Sparkad NCS-anställd hämnades – raderade 180 virtuella servrar

Permalänk
Melding Plague

Sparkad NCS-anställd hämnades – raderade 180 virtuella servrar

Mannen blev avskedad men kunde fortfarande logga in i företagets system och radera information.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk

Inför Zero trust och lita inte på någon person som hård eller mjukvara. Det finns mycket att tänka på ett är att begränsa rättigheterna till den minsta som personer behöver. Hur man för dem som har hand om de virtuella servarna ska hantera detta vet jag inte riktigt, jag har ej haft ett sådant jobb att pilla med dessa i större skara. Jag tänker lite som det är klassiska att minst 2st personer (Two-person rule) måste godkänna något större sak som radering av en backup. Ej 100%, men det försvårar en hel del.

Men för folk som jobbar med mjukvara på servrarna så ligger en säkerhet ofta i att de inte har behörighet till de virtuella maskinerna och deras backuper. Alltså de kan göra dumheter på servrarna, men någon annan kan återläsa backuperna.
Detta är självklart ett stort problem att införa för mindre företag, då de vill anlita "en person" för allt.

*edit*
Jag uppdaterade en väggpanel en gång med ny patch, den var för att fixa till en säkerhetsrisk sa kund. Men de sa inget mer om vad det var för risk som åtgärdades. Detta är ett typisk zero trust tänkande. De ger teknikern endast den information som den behöver ha för att utföra sin uppgift.

Permalänk
Medlem

Stora VM miljöer är alltid en risk

Visa signatur

CPU: 5600x
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Permalänk
Medlem

Måste ju säga att killen verkade inte så intresserad av att röja sina spår efter sig om det stämmer vad som står skrivet.

Kanske var bra att han inte fick jobba kvar.

Permalänk
Medlem
Skrivet av Triton242:

Måste ju säga att killen verkade inte så intresserad av att röja sina spår efter sig om det stämmer vad som står skrivet.

Kanske var bra att han inte fick jobba kvar.

ett bra system (eller ska vi säga ett som bara gör det som den ska) lagrar loggar osv på ett separat ställe, där ingen kan ändra.
Att spara loggar på enheten i sig själv är en risk, en hackare kan ju radera loggen på routern om han är inne i den - så därför sparas det på en extern plats.

Permalänk
Medlem
Skrivet av boibo:

ett bra system (eller ska vi säga ett som bara gör det som den ska) lagrar loggar osv på ett separat ställe, där ingen kan ändra.
Att spara loggar på enheten i sig själv är en risk, en hackare kan ju radera loggen på routern om han är inne i den - så därför sparas det på en extern plats.

Nu var det inte att de var loggat han tänkte på.

Visa signatur

Meshilicious, Amd 7950X3D, Asus X670E-I ,96 GB DDR5 6000,RTX4090 FE, Crucial 4TB Pcie5 m.2 / Corsiar Pcie4 4TB, Samsung 57" G9

Permalänk
Medlem

De företag som har lite ordning på säkerheten ser till att behörigheter raderas samtidigt som personen går ut genom dörren. Man har rutiner för hur behörigheter ska delas ut men "glömmer" att de kan behöva tas tillbaka.

Permalänk
Medlem

Gränsfall att det här bolaget behövde lära sig en läxa också, alltså i hur man sköter hantering av kritisk infrastruktur.

På mitt jobb har vi inte rättigheter att permanent radera en VM, den läggs i karantän och det tas en backup, sen får någon annan slutgiltigt radera den, vanligen IT-avdelningen vid ett/två tillfällen per år

Men utöver detta måste de lära sig bättre rutiner för onboarding och offboarding, så ingen kan ha rättigheter efter att de slutat

Permalänk
Medlem

Slow news day?

Det här händer lite då och då. Man bör ha säkerhetsmekanismer, skiljeavdelning och rutiner på plats för att skydda sig mot och återhämta sig från det här, på samma sätt som gentemot malware, hackerattacker, buggar och rena rama misstag.

Visa signatur

"Våga vägra Windows"
-- slagord för Amiga-användare 1993. Lika viktigt idag.

Permalänk
Hedersmedlem
Skrivet av hakd:

Stora VM miljöer är alltid en risk

180 VM:ar är inte en särskilt stor miljö. Jag jobbar i en som har betydligt fler än så och jag hade inte kallat det för en stor miljö heller.

Permalänk
Medlem

Jag skulle ta över som filialchef på ett ställe, han som hade tjänsten innan var så arg att han fick sluta så han raderade fakturaunderlag för flera miljoner, händer nog rätt ofta.

Visa signatur

Citera mig tack, så jag vet att du svarat.

Permalänk

” Företaget missade dock att avaktivera hans behörighet” Då får man fan skylla sig själv, sparka den som inte följde rutinerna och/eller den som inte skrev dom.

Visa signatur

Ryzen 5 3600|Asus X-470|32Gb DDR4|Asus 2060 Super
Ryzen 5 3600|ASRock B-450 itx|32Gb DDR4|2060FE
2xE5-2630v3|DL360G9|256Gb|8Tb|Server 2019|4 Windows 10 & 11 VM |
NES|SNES|N64|Wii|Switch|PsOne|PS1|PS2|PS3|PS4|PS5|Xbox|Xbox360s|Xbox One X|Xbox Series X|

Permalänk
Medlem
Skrivet av Hubertus:

De företag som har lite ordning på säkerheten ser till att behörigheter raderas samtidigt som personen går ut genom dörren. Man har rutiner för hur behörigheter ska delas ut men "glömmer" att de kan behöva tas tillbaka.

Nej, behörigheterna skall raderas innan personen kommer in genom dörren, innan hen får beskedet.

Permalänk
Medlem
Skrivet av filbunke:

Nej, behörigheterna skall raderas innan personen kommer in genom dörren, innan hen får beskedet.

Det viktiga är att det blir gjort. Vad är det för mening med Zero Trust om folk tillåts ha behörigheter de inte ska ha?

Permalänk
Medlem
Skrivet av SwedZi:

Jag skulle ta över som filialchef på ett ställe, han som hade tjänsten innan var så arg att han fick sluta så han raderade fakturaunderlag för flera miljoner, händer nog rätt ofta.

Han klarade sig?

Permalänk
Medlem
Skrivet av Dinkefing:

Han klarade sig?

Han fick ju fortfarande sluta, men företaget orkade aldrig ta några rättsliga åtgärder mot honom då bevisbördan är svår, detta företag hade inte speciellt bra system och rutiner.

Visa signatur

Citera mig tack, så jag vet att du svarat.

Permalänk
Medlem
Skrivet av SwedZi:

Han fick ju fortfarande sluta, men företaget orkade aldrig ta några rättsliga åtgärder mot honom då bevisbördan är svår, detta företag hade inte speciellt bra system och rutiner.

Om dom har vanliga säkerhetshantering modell äldre så är det bara att köra en backup så ar allt tillbaka.
Har dom inte det så är det inte mer än rätt att de missar en del inbetalningar.

Permalänk
Medlem

Det viktiga när man gör sånt här är att man ser till att vara anonym. VPN är ett bra verktyg även för sånt. Annars är VPN mer viktigt för oönskade attacker utifrån, sånt som SÄPO, FRA o dylikt opålitligt folk.

Permalänk
Quizmaster Malmö 22

Är mest förvånad över att en IT-kille lämnar spår....

Alltså man ska ju använda VPN (gärna i 3 steg om man är nojig) från ett anonymt ställe om möjligt och radera hela jäkla system disken!

Besviken.....

Visa signatur

[Gigabyte EP35-DS4][Intel Core 2 Duo E8400 3.0 Ghz][2x2GB Corsair XMS 2][Gainward GTX 570][Sandisk Extreme II 480GB][Corsair HX 620W][Fractal Design Define XL R4][Acer GD245HQBID]