it-swarm-es.com

Cuando un administrador de sistemas se va, ¿qué precauciones adicionales deben tomarse?

Si un usuario deja una organización que conocía la mayoría de las credenciales principales, ¿hay alguna otra precaución que deba tomarse además de cambiar esas credenciales?

Obviamente, también hay un usuario estándar que deja que se revoquen cosas como el acceso a correo electrónico/VPN, que se eliminen las direcciones mac de sus dispositivos de nuestra red, etc., pero estoy más preocupado por los usuarios avanzados o superusuarios.

Esta pregunta fue Pregunta de seguridad de TI de la semana.
Lea el 19 de agosto de 2011 entrada del blog para más detalles o envíe el suyo Pregunta de la semana.

33
Toby

Un administrador nunca debe tener "credenciales de superusuario" que no puedan eliminarse simplemente quitando su cuenta de usuario o moviendo la cuenta de usuario a un grupo que carece de permiso.

Un ejemplo: el administrador inicia sesión en un sistema Linux con su propia cuenta y usa Sudo somecommand para hacer cosas que requieren permiso de root. No permite que este usuario administrador inicie sesión como root (y, por lo tanto, conozca una sola contraseña de root que tendría que cambiarse). Hay IS NO HAY CUENTA ROOT para iniciar sesión.

Creo que este principio también se puede aplicar a otras credenciales de acceso.

Por supuesto, esto solo funciona si todos siguen la política antes de dejar su trabajo o ser despedidos (o si son trasladados a otra parte de la empresa). no protege contra un administrador que voluntariamente rompe la política y crea una puerta trasera para sí mismo.

15
Per Wiklander

Depende mucho de si el administrador se fue en buenos términos y qué tan compleja es su red, pero algunos buenos pasos a seguir son. He trabajado con varias organizaciones que toman algunos de estos pasos pero ninguno de ellos los toma todos. Muchos de ellos solo revocan las credenciales del usuario y solo toman medidas adicionales si el administrador se fue en malas condiciones o fue a un competidor.

  • Revoque las credenciales de los usuarios en todos los servidores de toda la red. Esto debe incluir claves y contraseñas.
  • Si conocen los detalles de la raíz que no requieren iniciar sesión como otro usuario primero, entonces estos detalles también deben cambiarse.
  • También se deben cambiar otros detalles de la cuenta, como los relacionados con el alojamiento del servidor, ya que siempre existe la posibilidad de que tengan una copia de ellos o puedan recordarlos.
  • Si su red está cerrada pero permite el tráfico de cierta dirección IP, como la dirección particular del administrador, es importante asegurarse de que también se eliminen del acceso.
  • Si es posible, supervise los intentos de inicio de sesión por parte del nombre de usuario de abandono, esto le daría una alerta como la posibilidad de que estén intentando acceder a sus sistemas.
10
Mark Davidson

Buena suerte con eso. Normalmente te aseguras de que todas estas cosas se hayan hecho antes de despedir a alguien. Si alguien tiene un poco de habilidad, puede ser muy difícil, si no casi imposible ver si no ha comprometido un sistema.

Si él fuera el único empleado, no se sabe si tiene puertas traseras. Entonces en este momento todavía podría tener acceso. Cuando le da acceso a un administrador del sistema, gana su confianza y debe asegurarse de que él también sea confiable.

Así que cosas para verificar:

  • supervisar todo el tráfico entrante y saliente
  • revocar todo su acceso (debe hacerse antes de despedir a alguien)

  • Documentación

Desde mi punto de vista personal:

Parece que no tiene experiencia con esto y puede ser bastante peligroso, debe buscar un consultor profesional. Al menos habría hablado con el chico y le habría preguntado qué ha hecho. Recuerde que tenía acceso a todo, puede romper cualquier cosa. Él conoce su infraestructura. Si hace algo malicioso, puede comenzar desde cero porque no se puede confiar en ninguno de sus sistemas actuales.

Si no me crees, mira estos casos:

  • El empleado descontento de DHL elimina todos los pedidos de 48 horas
  • Chevron - El sistema de emergencia fue saboteado por un empleado descontento en más de 22 estados (EE.UU. 1992)
  • Terry Childs, quien cerró FiberWAN

Como dijo @Joel: ¡La gente piensa que Jurassic Park se trata de dinosaurios comiendo gente y mierda, pero realmente se trata de lo que sucede cuando no compensas a tu administrador de sistemas adecuadamente

actualización

La compañía debería haberle dicho que iban a contratar a alguien en una posición fija un poco más por adelantado. Luego explíquele que aún podría ayudar de vez en cuando si algo salía mal. También debe tener un período de transición más largo. Si no está cooperando, básicamente tienes el escenario de Terry Childs. Entonces, aparte de enjuiciarlo, hay poco que pueda hacer.

8
Lucas Kauffman

Para el beneficio de todos más que leerán esto, este es definitivamente el momento equivocado para pensar en esto.

Ahora, te has puesto en una posición literalmente imposible; simplemente no puede decir con certeza que su sistema no está comprometido. Además, cuanto más difícil sea su administrador de sistemas o cuán difícil haya sido el tiempo que le haya dado, más es probable que haya instalado algún tipo de puerta trasera. Como alguien que limpia este tipo de desorden para ganarse la vida, puedo decirte que el porcentaje de administradores de sistemas que hacen esto es inquietantemente alto, y el peligro es muy real.

Sobre el tema de qué hacer ahora, el factor determinante principal es cuánto tiempo de inactividad puede tolerar y cuán crítico es su sistema de TI para su negocio. Idealmente, cierra todo y lo reconstruye todo desde cero. Sí, en serio. Esto suena extremo, pero ahora que te has metido en este lío, es la única forma de estar seguro. Ninguna otra solución funcionará.

Si no puede permitirse eso, o si cree que puede tolerar un compromiso serio, en su lugar puede revisar los sistemas uno por uno en busca de procesos de larga ejecución, tareas programadas, difíciles tokens de autenticación codificados, código de autenticación de puerta trasera, procesos de administración remota, VPN, registradores de pulsaciones de teclas u otras herramientas de monitoreo, cualquier otro componente incompatible con su política de seguridad.

Y finalmente, si no puede permitirse eso, siempre puede cerrar los ojos, cubrirse la cabeza y esperar lo mejor.

Cómo prevenir esto en el futuro

Más importante aún, aquí hay algunos consejos para evitar que esto vuelva a suceder:

  • Tener varios administradores de sistemas de nivel superior. Las jerarquías son fáciles de administrar, pero perjudiciales para la seguridad. Necesitas a alguien que pueda "mirar al observador"; alguien que tenga la habilidad y la autoridad para verificar lo que está haciendo su administrador de sistemas y que pueda encontrar estas puertas traseras. Un administrador de sistemas es mucho menos probable que ingrese por una puerta trasera si tiene miedo de que alguien lo encuentre.

  • Prefiere la honestidad sobre la habilidad cuando contratas a un administrador de sistemas. Necesitas a alguien en quien puedas confiar implícitamente, alguien a quien conoces no te va a pasar el rato. Incluso si no son los administradores más hábiles, su función principal es ser responsable de sus defensas: la honestidad es más importante que todas las demás calificaciones combinadas.

  • No toleres la superioridad condescendiente. Esto va junto con el punto anterior, pero para agregar un poco de claridad: no se puede confiar en alguien que no respeta a los demás para que actúe en el mejor interés de los demás. Dicha persona no debería poder trabajar en TI en su empresa.

  • Mantenga felices a sus administradores de sistemas, lo que sea que eso signifique para ellos. Si no están contentos, entonces arregle el problema o encuentre a alguien más, y rápido.

7
tylerl

quien conocía la mayoría de las mejores credenciales

No estoy exactamente seguro de su significado, pero esto me asusta. Parece que el individuo tenía un amplio acceso y control sobre muchos sistemas críticos. El administrador del sistema puede incluso haber tenido un control exclusivo. Hace unos años la ciudad de San Francisco perdió el control de su red porque un solo administrador de sistemas se negó a dar sus contraseñas a sus superiores. Entonces, mucho antes de que se vaya un administrador de sistemas, debe asegurarse de que haya al menos dos personas que tengan acceso y control sobre los sistemas críticos.

¿Hay otras precauciones que deban tomarse además de cambiar esas credenciales?

Revocar el acceso físico.

Probablemente sea estándar recoger las insignias y las llaves de la oficina, pero no olvide las llaves de los gabinetes, áreas restringidas, códigos de alarma, ubicaciones de almacenamiento fuera del sitio, permisos de estacionamiento, etc. Debe mantener un registro de cada llave física entregada, quién los recibió y por qué. Además, debería poder cambiar los puntos de acceso críticos dentro de las 24 horas. Si su sistema de alarma permite que un usuario llame a una falsa alarma, asegúrese de que el empleado saliente sea eliminado de esa lista.

Que todos sepan.

No es difícil para un ex administrador de sistemas ingeniero social de un empleado actual. Es prácticamente imposible evitar que llamen a un empleado actual. Dado el acceso a la información interna, el administrador del sistema probablemente sepa a quién llamar y qué decir para obtener algún tipo de acceso a la red. Entonces, anuncie que el individuo ya no es un empleado. Si es posible, muestre una foto (una foto de insignia hace muy bien) del ex empleado. Asegúrese de que sepan con quién hablar si el ex administrador del sistema hace contacto sospechoso. Si el administrador del sistema tuvo una relación cercana con algún proveedor, compañía socia o subsidiaria, infórmeles también.

No olvides el teléfono y el sistema de correo de voz.

Las vulnerabilidades aquí van desde espiar correos de voz al azar hasta hacer llamadas de larga distancia a expensas de la compañía.

Tarjetas de crédito, cuentas de cobro, pedidos de compra

Si el administrador del sistema tenía autoridad para ordenar equipos, asegúrese de revocar la capacidad de todos los proveedores, vendedores, etc. Es trivial ordenar algunos equipos de Niza utilizando el procedimiento estándar y cambiar la dirección de envío.

Revise los contratos y acuerdos firmados por el ex empleado.

Si el administrador del sistema firmó algún contrato o acuerdo como parte de su trabajo, haga que alguien revise todos los documentos que firmó. Idealmente, debe tener una base de datos de documentos que los empleados hayan firmado y poder recuperar instantáneamente todos los documentos que haya firmado un determinado empleado.

Verifique el parche y el estado de actualización de sus sistemas críticos.

Incluso el ex empleado no actuó como administrador de esos sistemas, pueden saber cuál era su estado.

6
this.josh

Tuve la desafortunada experiencia de casi el mismo problema. Perdí varias noches de sueño por esto, espero que esto te ayude.

Respuesta corta: Comience desde afuera hacia adentro. Si sus aplicaciones/operaciones internas permitieran cambiar las direcciones IP (si sabe que atacarán) podría cambiar el juego. En mi caso, no pude hacer esto ya que las aplicaciones que se ejecutaban desde sitios remotos golpeaban directamente una IP externa.

En segundo lugar, deshabilité el WiFi de la oficina que configuró él (administrador anterior). Hice este segundo ya que sabía que sería capaz de verlo en la propiedad si intentaba acceder. También mire para ver qué señales inalámbricas ve caminando por el premesis para tratar de eliminar la posibilidad de un punto de acceso oculto instalado sin el conocimiento de nadie.

Lo siguiente que hice fue auditar CADA REGLA en mi firewall. Encontré algunas IP estáticas (tarjeta de aire e internet por cable) que estaban "permitidas" y simplemente negaban el acceso desde cualquier lugar al que no podía verificar que necesitaba acceso.

Luego revisé todos los archivos de registro en cada servidor para buscar intentos fallidos de inicio de sesión. Si encuentra algo documentarlo.

Luego, obligaría a TODOS LOS USUARIOS a cambiar sus contraseñas y aplicar una política que no permita palabras de un diccionario como contraseña. Tuve que convencer a la gerencia de esto, pero cuando mostré un ataque usando un archivo de diccionario VS fuerza bruta y aprobaron el cambio de la compañía en ese momento.

El siguiente (al menos en mi caso) fue el sistema telefónico. Cambie todos los códigos de acceso para todos y obligarlos a usar otra persona (o hágalo por ellos si se niegan a cambiar su PIN de correo de voz)

La penúltima cosa que hacer sería oler todo su propio tráfico. Compre o construya un LAN Tap económico (compré un lan lan star) por alrededor de $ 20 y lo puse entre el firewall y el interruptor principal en el que todo entra. Presté especial atención al tráfico fuera del horario comercial. Esto debería ayudarlo a identificar lo que sucede en su red durante el horario no comercial.

Por último, dependiendo de la situación como un todo (¿su empleador los despidió para ahorrar dinero?), Es posible que tenga que llamarlos (previo aviso) dependiendo de la complejidad de la situación. Descubrí quién era amigo del administrador anterior y me hice amigo de ellos rápidamente, en caso de que tuviera que llamar al administrador anterior para pedirle un favor (contraseña para el alojamiento web de un dominio separado que la compañía compró como un regalo para una organización sin fines de lucro grupo) La compañía sin fines de lucro para la que el administrador anterior escribió un sitio todavía se perdió, ya que no le pagaron (administrador anterior) por otro año para renovar el dominio, pero al menos obtuve el dominio para la organización sin fines de lucro.

Si el administrador anterior hace amenazas verbales o incluso (más tontas) escritas, conserve varias copias de todo. También puede afirmar que los problemas legales que podrían surgir no valen la pena (que nunca lo son). Esperemos que esto te ayude un poco.

4
Brad

Después de leer TODO ese + comentario ...

Estás jodido. Empezar desde el principio. Endurezca los sistemas, nuevas claves/contraseñas, VLAN, VPN ...

Básicamente, las nueve yardas enteras.

Ven @ desde la perspectiva de un ex administrador MUY descontento. Entonces, defiéndete de esos vectores concebibles. Trabajó de forma remota, restringió todos los demás accesos remotos a excepción de su VPN (con claves actualizadas).

Es una rutina básica para la mayoría de las compañías que tienen políticas y procedimientos escritos con mucha anticipación.

Espero que lo consigas, pero, si viniste aquí por tanta información sobre qué hacer, lamento mucho la compañía. :-(

4
laughingman

NOTA: esta respuesta se migró de otra pregunta y luego se fusionó con esta. Por lo tanto, no se aplica del todo a esta pregunta (la otra pregunta describía una situación en la que ya se cometieron muchos errores y el acceso aún estaba disponible para un administrador de sistemas que pronto se iría). Quizás debería eliminarse, pero dejé una versión sin editar a continuación


Creo que las otras respuestas (particularmente @tylerl, @lucaskauffman) son absolutamente correctas, pero al mismo tiempo tal vez son demasiado alarmantes.

Sí, no puede saber con certeza qué podría hacer este administrador de sistemas descontento. Sin embargo, se necesita bastante descontento para que alguien entre en el sistema y cause daños. Este tipo de acción probablemente se deba tanto a incumplimiento de su contrato de trabajo como a ilegal (ya que puede ir a la cárcel si estás atrapado).

Desde mi punto de vista, el punto crucial que otras respuestas omiten, o tratan como una ocurrencia tardía, es cómo solucionar el causa raíz o su mayor riesgo, que es qué molesta esta persona podría ser.

Por lo tanto, creo que el primer y mejor curso de acción es tratar de hacer feliz a esta persona el menor descontento, posiblemente incluso feliz . Ofrézcales dinero extra para entregar las cosas, documentar lo que estaban haciendo y asegurarse de que el sucesor tenga un trabajo fácil. Ofrezca una compensación adicional 'en espera' cuando se les paga, pero no tiene que hacer ningún trabajo. Explique por qué para la compañía tiene sentido tener un empleado interno haciendo este trabajo en lugar de un contratista externo.

Al mismo tiempo, deje en claro que sabe que son las únicas personas capaces y que tienen acceso completo al sistema, y ​​que si hay alguna infracción, serán el principal sospechoso y que ganó No dude en informar e investigar incluso el incidente más pequeño.

La eliminación de toda su TI y su construcción desde cero también lo solucionará, pero no veo cuán realista es realmente esta solución.

2
Yoav Aner