IT管理员:离开他们你就活不了。在你的系统、网络及数据方面,他们有着巨大的权限--这是你企业的命脉。非IT人士很少有人能理解他们的所作所为,能够监管和控制他们行为的人就更少了。
当然,绝大多数的IT管理员是实诚的,他们努力工作,同时容忍着重视程度的缺失。但是,当他们变成流氓的时候,事情就糟糕了。企业很可能发现自己竟然被阻挡在自有网络之外。客户数据莫名其妙地丢失。公司通过扫描网络发现有人正在利用数据中心网络访问不良站点。商业机密不是被销毁就是被盗取了,员工们似乎感到有人正在监视着他们的一举一动,这是多么令人毛骨悚然啊--而且这种感觉旋即得到证实。
你听到的那些只是小意思。大多数公司都会想尽一切办法封锁关于流氓管理员的任何消息,因为名誉受损的影响可能比满腔不忿或是热情过度的极客们带来的破坏更为严重。
"然而,许多公司再做什么也是于事无补。"Team Cymru研究人员,全球拓展总监Steve Santorelli说。
"即使你的系统固若金汤,甚至核武器级别的攻势都无法撼动,在逆袭的管理员面前仍然无济于事。"他说。"只要流氓管理员具有root或者特别访问权限,他就可以绕过你的边界安全措施和tripwires软件的检测,因为他们在进行本职工作需要深入到这些区域。负责攻击防护和组织侵袭的往往是同一个人。他们知道如何覆盖防火墙日志或者改变访问控制,以使其它监控者无法进入系统并发现他们。他们知道哪里日志备份在何处,也知道如何篡改密钥。"
在你的企业中可能已经存在着蠢蠢欲动的流氓管理员了。以下我们将了解一下如何去发现并阻止他们,以便减少损失。
IT流氓管理员1:善意热情型
他知道你应该做什么,也知道你应该如去何做--而且在未经同意的情况下,他也很可能坚持实施自以为正确的操作。总之,一个善意的但是过分热情的管理员常常会像那些流氓管理员一样为工作体系带来毁灭性打击。
许多流氓活动中并不包括心怀不满的员工,Josh Stephens说,他是SolarWinds网络管理软件制造商的极客负责人。
"一个流氓管理员总是我行我素,并不依照公司的要求去做,"他说。"尽管你强调了公司用的是标准的Windows系统,但是你的流氓管理员却喜欢Linux系统。三个月下来,你可能会发现三分之一的服务器都在使用Linux。"
然而,有的时候,当充满善意及热情的管理员接管之后,结果同样是一片狼藉。早在90年代中期,Jon Heirmerl在政府部门做软件开发的时候,"我们有一个网络管理员,我一般叫他Jim,他在走过大厅的时候,会查看一下那些已经下班的家伙中,都有谁的电脑还处在登录状态。"Heirmerl说道,Heirmerl现在是Solutionary的战略安全总监了。
后来有一天,一个资深开发人员抓住了正在删除文件的Jim。这个开发人员立刻狂暴了,因为他没有做最近的备份,在Jim按下Delete键之后,这几个月的开发成果就瞬间消失了。
"他一拳打在了Jim的脸上",Heirmerl回忆道,"至此以后,Jim再也没有删除过任何文件。"
也许最有名的善意热情型管理员就是Terry Childs了。他是前旧金山网络管理员,他拒绝交出城市系统的密码,原因是他觉得他的上司是不称职的。Childs被判违反了违反了加州计算机犯罪法,事发时是2010年4月,而且他至今仍在监狱服刑,刑期为4年。
"公平地说,像Terry Childs这样的人,认为他们正在做正确的事,"Santorelli说。"希特勒也还以为他做的是正确的事呢。当然仅仅是出于义愤的个人行为绝对无法有效遏制犯罪。不过根据大多数人的意见,在没有灾难恢复的情况下,我们仍然应该保有进行检举的权利,无论检举对象是媒体,政府,或是一些管理机构。
反流氓防御:通过分离职务,将控制权交到两个人手里,从而限制单个负责人带来的损害,Xceedium的首席战略官 Ken Ammon说,他专门提供相关设备,以确保享有特权的用户通过既定方式访问关键系统。这样将确保敏感任务是由多人完成的,并且,同一个人不能执行两项任务,也不能审查具体的任务执行流程。
IT流氓管理员2:以厂为家型
你想让灯一直亮着,让服务器一直运行,尽力让终端用户满意(至少不能闹事),并且还要保护网络不受黑客和小流氓的攻击,对绝大多数管理员来说,这已经比全职工作做的要多了。然而,偶尔还是会有一些小毛贼决定用上班时间和公司的设备,来开辟一点周边业务。
Heirmerl说,他遇到的小毛贼就是在利用公司的服务器出售他能想到的任何产品,从山寨卫星设备到塔罗牌,应有尽有。毫无疑问,这种零售业务被发现后,他立马就被解雇了。然后,下任管理员还得费劲地去拆解那个流氓管理员留下的能够允许他进入网络的复杂防火墙规则。
"改完防火墙规则后的30分钟内,那个毛贼管理员给公司打来电话,抱怨说他的访问被切断了," Heirmerl说,"此时他离开公司已经两周了。他态度非常粗鲁,并且认为受到这种待遇很不公平。"
Mobile Active Defense智能手机安全公司总裁Winn Schwartau说,在2003年,他在为一个金融服务公司做独立咨询的时候,他发现一个系统管理员正在利用其职位之便运营一个收费的不良网站,方式是借助一个外置modem和一个分区的硬盘驱动器。这个modem在一次常规的网络扫描中被发现,被小毛贼当做通讯设备。通过这个modem,外网人士可以浏览该不良网站,Schwartau说。
这种情况发生的原因在于无人监管,Heirmerl说。
"这种人是不负责任的,"他说,"这些家伙开着塔罗牌网站的系统审计日志,来掩饰他们的行为。他们拥有所有权限,并且毫无责任感。"
反流氓防御:访问和网络管理工具对防御流氓行为大有帮助。SolarWinds' Stephens说。"我们有充分的理由去建立一个管理系统,当有人访问系统时,就会通知你,并且不能修改密码,这样一来你就可以弄清到底发生了啥事"他说,"强大的软件可以让你远离这些事件所带来的烦恼"。