यह वास्तव में है, वास्तव में, वास्तव में कठिन है। इसके लिए पूरी तरह से ऑडिट की जरूरत है। यदि आप बहुत आश्वस्त हैं कि बूढ़े व्यक्ति ने कुछ पीछे छोड़ दिया है, तो वह तेजी से आगे बढ़ेगा, या फिर से किराए पर लेने की आवश्यकता होगी, क्योंकि वे केवल एक हैं जो आग लगा सकते हैं, तो यह मानने का समय है कि आप एक निश्चित रूप से निहित हैं। शत्रुतापूर्ण पक्ष। हैकरों के एक समूह की तरह व्यवहार करें और सामान चुरा लें, और आपको उनकी गंदगी के बाद साफ करना होगा। क्योंकि जो है, वही है।
- यह सुनिश्चित करने के लिए प्रत्येक प्रणाली पर प्रत्येक खाते का ऑडिट करें कि वह किसी विशिष्ट इकाई से संबद्ध है।
- वे खाते जो सिस्टम से जुड़े हुए हैं, लेकिन कोई भी खाते में अविश्वास नहीं कर सकता है।
- ऐसे खाते जो किसी भी चीज़ से संबद्ध नहीं हैं, उन्हें शुद्ध करने की आवश्यकता है (इसे वैसे भी करने की आवश्यकता है, लेकिन यह इस मामले में विशेष रूप से महत्वपूर्ण है)
- किसी भी और सभी पासवर्ड को बदल दें, जो संभवतः वे संपर्क में आ सकते हैं।
- यह उपयोगिता खातों के लिए एक वास्तविक समस्या हो सकती है क्योंकि वे पासवर्ड चीजों में हार्ड-कोडित हो जाते हैं।
- यदि वे एंड-यूज़र कॉल का जवाब देने में हेल्पडेस्क टाइप थे, तो मान लें कि उनके पास किसी की सहायता का पासवर्ड है।
- यदि उनके पास एंटरप्राइज़ व्यवस्थापक या सक्रिय निर्देशिका के लिए डोमेन व्यवस्थापक है, तो मान लें कि वे जाने से पहले पासवर्ड हैश की एक प्रति ले लेते हैं। इन्हें अब इतनी तेजी से क्रैक किया जा सकता है कि एक कंपनी-व्यापी पासवर्ड परिवर्तन को दिनों के भीतर मजबूर होने की आवश्यकता होगी।
- यदि उनके पास किसी भी * निक्स बॉक्स तक रूट एक्सेस है, तो वे पासवर्ड हैश के साथ चले गए।
- सभी सार्वजनिक कुंजी SSH कुंजी उपयोगों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि आपके पास होने के दौरान कोई भी निजी कुंजी उजागर नहीं हुई है या नहीं।
- यदि उनके पास किसी भी टेलिकॉम गियर तक पहुंच थी, तो किसी भी राउटर / स्विच / गेटवे / PBX पासवर्ड को बदलें। यह वास्तव में शाही दर्द हो सकता है क्योंकि इसमें महत्वपूर्ण परिणाम शामिल हो सकते हैं।
- अपनी परिधि सुरक्षा व्यवस्था का पूरी तरह से ऑडिट करें।
- ज्ञात अधिकृत उपकरणों और बंदरगाहों पर सभी फ़ायरवॉल छेद ट्रेस सुनिश्चित करें।
- सभी दूरस्थ पहुंच विधियों (वीपीएन, एसएसएच, ब्लैकबेरी, एक्टिवस्किन, सिट्रिक्स, एसएमटीपी, आईएमएपी, वेबमेल, जो भी हो) सुनिश्चित करें कि कोई अतिरिक्त प्रमाणीकरण न हो, और पूरी तरह से अनधिकृत पहुंच विधियों के लिए उन्हें वीटी।
- पूरी तरह से नियोजित लोगों के लिए दूरस्थ WAN लिंक ट्रेस सुनिश्चित करें, और इसे सत्यापित करें। विशेष रूप से वायरलेस कनेक्शन। आप उन्हें सेल-मॉडेम या स्मार्ट-फोन भुगतान वाली कंपनी के साथ नहीं चलना चाहते। ऐसे सभी उपयोगकर्ताओं से संपर्क करें ताकि यह सुनिश्चित हो सके कि उनके पास सही उपकरण है।
- पूरी तरह से आंतरिक विशेषाधिकार प्राप्त-पहुँच व्यवस्था का ऑडिट करें। ये एसएसएच / वीएनसी / आरडीपी / डीआरएसी / आईएलओ / आईएमपीआई जैसी चीजें हैं जो सामान्य उपयोगकर्ताओं के पास नहीं हैं, या पेरोल जैसे संवेदनशील सिस्टम तक कोई पहुंच नहीं है।
- संपर्क सुनिश्चित करने के लिए सभी बाहरी विक्रेताओं और सेवा प्रदाताओं के साथ काम करना सही है।
- सुनिश्चित करें कि वे सभी संपर्क और सेवा सूचियों से समाप्त हो गए हैं। यह किसी भी प्रस्थान के बाद वैसे भी किया जाना चाहिए, लेकिन अब अतिरिक्त महत्वपूर्ण है।
- सभी संपर्क वैध हैं और सही संपर्क जानकारी है, यह उन भूतों को ढूंढना है जिन्हें प्रतिरूपण किया जा सकता है।
- लॉजिक बम का शिकार करना शुरू करें।
- बुराई के संकेतों के लिए सभी स्वचालन (कार्य शेड्यूलर, क्रॉन जॉब्स, यूपीएस कॉल-आउट सूचियां, या एक अनुसूची पर चलने वाली या घटना-ट्रिगर) की जाँच करें। "ऑल" से मेरा मतलब है सब। हर एक क्रेस्टब को चेक करें। अपने निगरानी प्रणाली में हर एक स्वचालित कार्रवाई की जांच करें, जिसमें स्वयं जांच शामिल है। हर एक विंडोज टास्क शेड्यूलर की जाँच करें; यहां तक कि वर्कस्टेशन। जब तक आप अत्यधिक संवेदनशील क्षेत्र में सरकार के लिए काम नहीं करते हैं, तब तक आप "सब" बर्दाश्त नहीं कर पाएंगे, जितना आप कर सकते हैं।
- वे क्या होना चाहिए यह सुनिश्चित करने के लिए हर सर्वर पर प्रमुख सिस्टम बायनेरिज़ को मान्य करें। यह मुश्किल है, विशेष रूप से विंडोज पर, और लगभग एक-सिस्टम पर रेट्रोएक्टिक रूप से करना असंभव है।
- रूटकिट्स के लिए शिकार करना शुरू करें। परिभाषा के अनुसार वे खोजने में कठिन हैं, लेकिन इसके लिए स्कैनर हैं।
कम से कम में आसान नहीं है, दूर से भी करीब नहीं है। उस सभी के खर्च को सही ठहराना वास्तव में निश्चित प्रमाण के बिना कठिन हो सकता है कि अब पूर्व प्रशासन वास्तव में बुराई था। उपरोक्त की संपूर्णता कंपनी की संपत्तियों के साथ भी उल्लेखनीय नहीं है, जो इस काम को करने के लिए सुरक्षा सलाहकारों को काम पर रखने की आवश्यकता होगी।
यदि वास्तविक बुराई का पता लगाया जाता है, खासकर अगर बुराई किसी प्रकार के सॉफ़्टवेयर में है, तो समस्या की चौड़ाई को निर्धारित करने के लिए प्रशिक्षित सुरक्षा पेशेवर सबसे अच्छे हैं। यह वह बिंदु भी है जब एक आपराधिक मामला बनना शुरू हो सकता है, और आप वास्तव में ऐसे लोगों को चाहते हैं जो इस विश्लेषण को करने के लिए साक्ष्य को संभालने में प्रशिक्षित हैं।
लेकिन, वास्तव में, आपको कितनी दूर जाना है? यह वह जगह है जहाँ जोखिम प्रबंधन खेल में आता है। सरल रूप से, यह नुकसान के खिलाफ अपेक्षित जोखिम को संतुलित करने की विधि है। Sysadmins इस करते हैं जब हम तय जो ऑफ-साइट स्थान हम बैकअप रखना चाहते हैं; बैंक सुरक्षा जमा बॉक्स बनाम एक आउट-ऑफ-द-एरिया डेटासेंटर। यह पता लगाना कि जोखिम-प्रबंधन में इस सूची की कितनी जरूरत है।
इस मामले में मूल्यांकन कुछ चीजों के साथ शुरू होगा:
- दिवंगत का अपेक्षित कौशल स्तर
- दिवंगत की पहुंच
- बुराई की उम्मीद की गई थी
- किसी भी बुराई का संभावित नुकसान
- पूर्वगामी बुराई बनाम बुराई की रिपोर्टिंग के लिए विनियामक आवश्यकताएं। आम तौर पर आपको पूर्व को रिपोर्ट करना होगा, लेकिन बाद में नहीं।
उपरोक्त खरगोश-छेद को गोता लगाने के लिए कितना नीचे का निर्णय इन सवालों के जवाब पर निर्भर करेगा। रूटीन एडमिन डिपार्चर के लिए जहां बुराई की उम्मीद बहुत मामूली है, पूर्ण सर्कस की आवश्यकता नहीं है; बदलते व्यवस्थापक-स्तर के पासवर्ड और किसी भी बाहरी-सामना करने वाले SSH होस्ट को फिर से कुंजी देना संभवतः पर्याप्त है। फिर से, कॉर्पोरेट जोखिम-प्रबंधन सुरक्षा मुद्रा इसे निर्धारित करती है।
प्रवेश के लिए जिन्हें कारण के लिए समाप्त कर दिया गया था, या उनके अन्यथा सामान्य प्रस्थान के बाद बुराई काटा गया, सर्कस की अधिक आवश्यकता है। सबसे खराब स्थिति एक पागल बीओएफएच-प्रकार है जिसे सूचित किया गया है कि उनकी स्थिति 2 सप्ताह में बेमानी हो जाएगी, क्योंकि इससे उन्हें तैयार होने में बहुत समय लगता है; इन परिस्थितियों में एक उदार विच्छेद पैकेज के काइल के विचार जैसी समस्याएं सभी प्रकार की समस्याओं को कम कर सकती हैं। 4 महीने के वेतन के चेक के आने के बाद भी पैरानॉयड बहुत सारे पापों को माफ कर सकता है। यह जाँच शायद उनकी बुराई को दूर करने के लिए आवश्यक सुरक्षा सलाहकारों की लागत से कम होगी।
लेकिन अंत में, यह निर्धारित करने की लागत के लिए नीचे आता है कि क्या बुराई बनाम किसी भी बुराई की संभावित लागत वास्तव में की जा रही थी।