Kroki, które należy podjąć, gdy personel techniczny odchodzi

Jak radzisz sobie z procesem odejścia, gdy pracownicy uprzywilejowani lub pracownicy techniczni rezygnują / zostają zwolnieni? Czy masz listę rzeczy do zrobienia, aby zapewnić ciągłość działania / bezpieczeństwo infrastruktury firmy?

Próbuję wymyślić ładną kanoniczną listę rzeczy, które moi koledzy powinni zrobić, kiedy wychodzę (zrezygnowałem tydzień temu, więc mam miesiąc na uporządkowanie i GTFO).

Do tej pory mam:

1. Odprowadź ich poza lokal
2. Usuń skrzynkę odbiorczą poczty e-mail (ustaw całą pocztę na przekazywanie do wiadomości typu catch-all)
3. Usuń ich klucze SSH na serwerach

4. Usuń swoje konta użytkowników mysql

   ...

Więc, co dalej. O czym zapomniałem wspomnieć lub może być podobnie użyteczny?

(przypis końcowy: Dlaczego ten temat jest nie na temat? Jestem administratorem systemu, a dotyczy to ciągłego bezpieczeństwa firmy, jest to na pewno temat).

Sugeruję utworzenie listy kontrolnej rzeczy, które robisz, gdy nowy sysadmin dołącza do firmy (systemy, do których musisz je dodać, grupy, do których konto musi się zalogować itp.) I zawierać zarówno techniczne, jak i fizyczne rzeczy - np. Klucze fizyczne i alarm kody są tak samo ważne jak klucze SSH i hasła.

Upewnij się, że ta lista jest aktualna - łatwiej powiedzieć niż zrobić, wiem. Ale ułatwia to zarówno przetwarzanie nowych członków zespołu do firmy, jak i ich przetwarzanie. Nadal możesz to zrobić teraz i uzyskać przynajmniej część korzyści z używania go, aby pomóc osobie, która odchodzi. Powodem, dla którego wspomniałem o liście kontrolnej, jest to, że wszyscy mamy skłonność do myślenia we własnych sferach komfortu, w przeciwnym razie różne rzeczy mogą zostać pominięte, w zależności od tego, kto przetwarza opuszczającego. Na przykład: „kierownik ochrony budynku” lub „kierownik biura” będzie myślał bardziej o kluczach do drzwi niż o kluczach SSH, a osoba z IT będzie dokładnie odwrotna i ostatecznie odbierze im dostęp do systemu, pozostawiając im możliwość wchodzić do budynku w nocy.

Następnie po prostu przejrzyj ich listę kontrolną, gdy wychodzą, użyj jej jako listy kontrolnej rzeczy do cofnięcia / zwrotu. Cały Twój zespół IT powinien być tym entuzjastycznie nastawiony, jeśli jest profesjonalny, ponieważ taki uzgodniony proces chroni ich przed nieuzasadnioną winą byłego pracodawcy, tak samo jak chroni pracodawcę przed nimi.

Nie zapomnij o takich rzeczach, jak dostęp do zdalnych centrów danych lub fizyczny dostęp do zapasowego repozytorium danych.

Dziwi mnie, że nikt wcześniej o tym nie wspominał, ale ...

Jeśli twoja sieć Wi-Fi używa WPA lub (mam nadzieję, że nie) WEP zamiast stukania w serwerze Radius, możesz rozważyć zmianę tego klucza.

Otwarte są ogromne drzwi, jeśli jesteś administratorem sieci, istnieje duża szansa, że ​​znasz ten klucz na pamięć ... wyobraź sobie, jak łatwo byłoby wrócić do sieci z parkingu lub czegoś w tym rodzaju .

Inne rzeczy, które przychodzą na myśl:

• Bezpieczeństwo fizyczne - zabierz klucze / tagi dostępu / tagi VPN / laptopy
• Zabierz telefony / jeżyny
• Usuń / wyłącz wszystkie konta, które mają w zewnętrznych usługach / witrynach
• Zablokuj swoje konto użytkownika
• Zmień dowolne wspólne hasła, które mogą znać (doceniam, że nie powinieneś mieć żadnych wspólnych haseł)
• Wyłącz konto VPN
• Upewnij się, że wszystkie błędy / bilety / problemy itp. W dowolnym systemie śledzenia są przypisane ponownie

• Zdejmij je z systemu nagios / stronicowania
• Usuń sudo (na wszelki wypadek)
• Poinformuj centra danych
• Wyłącz / odwołaj dowolny system VPN do sieci biurowej
• Wyłącz wszystkie aplikacje internetowe / confache confs / firewall, w których zapisane są adresy IP

Jeśli jakiś sysadmin opuści firmę, zmieniamy wszystkie hasła użytkowników (zamiast comiesięcznej zmiany hasła). Mamy ldap i promień, więc nie jest to bardzo trudne. Następnie przyglądamy się systemom, nad którymi pracował, a także plikom, które zostały przez niego / zmodyfikowane. Jeśli na jego stacji roboczej znajdują się ważne dane, usuwamy je lub archiwizujemy.

Mamy kontrolę dostępu do wszystkich usług, które mają użytkowników. Jeśli z usługi korzysta jakiś nieznany użytkownik, blokujemy go, przynajmniej do momentu przekazania identyfikacji.

Inne systemy zostaną wyczyszczone za tydzień; większość z nich jest przeznaczona do opracowywania i nie ma cennych informacji, i są regularnie czyszczone przez ponowną instalację.

Wiele dobrych pomysłów w tym wątku ... Kilka innych rzeczy do rozważenia:

Zgadzam się na zmianę haseł lub wyłączenie terminowych kont użytkowników w porównaniu do ich usunięcia (przynajmniej początkowo), jednak dobrym pomysłem może być sprawdzenie i sprawdzenie, czy konto użytkownika jest używane do uruchamiania usług / zaplanowanych zadań przed podjęciem działania. Jest to prawdopodobnie ważniejsze w środowisku Windows / AD niż U

Kilka z poniższych czynności może być trudnych do wykonania, jeśli pracownik odejdzie szybko lub w mniej niż idealnych okolicznościach; ale mogą być ważne (szczególnie o 2 nad ranem WTH właśnie się wydarzyły)

Transfer wiedzy - Podczas gdy wszyscy aktualizujemy całą naszą dokumentację (hmmm, tasujemy stopy), dobrze jest zaplanować czas za pomocą krótkiego timera i zrobić kilka pytań i wskazówek z innym administratorem. Jeśli masz wiele niestandardowych programów sprzętowych lub złożone środowisko, bardzo pomocne może być zadawanie pytań i zdobywanie czasu jeden na jeden.

Wraz z tym idzie hasło. Mamy nadzieję, że wszyscy korzystają z pewnego rodzaju szyfrowanego magazynu kont / haseł (KeePass / PassSafe itp.). W takim przypadku powinno to być dość łatwe - zdobądź kopię pliku i klucz do niego. Jeśli nie, nadszedł czas na wywrotkę.

Zacznij od zmiany wszystkich haseł „obwodowych” w swojej sieci. Wszelkie konta, których może użyć do uzyskania dostępu do sieci z domu (lub z parkingu z Wi-Fi), należy natychmiast zmienić.

• Hasła do administracji zdalnej routerów i zapór?
• Konta VPN? Co z kontami administratora w sieci VPN?
• Szyfrowanie WiFi?
• E-mail oparty na przeglądarce (OWA)?

Po ich omówieniu, skieruj się do wewnątrz.

Inne rzeczy, które należy po prostu uporządkować:

• jeśli mieli statyczny adres IP, oznacz jako dostępny
• usuń / wyczyść wszelkie niestandardowe rekordy DNS, jeśli to możliwe
• usuń z dowolnego katalogu pracowników
• telefony
• usuń adres e-mail z dowolnego rodzaju automatycznego raportu wysyłanego przez serwer lub usługę
• jeśli utrzymujesz inwentaryzację sprzętu / oprogramowania, oznacz licencje sprzętu i oprogramowania jako dostępne (to naprawdę zależy od tego, jak zarządzasz tymi rzeczami).

Postaraj się upewnić, że wszystkie zmiany haseł mają miejsce między „opuszczającym odizolowanym od sieci” (być może wywiadem wyjściowym w sali konferencyjnej, po zwróceniu laptopa do pracy) a „opuszczającym pozostawia się własne urządzenia”. To drastycznie zmniejsza szansę, że osoba opuszczająca będzie szpiegować nowe dane uwierzytelniające (ale w przypadku smartfonów itp. Wciąż nie jest to zero).

Wszystkie powyższe odpowiedzi są bardzo dobre. Jako profesjonalista w zawodzie InfoSec (audytor IT), należy wziąć pod uwagę inne kwestie:

1. Usuń uprzywilejowane uprawnienia administracyjne, takie jak administrator domeny, jeśli korzystasz z usługi Active Directory

2. Usuń uprzywilejowane role bazy danych, które mogły mieć (np. Właściciel_db)

3. Poinformuj klientów zewnętrznych, że użytkownik końcowy mógł mieć dostęp, aby umożliwić cofnięcie uprawnień dostępu.

4. Usuń konta komputerów lokalnych, jeśli miały one oprócz dostępu do domeny