Langkah yang harus diambil ketika staf teknis pergi

Bagaimana Anda menangani proses keberangkatan ketika staf istimewa atau teknis mengundurkan diri / dipecat? Apakah Anda memiliki daftar hal yang harus dilakukan untuk memastikan kelanjutan operasi / keamanan infrastruktur perusahaan?

Saya mencoba membuat daftar kanonik yang bagus tentang hal-hal yang harus dilakukan rekan saya ketika saya pergi (saya mengundurkan diri seminggu yang lalu, jadi saya punya waktu satu bulan untuk merapikan dan GTFO).

Sejauh ini saya punya:

1. Bawa mereka keluar dari tempat itu
2. Hapus Kotak Masuk email mereka (setel semua email untuk meneruskan ke catch-all)
3. Hapus kunci SSH mereka di server

4. Hapus akun pengguna mysql mereka

   ...

Jadi apa selanjutnya. Apa yang saya lupa sebutkan, atau mungkin berguna juga

(catatan akhir: Mengapa ini di luar topik? Saya seorang administrator sistem, dan ini menyangkut keamanan bisnis yang berkelanjutan, ini pasti sesuai topik.)

Saya sarankan untuk membuat daftar hal-hal yang Anda lakukan ketika sysadmin baru bergabung dengan perusahaan (sistem yang perlu Anda tambahkan, kelompokkan akun mereka harus masuk, dll) dan termasuk hal-hal teknis dan fisik - misalnya kunci fisik dan alarm kode sama pentingnya dengan kunci dan kata sandi SSH.

Pastikan Anda tetap memperbarui daftar ini - lebih mudah diucapkan daripada dilakukan, saya tahu. Tetapi membuatnya lebih mudah untuk memproses anggota tim baru menjadi perusahaan dan lagi untuk memprosesnya. Anda masih bisa melakukan ini sekarang dan mendapatkan setidaknya beberapa manfaat menggunakannya untuk membantu orang yang pergi. Alasan saya menyebutkan daftar periksa adalah karena kita semua cenderung berpikir dalam bidang kenyamanan kita sendiri dan hal-hal yang berbeda mungkin terlewatkan, tergantung pada siapa yang memproses leaver. Sebagai contoh: "manajer keamanan gedung" atau "manajer kantor" akan lebih memikirkan kunci pintu daripada kunci SSH dan orang IT akan menjadi kebalikannya dan akhirnya mencabut akses mereka ke sistem sambil membiarkan mereka dapat berjalan ke gedung di malam hari.

Kemudian cukup periksa checklist mereka ketika mereka pergi, gunakan itu sebagai checklist untuk membatalkan / dikembalikan. Semua tim TI Anda harus antusias dengan hal ini jika mereka profesional karena memiliki proses yang disepakati seperti ini melindungi mereka dari kesalahan yang tidak beralasan dari mantan majikan, sama halnya melindungi majikan dari mereka.

Jangan lupa hal-hal seperti akses ke pusat data jarak jauh atau akses fisik ke repositori data cadangan pihak ketiga.

Saya terkejut tidak ada yang menyebutkan itu sebelumnya tapi ...

Jika jaringan WiFi Anda menggunakan WPA atau (saya harap tidak) WEP yang bertentangan dengan mengetuk di server Radius, Anda mungkin ingin mempertimbangkan untuk mengubah kunci itu.

Ini adalah pintu besar yang dibiarkan terbuka, jika Anda adalah admin jaringan, ada peluang yang cukup bagus Anda tahu kunci itu ... bayangkan betapa mudahnya untuk kembali ke jaringan dari tempat parkir atau sesuatu seperti itu .

Hal-hal lain yang muncul dalam pikiran:

• Keamanan fisik - ambil kunci / tag akses / tag vpn / laptop
• Singkirkan telepon / blackberry
• Hapus / nonaktifkan semua akun yang mereka miliki di layanan / situs eksternal
• Kunci akun pengguna mereka
• Ubah kata sandi bersama yang mungkin mereka ketahui (saya menghargai Anda tidak boleh memiliki kata sandi bersama)
• Nonaktifkan akun VPN
• Pastikan semua bug / tiket / masalah dll dalam sistem pelacakan ditugaskan kembali

• Lepaskan mereka dari sistem nagios / paging
• Hapus sudo mereka (untuk jaga-jaga)
• Beri tahu pusat data
• Nonaktifkan / cabut sistem vpn apa pun ke jaringan kantor
• Nonaktifkan aplikasi web / konfigurasi apache / firewall yang memiliki alamat IP-nya

Jika beberapa sysadmin keluar dari perusahaan, kami mengubah semua kata sandi untuk pengguna (bukan perubahan kata sandi bulanan). Kami memiliki ldap dan jari-jari, jadi itu tidak terlalu sulit. Kemudian kita melihat sistem yang sedang dikerjakannya, serta file yang dibuat oleh / dimodifikasi olehnya. Jika ada data penting di stasiun kerjanya, kami membersihkan atau mengarsipkannya.

Kami memiliki audit akses untuk semua layanan yang memiliki pengguna. Jika ada beberapa pengguna tak dikenal yang menggunakan layanan ini, kami memblokirnya, setidaknya sampai identifikasi dilewati.

Sistem lain akan dibersihkan dalam seminggu; sebagian besar untuk tujuan pengembangan dan tidak memiliki informasi berharga, dan mereka dibersihkan secara teratur dengan menginstal ulang.

Banyak ide bagus di utas ini ... Beberapa hal lain yang perlu dipertimbangkan:

Saya setuju untuk mengubah kata sandi atau menonaktifkan akun pengguna yang term panjang dibandingkan dengan menghapusnya (setidaknya pada awalnya), namun mungkin ide yang baik untuk memeriksa dan melihat apakah akun pengguna digunakan untuk menjalankan layanan / tugas yang dijadwalkan sebelum mengambil tindakan. Ini mungkin lebih penting dalam lingkungan Windows / AD daripada U

Beberapa hal berikut mungkin sulit dilakukan jika karyawan tersebut pergi dengan cepat atau dalam kondisi kurang ideal; tetapi ini bisa menjadi penting (terutama pada jam 2 pagi WTH yang baru saja terjadi)

Transfer pengetahuan - Meskipun kita semua menjaga semua dokumentasi kami tetap mutakhir (ahem, shuffles feet), mungkin merupakan hal yang baik untuk menjadwalkan waktu dengan penghitung waktu singkat dan melakukan beberapa tanya jawab atau penelusuran dengan admin lain. Jika Anda memiliki banyak s / w kustom berjalan, atau lingkungan yang kompleks itu bisa sangat membantu untuk mengajukan pertanyaan dan mendapatkan waktu satu-satu.

Seiring dengan itu masuk Kata Sandi. Semoga semua orang menggunakan beberapa jenis penyimpanan akun / kata sandi terenkripsi (KeePass / PassSafe, dll). Jika itu masalahnya, ini seharusnya cukup mudah - dapatkan salinan file mereka dan kunci untuk itu. Jika tidak, ini saatnya membuang otak.

Mulailah dengan mengubah semua kata sandi "perimeter" untuk jaringan Anda. Akun apa pun yang dapat ia gunakan untuk masuk ke jaringan Anda dari rumah (atau dari tempat parkir dengan WiFi), harus segera diubah.

• Kata sandi administrasi jarak jauh untuk router dan firewall?
• Akun VPN? Bagaimana dengan akun admin di VPN?
• Enkripsi WiFi?
• Email berbasis browser (OWA)?

Setelah ini tertutup, kerjakan jalan Anda ke dalam.

Hal-hal lain yang perlu diperiksa hanya untuk merapikan:

• jika mereka memiliki alamat IP statis, tandai sebagai tersedia
• hapus / bersihkan semua catatan DNS khusus jika memungkinkan
• hapus dari segala jenis direktori karyawan
• telepon
• menghapus alamat email dari segala jenis laporan otomatis yang dikirim oleh server atau layanan
• jika Anda menyimpan inventaris perangkat keras / perangkat lunak, tandai lisensi perangkat keras dan perangkat lunak sebagai tersedia (ini benar-benar tergantung pada bagaimana Anda mengelola hal-hal ini).

Cobalah untuk memastikan bahwa semua perubahan kata sandi terjadi antara 'leaver diisolasi dari jaringan' (mungkin wawancara keluar di ruang konferensi, setelah laptop kantor dikembalikan) dan 'leaver dibiarkan memiliki perangkat'. Ini secara drastis mengurangi kemungkinan leaver akan mengintip kredensial baru (tetapi dengan smartphone dan sejenisnya, itu masih non-nol).

Jawaban di atas semuanya sangat bagus. Sebagai seorang praktisi profesional dalam profesi InfoSec (Auditor TI), beberapa hal lain yang perlu Anda pertimbangkan:

1. Hapus hak administratif yang diistimewakan seperti admin domain jika Anda menggunakan Active Directory

2. Hapus peran basis data istimewa yang mungkin mereka miliki (mis: db_owner)

3. Menginformasikan klien eksternal bahwa pengguna yang diakhiri mungkin memiliki akses sehingga hak akses dapat dicabut.

4. Hapus akun mesin lokal jika ada selain akses domain