Nedávno jsem prohlížel software na serveru používaném produktem dodavatele, když jsem narazil na NinjaRMM v ovládacím panelu, nainstalovaném nedávnojiž než nějaké moje logy ukázaly, že dodavatel vzdáleně vstupoval do sítě.
Vím, že dodavatel nasazuje kód a aktualizace produktů přes Octopus Deploy (PowerShell navazuje síťové spojení s GitHubem), jak již firewall předtím označil a povolil, protože to bylo považováno za relevantní pro dodavatelský produkt.
Pak jsem našel logy ukazující všechny systémové a síťové informace odesílané agentem NinjaRMM a jsem celkem překvapen, jaké údaje opouštějí prostředí, které bylo zřizeno bez jakéhokoliv souhlasu nebo oznámení našemu IT týmu.
Je toto normální chování softwarového dodavatele? Byli byste znepokojeni? Jak byste na tuto situaci přistoupili?
Po několika problémech, nedovolujeme dodavatelům instalovat jakýkoliv vzdálený software na naše servery. Všechny aktivity dodavatelů musí být prováděny přes sdílení obrazovky a za dozoru jednoho z našich systémových administrátorů.
Dodavatelé to ne mají rádi.
My na to kašleme.
A náš CIO má náš záda na toto. Všechno to je ve všech našich kontraktech.
Někdy to dodavatele rozlíto, ale já ten měřič zájmu mám rozbitý.
Většina dodavatelů softwaru předvede takové kousky ne proto, že jsou zlým úmyslem, ale protože jim to přijde užitečné a prostě jim na bezpečnost nezáleží / nevědí o ní nic.
Sdílejí s každým plnou kontrolu, chmod 777, vzdálený management software jako AnyDesk nebo TeamViewer instalovaný bez souhlasu, apod.
Chtěl bych segmentovat server a nedávat ho do domény, pokud třetí strana používá NinjaRMM, pokud nemáme smlouvu o použití a nevíme o něm a nemůžeme ho auditovat.
Pokud se vám náhodou podařilo, že váš dodavatel mohl nainstalovat NinjaRMM, pak jste mu dali administrátorský přístup, který by neměl mít, ledaže má povolení instalovat cokoliv.
Přicházím na konci několikaleté rekonstrukce velkého zábavního komplexu. Jsem stálý IT manažer provozu. 1001 dodavatelů na projektu a oni stále vypouštějí portable TeamViewer na správu serverů. Vyrazil jsem to a oficiálně to nahlásil vedoucímu projektu 8krát za měsíc, oni mě ignorovali.
Takže pokaždé, když nástroj zranitelnosti našel tu zatracenou věc, deaktivoval jsem účet každého zaměstnance té firmy, dokud neprovedli schválení vzdáleného přístupu a neudělali školení o VPN s dvoufaktorovým ověřením.
Po třetím přezkoumání vzdáleného přístupu jsem už znovu neviděl TeamViewer v síti.
Nejsem si jistý, jaká je vaše pozice, ale v mém prostředí bych jako první zcela deaktivoval jejich přístup a kontaktoval svého poradce pro účty pro vysvětlení. Pokud skutečně překračují své oprávnění, může to být důvod ukončit vztah. Ninja je kvalitní nástroj, ale to neznamená, že je v pořádku, aby ho instalovali bez povolení. Ve skutečnosti by sami Ninja asi nebyli spokojeni, kdyby věděli, že to dělají.
Před několika lety jsme zavedli požadavek, aby všichni dodavatelé nemohli se připojit k našim systémům bez schválení některým zaměstnancem prostřednictvím MFA. Na začátku se mnozí bránili, protože je to prý „tak mnohem jednodušší dávat jim nedotknutelný přístup“, ale nakonec všichni souhlasili a nyní to nikomu nevadí. Velmi doporučuji tuto metodu každému, kdo chce mít pod kontrolou své dodavatele.
Jste si jisti, kam data putují?
Pokud instalace neodpovídá přístupovým právům dodavatele, věnujte nějaký čas zkoumání, jak se software dostal na server.
Já bych to stále přičítal dodavateli z obecných principů.
--Měli jsme dodavatele softwaru, který si vybral nejlevnější možnost, byl to malý podnik a přihlašoval se v noci, aby provedl aktualizace nebo změny. Vyčlenili jsme server na ostrov, ale stále jsme dostávali v noci hovory, že je poškozena služba.
Určitě by to mělo být oznámeno předem, ale účetní by email ignorovali, pokud přišel k jejich oddělení. Zdá se, že již měli vzdálený přístup a kontrolu. Asi bych je asi napálil, ale většina lidí, kteří mi kontrolují rozpočet, nestojí o naše vztahy riskovat.
Je to jejich hardware na místě? Toto je server, kterému jste udělili přístup? Tento server má sdílenou práci? Je to skutečně fyzický server, nebo jste spustili VM a dali jim přístup?
Nakonec by měl být server skutečně izolován v síti a měl by mít přístup pouze k tomu, co potřebuje. V teorii, pokud máte správně nastaveno na vaší straně, můžete jim dát plnou kontrolu uvnitř jejich vlastního malého světa, aniž byste se museli obávat jejich jednání.
Pokud máte podpůrnou smlouvu se společností, je to pravděpodobně normální. NinjaRMM se používá ke sledování aplikací a provádění aktualizací. Pokud jsou problémy, NinjaRMM může řešit věci automaticky.
Takže bych řekl, že v závislosti na požadavcích, které máte na dodavatele, je to normální. Pokud nemáte podpůrnou smlouvu, není to normální.