Řešení 1:
Všechno, co zde bylo dosud řečeno, je dobré, ale existuje jeden „snadný“ netechnický způsob, který pomáhá negovat nepoctivého správce systému – princip čtyř očí, který v zásadě vyžaduje, aby pro jakýkoli zvýšený přístup byli přítomni dva systémoví správci.
EDIT:Dvě největší položky, které jsem viděl v komentářích, jsou diskuse o nákladech a možnosti tajné dohody. Jedním z největších způsobů, jak se vyhnout oběma těmto problémům, je použití společnosti spravovaných služeb, která se používá pouze k ověření přijatých akcí. Udělané správně by se technici navzájem nepoznali. Za předpokladu technické zdatnosti, kterou by MSP měl mít, by bylo dost snadné nechat se odhlásit o provedených akcích.. možná dokonce tak jednoduché jako ano/ne na cokoliv hanebného.
Řešení 2:
Pokud lidé skutečně potřebují administrátorský přístup k systému, pak je jen málo, co můžete udělat, abyste omezili jejich aktivity na tomto poli.
Většina organizací dělá důvěřuj, ale prověřuj – můžete lidem poskytnout přístup k částem systému, ale používáte pojmenované účty administrátorů (např. jim nedáváte přímý přístup k rootu ) a poté auditujte jejich aktivity do protokolu, do kterého nemohou zasahovat.
Je zde akt vyvažování; možná budete muset chránit své systémy, ale musíte také důvěřovat lidem, že budou dělat svou práci. Pokud byla společnost dříve „kousnuta“ bezohledným zaměstnancem, pak by to mohlo naznačovat, že praktiky náboru společností jsou nějakým způsobem špatné a tyto praktiky pravděpodobně vytvořili „top manažeři“. Důvěra začíná doma; co dělají, aby napravili své volby náboru?
Řešení 3:
To, o čem mluvíte, je známé jako riziko „Evil Sysadmin“. Dlouhá a krátká je:
- Sysadmin je někdo, kdo má zvýšená oprávnění
- Technicky zdatní na úrovni, která by z nich udělala dobrého „hackera“.
- Interakce se systémy v anomálních scénářích.
Kombinace těchto věcí v podstatě znemožňuje zastavit zákeřnou akci. Dokonce i auditování se stává těžkým, protože nemáte žádný „normální“, se kterým byste se mohli srovnávat. (A upřímně řečeno - rozbitý systém může také rozbít audit).
Existuje řada zmírňujících kroků:
- Oddělení privilegií – chlapovi s rootem nemůžete zabránit v tom, aby dělal nic na systému. Ale můžete udělat jeden tým zodpovědným za sítě a jiný tým zodpovědný za 'operační systémy' (nebo Unix/Windows zvlášť).
- Omezte fyzický přístup k sadě na jiný tým, který nezíská administrátorské účty... ale postarají se o veškerou práci „rukou“.
- Oddělte odpovědnost za „desktop“ a „server“. Nakonfigurujte plochu tak, aby zabránila odstraňování dat. Správci desktopu nemají možnost přistupovat k citlivým údajům, správci serveru je mohou ukrást, ale musí proskočit obručemi, aby je dostali z budovy.
- Audit do systému s omezeným přístupem –
syslog
a auditování na úrovni událostí do relativně odolného systému, ke kterému nemají privilegovaný přístup. Ale nestačí je shromažďovat, musíte to sledovat – a upřímně řečeno, existuje spousta způsobů, jak „ukrást“ informace, které se nemusí objevit na kontrolním radaru. (Pytlák vs. hajní) - použijte šifrování „v klidu“, takže data nebudou uložena „v čistém stavu“ a pro přístup vyžaduje aktivní systém. To znamená, že lidé s fyzickým přístupem nemají přístup k systému, který není aktivně monitorován, a že v „anomálním“ scénáři, kdy na něm pracuje správce systému, jsou data méně vystavena. (např. pokud databáze nefunguje, data pravděpodobně nejsou čitelná)
- Pravidlo dvou mužů – pokud jste v pořádku s tím, že vaše produktivita klesá a vaše morálka také. (Vážně - viděl jsem to hotové a přetrvávající stav práce a sledování extrémně ztěžuje pracovní podmínky).
- Prověřte své systémové správce – v závislosti na zemi mohou existovat různé kontroly záznamů. (Kontrola rejstříku trestů, můžete dokonce zjistíte, že v některých případech můžete požádat o bezpečnostní prověrku, která spustí prověřování)
- Postarejte se o své systémové správce – absolutně poslední věc, kterou chcete udělat, je říct „důvěryhodné“ osobě, že jí nedůvěřujete. A rozhodně nechcete poškodit morálku, protože to se zvyšuje možnost zlomyslného chování (neboli „ne zcela nedbalosti, ale uklouznutí v ostražitosti“). Ale plaťte podle odpovědnosti a také podle sady dovedností. A zvažte „výhody“ – které jsou levnější než plat, ale pravděpodobně se cení více. Jako káva zdarma nebo pizza jednou týdně.
- a můžete se také pokusit použít smluvní podmínky, abyste tomu zabránili, ale dejte si pozor na výše uvedené.
Ale docela zásadně - musíte přijmout, že jde o věc důvěry, nikoli technickou věc. Vaši systémoví správci pro vás budou vždy potenciálně velmi nebezpeční v důsledku této dokonalé bouře.
Řešení 4:
Aniž byste se museli pouštět do šíleného technického zvratu, abyste se pokusili přijít na způsob, jak dát sysadminovi moc, aniž byste mu dali moc (je to pravděpodobně proveditelné, ale nakonec by to bylo nějakým způsobem chybné).
Z hlediska obchodní praxe existuje soubor jednoduchých řešení. Není to levné řešení, ale jednoduché.
Zmínil jste, že části IP, které vás znepokojují, jsou rozděleny a pouze lidé nahoře je mají moc vidět. Toto je v podstatě vaše odpověď. Měli byste mít více správců a ŽÁDNÝ z nich by neměl být správcem na dostatečném počtu systémů, aby se dal dohromady úplný obrázek. Samozřejmě byste potřebovali alespoň 2 nebo 3 adminy na každý kus, pro případ, že by byl admin nemocný, měl autonehodu nebo tak něco. Možná je i zavrávorat. řekněme, že máte 4 administrátory a 8 informací. admin 1 může přistupovat k systémům, které mají část 1 a 2, admin 2 se může dostat na části 2 a 3, admin 3 se může dostat na 3 a 4 a admin 4 se může dostat na 4 a 1. Každý systém má záložního správce, ale ne admin je schopen ohrozit úplný obrázek.
Jednou z technik, kterou armáda také používá, je omezení přesunu dat. V citlivé oblasti může být pouze jeden systém, který je schopen vypálit disk, nebo pomocí USB flash disku, všechny ostatní systémy jsou omezeny. A schopnost používat tento systém je extrémně omezená a vyžaduje specifické zdokumentované schválení vyššími úřady, než bude komukoli dovoleno vkládat jakákoli data o čemkoli, co by mohlo vést k úniku informací. Spolu se stejným tokenem zajistíte, že síťový provoz mezi různými systémy je omezen hardwarovými firewally. Vaši síťoví administrátoři, kteří řídí protipožární hradby, nemají přístup k systémům, které směrují, takže nemohou konkrétně získat přístup k informacím a administrátoři vašeho serveru/pracovní stanice zajišťují, aby všechna data do a ze systému byla nakonfigurována tak, aby byla šifrována, takže že vaši síťoví administrátoři nemohou klepnout na síť a získat přístup k datům.
Všechny notebooky/pracovní stanice by měly mít šifrované pevné disky a každý zaměstnanec by měl mít osobní skříňku, do které musí disky/notebooky uzamknout na konci noci, aby se zajistilo, že nikdo nepřijde dříve/neodejde pozdě a nezíská k něčemu přístup. nemají.
Každý server by měl být přinejmenším ve svém vlastním uzamčeném racku, ne-li ve své vlastní zamčené místnosti, aby k němu měli přístup pouze administrátoři zodpovědní za každý server, protože na konci dne převáží fyzický přístup všechny.
Dále je zde praxe, která může buď ublížit/pomoci. Limitované smlouvy. Pokud si myslíte, že můžete zaplatit dost na to, abyste přitahovali nové talenty, možnost ponechat si každého administrátora pouze po předem stanovenou dobu (např. 6 měsíců, 1 rok, 2 roky) by vám umožnila omezit, jak dlouho by někdo měl pokusit se dát dohromady všechny části vaší IP.
Můj osobní návrh by byl něco v duchu... Rozdělte svá data na mnoho částí, řekněme, abyste měli číslo 8, máte 8 git serverů, každý s vlastní sadou redundantního hardwaru, každý spravovaný jiná skupina správců.
Šifrované pevné disky pro všechny pracovní stanice, které se budou dotýkat IP. se specifickým "projektovým" adresářem na jednotce, který je jediným adresářem, do kterého mohou uživatelé vkládat své projekty. Na konci každé noci jsou povinni vyčistit své projektové adresáře pomocí nástroje pro bezpečné mazání, poté jsou odstraněny pevné disky a uzamčeno (pro jistotu).
Každý bit projektu má přiřazeného jiného správce, takže uživatel bude komunikovat pouze s administrátorem pracovní stanice, ke kterému je přiřazen, pokud se jeho přiřazení projektu změní, jeho data budou vymazána, bude mu přidělen nový administrátor. Jejich systémy by neměly umožňovat vypalování a měly by používat bezpečnostní program, který zabrání použití USB flash disků k přenosu dat bez oprávnění.
vezmi si z toho, co chceš.
Řešení 5:
Bylo by to podobné jako výzva najmout domovníka do budovy. Domovník dostane všechny klíče, může otevřít jakékoli dveře, ale důvodem je, že je školník potřebuje ke své práci. To samé se systémovými administrátory. Symetricky lze myslet na tento letitý problém a podívat se na způsoby, jakými se důvěra poskytuje historicky.
Ačkoli neexistuje žádné čisté technické řešení, skutečnost, že žádné neexistuje, by neměla být důvodem, proč žádné nezkusíme, agregace nedokonalých řešení může poskytnout poněkud skvělé výsledky.
Model, kde se získává důvěra :
- Pro začátek udělte méně oprávnění
- Postupně zvyšujte oprávnění
- Postavte si honeypot a sledujte, co se stane v nadcházejících dnech
- Pokud to správce systému nahlásí, místo aby se toho pokusil zneužít, je to dobrý začátek
Implementujte několik úrovní administrativních pravomocí :
- Úroveň 1:Může upravit nižší úroveň konfiguračních souborů
- Úroveň 2:Může upravit mírně vyšší úroveň konfiguračních souborů
- Úroveň 3:Může upravit mírně vyšší úroveň konfiguračních souborů a nastavení OS
Vždy vytvářejte prostředí, kde není možný úplný přístup jedné osoby :
- Rozdělte systémy do klastrů
- Udělte pravomoci správce clusteru různým skupinám
- Minimálně 2 skupiny
Při provádění změn jádra na vysoké úrovni použijte pravidlo dvou lidí :
- https://en.wikipedia.org/wiki/Two-man_rule
- Vyžadovat správce z clusteru1 a clusteru2 pro základní změny
Důvěřujte a ověřujte :
- Všechno zaprotokolovat
- Monitorování protokolů a upozornění
- Zajistěte, aby byly všechny akce rozlišitelné
Papírování :
- Nechte je podepsat, aby vám právní systém mohl pomoci tím, že je bude žalovat, pokud vám ublíží, dává větší motivaci, aby to nedělali