы:


Это действительно, действительно, очень тяжело. Это требует очень полного аудита. Если вы очень уверены, что старый человек оставил что-то позади, то это будет идти или потребует повторного найма, потому что они единственные, кто может выпустить огонь, тогда пришло время предположить, что вы были укоренены враждебная сторона. Относитесь к нему, как группа хакеров вошла и украла вещи, и вы должны очистить их после беспорядка. Потому что это то, что есть.

  • Проверяйте каждую учетную запись в каждой системе, чтобы убедиться, что она связана с определенным объектом.
    • Учетные записи, которые, похоже, связаны с системами, но никто не может учитывать, должны быть недоверчивыми.
    • Учетные записи, которые не связаны ни с чем, необходимо очистить (это необходимо сделать в любом случае, но это особенно важно в этом случае)
  • Измените все пароли, с которыми они могли бы соприкоснуться.
    • Это может быть реальной проблемой для учетных записей служб, поскольку эти пароли, как правило, жестко закодированы в вещах.
    • Если они были типом службы поддержки, отвечающим на вызовы конечного пользователя, предположим, что у них есть пароль любого, кому они помогали.
    • Если у них есть Admin Admin или Domain Admin в Active Directory, предположите, что они схватили копию хэшей паролей, прежде чем они ушли. Их можно так быстро взломать, что в течение нескольких дней потребуется принудительное изменение пароля всей компании.
    • Если они имеют корневой доступ к любым * nix-блокам, они уходят с хэшами пароля.
    • Просмотрите все ключевые ключи SSH с открытым ключом, чтобы убедиться, что их ключи очищены, и проверите, были ли открыты какие-либо секретные ключи, пока вы на нем.
    • Если у них есть доступ к любому телекоммуникационному оборудованию, измените пароль router / switch / gateway / PBX. Это может быть настоящей королевской болью, так как это может привести к значительным перебоям в работе.
  • Полностью проверьте свои меры безопасности на периметре.
    • Убедитесь, что все межсетевые экраны прослежены до известных разрешенных устройств и портов.
    • Убедитесь, что все методы удаленного доступа (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail и т. Д.) Не имеют дополнительной проверки подлинности и полностью проверяют их для методов несанкционированного доступа.
    • Убедитесь, что удаленные соединения WAN отслеживают полностью занятых людей и проверяют их. Особенно беспроводные соединения. Вы не хотите, чтобы они ушли с компанией, оплаченной сотовой модемей или смартфоном. Свяжитесь со всеми такими пользователями, чтобы убедиться, что у них есть подходящее устройство.
  • Полностью аудит внутренних соглашений о привилегированном доступе. Это такие вещи, как SSH / VNC / RDP / DRAC / iLO / IMPI доступ к серверам, которых нет у обычных пользователей, или к любому доступу к чувствительным системам, таким как платежная ведомость.
  • Работа со всеми внешними поставщиками и поставщиками услуг для обеспечения правильности контактов.
    • Убедитесь, что они исключены из всех списков контактов и услуг. Это должно быть сделано в любом случае после любого отправления, но сейчас очень важно.
    • Подтвердить, что все контакты являются законными и имеют правильную контактную информацию, это поиск призраков, которые могут быть выданы.
  • Начните охоту за логическими бомбами.
    • Проверяйте всю автоматизацию (планировщики задач, задания cron, списки выходов ИБП или все, что работает по расписанию или вызвано событиями) для признаков зла. Под «Все» я имею в виду все. Проверьте каждый кронтаб. Проверяйте каждое автоматическое действие в вашей системе мониторинга, включая сами зонды. Проверьте каждый планировщик задач Windows; даже рабочие станции. Если вы не работаете в правительстве в очень чувствительной области, вы не сможете позволить себе «все», сделайте столько, сколько сможете.
    • Проверяйте ключевые системные двоичные файлы на каждом сервере, чтобы они были такими, какими они должны быть. Это сложно, особенно в Windows, и почти невозможно делать ретроактивно в разовых системах.
    • Начните поиск руткитов. По определению их трудно найти, но для этого есть сканеры.

Нелегко, по крайней мере, даже не отдаленно близко. Обоснование расходов на все это может быть очень тяжело без определенных доказательств того, что теперь бывший администратор был на самом деле злым. Полное из вышеизложенного даже не выполнимо с активами компании, что потребует привлечения консультантов по вопросам безопасности для выполнения некоторых из этих работ.

Если обнаружено фактическое зло, особенно если зло находится в каком-то программном обеспечении, обученные специалисты в области безопасности лучше всего определяют широту проблемы. Это также тот момент, когда уголовное дело может начаться, и вы действительно хотят, чтобы люди, прошедшие подготовку по обработке доказательств, проводили этот анализ.


Но, действительно, как далеко вы должны идти? Это где управление рисками вступает в игру. Упрощенно это метод балансирования ожидаемого риска от потери. Сисадмины делают это, когда мы решаем который вне места размещения, мы хотим поставить резервные копии; банковского сейфа, а также центра обработки данных за пределами региона. Выяснив, сколько из этого списка необходимо, это упражнение по управлению рисками.

В этом случае оценка начнется с нескольких вещей:

  • Ожидаемый уровень умения ушедшего
  • Доступ ушедшего
  • Ожидание того, что зло было сделано
  • Потенциальный ущерб любого зла
  • Нормативные требования к отчетности о совершении зла против упреждающего обнаружения зла. Как правило, вы должны сообщать об этом, но не позже.

Решение о том, как далеко вниз по вышеуказанному кроличьему отверстию, будет зависеть от ответов на эти вопросы. Для обычных отправлений администратора, где ожидание зла очень незначительно, полный цирк не требуется; вероятно, достаточно изменить пароли на уровне администратора и повторно подключить любые внешние SSH-хосты. Опять же, корпоративная позиция по управлению рисками определяет это.

Для админов, которые были прекращены по причине или зла, возникшего после их обычного обычного отъезда, цирк становится более необходимым. В худшем случае - параноидальный тип BOFH, которому было сообщено, что их позиция будет сделана излишней через 2 недели, поскольку это дает им много времени, чтобы подготовиться; в таких обстоятельствах, как эти Идея Кайла о щедрой раздаче может смягчить все проблемы. Даже параноики могут простить много грехов после того, как будет получен чек, содержащий 4 месяца. Эта проверка, вероятно, будет стоить меньше, чем затраты консультантов по безопасности, необходимых для выяснения их зла.

Но в конечном счете, это сводится к стоимости определения того, было ли сделано зло против потенциальной стоимости любого зла, которое на самом деле делается.


326
2017-08-18 15:40



+1 - Современное состояние в отношении двоичных систем системы аудита сегодня довольно плохое. Инструменты компьютерной криминалистики могут помочь вам проверить подписи на двоичных файлах, но с распространением различных бинарных версий (особенно в Windows, что со всеми обновлениями происходит каждый месяц) довольно сложно найти убедительный сценарий, в котором вы могли бы приблизиться к 100% двоичная проверка. (Я бы +10, если бы мог, потому что вы очень хорошо подвели итог всей проблемы. Это сложная проблема, особенно если не было разделения и разделения обязанностей). - Evan Anderson
+++ Re: изменение паролей учетной записи службы. В любом случае это должно быть тщательно документировано, поэтому этот процесс вдвойне важен, если вы ожидаете, что будете выполнять свою работу. - Kara Marfia
@Joe H .: Не забывайте проверять содержимое указанной резервной копии независимо от производственной инфраструктуры. Программное обеспечение для резервного копирования может быть троянизировано. (Один из моих Клиентов имел стороннюю независимую установку своего приложения LOb, который был заключен контракт на восстановление резервных копий, загружает их в приложение и проверяет, что финансовые отчеты, созданные из резервной копии, соответствуют тем, которые генерируются производственной системой. дикие ...) - Evan Anderson
Отличный ответ. Кроме того, не забудьте удалить уволенного сотрудника в качестве авторизованного контактного лица для поставщиков услуг и поставщиков. Регистраторы доменов. Интернет-провайдеры. Телекоммуникационные компании. Убедитесь, что все эти внешние стороны получили слово о том, что работник больше не имеет права вносить какие-либо изменения или обсуждать счета компании. - Mox
Также не забывайте менять замки на всех дверях, чтобы человек не мог получить физический доступ во время и после того, как вы очистили беспорядок. - neoneye


Я бы сказал, что это баланс того, насколько вы заботитесь о том, сколько денег вы готовы заплатить.

Очень обеспокоен:
Если вы очень обеспокоены, вы можете нанять внешнего консультанта по безопасности, чтобы выполнить полное сканирование всего, как с внешней, так и с внутренней точки зрения. Если бы этот человек был особенно умным, у вас могли быть проблемы, у них могло бы быть что-то, что будет спящим какое-то время. Другой вариант - просто перестроить все. Это может показаться очень чрезмерным, но вы хорошо изучите окружающую среду, и вы также выполните проект по восстановлению после аварии.

Немного обеспокоен:
Если вы только слегка обеспокоены, вы можете просто хотеть:

  • Сканирование портов со стороны.
  • Сканирование вирусов и шпионских программ. Сканирование руткитов для Linux-машин.
  • Посмотрите конфигурацию брандмауэра на все, что вы не понимаете.
  • Измените все пароли и найдите неизвестные аккаунты (убедитесь, что они не активировали кого-то, кто больше не работает с компанией, чтобы они могли использовать это и т. Д.).
  • Это также может быть хорошим временем для изучения установки системы обнаружения вторжений (IDS).
  • Следите за журналами более внимательно, чем обычно.

Для будущего:
Идти вперед, когда адмирал уходит, дает ему приятную вечеринку, а затем, когда он выпивает, просто предложит ему кататься домой - затем избавьтесь от него в ближайшей реке, болоте или озере. Более серьезно, это одна из веских причин, чтобы дать администраторам щедрую выходную плату. Вы хотите, чтобы они чувствовали себя хорошо, оставляя как можно больше. Даже если они не должны чувствовать себя хорошо, кто заботится?, Сосать его и сделать их счастливыми. Притворись, что это твоя вина, а не их. Стоимость повышения стоимости страхования по безработице и пакета выходных пособий не сравнивается с ущербом, который они могут сделать. Это все о пути наименьшего сопротивления и создании как можно меньше драмы.


98
2017-08-18 15:18



Ответы, которые не включают убийство, вероятно, будут предпочтительнее :-) - Jason Berg
+1 для предложения BOFH. - jscott
@Kyle: Это должно было быть нашим маленьким секретом ... - GregD
Мертвые переключатели, Кайл. Мы помещаем их туда, если мы уйдем на некоторое время :) «Мы», я имею в виду, эм, они? - Bill Weiss
+1 - Это практический ответ, и мне нравится дискуссия, основанная на анализе риска / стоимости (потому что это то, что есть). Ответ Sysadmin1138 немного более всеобъемлющий: «резина соответствует дороге», но необязательно входит в анализ рисков / затрат и тот факт, что в большинстве случаев вы должны отложить некоторые предположения как «слишком дистанционный пульт". (Это может быть неправильное решение, но никто не имеет бесконечного времени / денег.) - Evan Anderson


Не забывайте, как Teamviewer, LogmeIn и т. Д. Я знаю, что это уже упоминалось, но аудит программного обеспечения (многие приложения там) на каждом сервере / рабочей станции не повредит, в том числе подсети (ы) сканирования с помощью nmap Сценарии NSE.


19
2017-08-24 22:40





Во-первых, сначала создайте резервную копию всего в хранилище за пределами площадки (например, ленту или жесткий диск, который вы отсоединяете и кладете в хранилище). Таким образом, если произойдет что-то злонамеренное, вы сможете немного поправиться.

Затем расчёсывайте правила брандмауэра. Любые подозрительные открытые порты должны быть закрыты. Если есть задняя дверь, то предотвращение доступа к ней было бы хорошо.

Учетные записи пользователей - найдите своего недовольного пользователя и убедитесь, что их доступ удален как можно скорее. Если есть SSH-ключи или файлы / etc / passwd или записи LDAP, все файлы .htaccess должны быть отсканированы.

На ваших важных серверах ищите приложения и активные порты прослушивания. Убедитесь, что работающие процессы, связанные с ними, кажутся разумными.

В конечном итоге решительный недовольный сотрудник может сделать что угодно - в конце концов, они знают все внутренние системы. Надеюсь, что у них есть честность, чтобы не предпринимать негативных действий.


18
2017-08-18 15:25



резервные копии также могут быть важны, если что-то происходит, и вы решили пойти с маршрутом судебного преследования, чтобы вы могли узнать, что такое правила для обработки доказательств, и убедитесь, что вы следуете им на всякий случай. - Joe H.
Но не забывайте, что то, что вы только что создали, может включать в себя внедренные приложения / конфиг / данные и т. Д. - Shannon Nelson
Если у вас есть резервные копии корневой системы, у вас есть доказательства. - XTL


У хорошо управляемой инфраструктуры будут инструменты, мониторинг и контроль, чтобы в значительной степени предотвратить это. К ним относятся:

  • Правильная сегментация сети и межсетевой экран
  • Host IDS
  • Сетевые IDS
  • Центральная лесозаготовка
  • Контроль доступа
  • Смени управление

Если эти инструменты установлены правильно, у вас будет контрольный журнал. В противном случае вам придется выполнить полный тест на проникновение,

Первым шагом будет аудит всего доступа и изменение всех паролей. Сосредоточьтесь на внешнем доступе и потенциальных точках входа - это то, где ваше время лучше всего проводить. Если внешний след не оправдан, устраните его или скрепите. Это позволит вам сосредоточиться на большей части деталей внутри страны. Помните обо всех исходящих трафиках, так как программные решения могут передавать внешние данные извне.

В конечном счете, системный администратор и сетевой администратор позволят получить полный доступ к большинству, если не ко всем вещам. При этом возникает высокая степень ответственности. Наем с этим уровнем ответственности не следует воспринимать легкомысленно, и необходимо предпринять шаги для минимизации риска с самого начала. Если наемный работник, даже выходя на плохих условиях, они не будут предпринимать действия, которые были бы непрофессиональными или незаконными.

Есть много подробных сообщений о Server Fault, которые охватывают надлежащий системный аудит для обеспечения безопасности, а также что делать в случае чьего-то прекращения. Эта ситуация не уникальна.


17
2017-08-18 15:31





Умный BOFH мог бы выполнить одно из следующих действий:

  1. Периодическая программа, которая инициирует исходящее соединение netcat на хорошо известном порту для сбора команд. Например. Порт 80. Если хорошо сделанный задний и четвертый трафик будет иметь вид трафика для этого порта. Так что если на порту 80, у него будут HTTP-заголовки, а полезная нагрузка будет фрагментами, встроенными в изображения.

  2. Апериодическая команда, которая просматривает определенные места для выполнения файлов. Места могут быть на компьютерах пользователей, сетевых компьютерах, дополнительных таблицах в базах данных, временных каталогах файлов spool.

  3. Программы, которые проверяют, все ли еще одна или несколько других бэкдоров. Если это не так, то установлен вариант на нем, и детали, отправленные по электронной почте в BOFH

  4. Поскольку в настоящее время значительно облегчается резервное копирование с диска, измените резервные копии, чтобы содержать хотя бы некоторые из ваших корневых наборов.

Способы защитить себя от такого рода вещей:

  1. Когда сотрудник класса BOFH уходит, установите новое поле в DMZ. Он получает копию всего трафика, проходящего через брандмауэр. Ищите аномалии в этом трафике. Последнее нетривиально, особенно если BOFH хорошо имитирует обычные трафик.

  2. Верните свои серверы, чтобы критические двоичные файлы были сохранены на носителях только для чтения. То есть, если вы хотите изменить / bin / ps, вам нужно перейти на компьютер, физически переместить переключатель из RO в RW, перезагрузить одного пользователя, перезагрузить этот раздел rw, установить новую копию ps, синхронизацию, перезагрузку, Переключить переключатель. Система, выполненная таким образом, имеет как минимум некоторые доверенные программы и доверенное ядро ​​для дальнейшей работы.

Конечно, если вы используете окна, вы будете вслушиваться.

  1. Разделите свою инфраструктуру. Не разумно с фирмами малого и среднего размера.

Способы предотвращения такого рода вещей.

  1. Заявители Vet тщательно.

  2. Узнайте, недовольны ли эти люди и заранее ли они устраняют кадровые проблемы.

  3. Когда вы увольняете админа с этими видами сил, подсластите пирог:

    а. Его зарплата или часть его зарплаты продолжаются в течение определенного периода времени или до тех пор, пока не произойдет существенное изменение в поведении системы, которое не объясняется ИТ-персоналом. Это может быть экспоненциальное распад. Например. он получает полную оплату в течение 6 месяцев, 80% из которых - на 6 месяцев, 80 процентов что в течение следующих 6 месяцев.

    б. Часть его заработной платы находится в форме опционов на акции, которые не вступают в силу через один-пять лет после его ухода. Эти параметры не удаляются, когда он уходит. У него есть стимул убедиться, что компания будет работать хорошо через 5 лет.


16
2017-08-25 15:37



WTF - это BOFH ?? - Chloe
Хлоя, BOFH выступает за Bastard Operator из ада, знакового параноидально-бредового meglomaniacal sociopath rogue sysadmin, который ИТ-люди, которые тратят слишком много времени, забирают чью-то мышь с пола, мечтают стать. Есть серия историй, первоначально поставленных на alt.sysadmin.recovery в bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Чем выше ваш рейтинг ServerFault, тем выше ваши шансы стать BOFH :-) - dunxd
«Конечно, если вы используете окна, вы будете вслушиваться». Я хочу это на моей стене. - programmer5000


Мне кажется, что проблема существует еще до того, как администрация уйдет. Просто в это время замечается проблема.

-> Нужен процесс аудита каждого изменения, и часть процесса заключается в том, что изменения применяются только через него.


13
2017-08-24 22:55



Мне интересно, как вы применяете этот процесс? - Mr. Shiny and New 安宇
Это довольно сложно сделать в небольшой компании (т. Е. 1-2 человека типа Sys Admin) - Beep beep
Это боль, чтобы обеспечить соблюдение, но она может быть оправдана. Одним из основных правил является то, что никто не заходит в поле и не управляет им, даже через sudo. Изменения должны проходить через инструмент управления конфигурацией или должны происходить в контексте события типа firecall. Каждое рутинное изменение систем должно проходить через кукольный, cfengine, chef или аналогичный инструмент, и весь объем работы для ваших системных администраторов должен существовать как репозиторий этих сценариев, управляемый версиями. - Stephanie


Обязательно сообщите всем в компании, как только они уйдут. Это устранит вектор атаки социальной инженерии. Если компания большая, то убедитесь, что люди, которые должны знать, знают.

Если администратор также отвечал за написанный код (корпоративный сайт и т. Д.), Вам также нужно будет выполнить аудит кода.


12
2017-08-25 02:51





Там большой, что все ушли.

Помните, что существуют не только системы.

  • Знают ли продавцы, что человек не находится в штате, и не должен быть разрешен доступ (colo, telco)
  • Существуют ли внешние хостинговые службы, которые могут иметь отдельные пароли (обмен, crm)
  • Могут ли они иметь материал шантажа в любом случае (хорошо, что это начинает немного доходить ...)

12
2017-08-25 11:08





Если вы действительно не параноик, то мое предложение будет просто запускать несколько инструментов сканирования TCP / IP (tcpview, wireshark и т. Д.), Чтобы увидеть, есть ли какие-либо подозрительные попытки связаться с внешним миром.

Измените пароли администратора и убедитесь, что нет дополнительных учетных записей администратора, которые не обязательно должны быть там.

Кроме того, не забудьте изменить пароли беспроводного доступа и проверить свои настройки программного обеспечения безопасности (в частности, AV и Firewall)


9
2017-08-18 15:23



+1 для изменения паролей администратора - PP.
Хорошо, но остерегайтесь пассивного прослушивания странных вещей, потому что вы можете мигать, когда это TRUNCATE TABLE customerзапускается: P - Khai
Если есть руткит, он может прослушивать изменения passwd. - XTL


Проверяйте журналы на своих серверах (и на компьютерах, на которых они непосредственно работают). Посмотрите не только на свою учетную запись, но и на учетные записи, которые неизвестны администраторам. Ищите отверстия в ваших журналах. Если на сервере недавно был удален журнал событий, это подозрительно.

Проверьте измененную дату на файлах на ваших веб-серверах. Запустите быстрый скрипт, чтобы просмотреть все недавно измененные файлы и просмотреть их.

Проверьте последнюю обновленную дату для всех ваших групповых политик и пользовательских объектов в AD.

Убедитесь, что все ваши резервные копии работают, и существующие резервные копии все еще существуют.

Проверьте серверы, на которых запущены службы теневого копирования томов для предыдущей истории.

Я уже вижу много хороших вещей и просто хотел добавить эти другие вещи, которые вы можете быстро проверить. Было бы целесообразно провести полный обзор всего. Но начните с мест с самыми последними изменениями. Некоторые из этих вещей можно быстро проверить и могут поднять некоторые ранние красные флаги, чтобы помочь вам.


9
2017-08-25 01:00