Le responsable informatique s'en va - Qu'est-ce que je verrouille?

Le responsable informatique s'en va peut-être, et il est possible que la séparation des moyens ne soit pas totalement civile. Je ne m'attendrais pas vraiment à une malveillance, mais juste au cas où, que puis-je vérifier, changer ou verrouiller?

Exemples:

• Mots de passe administrateur
• Mots de passe sans fil
• Règles d'accès VPN
• Paramètres du routeur / pare-feu

Évidemment, la sécurité physique doit être abordée, mais après cela ...

En supposant que vous ne disposiez pas d'une procédure documentée pour le départ des employés (environnement générique car vous ne mentionnez pas les plateformes que vous exécutez):

1. Commencez par la sécurité du périmètre. Modifiez tous les mots de passe de tous les équipements de périmètre tels que les routeurs, les pare-feu, les vpn, etc. t appartiennent (dans le cas où il a ajouté un secondaire).
2. E-mail - supprimez son compte ou au moins désactivez ses connexions en fonction de la stratégie de votre entreprise.
3. Puis passez par la sécurité de votre hôte. Son compte doit avoir son compte désactivé et / ou supprimé. (Supprimé est préférable, mais vous devrez peut-être les vérifier au cas où quelque chose en cours de fonctionnement serait valide en premier). Encore une fois, vérifiez également les comptes qui ne sont plus utilisés, ainsi que ceux qui n'appartiennent pas. Désactiver / supprimer ceux-ci aussi. Si vous utilisez des clés ssh, vous devez les changer sur les comptes admin / root.
4. Les comptes partagés, si vous en avez, devraient tous avoir leurs mots de passe modifiés. Vous devriez également envisager de supprimer les comptes partagés ou de désactiver la connexion interactive sur ces comptes en tant que pratique générale.
5. Comptes d'applications ... n'oubliez pas de modifier les mots de passe ou de désactiver / supprimer les comptes de toutes les applications auxquelles il avait accès, en commençant par les comptes d'accès administrateur.
6. Journalisation ... assurez-vous de disposer d'une bonne connexion pour utiliser votre compte et surveillez-le attentivement pour détecter toute activité suspecte.
7. Sauvegardes ... assurez-vous que vos sauvegardes sont à jour et sécurisées (de préférence hors site). Assurez-vous que vous avez fait la même chose que ci-dessus avec vos systèmes de sauvegarde en ce qui concerne les comptes.
8. Documents ... essayez autant que possible de l'identifier, de lui demander si possible et de copier, dans un lieu sûr, toute sa documentation.
9. Si vous avez des services externalisés (courrier électronique, filtrage du courrier indésirable, hébergement de quelque type que ce soit, etc.), veillez également à prendre toutes les mesures ci-dessus appropriées pour ces services.

Pendant que vous faites tout cela, documentez-le , de sorte que vous ayez une procédure en place pour les résiliations futures.

De plus, si vous utilisez des services de colocation, assurez-vous de supprimer son nom de la liste d'accès et de la liste de soumission de tickets. Il serait sage de faire la même chose pour tous les autres fournisseurs où il était le principal responsable, afin qu'il ne puisse pas annuler ou gâcher les services que vous obtenez de ces fournisseurs, et que les fournisseurs sachent qui contacter pour les renouvellements, problèmes, etc.… qui peuvent vous éviter des maux de tête lorsque quelque chose que le responsable informatique n'a pas documenté se produit.

Je suis sûr qu'il me manque plus, mais ce n'est pas grave.

N'oubliez pas la sécurité physique - assurez-vous qu'il ne peut pénétrer dans aucun bâtiment - c'est bien de pouvoir utiliser le kit réseau, mais s'il peut accéder au centre de données, cela ne sert à rien.

Nous soupçonnions qu'un employé mécontent qui était encore dans sa période de préavis avait peut-être installé certains programmes d'accès à distance. Nous avons donc limité son compte de connexion à des heures de travail uniquement, de sorte qu'il ne puisse pas quitter le poste de travail après les heures normales de travail. choses (pendant les heures de travail, nous pouvions voir son écran clairement, donc s’il se levait pour faire des bêtises, nous le saurions).

En fin de compte, il avait installé LogMeIn et avait en fait tenté un accès après les heures de bureau.

(il s’agissait d’un réseau de petite entreprise, pas d’ACL ni de pare-feu sophistiqués)

Veillez également à ne pas trop enfermer. Je me souviens d'une situation où quelqu'un est parti et un jour plus tard, il est devenu évident que certains logiciels critiques fonctionnaient sous son compte d'utilisateur personnel.

Juste pour ajouter - assurez-vous également que vous avez l'audit des connexions échouées et réussies - un groupe d'échecs pour un compte suivi de succès peut être équivalent à du piratage. Vous pouvez également demander à tous les autres utilisateurs de modifier leurs mots de passe si le responsable informatique est impliqué dans les paramètres de mot de passe. N'oubliez pas non plus les mots de passe de base de données et vous voudrez peut-être effacer son compte de messagerie pour des informations sécurisées. Je mettrais également des contrôles d'accès sur toutes les informations / bases de données confidentielles, et lui interdisaisais d'effectuer des sauvegardes système / bases de données.

J'espère que cela t'aides.

Assurez-vous également, avant de laisser partir cet individu, de comprendre que les choses peuvent et vont se détériorer ou qu'il sera problématique jusqu'à ce que vous remplaciez cet individu. J'espère que vous ne leur en voudrez pas pour tout ce qui se passe simplement parce que vous présumez / savez que ce ne sera pas une bonne façon de se séparer, ou que vous pensez qu'ils vous piratent d'une manière ou d'une autre parce que les toilettes ont débordé.

Espérons que ce scénario vous paraît absurde. Mais c’est une histoire vraie de mon dernier emploi que le propriétaire essaie maintenant de me poursuivre en justice pour sabotage (essentiellement parce que j’ai démissionné et qu’ils ne sont prêts à payer à qui que ce soit le taux du marché pour me remplacer) et des cyber-crimes tels que le piratage racket sur internet.

En bout de ligne est, évaluer le "pourquoi" pour la raison de leur licenciement. S'il s'agit de besoins autres qu'économiques, je vous suggère de peaufiner vos procédures d'embauche de manière à ce que vous puissiez embaucher une personne plus professionnelle dans laquelle, par profession, vous devez être fiable et digne de confiance, doté d'informations critiques et habituellement confidentielles, ainsi que de procédures de sécurité que tout le monde doit suivre.

Une façon de savoir pendant que vous interviewez est de savoir comment ils vous interviewent, vous et votre entreprise. Responsabilité (comme dans ce que la société pense que le responsable informatique peut être tenu pour responsable en cas de problème, il s'agirait généralement d'un contrat) et la sécurité globale du réseau est l'une des 3 choses les plus importantes dans l'esprit de tout responsable informatique / directeur technique quand il s'agit pour interviewer pour un travail.

Modifier tous les mots de passe d'administrateur (serveurs, routeurs, commutateurs, accès à distance, pare-feu) Supprimez toutes les règles de pare-feu pour l'accès à distance du responsable informatique. Si vous utilisez des jetons de sécurité, dissociez le ou les jetons du responsable informatique de tout accès. Supprimez l'accès TACACS (si vous l'utilisez).

Veillez à effectuer ces modifications avec le responsable informatique dans une salle de conférence ou sous un autre contrôle physique afin d'éviter l'observation du processus. Bien que la lecture d’un mot de passe lorsqu’il est tapé sur un clavier ne soit pas triviale (ni difficile, ni triviale), si cela doit être répété, le risque de glanement du mot de passe est plus élevé.

Si possible, changez les serrures. Si les clés peuvent être répliquées (et en bref, elles peuvent), cela empêchera le responsable informatique d'obtenir un accès physique par la suite. Désactivez toutes les cartes que vous ne pouvez pas comptabiliser (pas seulement les cartes que vous savez avoir été émises au responsable informatique).

Si vous avez plusieurs lignes téléphoniques entrantes, vérifiez-les toutes pour vous assurer qu'aucun périphérique inconnu n'y est connecté.

Vérifier les stratégies de pare-feu
Modifiez le mot de passe de l'administrateur et recherchez les comptes qui ne sont plus utilisés.
Révoquer ses certificats
Sauvegardez son poste de travail et formatez-le.
Utilisez des contrôles de somme de contrôle pour les fichiers importants de vos serveurs et connectez un IDS à un port étendu de votre rack.

Juste mes 2cts.

Vérifiez les comptes supplémentaires, aussi. Il pourrait facilement ajouter un nouveau compte une fois qu'il sait qu'il va partir. Ou même peu de temps après son arrivée.

Cela dépend à quel point vous êtes paranoïaque. Certaines personnes vont au-delà - si c'est assez grave - de remplacer toutes les clés et les serrures. Une autre raison d'être gentil avec les administrateurs système;)

Tous les conseils susmentionnés sont bons. Un autre conseil consiste même à amener tous les utilisateurs à modifier leurs mots de passe (et si Windows) applique la stratégie de mot de passe complexe.

De plus, si vous avez déjà effectué une assistance à distance, ou configuré un bureau / client distant (par exemple, un autre site), demandez-leur de modifier également leurs mots de passe.

N'oubliez pas de supprimer tous les comptes de type extranet qu'il pourrait avoir pour le compte de votre entreprise. Celles-ci sont souvent négligées et causent souvent beaucoup de chagrin post-mortem.

Vous voudrez peut-être (le long de la piste "Je suis ultra-paranoïaque") informer également vos représentants des différents fournisseurs avec lesquels vous travaillez au cas où il tenterait de contacter quelqu'un sur place.

S'il contrôlait l'hébergement de votre société,

• revérifier tous les chemins d'accès à travers les pages Web
• obtenir tout le code validé pour les portes arrière possibles

Les faiblesses dans ce domaine peuvent avoir un impact sur la façon dont votre hébergement est fait,

• Hébergement en cage avec contrôle administratif - au minimum possibilité d'un site dégradé
• Hébergement local depuis vos locaux - accès au réseau interne (sauf si vous avez une DMZ également verrouillée)

Mon entreprise a laissé un développeur partir il n'y a pas si longtemps et la situation était similaire. Il connaissait très bien le système et il était de la plus haute importance de veiller à ce qu'il soit coupé dès le moment où il serait informé de son licenciement. Outre les conseils donnés ci-dessus, j'utilisais également Spectre Pro pour surveiller tout son travail au cours des deux semaines précédant son départ: activité réseau (IO), fenêtres de discussion, e-mails, captures d'écran toutes les 2 minutes, etc. même regardé parce qu’il était parti en bons termes. C'était une bonne assurance cependant.

Les deux choses clés à gérer immédiatement sont:

1. Accès physique - si vous avez un système électronique, révoquez sa carte. Si vos serrures sont toutes physiques, veillez à ce que toutes les clés qui lui ont été remises lui soient rendues ou si vous êtes vraiment inquiet au sujet des méfaits, modifiez les serrures en zones critiques.

2. Accès à distance - assurez-vous que les comptes VPN / Citrix / autres comptes d'accès à distance de cet administrateur sont désactivés. J'espère que vous n'autorisez pas les connexions distantes avec des comptes partagés; Si vous êtes, changez les mots de passe sur chacun d'eux. Veillez également à désactiver son compte AD / NIS / LDAP.

Cela ne couvre que l'évidence cependant; Par exemple, il est toujours possible qu’il ait installé quelques modems dans les salles de serveurs, avec des câbles de console dans des périphériques / serveurs réseau clés. Une fois que vous avez effectué le verrouillage initial, vous voulez probablement que son remplaçant effectue une analyse complète de l'infrastructure pour A) vous assurer que la documentation est à jour et B) mettre en évidence tout ce qui semble étrange.

Dans un emploi précédent dans une petite entreprise, l'administrateur système licencié connaissait beaucoup de mots de passe des autres employés. Le matin de son départ, nous avons défini la propriété "L'utilisateur doit changer le mot de passe" sur le compte Active Directory de quiconque disposant d'un accès distant.

Cela peut ne pas être réalisable partout, mais peut être prudent en fonction de la situation.

Je recommanderais les procédures suivantes:

• désactiver toutes les cartes d'accès de sécurité du bâtiment
• désactiver tous les comptes connus (en particulier les VPN et les comptes pouvant être utilisés en dehors de l'entreprise)
• désactiver les comptes inconnus (!)
• changer tous les mots de passe administrateur
• revoir les règles du pare-feu

Cela devrait couvrir la plupart des options d'accès possibles. Passez en revue toutes les informations relatives à la sécurité dans les semaines à venir afin de vous assurer qu'aucune option n'est laissée "ouverte".

Faites en sorte que tous les membres du personnel sachent que cet employé quitte son emploi afin qu’ils soient vulnérables aux tentatives de piratage social par téléphone.

Il sait déjà comment le système fonctionne et ce qu'il y a là. Donc, il n'aurait pas besoin de trop d'informations pour pouvoir revenir s'il le souhaitait.

Si je partais au jour dans des circonstances peu souhaitables, je pense pouvoir appeler du personnel, ce que je dois faire de temps en temps de toute façon, et obtenir suffisamment d'informations pour pouvoir réintégrer le système.

Peut-être que je donnerais les privilèges d’administrateur d’un utilisateur de domaine existant (avant de partir). Je pourrais appeler cet utilisateur et lui demander de me révéler son mot de passe.

• Désactiver leur compte d'utilisateur dans Active Directory. Recherchez tout autre compte dont le responsable informatique pourrait connaître le mot de passe et modifiez-le ou désactivez-le.
• Désactivez tous les comptes ne faisant pas partie d'Active Directory, soit parce qu'ils se trouvent sur une machine différente, soit parce qu'ils ont été écrits en interne. Obtenez des utilisateurs légitimes pour changer leur mot de passe. (Je peux toujours me connecter en tant qu'administrateur au compte d'un autre employé à ce jour.)
• Si le site Web de votre entreprise est hébergé à l'extérieur du bâtiment, modifiez également les mots de passe correspondants.
• Il peut également être assez simple pour un employé mécontent d'obtenir votre service Internet et / ou téléphonique annulé. Vous ne savez pas comment vous défendre contre cela.
• Changer les serrures ET le code d'alarme. Un cambriolage peut passer inaperçu suffisamment longtemps pour qu’il vole tout ce que vous avez.

La seule façon d'être totalement sûr dans le cas des serveurs est de la même manière de s'assurer qu'une boîte piratée est propre: réinstallez. Grâce à puppet (ou à un autre système de gestion de la configuration), la réinstallation des serveurs et leur obtention dans un état spécifique peuvent être assez rapides et automatisés.