Solusi 1:
Semua yang dikatakan sejauh ini di sini adalah hal yang bagus tetapi ada satu cara 'mudah' non teknis yang membantu meniadakan admin sistem nakal - prinsip empat mata yang pada dasarnya mengharuskan dua sysadmin hadir untuk akses yang lebih tinggi.
EDIT:Dua hal terbesar yang pernah saya lihat di komentar membahas biaya dan kemungkinan kolusi. Salah satu cara terbesar yang saya pertimbangkan untuk menghindari kedua masalah tersebut adalah dengan menggunakan perusahaan layanan terkelola yang hanya digunakan untuk verifikasi tindakan yang diambil. Dilakukan dengan benar, para teknisi tidak akan saling mengenal. Dengan asumsi kecakapan teknis yang harus dimiliki MSP, akan cukup mudah untuk menandatangani tindakan yang diambil .. bahkan mungkin sesederhana ya / tidak untuk apa pun yang jahat.
Solusi 2:
Jika orang benar-benar membutuhkan akses admin ke suatu sistem, maka hanya sedikit yang dapat Anda lakukan untuk membatasi aktivitas mereka di kotak itu.
Apa yang dilakukan sebagian besar organisasi adalah kepercayaan, tetapi verifikasi - Anda mungkin memberi orang akses ke bagian sistem tetapi Anda menggunakan akun admin bernama (mis. Anda tidak memberi mereka akses langsung ke root ) lalu mengaudit aktivitas mereka ke log yang tidak dapat diganggu.
Ada tindakan penyeimbangan di sini; Anda mungkin perlu melindungi sistem Anda, tetapi Anda juga perlu memercayai orang untuk melakukan pekerjaan mereka. Jika perusahaan sebelumnya "digigit" oleh karyawan yang tidak bermoral maka ini mungkin menunjukkan bahwa praktik perekrutan perusahaan buruk dalam beberapa hal, dan praktik tersebut mungkin diciptakan oleh "manajer puncak". Kepercayaan dimulai di rumah; apa yang mereka lakukan untuk memperbaiki pilihan perekrutan mereka?
Solusi 3:
Apa yang Anda bicarakan dikenal sebagai risiko "Evil Sysadmin". Panjang dan pendeknya adalah:
- Sisadmin adalah seseorang yang memiliki hak istimewa tinggi
- Secara teknis mahir, ke tingkat yang akan membuat mereka menjadi 'peretas' yang baik.
- Berinteraksi dengan sistem dalam skenario anomali.
Kombinasi dari hal-hal ini pada dasarnya tidak memungkinkan untuk menghentikan tindakan jahat. Bahkan audit menjadi sulit, karena Anda tidak memiliki 'normal' untuk dibandingkan. (Dan sejujurnya - sistem yang rusak mungkin juga telah merusak audit).
Ada banyak langkah mitigasi:
- Pemisahan hak istimewa - Anda tidak dapat menghentikan pria berakar untuk melakukan apa saja pada sistem. Tetapi Anda dapat membuat satu tim bertanggung jawab atas jaringan, dan tim lain bertanggung jawab atas 'sistem operasi' (atau Unix/Windows secara terpisah).
- Batasi akses fisik ke perlengkapan untuk tim lain, yang tidak mendapatkan akun admin... tetapi tangani semua pekerjaan 'tangan'.
- Pisahkan tanggung jawab 'desktop' dan 'server'. Konfigurasikan desktop untuk mencegah penghapusan data. Admin desktop tidak memiliki kemampuan untuk mengakses yang sensitif, admin server dapat mencurinya, tetapi harus melewati rintangan untuk mengeluarkannya dari gedung.
- Mengaudit ke sistem akses terbatas -
syslog
dan audit tingkat peristiwa, ke sistem yang relatif tahan gangguan yang tidak memiliki akses istimewa. Namun mengumpulkannya saja tidak cukup, Anda perlu memantaunya - dan sejujurnya, ada banyak cara untuk 'mencuri' informasi yang mungkin tidak muncul di radar audit. (Pemburu vs. penjaga hutan) - menerapkan enkripsi 'at rest', sehingga data tidak disimpan 'di tempat yang bersih', dan memerlukan sistem langsung untuk mengaksesnya. Ini berarti bahwa orang dengan akses fisik tidak dapat mengakses sistem yang tidak dipantau secara aktif, dan bahwa dalam skenario 'anomali' di mana sysadmin bekerja di dalamnya, datanya kurang terekspos. (mis. jika database tidak berfungsi, data mungkin tidak dapat dibaca)
- Aturan dua orang - jika Anda baik-baik saja dengan produktivitas Anda yang lumpuh, dan juga moral Anda. (Serius - saya telah melihatnya selesai, dan kondisi kerja yang terus-menerus dan diawasi membuat kondisi kerja menjadi sangat sulit).
- Periksa sysadmin Anda - berbagai pemeriksaan catatan mungkin ada tergantung pada negara. (Pemeriksaan catatan kriminal, Anda mungkin bahkan menemukan Anda dapat mengajukan izin keamanan dalam beberapa kasus, yang akan memicu pemeriksaan)
- Jaga sysadmin Anda - hal terakhir yang ingin Anda lakukan adalah memberi tahu orang yang "tepercaya" bahwa Anda tidak memercayai mereka. Dan Anda tentunya tidak ingin merusak moral, karena itu meningkat kemungkinan perilaku jahat (atau 'tidak cukup lalai, tapi tergelincir dalam kewaspadaan'). Tapi bayar sesuai dengan tanggung jawab serta keahlian. Dan pertimbangkan 'tunjangan' - yang lebih murah daripada gaji, tetapi mungkin lebih dihargai. Seperti kopi gratis, atau pizza seminggu sekali.
- dan Anda juga dapat mencoba dan menerapkan ketentuan kontrak untuk menghambatnya, tetapi berhati-hatilah terhadap hal di atas.
Tapi cukup mendasar - Anda harus menerima bahwa ini adalah hal kepercayaan, bukan hal teknis. Sysadmin Anda akan selalu berpotensi sangat berbahaya bagi Anda, sebagai akibat dari badai yang sempurna ini.
Solusi 4:
Tanpa menempatkan diri Anda ke dalam pikiran teknis gila untuk mencoba dan menemukan cara untuk memberikan kekuatan sysadmin tanpa memberi mereka kekuatan (kemungkinan bisa dilakukan, tetapi pada akhirnya akan cacat dalam beberapa cara).
Dari sudut pandang praktik bisnis, ada serangkaian solusi sederhana. Bukan solusi murah, tapi sederhana.
Anda menyebutkan bahwa bagian IP yang Anda khawatirkan terbagi dan hanya orang-orang di atas yang memiliki kekuatan untuk melihatnya. Ini pada dasarnya adalah jawaban Anda. Anda harus memiliki banyak admin, dan TIDAK ADA dari mereka yang harus menjadi admin pada sistem yang cukup untuk menyusun gambaran lengkap. Anda tentu membutuhkan setidaknya 2 atau 3 admin untuk setiap bagian, jika ada admin yang sakit atau mengalami kecelakaan mobil atau semacamnya. Mungkin bahkan mengejutkan mereka. katakanlah Anda memiliki 4 admin, dan 8 informasi. admin 1 dapat mengakses sistem yang memiliki bagian 1 dan 2, admin 2 dapat mengakses bagian 2 dan 3, admin 3 dapat mengakses bagian 3 dan 4, dan admin 4 dapat mengakses bagian 4 dan 1. Setiap sistem memiliki admin cadangan, tetapi tidak admin dapat mengkompromikan gambaran lengkap.
Salah satu teknik yang juga digunakan militer adalah pembatasan pemindahan data. Di area sensitif mungkin hanya ada satu sistem yang mampu membakar disk, atau menggunakan flash drive USB, semua sistem lain dibatasi. Dan kemampuan untuk menggunakan sistem itu sangat terbatas dan memerlukan persetujuan terdokumentasi khusus oleh atasan sebelum siapa pun diizinkan untuk meletakkan data apa pun pada apa pun yang dapat menyebabkan tumpahan informasi. Sepanjang token yang sama, Anda memastikan bahwa lalu lintas jaringan antara sistem yang berbeda dibatasi oleh firewall perangkat keras. Admin jaringan Anda yang mengontrol dinding api tidak memiliki akses ke sistem yang mereka rutekan, sehingga mereka tidak dapat secara khusus mendapatkan akses ke informasi, dan admin server/workstation Anda memastikan bahwa semua data ke dan dari sistem dikonfigurasi untuk dienkripsi, jadi bahwa admin jaringan Anda tidak dapat mengetuk jaringan dan mendapatkan akses ke data.
Semua laptop/workstation harus memiliki hard drive terenkripsi, dan setiap karyawan harus memiliki loker pribadi mereka diminta untuk mengunci drive/laptop di penghujung malam untuk memastikan tidak ada yang datang lebih awal/pulang larut malam dan mendapatkan akses ke sesuatu mereka tidak seharusnya.
Setiap server setidaknya harus berada di rak terkuncinya sendiri, jika bukan di ruang terkunci sendiri, sehingga hanya admin yang bertanggung jawab untuk setiap server yang memiliki akses ke sana, karena pada akhirnya akses fisik mengalahkan segalanya.
Selanjutnya ada amalan yang bisa menyakiti/membantu. Kontrak terbatas. Jika menurut Anda Anda dapat membayar cukup untuk terus menarik talenta baru, opsi untuk hanya mempertahankan setiap admin untuk waktu yang telah ditentukan sebelumnya (yaitu 6 bulan, 1 tahun, 2 tahun) akan memungkinkan Anda membatasi berapa lama seseorang akan memiliki untuk mencoba menyatukan semua bagian IP Anda.
Desain pribadi saya akan menjadi sesuatu yang sejalan ... Pisahkan data Anda menjadi beberapa bagian, katakanlah demi memiliki nomor 8, Anda memiliki 8 server git, masing-masing dengan perangkat keras redundan mereka sendiri, masing-masing diadministrasikan oleh kumpulan admin yang berbeda.
Hardisk terenkripsi untuk semua workstation yang akan menyentuh IP. dengan direktori "proyek" khusus pada drive yang merupakan satu-satunya direktori yang diizinkan pengguna untuk memasukkan proyek mereka. Pada akhir setiap malam mereka diharuskan untuk membersihkan direktori proyek mereka dengan alat penghapusan yang aman, kemudian hard drive dihapus dan terkunci(agar aman).
Setiap bit proyek memiliki admin berbeda yang ditugaskan padanya, jadi pengguna hanya akan berinteraksi dengan admin workstation tempat mereka ditugaskan, jika tugas proyek mereka berubah, data mereka dihapus, mereka diberi admin baru. Sistem mereka seharusnya tidak memiliki kemampuan membakar dan harus menggunakan program keamanan untuk mencegah penggunaan USB flash drive untuk mentransfer data tanpa otorisasi.
ambil dari ini apa yang Anda mau.
Solusi 5:
Ini akan mirip dengan tantangan menyewa petugas kebersihan untuk sebuah gedung. Petugas kebersihan mendapatkan semua kunci, dapat membuka pintu apa pun, tetapi alasannya adalah petugas kebersihan membutuhkan mereka untuk melakukan pekerjaan itu. Sama dengan admin sistem. Secara simetris orang dapat memikirkan masalah lama ini dan melihat cara kepercayaan diberikan secara historis.
Meskipun tidak ada solusi teknis yang bersih, fakta bahwa tidak ada solusi yang seharusnya tidak menjadi alasan untuk tidak mencobanya, kumpulan solusi yang tidak sempurna dapat memberikan hasil yang cukup bagus.
Model di mana kepercayaan diperoleh :
- Berikan lebih sedikit izin untuk memulai
- Tingkatkan izin secara bertahap
- Letakkan honeypot dan pantau apa yang terjadi dalam beberapa hari mendatang
- Jika sysadmin melaporkannya alih-alih mencoba menyalahgunakannya, itu awal yang baik
Terapkan beberapa tingkat kewenangan administratif :
- Tingkat 1:Dapat mengubah tingkat file konfigurasi yang lebih rendah
- Tingkat 2:Dapat mengubah tingkat file konfigurasi yang sedikit lebih tinggi
- Tingkat 3:Dapat mengubah tingkat file konfigurasi dan pengaturan OS yang sedikit lebih tinggi
Selalu ciptakan lingkungan yang tidak memungkinkan akses total oleh satu orang :
- Membagi sistem menjadi beberapa kluster
- Berikan kekuatan admin kluster ke grup yang berbeda
- Minimal 2 grup
Gunakan aturan Dua orang saat melakukan perubahan inti tingkat tinggi :
- https://en.wikipedia.org/wiki/Two-man_rule
- Memerlukan admin dari cluster1 dan cluster2 untuk perubahan inti
Percayai dan verifikasi :
- Catat semuanya
- Pemantauan dan pemberitahuan log
- Pastikan semua tindakan dapat dibedakan
Dokumen :
- Minta mereka menandatangani dokumen agar sistem hukum dapat membantu Anda dengan menuntut mereka jika mereka menyakiti Anda memberi lebih banyak insentif untuk tidak melakukannya