Trouble Ticket
Co řešit: Poštovní schránku firemní manažerky na serveru Exchange může otevřít kdokoliv.
Akční plán: Zjistit, jak k tomu došlo a zda je to všeobecný problém. Poté vše vyřešit.
Jsem vždy udiven, jak chyby v zabezpečení vyplavou různými způsoby na povrch v moři toho, co se všichni snažíme udržet pod kontrolou.
Například minulý týden jeden z manažerů našeho oddělení prodeje náhodně objevil bezpečnostní problém. Ukončil totiž spolupráci s jedním z našich prodejců a chtěl v e-mailu této osoby najít korespondenci vztahující se k významným prodejním smlouvám. V takových případech totiž těmto manažerům poskytneme přístup k e-mailovým účtům Exchange jejich podřízených.
Manažer zadával jméno osoby, které se před dokončením zadání automaticky vyplnilo, a bez velkého přemýšlení klikl na tlačítko OK a začal hledat. Ale pozor – doručená pošta vypadala, jako když patří někomu z našich vysokých manažerů, nikoli propuštěnému prodejci.
Automatické vyplnění totiž nabídlo jméno naší vedoucí pracovnice a zmiňovaný manažer prodeje si toho nevšiml. To by nebyl až takový problém – ale jak se mohlo stát, že otevřel právě její elektronickou poštu?
Naštěstí tento manažer zavolal šéfovi IT, aby mu vysvětlil, co se stalo. A ten samozřejmě ihned kontaktoval mě.
Zjistil jsem, že e-mailový účet postižené manažerky byl nakonfigurován tak, že k němu měli přístup všichni zaměstnanci naší firmy. Samozřejmě jsme okamžitě udělali nápravu, aby nadřízený dotyčné dámy byl jedinou osobou, která by kromě ní měla tento přístup.
Poté jsem svolal svůj tým pro řešení bezpečnostních incidentů – jednoho z mých analytiků, dále hlavního správce serveru Exchange, manažera linky technické podpory a několik dalších lidí z oddělení IT. Začali jsme zkoumat a promýšlet pravděpodobné scénáře této chyby.
Nejprve jsme zkontrolovali protokoly, abychom viděli, kdo pro tento účet nakonfiguroval přístup a kdo k němu přistupoval – tedy spíše jsme se o to pokusili, ale zjistili jsme, že se nevytvářely žádné protokoly pro desktop manažerky ani na serveru Exchange.
Zdá se, že jsme tyto typy logů vůbec nezprovoznili, protože zabírají mnoho místa na disku a způsobují problémy s výkonem.
Potom náš bezpečnostní analytik použil nástroj SIEM (Security Information and Event Management), aby zjistil všechny příznaky, zda počítač zmíněné manažerky nebyl napaden malwarem. Také jsem nechal zkontrolovat, zda nějaký malware není přítomen v paměti jejího počítače.
Dále jsem se zaměřil na záznamy linky technické podpory. Asi před čtyřmi měsíci se žádalo o konfiguraci přístupu ke kalendáři této manažerky. Technik, který požadavek zpracoval, mě ale ujistil, že nastavil delegovaný přístup pouze pro jejího nadřízeného.
Zajímalo mě, zda mohou být schránky doručené pošty ostatních uživatelů podobně přístupné, takže jsem řekl správci serveru Exchange, aby vytvořil report, který by jasně ukázal, zda jsou nějaké naše poštovní schránky nastavené pro globální přístup.
Zjistili jsme, že nesprávně nakonfigurované účty mělo hned několik dalších manažerů spolu s dalšími asi 40 zaměstnanci.
Zajímavé bylo, že podle logů technické podpory dělal konfiguraci delegovaného přístupu k ostatním účtům manažerů, které trpěly oním bezpečnostním nedostatkem ohledně neomezeného přístupu, stejný technik jako v případě konfigurace otevřeného účtu dotyčné manažerky.
Logika tedy napovídala, že jsme našli příčinu problému.
Manažer technické pomoci a já jsme proto rozhodli, že pracovníci tohoto oddělení budou proškoleni v oblasti správného konfigurování delegovaného přístupu k účtům Exchange. Dospěli jsme dokonce k závěru, že nejlépe bude, když toto školení připraví a následně odprezentuje právě pracovník, který to pravděpodobně dělal špatně.
Žádné okázalé ukazování prstem na viníky. Tento přístup by ale měl zajistit, že osoba, která podle všeho nejvíce potřebuje proškolení, ho touto formou určitě vstřebá.
Také pracujeme na systému, který nám pomůže zprovoznit vytváření logů na serveru Exchange a přesměrování protokolů přímo do nástroje SIEM.
Zkoumáme též způsoby, jak neposkytovat delegovaný přístup bez řádného vyplnění žádosti pro technickou podporu. Pokud to nebude fungovat, budeme muset zajistit, aby byli všichni zaměstnanci podrobně proškoleni ve správném používání této konfigurace.
Takže se objevila další kontrolní činnost, kterou si musím přidat na svůj seznam pravidelných úkonů.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU