Lösung 1:
Alles, was bisher hier gesagt wurde, ist gut, aber es gibt einen "einfachen", nicht technischen Weg, der hilft, einen böswilligen Systemadministrator zu negieren - das Vier-Augen-Prinzip, das grundsätzlich erfordert, dass zwei Systemadministratoren für jeden erhöhten Zugriff anwesend sind.
BEARBEITEN:Die zwei größten Punkte, die ich in Kommentaren gesehen habe, sind die Diskussion über Kosten und die Möglichkeit von Absprachen. Eine der größten Möglichkeiten, die ich in Betracht gezogen habe, um diese beiden Probleme zu vermeiden, ist die Verwendung eines Managed Service-Unternehmens, das nur zur Überprüfung der ergriffenen Maßnahmen verwendet wird. Richtig gemacht würden sich die Techniker nicht kennen. Unter der Annahme der technischen Fähigkeiten, die ein MSP haben sollte, wäre es einfach genug, eine Bestätigung der ergriffenen Maßnahmen zu erhalten. Vielleicht sogar so einfach wie ein Ja/Nein zu etwas Schändlichem.
Lösung 2:
Wenn Leute wirklich Administratorzugriff auf ein System benötigen, können Sie wenig tun, um ihre Aktivitäten auf dieser Box einzuschränken.
Die Mehrheit der Organisationen ist vertrauen, aber überprüfen - Sie könnten Personen Zugriff auf Teile des Systems gewähren, aber Sie verwenden benannte Administratorkonten (z. B. geben Sie ihnen keinen direkten Zugriff auf root ) und dann ihre Aktivitäten in einem Protokoll prüfen, in das sie nicht eingreifen können.
Hier gibt es einen Balanceakt; Möglicherweise müssen Sie Ihre Systeme schützen, aber Sie müssen auch darauf vertrauen können, dass die Menschen ihre Arbeit erledigen. Wenn das Unternehmen früher von einem skrupellosen Mitarbeiter „gebissen“ wurde, könnte dies darauf hindeuten, dass die Einstellungspraktiken des Unternehmens in irgendeiner Weise schlecht sind und diese Praktiken vermutlich von den „Top-Managern“ geschaffen wurden. Vertrauen beginnt zu Hause; Was tun sie, um ihre Einstellungsentscheidungen zu korrigieren?
Lösung 3:
Das, worüber Sie sprechen, ist als das „Evil Sysadmin“-Risiko bekannt. Das lange und kurze davon ist:
- Ein Sysadmin ist jemand mit erhöhten Rechten
- Technisch versiert, bis zu einem Niveau, das sie zu einem guten "Hacker" machen würde.
- Interaktion mit Systemen in anomalen Szenarien.
Die Kombination dieser Dinge macht es im Wesentlichen unmöglich, böswillige Handlungen zu stoppen. Sogar Auditing wird schwierig, weil Sie kein „Normal“ haben, mit dem Sie sich vergleichen können. (Und ehrlich gesagt – ein kaputtes System kann auch das Auditing kaputt gemacht haben).
Es gibt eine Reihe von Abhilfemaßnahmen:
- Privilegientrennung - Sie können einen Typen mit Root nicht davon abhalten, irgendetwas zu tun auf dem System. Aber Sie können ein Team für das Netzwerk verantwortlich machen und ein anderes Team für die „Betriebssysteme“ (oder Unix/Windows separat).
- Beschränken Sie den physischen Zugriff auf das Kit auf ein anderes Team, das keine Administratorkonten erhält ... aber sich um die gesamte "Handarbeit" kümmert.
- Trennen Sie die Verantwortung für „Desktop“ und „Server“. Konfigurieren Sie den Desktop so, dass das Entfernen von Daten verhindert wird. Die Desktop-Administratoren haben keine Möglichkeit, auf die sensiblen Daten zuzugreifen, die Server-Administratoren können sie stehlen, müssen aber durch Reifen springen, um sie aus dem Gebäude zu bekommen.
- Prüfung auf ein System mit eingeschränktem Zugriff –
syslog
und Auditing auf Ereignisebene zu einem relativ manipulationssicheren System, auf das sie keinen privilegierten Zugriff haben. Aber es reicht nicht aus, sie zu sammeln, Sie müssen sie überwachen – und ehrlich gesagt gibt es eine Reihe von Möglichkeiten, Informationen zu „stehlen“, die möglicherweise nicht auf einem Audit-Radar erscheinen. (Wilderer vs. Wildhüter) - Wenden Sie eine „ruhende“ Verschlüsselung an, sodass Daten nicht „im Klartext“ gespeichert werden und für den Zugriff ein Live-System erforderlich ist. Dies bedeutet, dass Personen mit physischem Zugriff nicht auf ein System zugreifen können, das nicht aktiv überwacht wird, und dass in einem „anomalen“ Szenario, in dem ein Systemadministrator daran arbeitet, die Daten weniger exponiert sind. (z. B. wenn die Datenbank nicht funktioniert, sind die Daten wahrscheinlich nicht lesbar)
- Zwei-Mann-Herrschaft – wenn Sie damit einverstanden sind, dass Ihre Produktivität lahmgelegt wird, und Ihre Moral ebenfalls. (Im Ernst – ich habe es gesehen, und der ständige Zustand des Arbeitens und Beobachtens macht es zu extrem schwierigen Arbeitsbedingungen).
- Überprüfen Sie Ihre Systemadministratoren - je nach Land können verschiedene Aufzeichnungen überprüft werden. (Prüfen Sie das Strafregister, Sie könnten stellen Sie sogar fest, dass Sie in einigen Fällen eine Sicherheitsüberprüfung beantragen können, die eine Überprüfung auslöst)
- Kümmern Sie sich um Ihre Systemadministratoren - das absolut Letzte, was Sie tun möchten, ist, einer "vertrauenswürdigen" Person zu sagen, dass Sie ihr nicht vertrauen. Und Sie wollen sicher nicht der Moral schaden, denn die steigt die Möglichkeit böswilligen Verhaltens (oder „nicht ganz Fahrlässigkeit, aber ein Nachlassen der Wachsamkeit“). Aber zahlen Sie nach Verantwortung und Fähigkeiten. Und denken Sie an „Vergünstigungen“ – die billiger sind als das Gehalt, aber wahrscheinlich mehr wert sind. Wie kostenloser Kaffee oder Pizza einmal pro Woche.
- und Sie können auch versuchen, Vertragsbedingungen anzuwenden, um dies zu verhindern, aber seien Sie vorsichtig mit dem oben Genannten.
Aber ziemlich grundsätzlich – Sie müssen akzeptieren, dass dies eine Vertrauenssache ist, keine technische Sache. Als Ergebnis dieses perfekten Sturms werden Ihre Sysadmins immer potenziell sehr gefährlich für Sie sein.
Lösung 4:
Ohne sich in eine wahnsinnige technische Denkweise zu versetzen, um zu versuchen, einen Weg zu finden, einem Systemadministrator Macht zu geben, ohne ihm Macht zu geben (es ist wahrscheinlich machbar, aber wäre letztendlich in irgendeiner Weise fehlerhaft).
Aus Sicht der Geschäftspraxis gibt es eine Reihe einfacher Lösungen. Keine billige Lösung, aber einfach.
Sie haben erwähnt, dass die Teile des geistigen Eigentums, um die Sie sich sorgen, geteilt sind und nur die Leute an der Spitze die Macht haben, sie zu sehen. Dies ist im Wesentlichen Ihre Antwort. Sie sollten mehrere Administratoren haben, und KEINER von ihnen sollte Administrator auf genügend Systemen sein, um das vollständige Bild zusammenzustellen. Du brauchst natürlich mindestens 2 oder 3 Admins für jedes Stück, falls ein Admin krank ist oder einen Autounfall oder so etwas hat. Vielleicht sogar taumeln sie. Angenommen, Sie haben 4 Administratoren und 8 Informationen. Administrator 1 kann auf Systeme mit Teil 1 und 2 zugreifen, Administrator 2 kann auf Teil 2 und 3 zugreifen, Administrator 3 kann auf Teil 3 und 4 zugreifen und Administrator 4 kann auf Teil 4 und 1 zugreifen. Jedes System hat einen Backup-Administrator, aber keinen admin kann das Gesamtbild kompromittieren.
Eine Technik, die auch das Militär verwendet, ist die Beschränkung des Verschiebens von Daten. In einem sensiblen Bereich gibt es möglicherweise nur ein einziges System, das in der Lage ist, einen Datenträger zu brennen oder einen USB-Stick zu verwenden, alle anderen Systeme sind eingeschränkt. Und die Möglichkeit, dieses System zu verwenden, ist äußerst begrenzt und erfordert eine spezifische dokumentierte Genehmigung durch höhere Stellen, bevor irgendjemand Daten auf irgendetwas übertragen darf, was zu einem Verschütten von Informationen führen könnte. Gleichzeitig stellen Sie sicher, dass der Netzwerkverkehr zwischen verschiedenen Systemen durch Hardware-Firewalls begrenzt wird. Ihre Netzwerkadministratoren, die die Firewalls kontrollieren, haben keinen Zugriff auf die Systeme, die sie routen, sodass sie nicht gezielt auf Informationen zugreifen können, und Ihre Server-/Workstation-Administratoren stellen sicher, dass alle Daten zu und von einem System so konfiguriert sind, dass sie verschlüsselt sind dass Ihre Netzwerkadministratoren nicht auf das Netzwerk zugreifen und auf die Daten zugreifen können.
Alle Laptops/Workstations sollten über verschlüsselte Festplatten verfügen, und jeder Mitarbeiter sollte ein persönliches Schließfach haben, in dem er die Laufwerke/Laptops am Ende der Nacht einschließen muss, um sicherzustellen, dass niemand zu früh kommt/zu spät geht und Zugang zu etwas erhält das sollten sie nicht.
Jeder Server sollte zumindest in einem eigenen verschlossenen Rack, wenn nicht sogar in einem eigenen verschlossenen Raum stehen, damit nur die für den jeweiligen Server zuständigen Admins Zugriff darauf haben, da der physische Zugang letzten Endes übertrumpft.
Als nächstes gibt es eine Praxis, die entweder schaden/helfen kann. Befristete Verträge. Wenn Sie der Meinung sind, dass Sie genug bezahlen können, um weiterhin neue Talente anzuziehen, können Sie mit der Option, jeden Administrator nur für einen festgelegten Zeitraum (z. B. 6 Monate, 1 Jahr, 2 Jahre) zu behalten, die Zeit begrenzen, die jemand haben würde zu versuchen, alle Teile Ihrer IP zusammenzusetzen.
Mein persönliches Design wäre etwas in der Art von ... Teilen Sie Ihre Daten in beliebig viele Teile auf, sagen wir, um eine Nummer 8 zu haben, haben Sie 8 Git-Server, jeder mit seinem eigenen Satz redundanter Hardware, von denen jeder verwaltet wird eine andere Gruppe von Administratoren.
Verschlüsselte Festplatten für alle Workstations, die die IP berühren. mit einem bestimmten „Projekt“-Verzeichnis auf dem Laufwerk, das das einzige Verzeichnis ist, in dem Benutzer ihre Projekte ablegen dürfen. Am Ende jeder Nacht müssen sie ihre Projektverzeichnisse mit einem sicheren Löschtool bereinigen, dann werden die Festplatten entfernt und eingesperrt (nur um sicherzugehen).
Jedem Teil des Projekts ist ein anderer Administrator zugewiesen, sodass ein Benutzer nur mit dem Workstation-Administrator interagieren würde, dem er zugewiesen ist, wenn sich seine Projektzuweisung ändert, seine Daten gelöscht werden und ihm ein neuer Administrator zugewiesen wird. Ihre Systeme sollten keine Brennfunktionen haben und ein Sicherheitsprogramm verwenden, um die Verwendung von USB-Flash-Laufwerken zur Datenübertragung ohne Autorisierung zu verhindern.
nimm davon was du willst.
Lösung 5:
Es wäre vergleichbar mit der Herausforderung, einen Hausmeister für ein Gebäude einzustellen. Der Hausmeister bekommt alle Schlüssel, kann jede Tür öffnen, aber der Grund dafür ist, dass der Hausmeister sie braucht, um seine Arbeit zu erledigen. Dasselbe gilt für Systemadministratoren. Symmetrisch kann man an dieses uralte Problem denken und sich anschauen, wie Vertrauen historisch gewährt wird.
Obwohl es keine saubere technische Lösung gibt, sollte die Tatsache, dass es keine gibt, kein Grund dafür sein, keine zu versuchen, eine Ansammlung unvollkommener Lösungen kann ziemlich gute Ergebnisse liefern.
Ein Modell, bei dem Vertrauen verdient wird :
- Geben Sie zunächst weniger Berechtigungen ein
- Berechtigungen schrittweise erhöhen
- Stellen Sie einen Honeypot auf und beobachten Sie, was in den kommenden Tagen passiert
- Wenn der Systemadministrator es meldet, anstatt zu versuchen, es zu missbrauchen, ist das ein guter Anfang
Implementieren Sie mehrere Ebenen von Verwaltungsbefugnissen :
- Stufe 1:Kann Konfigurationsdateien der unteren Ebene ändern
- Stufe 2:Kann eine etwas höhere Schicht von Konfigurationsdateien ändern
- Stufe 3:Kann eine etwas höhere Schicht von Konfigurationsdateien und Betriebssystemeinstellungen ändern
Schaffen Sie immer eine Umgebung, in der ein vollständiger Zugriff durch eine Person nicht möglich ist :
- Teilen Sie Systeme in Cluster auf
- Geben Sie verschiedenen Gruppen Cluster-Admin-Befugnisse
- Mindestens 2 Gruppen
Verwenden Sie die Zwei-Mann-Regel, wenn Sie Kernänderungen auf hoher Ebene vornehmen :
- https://en.wikipedia.org/wiki/Two-man_rule
- Anfordern eines Administrators von Cluster1 und Cluster2 für Kernänderungen
Vertrauen und verifizieren :
- Alles protokollieren
- Protokollüberwachung und -benachrichtigung
- Stellen Sie sicher, dass alle Aktionen unterscheidbar sind
Papierkram :
- Lassen Sie sie Papiere unterschreiben, damit das Rechtssystem Ihnen helfen kann, indem sie sie verklagen, wenn sie Sie verletzen, um einen größeren Anreiz zu haben, dies nicht zu tun