Nedávno jsem kontroloval software na serveru používaném produktem dodavatele, když jsem narazil na NinjaRMM v ovládacím panelu, nainstalovaném později než všechny mé záznamy ukazovaly, že dodavatel se vzdáleně přihlásil do sítě.
Vím, že dodavatel nasazuje kód a aktualizace produktu přes Octopus Deploy (PowerShell inicializuje síťové spojení s GitHubem), protože to už firewall dříve označil a povolil, protože to bylo považováno za relevantní pro produkt dodavatele.
Pak jsem našel záznamy ukazující, že všechny systémové a síťové informace jsou zpětně odesílány agentem NinjaRMM, a jsem celkem překvapený daty, která opouštějí prostředí, které bylo nastaveno bez jakéhokoliv souhlasu nebo oznámení našemu IT týmu.
Je toto normální chování od softwarového dodavatele? Měli byste být znepokojeni? Jak byste přistoupili k této situaci?
Po několika problémech zakazujeme dodavatelům instalovat jakýkoliv vzdálený software na naše servery. Veškeré aktivity dodavatelů musí být prováděny přes sdílení obrazovky a pod dohledem jednoho z našich správců systémů.
Dodavatelé s tím ne souhlasí.
My na tom kašleme.
A náš CIO má naše záda v tom. To je součást našich smluv.
Většina softwarových dodavatelů dělá tyto kousky nejen proto, že jsou zloduši, ale proto, že jim to přijde užitečné a prostě je to nezajímá / nevědí nic o bezpečnosti.
Sdílejí plnou kontrolu, chmod 777, vzdálený management přes software jako AnyDesk nebo TeamViewer bez souhlasu, atd.
Jako konzultant se s těmito problémy setkávám téměř všude.
Chtěl bych segmentovaný server, který není na doméně, pokud třetí strana používá NinjaRMM, pokud nemáme smlouvu na jeho používání a nemáme o tom informace a možnost auditovat.
Pokud se dodavatel vůbec dostal k instalaci NinjaRMM, pak jste mu dali správu s právy, která by neměl mít, pokud vám nebylo povoleno instalovat cokoli, co chce.
Několik let rekonstruji obrovský zábavní komplex. Jsem stálým IT manažerem provozu. 1001 dodavatelů na projektu a oni stále pouští TeamViewer na řídicí servery. Vyhodil jsem je a oficiálně to oznámil vedoucímu projektu 8krát za měsíc, ale oni mě ignorovali.
Takže pokaždé, když detekční program našel to ***** věc, jsem deaktivoval účet každého zaměstnance té firmy, dokud neprovedou kontrolu vzdáleného přístupu a trénink na VPN s 2FA.
Po třetí kontrole vzdáleného přístupu už TeamViewer na síti nemám.
Nevím, jaká je vaše situace, ale v mém prostředí bych úplně vypnul jejich přístup a kontaktoval svého zástupce pro vysvětlení. Pokud skutečně překročili svou oprávnění, může to být důvod k ukončení vztahu. Ninja je spolehlivý nástroj, ale to neznamená, že je v pořádku je instalovat bez povolení. Ve skutečnosti by samotný Ninja pravděpodobně nebyl rád, kdyby se dozvěděl, že to dělají.
Pár let zpět jsme zavedli požadavek, aby všichni dodavatelé nemohli přistupovat k našim systémům bez schválení zaměstnancem prostřednictvím MFA. Na začátku to spousta lidí nesnášela, protože je to jednodušší dát im volný přístup, ale nakonec všichni upravili a nikdo to teď neřeší. Určitě doporučuji tuto metodu každému, kdo chce mít své dodavatele pod kontrolou.
Jste si jisti, kam data směřují?
Pokud instalace nesouhlasí s přístupem dodavatele, strávil bych nějaký čas zkoumáním, jak se software na server dostal.
Stále bych vinil dodavatele na základě principů.
--Měli jsme dodavatele softwaru, podniková jednotka šla s nejlevnějším dodavatelem, byl to jeden mužský obchodník, který se přihlásil v noci, aby provedl aktualizace nebo úpravy systému. Server jsme odpojili od sítě, ale stále dostáváme náhodné ráno hovory, že máme výpadky služby.
Určitě by to mělo být oznámeno předtím, než dojde k instalaci, ale účetní by ignorovali e-mail, pokud by to šlo k nim. Zdá se, že už měli vzdálený přístup a kontrolu. Asi bych je kontaktoval, ale většina lidí, kteří rozpočítají mé finance, nemá zájem ohrozit náš vztah.
Toto jsou jejich hardware lokálně? Tento server jste jim dali přístup? Tento server má sdílenou zátěž? Také, je to skutečný fyzický server, nebo jste vytvořili VM a dali jim přístup k tomu?
Nakonec by měl být server ve skutečnosti izolován v síti a měl by mít přístup jen k tomu, co je potřeba. Teoreticky, pokud jste nastavili správně na vašem konci, mohli byste jim dát úplnou kontrolu uvnitř jejich vlastního malého světa, aniž byste se měli obávat, co dělají.