Bez nerwów po odejściu admina

Odejście administratora systemów informatycznych to wyzwanie dla każdej firmy. Burzliwe rozstanie może zagrozić jej stabilności.

Przedsiębiorstwa są dzisiaj uzależnione od technologii informatycznych, gdyż wszystkie istotne informacje są przechowywane, przetwarzane i analizowane za pomocą komputerów. Zmiana osób odpowiedzialnych za tak ważną infrastrukturę w firmie jest jednym z czynników ryzyka, którym należy zarządzać. Oznacza to, że przedsiębiorstwa muszą być przygotowane także do zmiany pracowników o wysokich uprawnieniach w IT.

Administrator ze względu na posiadane umiejętności zarządza przetwarzaniem ważnych informacji w krytycznych systemach i tylko on posiada do tego uprawnienia. Zna także działanie IT, słabe i silne punkty w infrastrukturze, ponadto posiada umiejętności analityczne, które mogą być groźne, jeśli zostaną wykorzystane przeciw nieprzygotowanej organizacji. W niektórych firmach z sektora MŚP administrator jest jedyną osobą, która naprawdę zna działanie serwerów i urządzeń back office. Zmiana pracownika na takim poziomie uprawnień jest poważnym zdarzeniem, na które trzeba się wcześniej przygotować.

System pomoże przy zmianie warty

Ponieważ od kompetencji admina zależy wiele strategicznych działań, należy sprawić, by część tych zadań wykonywał automatycznie system. Przykładem jest zarządzanie tożsamością, stanowiące szkielet, który porządkuje kwestię dostępu biznesu i pracowników do zasobów systemowych. Poprawnie wdrożone zarządzanie tożsamością (IM - identity management) zawiera m.in. sposób realizacji niektórych zagadnień zapisanych w polityce bezpieczeństwa i zaimplementowaną większość procesów związanych z nadawaniem i odwoływaniem uprawnień.

"Zamiast nadawać i odwoływać uprawnienia do poszczególnych systemów, można nadać odpowiednią rolę pracownikowi, a w ślad za nią wszystkie kanały dostępu staną się aktywne (lub nieaktywne) automatycznie. Zarządzanie przez role można wdrożyć praktycznie w każdej firmie posiadającej dostępne usługi katalogowe oraz zintegrowane z nimi systemy. Systemy IM idą znacznie dalej, gdyż osoba przyjęta do pracy na stanowisko administratora może mieć automatycznie przydzielone uprawnienia dostępu na podstawie informacji z modułu HR, niezwłocznie po zatwierdzeniu nadania roli przez biznes" - wyjaśnia Artur Janczar, ekspert do spraw systemów bezpieczeństwa w firmie IBM Polska.

Kilka osób - jedno konto

Niekiedy administratorzy dzielą między siebie zadania i korzystają ze wspólnych kont. Nie jest to wskazane, gdyż trudno udowodnić aktywność każdej z osób, które mogą skorzystać z dostępu. Czasami jednak stosuje się takie rozwiązanie ze względów licencyjnych. Artur Janczar radzi: "Jeśli w firmie znajdują się współdzielone konta, należy niezwłocznie zmienić im hasła. Najlepszym rozwiązaniem jest wprowadzenie narzędzi do kontroli aktywności superużytkowników, które potrafią zarządzać także współdzielonymi kontami. W takim przypadku wystarczy globalne odwołanie uprawnień, a system sam zadba, by były pracownik nie mógł się zalogować. Oczywiście, działanie systemów zarządzania tożsamością także należy nadzorować".

Zewnętrzne usługi

Obecnie przedsiębiorstwa coraz częściej korzystają z usług w modelu cloud computing, szczególnie w dziale deweloperskim. Jeśli organizacja korzysta z takich usług, niezbędna jest zmiana sposobu uwierzytelnienia, a zatem wszystkich haseł do danej usługi. Dotyczy to także przechowywania danych w usługach takich jak Mozy czy mSejf. Ponadto należy zadbać o wygenerowanie nowych kluczy szyfrujących. Każdy dostawca usług składowania danych w modelu cloud oferuje panel zarządzania dostępem, gdzie należy zmienić hasło razem z pytaniami pomocniczymi do zmiany i sprawdzić adresy poczty elektronicznej przeznaczone do jego resetowania.

Poczta elektroniczna

Podstawową usługą w firmach jest poczta elektroniczna oraz dostęp do serwerów plików. Te usługi należy również zablokować po odejściu admina. Dział IT powinien pamiętać, że ruch do skrzynki byłego admina powinien być przekierowany do specjalnej skrzynki, która będzie monitorowana. Jest to niezbędne, jeśli pracownik rejestrował jakąkolwiek usługę lub produkt za pomocą elektronicznych formularzy. Należy także przejrzeć znane formularze rejestracyjne, by znaleźć produkty lub usługi, które mogły być zarejestrowane na prywatny e-mail. Jeśli tak jest, należy taki adres zmienić na aktualny. Dobrą praktyką jest rejestrowanie wszelkich produktów na specjalny alias poczty elektronicznej przekierowany do skrzynek pracowników.

Szukanie niespodzianek

Każdy system IT pozostawia ślady aktywności użytkowników - tak jest także w przypadku byłego admina. W dużych organizacjach warto wdrożyć narzędzia, które będą analizować aktywność i poszukiwać anomalii, przy czym odchylenia od standardowego zachowania mogą, ale nie muszą być związane bezpośrednio z atakami. Należy jednak je sprawdzić, gdyż sprawcą nie musi być zwolniony administrator. Artur Janczar wyjaśnia: "Narzędzia analizujące aktywność porównują zachowanie pracowników z zarejestrowanymi wzorcami, dzięki czemu można wychwycić anomalie. Jeśli pracownik przez długi czas wchodził wejściem A około godziny 9.15, a nagle jego karta jest użyta przy wejściu C o godzinie 7.25, to być może zdarzenie to jest próbą użycia skopiowanej karty".

W ten sam sposób można analizować zdarzenia z systemów zarządzania tożsamością, dotyczące użycia uprawnień. Jeśli ktoś tuż przed zwolnieniem administratora zalogował się na jego konto do systemów, do których on logował się bardzo rzadko, warto rozważyć wcześniejsze rozpoczęcie audytu właśnie od nich. Być może sprawcą jest ktoś z zewnątrz.

Checklista przy zwalnianiu admina

Po rozwiązaniu umowy o pracę z administratorem przestaje on być pracownikiem firmy. W tym momencie muszą być podjęte działania, mające na celu zapewnienie bezpieczeństwa organizacji.

Jeśli przedsiębiorstwo korzysta z narzędzi do zarządzania tożsamością, należy:

1. Zablokować konto byłego admina (ale nie usuwać!).

2. Sporządzić testową instalację i porównać skróty kryptograficzne wszystkich plików systemu operacyjnego z listą na maszynie testowej.

3. Szukać kont-duchów utworzonych poza systemem zarządzania tożsamością.

4. Kontynuować listę ogólną.

Jeśli przedsiębiorstwo nie ma systemów do zarządzania tożsamością, należy:

1. Przygotować bezpieczną stację roboczą z narzędziami administracyjnymi oraz maszynę do rejestracji logów.

2. Sporządzić listę kont do zablokowania i haseł do zmiany, by później wdrożyć zmiany w życie.

3. Jeśli dotychczas stosowano szablon, według którego konstruowano hasła administracyjne - wdrożyć nowy.

4. Zablokować kartę identyfikacyjną służącą do wejścia na teren firmy.

5. Dokonać audytu wszystkich kont w systemie, ze szczególnym uwzględnieniem uprawnień systemowych.

6. Sprawdzić konta, których ważność została wygaszona.

7. Zmienić wyżej wymienione hasła z bezpiecznej stacji roboczej. Zastosowanie bezpiecznej stacji roboczej jest konieczne, gdyż część administratorów przewiduje rozwiązanie umowy o pracę i celowo zostawia na swoich komputerach programy rejestrujące naciskane klawisze.

8. Kontynuować listę ogólną.

Dalsza lista ogólna:

1. Ustawić przekierowanie skrzynki pocztowej byłego admina na inny adres.

2. Sprawdzić, czy w firmie korzysta się z zewnętrznych usług. Jeśli tak, należy odwołać wszelkie uprawnienia dla byłego pracownika. Dotyczy to nie tylko usług przechowywania backupu, ale też na przykład usług hostingowych lub obliczeniowych w modelu cloud computing.

3. Wyłączyć do czasu zakończenia audytu sieć radiową Wireless LAN (WLAN, 802.11), chyba że jest niezbędna do pracy firmy. Jeśli tak, trzeba natychmiast zmienić klucze. Poszukiwać dołączonych do LAN nieautoryzowanych punktów dostępowych z ukrytym SSID.

4. Uruchomić audyt wszelkiej aktywności w firmie, utrzymywać go do czasu pozytywnego zakończenia zewnętrznego audytu IT firmy.

5. Zarchiwizować dane na stacji roboczej admina do późniejszej analizy (jeśli będzie konieczna).

6. Ustawić zaawansowany audyt dostępu do kont systemowych i zapisywać jego logi.

7. Zmienić kod PIN we wszystkich tokenach w dziale. W szczególnych przypadkach, takich jak podejrzenie skopiowania pliku seed i możliwości obliczenia wskazań tą drogą, tokeny należy wymienić lub przeprogramować z nowym kluczem seed.

8. Zmienić wszystkie statyczne klucze szyfrujące i certyfikaty, takie jak: klucz WPA-PSK do Wi-Fi, certyfikaty lub klucze do VPN, klucze prywatne serwerów oraz szyfrowanie backupu.

9. Zmienić wszystkie karty chipowe i hasła dostępowe do systemów bankowości elektronicznej firmy.

10. Dokonać audytu głównego firewalla firmy.

Wykonanie tych czynności jest szczególnie ważne, gdy to firma rozwiązuje z pracownikiem umowę. W niektórych przypadkach nieuczciwy pracownik może dokonać działań szkodliwych wobec firmy. Nie musi tego robić własnoręcznie, wystarczy przekazanie odpowiednich danych włamywaczom komputerowym, mającym wystarczające informacje.

Po odejściu admina należy:

1. Kontrolować spójność systemów operacyjnych wszystkich serwerów, by wykryć "tylne drzwi", które mógł pozostawić za sobą nieuczciwy admin. Dotyczy to serwerów i urządzeń:

- dostępnych z internetu (poczta, VPN, SSH, DNS, inne usługi)

- dostępu radiowego przez WLAN lub VPN (Radius, zarządzanie Wi-Fi, firmware punktów dostępowych),

- firewalli w firmie,

- serwerów usługowych w sieci firmowej,

- systemów backupowych,

- przełączników i routerów.

2. Sprawdzić możliwość połączenia przez otwarte porty sieciowe TCP/UDP, porównać wyniki z listą usług w firmie.

3. Sprawdzić procesy systemowe oraz pliki za pomocą narzędzi, o których wiadomo, że nie zostały podmienione.

4. Przeszukać usługi katalogowe, by znaleźć ewentualne "wyspy uprawnień", czyli kontenery z kontami o uprawnieniach systemowych znajdujące się poza kontrolą pozostałych pracowników IT.

5. Sprawdzić konta we wszystkich bazach danych oraz konta, na których pracują bazy danych w systemach operacyjnych.

6. Sprawdzić aktualność oprogramowania. Niektórzy administratorzy celowo nie wprowadzają aktualizacji, by potem skorzystać ze znanych luk w bezpieczeństwie.

7. Skorzystać z zewnętrznego audytu, analizując zapisane dane.

8. Sprawdzić miejsce przechowywania kopii bezpieczeństwa i jeśli jest to zewnętrzna skrytka, zmienić jej lokalizację, dostawcę oraz uprawnienia przyjmowania i odbioru nośników.

9. Zmienić klucze szyfrujące do backupu, zachowując kopię dotychczas używanych, w razie konieczności odtworzenia starszego nośnika.

10. Przeprowadzić testy penetracyjne pod kątem pozostawionych podatności.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200