Předat to právnímu oddělení a sourcingu, aby to řešili.
Menší společnost? Zavolejte přímo šéfovi a pohovořte s ním.
Mluvíte o celkem běžném postupu blokování portu a e-mailování toho člověka, že to udělal, kamaráde.
Bezpečnostní incident. I když víte, kdo to pravděpodobně udělal, nastal bezpečnostní průnik.
Spusťte svůj plán reakce na incident. Vypněte server.
Zavolejte, koho je třeba volat. Kontaktujte dodavatele. Přezkoumejte jejich smlouvy, atd. Poté pravděpodobně pouze povolte dozorované přístupy v budoucnu.
Pracuji na zavedení Ninja do klienta jako prvního kandidáta na naši migraci z Automate.
Vyměnili jsme z milionů e-mailů a změnovou kontrolu na souhlas.
Tohle není OK.
Agent ninja poskytuje přístup na úrovni root/system na jakémkoli stroji, na který je nainstalován, včetně citlivých strojů jako DC.
Mohli by prostě spustit PowerShell a přidat/odebrat uživatele ve vaší doméně.
Předpokládám, že to mají tady schopnost, protože ho byli schopni nasadit.
Myslím, že pokud dáváte přístup PowerShell, vaše kalhoty jsou dole jakkoliv.
Váš systém správy dodavatelů a SLA by měly vždy uvádět práva vzdáleného přístupu.
Protože většina lidí toto neuvádí, vidím dost dodavatelů s neoprávněným zadními vrátky.
co dodavatel dělá pro vás? to je otázka.
Řekl bych, že to není normální a nemělo by být dovoleno, pokud to není dohodnuto a přezkoumáno.
Co vše nasazují, kde, jaké informace sbírají a proč?
První věc, kterou bych udělal, je podívat se na smlouvu mezi společností a dodavatelem a opravit ji, aby veškerá práce byla vykonávána společností s vedením dodavatele, pokud je to vhodné. Nikdy nenechte třetí stranu volně bloudit s čímkoliv, za co máte odpovědnost, bez zajištění a procesů, aby byly všechny změny přezkoumávány a řízeny. Takže pokud dojde ke zranitelnosti prostředí, je mnohem jednodušší cílit v tom čase, místě, způsobu, co se změnilo atd.
Povolili jste dodavateli obejít vaši bezpečnost?
Snažíme se přejít od dat jako hodnoty k datům jako zátěži.
Nic jako národní bezpečnostní zákon = trest odnětí svobody na celý život, aby člověk dvakrát přemýšlel.
Převedl jsem celou flotilu na Intune během nového roku, zbavovali jsme se tak spousty starého softwaru. První den, kdy všichni začali používat nový systém, instaloval nějaký softwarový dodavatel na počítač účetní fóra.
- → Teď plánujeme odchod z jejich produktu 
Upřímně, dal bych to vědět svému šéfovi. Pak pravděpodobně kontaktoval bezpečnost.
Můj šéf by okamžitě požádal o zrušení přístupu. Bezpečnost by se naštvala a začala by vyšetřovat. Zajímalo by nás, proč bezpečnost nezachytila tohle s jejich 347 nástroji na každém koncovém zařízení. Můj šéf by mě pak požádal, abych kontaktoval právní oddělení kvůli smlouvám. Na proces jsem pak přestal myslet, dokud mi neřeknou, abych buď poskytl přístup, odstranil aplikaci nebo vymazal VM.
To by v mém prostředí skončilo od smlouvy.
Ukážte mi změnovou kontrolu
Ukažte mi, kde je uvedena tato požadavek
Ukážte mi poznámky z našeho schválení
Ukažte mi, jak jste zabezpečili tuto instalaci
Je to vážné cowboyské jednání a určitě to nebude jediná špatná rozhodnutí, kterou udělají.
Odejde odtud, nezastavuj se, nesbírej 200 dolarů. Ale nejdřív potvrďte, že to byl instalován jím/tím s jejich přihlašovacími údaji. Potom určíme rozsah škody a pošleme účet společnosti, která ho vyslala na vaše místo. Pokud to zahrnuje přeinstalaci všech strojů přes přesčas těch 10 lidí, ať tak je. Nechceme, aby nám dodavatelé instalovali cokoli na jakýkoli server kdykoli z jakéhokoliv důvodu. Musí to projít naší bezpečnostní evaluací a náš IT personál to musí nainstalovat v zabezpečené zóně, dobře ověřené před instalací v naší síti. Obvykle nezapouštíme dodavatele do internetu bez izolovaného segmentu nebo jejich vlastní SIM/Starlink apod.
Odinstalujte to pomocí odinstalátoru v adresáři programu. Nečistí registr, takže nové instalace budou chybové, pokud se pokusí je znovu nainstalovat.
Proč vaše servery mají úplný přístup na internet?
Každopádně kontaktujte svého dodavatele, upokojte ho, že může být zpracován, pokud dojde k velkému incidentu způsobenému jejich bezpečnostním narušením, kvůli finančním a reputačním ztrátám. Pokud je to v Evropě, jsou pokuty také vysoké.
Je rok 2025, každý by měl být zodpovědný za dobré bezpečnostní praktiky.
Kdyby nás takto jednali někteří naši dodavatelé, naši IT bezpečnostní a rizikové oddělení by se zbláznili. Ovládací agent na tom serveru by pro jistotu odstřelil a případně by spustil kvaranténu v síti. Byly by pořádány schůzky, které by nám mohly zkazit den. To jde dál než neoprávněný vzdálený přístup. Tohle exfiltrovává informace z firmy. Považovali bychom to za průmyslovou špionáž.
Dodavatel by byl okamžitě vyhozen.
Potřeboval bych hodně kontextu.
Na první pohled - ano, to je bezpečnostní problém.
Jaká je dohoda/smlouva s tímto dodavatelem. Pokud je vzdálený přístup součástí, bylo by povoleno používat VPN a RDP? Zajímalo by mě, jak a jestli se připojovali vzdáleně před tímto instalací.
Myslím, že pokud bych to byl já, následoval bych reakci zabezpečení. Prohlédl bych logy, zjistil, který uživatel instaloval. Mohl bych kontaktovat toho dodavatele a žádat vysvětlení nebo pouze deaktivovat účet, dokud to nepotvrdím jako neporušený. Může být vhodné izolovat server, ale má to smysl? Zdá se, že toto snad není nutné.
Souhlasím, že pravděpodobně přesáhli meze a vytvořili další zranitelnost na tom, co vypadá jako veřejný čelní server? Nebo snad firewall umožňuje toto spojení bez VPN? Nejsem si jistý.
Ale snažím se lidem dát trochu prostoru pro chyby, které nemají závažné důsledky. Pravděpodobně to udělali dobrým úmyslem, ale musí pochopit, že toto se nesmí stát. Pokud vaše organizace nad tím vyvolá hádku, může ten člověk dostat výpověď. Pokud dělají dobrou práci, zkusil bych problém vyřešit s jejich managementem.
Vzpomínám si, že ve svých starých dnech jako desktop podpůrce toto byla akceptovatelná praxe pro těžko přístupné počítače. Bezpečnost a doba se ale změnily.
FYI, toto byl dobrý příklad lokalizace zranitelnosti/problému, vyšetřování logů, nalezení viníka a odstranění. Teď vaše vedení musí rozhodnout, jestli chce do toho jít do války.