Comments 75
Уволенный сотрудник сохранил доступ к системе и украл данные, используя старые учетные записи.
косяки отдела безопасности перекладываем на уволенного сотрудника, отличный план!
и не просто украла - а с помощью учетных данных взломала сервер!
Ну по вашей логике, я продав квартиру могу заходить туда потом в любое время и брать что захочу. А виноват будет покупатель потому что не сменил замки.
Да, будете виноват будет в том числе покупатель. Смена замков - очевидная мера безопасности, её пренебрегли. Люди даже когда квартиры сдают - бывают позволяют новым жильцам менять замок.
Прав ли тот, кто вот так, вероломным образом, воспользовался отсутствием бдительности нового хозяина квартиры? Нет, конечно. Тем более, я думаю это вообще незаконно.
Итог: виноваты оба, но в разных пониманиях.
Либо другой пример: на работу принимают нового сисадмина, он выставляет веб морду роутера и его ssh порты в интернет. Пароль не меняет, оставляет всё по дефолту. Через неделю взламывают всю базу данных организации (причём это скорее всего делает не кто-то по заказу, а обычный бот). Через месяц в организации целая ботоферма. Виноват ли сисадмин? Нет, конечно, он сделал всё для удобства, а по хорошему ему бы вообще пароль убрать. Виноваты те, кто этих зловредных ботов и вирусов пишут. И об этом обязательно нужно написать статью на хабре. Как можно более плаксивую.
Ладно, опять перейдём на серьёзный тон. Ваша безопасность лишь в ваших руках. А безопасность организации в руках руководителей, которые по долгу своей службы обязаны найти компетентных сотрудников.
Да, будете виноват будет в том числе покупатель. Смена замков - очевидная мера безопасности, её пренебрегли.
Большинство дверей открывается профессионалом секунд за 10, делает ли это виноватыми тех, кто не поставил дверь четвертого класса взломостойкости? Где проходит граница недостаточности принимаемых мер?
Ключевое слово - профессионалом. Если у вас во вселенной хотя бы 70% людей профессионалы, которые взламывают двери за секунды, то да, не так уж и много смысла в замках. Каждый встроенный почти двери взломает, даже с похмелья.
Но раз у вас так всё печально, то может стоит задуматься о других мерах безопасности? Камеры, дополнительные замки, доплнильные двери, сейфы и так далее?
Большинство дверей открывается профессионалом секунд за 10, делает ли это виноватыми тех, кто не поставил дверь четвертого класса взломостойкости? Где проходит граница недостаточности принимаемых мер?
Задача защищающегося - не бежать быстрее дракона, а бежать быстрее хоббита. То есть - не быть лёгкой целью.
В данном случае, кстати дверь "четвёртого класса взломостойкости" может привести к тому, что сломают окна. Потому что "ну что-то же там должно лежать ценное, что такое поставили?"
PS. Подход к безопасности естественно должен быть комплексным. Но не отключить доступ уволенному сотруднику - это настолько факап, что я не знаю о чём говорить. По-моему сначала отключают доступы, а потом уже увольняют.
виноваты оба, но в разных пониманиях
Это и есть разница между виной и ответственностью.
То, что что-то плохо лежит - ответственность владельца (или тех, кому владелец делегировал сохранность, как в этом случае).
То, что кто-то это взял - вина взявшего.
Судя по всему, отдела безопасности как такового и не было. Да и по части сисадминов есть мнение, что при найме решили сэкономить и наняли ребят уровня техподдержки или помощника системного администратора. Тем более, что при наличии пары извилин и доступа в интернет по инструкциям вполне можно развернуть инфраструктуру, а сейчас еще и нейросетки в помощь есть. И то, что на сисадминов пытаются свалить вину за невыполнение задач по информационной безопасности, довольно таки несправедливо. Тем более, что это две обширные области, и за наличие компетенций в обеих нужно увеличивать оклад. Да и сколько ни настраивай, а все учесть невозможно. Пару месяцев назад один из клиентов, у которого стоит сервер с ПО от фирмы, где я работаю, прислал документик с аудитом безопасности этого сервера... 250 страниц pdf файл. Использовали какой-то программный комплекс для анализа уязвимостей.
И то, что на сисадминов пытаются свалить вину за невыполнение задач по информационной безопасности, довольно таки несправедливо
Ну вообще-то у СА, ИБ и разработчиков (если таковые имеются) должен быть один руководитель - замдиректора по IT. Его и надо брать за задницу в таких случаях.
Вот вот.
Я просто вспоминаю свою историю несколько лет назад. Я себя админом не считаю (деньги мне за другое платят).
Хоумсервер и какая-никакая инфраструктура (включая и рабочие компы и виртуалки с доступом по RDP с ноутов и рабочего компа). Внезапно (пара дней на подготовку и там и кроме ит-части было что делать) потребовалось срочно свалить на некоторое время в другую локацию. обновления везде последние стоят.
В этой другой локации доступ был через WiFi кафешек и сотовую связь.
основной канал доступа к рабочему компу и виртуалкам планировался через Parsec но выявились ньюансы. В итоге решение было следующее - заходим в админку роутера (пароли там нормальные+ обновления последние), заходим в админку роутера, разрешаем проброс RDP для подсети с которой сидим, сидим работаем, выключаем.
Постоянно открывать RDP - показалось слишком большим риском. (Настроенный VPN использовать не получилось из-за нескольких разных групп борцов за все хорошее против всего плохого, перенастраивать VPN в такой ситуации - скажет так локальные руки разве что по питанию могли передернуть железо, с тех пор кстати VPN сделан нормальный и тестируется изредко в том числе в условия активной цензуры + думаю про Kasm(это для сетапа где больше двух удаленных юзеров не будет никогда)).
А тут - профессиональные админы, открытый всем ветрам RDP. Н-да.
Я прошу прощение за душнилово- но "открытый всем ветрам рдп" может быть очень разным- у меня с 2004ого по 2010ый годы стоял в мастерхосте временный сервер, который, как водится, стал постоянным- так вот, на той тачке стояла вин2000 и смотрела она своей сетевушкой прямо таки в зловещий энторнет. Из безопасности там был включен IPSec с несколькими правилами и пароль длинненький. И за 6 лет невзломали..
за 6 лет не взломали..
«И тебе не хворать, Неуловимый Джо!»
А откуда ты знаешь что не взломали ?
Взломали посмотрели, что нет у тебя ничего интересного, и ты даже об этом и не узнал ))
Почему отдела безопасности? Откуда они знают кто-когда увольняется? Косяки отдела персонала и отдела ИТ, который не автоматизировал "электронный обходной лист".
Хотя ещё много осталось компаний, где всё руками делают (или вообще не делают).
А вот RDP в Интеренет без VPN - это безопасники виноваты.
Косяки отдела персонала и отдела ИТ
Этак можно горячей картошкой до бесконечности перекидываться. Не, отдел персонала имеет квалификацию и полномочия только на одно - поставить в обходном строчки "добро от ИБ" и/или "добро от ИТ", и следить, чтобы там стояла подпись, ручная или автоматическая.
А вот составление чеклиста, после которого эта подпись появится - это совместная деятельность ИТ и ИБ, именно для двойного контроля. Разумеется, за каждый из пунктов этого чеклиста отвечать должен либо ИТ, либо ИБ, и это тоже результат их договорённости.
а как наличие пароля и имени в групповом чате относится к увольнению сотрудника?
Тут один момент, кто перед кем виноват.
Отдел безопасности виноват перед руководством фирмы, и отвечает тем, что прописано в его трудовом договоре. Сама ответственность еще зависит от того, что охраняет безопасник, и что он проморгал. Потеряете большую БД с учетными данными пользователей, возможно придется ответить вместе с тем, кто ее украл.
А бывший сотрудник виновен по одной из статей УК, и возможно даже не по одной. Не важно, что он там утащил, личную переписку, чертежи последней ракеты, одна статья останется неизменной. Во втором случае может другая добавится.
Ну как бы да - взяла то, что ей не принадлежит это буквально значит украла
в тексте автора явно прослеживается негатив в сторону сисадминов и всех причастных к инциденту, а не только к сотруднику
То, что вы описали - называется обычным разгильдяйством, но, как вы правильно заметили, даже такой печальный опыт стал хорошим уроком, и вероятно организация сделала соответствующие выводы (и сисадмины тоже). Но на самом деле это встречается повсеместно, даже в таких компаниях, которые имеют непосредственное отношение к сфере информационной безопасности.
Выводов обычно не делают. Изменили процесс увольнения, но остальные комплексные меры не стали делать до нового инцидента.
Появилась в трубе дырка - заткнули. Но менять всю трубу не будем - дорого.
Только отчасти соглашусь. Разгильдяйство начинается с руководителей компании, которые
Не выделяют денег на оборудование и расширение штата.
Не могут придерживаться утвержденных ими же стандартов ИБ: "Мы знаем, что так правильно, но вот этим сотрудникам очень нужно. Это требование бизнеса, поэтому выполняйте."
Что-то прям сильно притянуто за уши.
Спустя неделю позвонил партнёр — поставщик серверов: "Ваш бывший менеджер по продажам теперь работает у конкурентов и предложила мне скидки чуть лучше ваших".
Скидки даёт тот, кто продаёт, а не тот, кто покупает. Скидку может дать поставщик серверов, а не ему скидку дают.
Другой клиент подтвердил: "Она знает наши текущие условия и перебила их"
Она знает условия компании, которую покинула, а не условия клиента. Клиентам вообще плевать, кто им будет продавать товар.
выявив, что подключения к 3389 разрешены для широкого диапазона IP — целой подсети, а не конкретных адресов.
Даже боюсь представить, что там за подсеть, раз даже ip-адрес конкурента туда попал. Если там разрешены все подсети, но этот RDS сервер скорее всего уже давно участник какого-нибудь ботнета. Так что утечка данных по тендерам - это лишь малая часть проблем в этой компании.
В общем, даже ChatGPT сможет придумать более реалистичную историю. А тут прям совсем много "белых пятен" и сюжетных дыр.
Хранение учётных записей в чатах - тоже интересный момент.
В последнее время на Хабре вижу множество ну совершенно точно не выдуманных историй со ссылочкой на телегу, рефералку или просто сайтик для рекламы. Тексты либо изначально написаны нейросетками, либо ими же вылизаны. Впрочем, и на других сайтах то же самое. Теория мертвого интернета все ближе к реальности.
Похоже на правду, но самый сказочный момент - это совещание, где никого не выкинули из окна.
модно ругать ИИ, и есть за что, но вот мотивирующий рассказ накропал некий гомо сапиенс...
как выше уже заметили, скидки даёт продавец/поставщик, а не клиент, те. автор не разбирается в простейших процессах торгов.
Описан тотальный бардак, с простейшим доступом "все, кто попало, лезут через RDP на сервер и там работают", такое бывает в мелких жадных компаниях, но если компания " занимавшейся разработкой ПО для автоматизации бизнеса", то это уже тушите свет, дальнейшие техно-подробности не очень интересны.
"RDP стал причиной утечки"
ещё ни разу не видел, чтобы у директора или зама было имя "RDP".
мотивирующий рассказ накропал некий гомо сапиенс...
Нет, этот текст явно целиком или как минимум на 90% написан нейросетью. Очень нейросетевая стилистика. Скорее всего GPT написал это по мотивам исходной истории в 2-3 предложения от автора-человека, технически не сведущего в теме. А человек скорее всего услышал её от технаря, который в этом участвовал.
Любой сотрудник уносит с собой всю инфу, к которой имел доступ. Потенциально конечно, может ему вообще не интересно. Это данность.
Любой бывший сотрудник сохраняет личные отношения с действующими сотрудниками. Даже в случае "плохого ухода", когда со всеми расплевался, потенциально может остаться сочувствующий контакт, неслужебные связи (сосед по гаражу, дети вместе учатся). Обмен информации потенциально возможен, все договоры конфиденциальности штука ненадежная и забиваемая. Это тоже данность.
Будет ли бывший сотрудник передавать конкурентам всю инфу - вопрос чисто моральный, пресечь это невозможно. Даже в суд подавать бесполезно, т.к. недоказуемо. Нужно исходить из того, что будет, если ему это выгодно для карьеры и денег. И это данность.
В общем - если бывший у конкурентов (а не просто где то в другой фирме, в другой сфере) - исходите из того, что там потенциально будут знать все. Полностью все что было раньше, и частично текущую ситуацию.
Руководство сабжевой фирмы (выдуманные, как я понимаю)- феерические дятлы. И это не про ИТ и ИБ, это про организацию бизнес-процесса и кадровую политику.
Помню, еще на моем первом предприятии рассказывали, как ушедший сотрудник унес полный комплект документации на стенд для проверки электрооборудования автомобилей. Но было там несколько недоработок, так что через некоторое время поступило предложение "поделиться" исправленной документацией, за весьма скромное вознаграждение. Посмеялись, отказали, а потом долго еще периодически получали обращения от покупателей продукции "конкурента" - те даже название менять не стали.
Послужило хорошим стимулом выпустить новую версию стенда. Ну а конкурент так и выпускал недорогую старую модель, ничего не меняя.
С одной стороны - вроде и потеряли часть рынка, а с другой - когда клиент задумывался о переходе на лучшую модель - брал у нас, т.к. оборудование уже было в целом знакомое, работники были "натренированы" на модели попроще и в обучении особо не нуждались.
Не совсем понятно, что значит
RDP заменили на VPN
При использовании VPN уже стал не нужен RDP ?
Классная сказка на ночь. По сути непонятно как в данной ситуации поможет dlp, те же админы которые ни за чем не следили, так и за dlp следить никто не будет, а то, что имея dlp придётся меньше использовать posh для поиска инцидента и побыстрее увидеть, что у тебя что-то вынесли, после того, как вынесли, так себе предотвращения...
Мне кажется на хабре нужны отметки для статей, которые пишут на GPT
Аккаунт-новорег раз в день выкладывает однотипный нейрошлак ради ссылки на подобный же нейрошлакоканал в телеге. Скукота.
Заблокировали в AD но забыли про RDP. А по RDP она авторизовалась как и где?
RDP заменили на "VPN с MFA". И где теперь пользователи вводят пароль для AD и получают доступ к удаленному рабочему столу?
Статья похожа на безграмотный треш.
По сути - кто то в чате проговорился о своем логине пароле к RDP
Девушка записала данные и использовала их для себя.
1 мимо "Group Policy Editor вскрылась слабая политика паролей: " - его все равно никто не подбирал....
2 ЕвентЛог подключений. Мимо. У пользователей разные IP кто именно подключился не определить
3 AD права мимо. По сути использовался скомпрометированный пароль и другая учетка.
Варианты решения
-2 уровневая авторизация.
- авторизация по ключу. ( но в чате могли и сертификатом поделиться)
-VPN+RDP. Но настройки также могли утечь
- анализ поведения* Дорого и не всегда понятно.
Самое простое - политика частой смены паролей, но это неудобно.
Пользователи начинают их записывать везде ... что риск не снижает .
Нас заставляют каждые 2 месяца менять. Народ нашёл лайфхак - клавиатура с записью макросов.
ВСЕ до единого знакомые на частой смене пароля используют обычный пароль (да длинный, да много спецсимволов и тп.) и меняют циферку в конце или в начале. Зная пароль, подобрать следующий проблем не составляет. Сам так у клиента на удаленки по VPN на сервак захожу - как смена паролей, запрашиваю официально данные для входа - но точно знаю какой они пришлют.
И еще записывают их
В предыдущей конторе в которой работал, проверяли сложность и хэши. В какой-то момент пришел к шаблонному созданию паролей.
Потом выдали ключ к доступу, и стало достаточно помнить пин.
А когда приходилось менять пароль, генерил 20-значный и благополучно забывал, и каждые 2 месяца, просто делал заявку на сброс пароля)
2 уровневая авторизация.
Это при логине надо заводить тикет или звонить админам "разрешить сеанс Иванову Петру Сидоровичу"?
Допустим, описанная статья правда. Не отрицая, что виновата именно бывшая сотружница, не возможно не отметить низкую квалификацию системных администраторов, да выше писали, что инфобез и системное администрирование - две разные сферы, но системный администратор, очевидно, должен знать основы информационной безопасности. Почему? потому что у него первого возникнут проблемы и он первый стрелочник в подобной ситуации. Посмотрим правде в глаза, после первого совещания, у любого, самого ленивого сисадмина, должен включится в голове сигнал тревоги "может прилететь". И просто из страха, перед проблемами, он бы поменял ВСЕ пароли. ВСЕ в принципе. Этого сделано не было, поверить что сисадмин - феерический дебил конечно можно, но как то маловероятно... А уж после такого не посмотреть логи из "лени", ну не знаю, это каким пофигистом надо быть...Вывод - история фэйк..
У админов и безопасников цели разные, инструменты +- одни и те-же.
Безопасникам надо закрыть все двери, админам надо, чтобы все успевали ходить куда надо.
Про двери знать должны оба. Но глупо ставить обязанности закрывать все двери, на того, кто должен их открывать.
а чем бы они помогли, если всю информацию о подключении разгласили другие сотрудники ?
Ну был бы VPN - также в чате были бы настройки и для него....
"он бы поменял ВСЕ пароли " - он бы согласовал это с руководством и поменял все пароли.
Другое дело, они возможно хотели не просто закрыть дыру но и найти крота.
Аудиторы нажали Win+R, ввели "PowerShell"
Просто сценарий для Боливуда какой-то. Песни в конце тоже есть:
Сервер? Это что-то из 90-х?
"Теория мертвого интернета" становится реальностью.
А случай настоящий или просто рекламная?
Если настоящий почему не завели уголовное дело на бывшего сотрудника?
А так вообще бывает? Больше похоже на байки из 90х.
Прохладная байка какая-то, товарищи.
"Менеджер по продажам знала учётные данные сотрудника отдела продаж" и ходила на сервер по RDP через них. Вопрос, нафига сотруднику отдела продаж доступ по RDP именно на сервер, остаётся открытым, если "тот делился" (паролем) "в чате для работы из дома", соответственно сам он работать из дома не мог (откуда тогда доступ по RDP, если сам не мог?), но обладал какими-то правами (возможно, по работе в некоей программе) ради которых и давал пароль. И так далее, и тому подобное. Как-то правдоподобнее надо придумывать косяки вымышленных "админов" для статей, при помощи которых Вы собираетесь продвигать свой телеграм-канал.
а зачем "Внедрили менеджер паролей"?) Тут не так давно проскакивала новость, что один из менеджеров паролей поломали)
Уволенный сотрудник сохранил доступ к системе
Админ проколебал все полимеры и не закрыл доступ увольняемому сотруднику.
Исправил, можете не благодарить.
Хорошая рекламная статья. Но больше похоже на выдумку если смотреть из практики.
Прозвучит как реклама но моя компания как раз занимается развитием централизованное управление учетными данных пользователей если его увольняешь то увольняется он везде прям везде и доступы везде закрываются
Размер у "статьи" по всем правилам привлечения целевой аудитории сгенерирован.
И кстати ещё доказать надо, что виновата именно эта девушка.
Что вот именно она сидела за компом и скачивала данные из своей старой учётки чтобы целенаправленно выигрывать тендеры. А не что местный итшник, которого она попросила установить старый привычный пароль на комп, догадался ещё и пингануть ее прошлую компанию по rdp с этим паролем. Она и знать не знала - а скидки ей просто начальник предлагал.
Эдак она ещё может из этой истории выйти полностью обиженной и засудить старую компанию за подставу.
Дешевая агитка, где рука HR и PR за версту видна.. Да кому нужна эта ваша пресловутая клиентская база "небольшой компании". Трясутся над умными словечками, а там клиенты в основном одноразовые. Мониторинг цен, безопасность, рекрутинг, бренд, переманивание сотрудника - одни клише, ох хорошо на это разводят , тех кто верит в глупые слова. Впрочем, тут выше agat000 отлично описал ситуацию. Но я бы дорого дал, чтобы посмотреть на "молодую симпатичную сотрудницу с яркими рыжими волосами" которая по RDP подключается, или хотя б знает, как это все работает без стикера с паролем приклепленного к монитору.
Невыдуманные истории, о которых невозможно молчать...
Как бывшая сотрудница передавала данные конкурентам