【51CTO.com 6月27日外電頭條】IT管理員：離開他們你就活不了。在你的系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)方面，他們有著巨大的權(quán)限--這是你企業(yè)的命脈。非IT人士很少有人能理解他們的所作所為，能夠監(jiān)管和控制他們行為的人就更少了。

當(dāng)然，絕大多數(shù)的IT管理員是實(shí)誠(chéng)的，他們努力工作，同時(shí)也常常遭到忽視。但是，當(dāng)他們變成流氓的時(shí)候，事情就糟糕了。企業(yè)很可能發(fā)現(xiàn)自己竟然被阻擋在自有網(wǎng)絡(luò)之外?？蛻魯?shù)據(jù)莫名其妙地丟失。公司通過(guò)掃描網(wǎng)絡(luò)發(fā)現(xiàn)有人正在利用數(shù)據(jù)中心網(wǎng)絡(luò)訪問(wèn)不良站點(diǎn)。商業(yè)機(jī)密不是被銷毀就是被盜取了，員工們似乎感到有人正在監(jiān)視著他們的一舉一動(dòng)，這是多么令人毛骨悚然啊--而且這種感覺(jué)旋即得到證實(shí)。

你聽到的那些只是小意思。大多數(shù)公司都會(huì)想盡一切辦法封鎖關(guān)于流氓管理員的任何消息，因?yàn)槊u(yù)受損的影響可能比滿腔不忿或是熱情過(guò)度的極客們帶來(lái)的破壞更為嚴(yán)重。

"然而，許多公司再做什么也是于事無(wú)補(bǔ)。"Team Cymru研究人員，全球拓展總監(jiān)Steve Santorelli說(shuō)。

"即使你的系統(tǒng)固若金湯，甚至核武器級(jí)別的攻勢(shì)都無(wú)法撼動(dòng)，在逆襲的管理員面前仍然無(wú)濟(jì)于事。"他說(shuō)。"只要流氓管理員具有root或者特別訪問(wèn)權(quán)限，他就可以繞過(guò)你的邊界安全措施和tripwires軟件的檢測(cè)，因?yàn)樗麄冊(cè)谶M(jìn)行本職工作需要深入到這些區(qū)域。負(fù)責(zé)攻擊防護(hù)和組織侵襲的往往是同一個(gè)人。他們知道如何覆蓋防火墻日志或者改變?cè)L問(wèn)控制，以使其它監(jiān)控者無(wú)法進(jìn)入系統(tǒng)并發(fā)現(xiàn)他們。他們知道哪里日志備份在何處，也知道如何篡改密鑰。"

在你的企業(yè)中可能已經(jīng)存在著蠢蠢欲動(dòng)的流氓管理員了。以下我們將了解一下如何去發(fā)現(xiàn)并阻止他們，以便減少損失。#p#

IT流氓管理員1：善意熱情型

他知道你應(yīng)該做什么，也知道你應(yīng)該如去何做--而且在未經(jīng)同意的情況下，他也很可能堅(jiān)持實(shí)施自以為正確的操作?？傊?，一個(gè)善意的但是過(guò)分熱情的管理員常常會(huì)像那些流氓管理員一樣為工作體系帶來(lái)毀滅性打擊。

許多流氓活動(dòng)中并不包括心懷不滿的員工，Josh Stephens說(shuō)，他是SolarWinds網(wǎng)絡(luò)管理軟件制造商的極客負(fù)責(zé)人。

"一個(gè)流氓管理員總是我行我素，并不依照公司的要求去做，"他說(shuō)。"盡管你強(qiáng)調(diào)了公司用的是標(biāo)準(zhǔn)的Windows系統(tǒng)，但是你的流氓管理員卻喜歡Linux系統(tǒng)。三個(gè)月下來(lái)，你可能會(huì)發(fā)現(xiàn)三分之一的服務(wù)器都在使用Linux。"

然而，有的時(shí)候，當(dāng)充滿善意及熱情的管理員接管之后，結(jié)果同樣是一片狼藉。早在90年代中期，Jon Heirmerl在政府部門做軟件開發(fā)的時(shí)候，"我們有一個(gè)網(wǎng)絡(luò)管理員，我一般叫他Jim，他在走過(guò)大廳的時(shí)候，會(huì)查看一下那些已經(jīng)下班的家伙中，都有誰(shuí)的電腦還處在登錄狀態(tài)。"Heirmerl說(shuō)道，Heirmerl現(xiàn)在是Solutionary的戰(zhàn)略安全總監(jiān)了。

后來(lái)有一天，一個(gè)資深開發(fā)人員抓住了正在刪除文件的Jim。這個(gè)開發(fā)人員立刻狂暴了，因?yàn)樗麤](méi)有做最近的備份，在Jim按下Delete鍵之后，這幾個(gè)月的開發(fā)成果就瞬間消失了。

"他一拳打在了Jim的臉上"，Heirmerl回憶道，"至此以后，Jim再也沒(méi)有刪除過(guò)任何文件。"

也許最有名的善意熱情型管理員就是Terry Childs了。他是前舊金山網(wǎng)絡(luò)管理員，他拒絕交出城市系統(tǒng)的密碼，原因是他覺(jué)得他的上司是不稱職的。Childs被判違反了違反了加州計(jì)算機(jī)犯罪法，事發(fā)時(shí)是2010年4月，而且他至今仍在監(jiān)獄服刑，刑期為4年。

"公平地說(shuō)，像Terry Childs這樣的人，認(rèn)為他們正在做正確的事，"Santorelli說(shuō)。"希特勒也還以為他做的是正確的事呢。當(dāng)然僅僅是出于義憤的個(gè)人行為絕對(duì)無(wú)法有效遏制犯罪。不過(guò)根據(jù)大多數(shù)人的意見，在沒(méi)有災(zāi)難恢復(fù)的情況下，我們?nèi)匀粦?yīng)該保有進(jìn)行檢舉的權(quán)利，無(wú)論檢舉對(duì)象是媒體，政府，或是一些管理機(jī)構(gòu)。

反流氓防御：通過(guò)分離職務(wù)，將控制權(quán)交到兩個(gè)人手里，從而限制單個(gè)負(fù)責(zé)人帶來(lái)的損害，Xceedium的首席戰(zhàn)略官 Ken Ammon說(shuō)，他專門提供相關(guān)設(shè)備，以確保享有特權(quán)的用戶通過(guò)既定方式訪問(wèn)關(guān)鍵系統(tǒng)。這樣將確保敏感任務(wù)是由多人完成的，并且，同一個(gè)人不能執(zhí)行兩項(xiàng)任務(wù)，也不能審查具體的任務(wù)執(zhí)行流程。#p#

IT流氓管理員2：以廠為家型

你想讓燈一直亮著，讓服務(wù)器一直運(yùn)行，盡力讓終端用戶滿意（至少不能鬧事），并且還要保護(hù)網(wǎng)絡(luò)不受黑客和小流氓的攻擊，對(duì)絕大多數(shù)管理員來(lái)說(shuō)，這已經(jīng)比全職工作做的要多了。然而，偶爾還是會(huì)有一些小毛賊決定用上班時(shí)間和公司的設(shè)備，來(lái)開辟一點(diǎn)周邊業(yè)務(wù)。

Heirmerl說(shuō)，他遇到的小毛賊就是在利用公司的服務(wù)器出售他能想到的任何產(chǎn)品，從山寨衛(wèi)星設(shè)備到塔羅牌，應(yīng)有盡有。毫無(wú)疑問(wèn)，這種零售業(yè)務(wù)被發(fā)現(xiàn)后，他立馬就被解雇了。然后，下任管理員還得費(fèi)勁地去拆解那個(gè)流氓管理員留下的能夠允許他進(jìn)入網(wǎng)絡(luò)的復(fù)雜防火墻規(guī)則。

"改完防火墻規(guī)則后的30分鐘內(nèi)，那個(gè)毛賊管理員給公司打來(lái)電話，抱怨說(shuō)他的訪問(wèn)被切斷了，" Heirmerl說(shuō)，"此時(shí)他離開公司已經(jīng)兩周了。他態(tài)度非常粗魯，并且認(rèn)為受到這種待遇很不公平。"

Mobile Active Defense智能手機(jī)安全公司總裁Winn Schwartau說(shuō)，在2003年，他在為一個(gè)金融服務(wù)公司做獨(dú)立咨詢的時(shí)候，他發(fā)現(xiàn)一個(gè)系統(tǒng)管理員正在利用其職位之便運(yùn)營(yíng)一個(gè)收費(fèi)的不良網(wǎng)站，方式是借助一個(gè)外置modem和一個(gè)分區(qū)的硬盤驅(qū)動(dòng)器。這個(gè)modem在一次常規(guī)的網(wǎng)絡(luò)掃描中被發(fā)現(xiàn)，被小毛賊當(dāng)做通訊設(shè)備。通過(guò)這個(gè)modem，外網(wǎng)人士可以瀏覽該不良網(wǎng)站，Schwartau說(shuō)。

這種情況發(fā)生的原因在于無(wú)人監(jiān)管，Heirmerl說(shuō)。

"這種人是不負(fù)責(zé)任的，"他說(shuō)，"這些家伙開著塔羅牌網(wǎng)站的系統(tǒng)審計(jì)日志，來(lái)掩飾他們的行為。他們擁有所有權(quán)限，并且毫無(wú)責(zé)任感。"

反流氓防御：訪問(wèn)和網(wǎng)絡(luò)管理工具對(duì)防御流氓行為大有幫助。SolarWinds' Stephens說(shuō)。"我們有充分的理由去建立一個(gè)管理系統(tǒng)，當(dāng)有人訪問(wèn)系統(tǒng)時(shí)，就會(huì)通知你，并且不能修改密碼，這樣一來(lái)你就可以弄清到底發(fā)生了啥事"他說(shuō)，"強(qiáng)大的軟件可以讓你遠(yuǎn)離這些事件所帶來(lái)的煩惱"。#p#

IT流氓管理員3：變態(tài)偷窺型

他們擁有通向王國(guó)的鑰匙，周圍沒(méi)有人的時(shí)候，他們會(huì)使用這把鑰匙。因?yàn)樗麄兛梢圆皇芟拗频卦L問(wèn)公司的網(wǎng)絡(luò)，所以一些毛賊管理員們就會(huì)忍不住地去窺視（他們想知道的東西）。

Josh Stephens說(shuō)，一個(gè)與他共事多年的系統(tǒng)官員是他的老朋友，這個(gè)管理員因?yàn)橐恢遍喿x別人的email或者一些比這個(gè)更糟糕的行為而被開除了。大約是5年前的一天，Stephens說(shuō)，他正在為30位高管做一個(gè)WebEx演示，并展示SolarWinds' Netflow這個(gè)工具是如何讓人們能夠隨時(shí)看到網(wǎng)絡(luò)上的任何用戶正在做什么事情。演示中，他隨即挑選了一個(gè)雇員--一個(gè)技術(shù)管理員--繼而深入該雇員的桌面系統(tǒng)。

"我們看見他正在Monster.com更新他的簡(jiǎn)歷，并開著一個(gè)WOW游戲的會(huì)話，這個(gè)終端服務(wù)是通過(guò)應(yīng)該用來(lái)進(jìn)行公司工作的電腦而運(yùn)行的。" Stephens說(shuō)，"我以我最快的速度返回，但是所有人還是看到了。我對(duì)這個(gè)家伙感覺(jué)壞透了，但是…之后他很快就離職了。"

紐約計(jì)算機(jī)技術(shù)支持公司CEO，Joe Silverman說(shuō)，在2009年的時(shí)候，因?yàn)橐粋€(gè)前任IT管理員的糾纏，他到一家公關(guān)公司做電腦維修服務(wù)。一個(gè)雇員遠(yuǎn)程連接了公司網(wǎng)絡(luò)，當(dāng)他以為沒(méi)有人在辦公室的時(shí)候，想要偷看一些很有魅力的20多歲女雇員的桌面。他抓取她們的照片，監(jiān)視她們的日歷，并把她們的郵件暗中抄送給他自己。

"他知道她們的時(shí)間安排表，所以，他就趁她們吃午飯的時(shí)候進(jìn)入她們的電腦，" Silverman說(shuō)，"如果有人提前回來(lái)了，她會(huì)看到鼠標(biāo)光標(biāo)正自動(dòng)移動(dòng)，也許一場(chǎng)拉鋸戰(zhàn)會(huì)由此展開，直到他路上對(duì)她們的電腦進(jìn)行控制。"

Silverman說(shuō)，通過(guò)改變管理員密碼，他們成功地鎖定了這個(gè)IT偷窺狂，并切斷了他所有的訪問(wèn)權(quán)限--這件事就這么結(jié)束了。公關(guān)公司的老大并不想追究其責(zé)任。

有時(shí)候，當(dāng)極客們變身為流氓，他們的所作所為比你所看到的多多了。大約在8年前，安全管理服務(wù)公司NetSec為一個(gè)知名雜志社鑒別一個(gè)盜賊管理員，NetSec 公司的CEO Ammon說(shuō)（NetSec在2006年被Verizon收購(gòu)了。）

該出版物以刊登比基尼美女而知名，并有在線競(jìng)選活動(dòng)，讀者可以通過(guò)投票來(lái)支持那些封面模特。但是，自從雇了一個(gè)管理員來(lái)管理這個(gè)系統(tǒng)以后，整個(gè)競(jìng)選活動(dòng)變得完全不同了。

他訪問(wèn)了數(shù)據(jù)庫(kù)，其中包含了泳衣模特們的姓名和地址，并進(jìn)而操縱這個(gè)不公平的競(jìng)爭(zhēng)，從而換取女人們的青睞和性，Ammon說(shuō)。Ammon現(xiàn)在是Xceedium的首席戰(zhàn)略官。他專門提供相關(guān)設(shè)備，以確保享有特權(quán)的用戶通過(guò)既定方式訪問(wèn)關(guān)鍵系統(tǒng)。直到某位模特跟雜志社抱怨了這件事之后，這位管理員才被發(fā)現(xiàn)。Ammon不知道有多少模特接受了這樣的條款而沒(méi)有任何怨言。

"像這種業(yè)內(nèi)人士所帶來(lái)的巨大挑戰(zhàn)是，他們非常聰明，而且非常熟悉你的網(wǎng)絡(luò)基礎(chǔ)設(shè)施"他說(shuō)道，"通過(guò)他們自身的職務(wù)之便，就可以輕而易舉地違反規(guī)則，而且他們沒(méi)有受到任何監(jiān)管。問(wèn)題就變成了，誰(shuí)去監(jiān)督監(jiān)督者。"

反流氓防御：不要僅僅依靠背景調(diào)查去審查潛在的雇員，Schwartau說(shuō)，聰明的雇主也需要通過(guò)心理測(cè)試來(lái)了解每個(gè)人的動(dòng)機(jī)、癖性和弱點(diǎn)。

"他們是好人還是壞人？"他問(wèn)，"他們很容被金錢和性所左右？他們做事的底線何在？每一個(gè)執(zhí)法機(jī)構(gòu)都可以做到，但是企業(yè)卻無(wú)法弄清一切以保護(hù)自身安全。"#p#

IT流氓管理員4：吃里爬外型

IT管理員控制的不僅僅是系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)；他們往往還能獲得商業(yè)機(jī)密、知識(shí)產(chǎn)權(quán)和一些企業(yè)見不得人的事。一個(gè)盜賊可能決定用這些信息獲得個(gè)人利益、或者從競(jìng)爭(zhēng)對(duì)手那里獲得好處，還可以以此來(lái)要挾雇主--通常，很少有公司能夠去阻止這樣的事情。

證明商業(yè)間諜是非常困難的。Borland公司發(fā)現(xiàn)，在20世紀(jì)90年代之后，前副總裁Eugene Wang跳槽到Symantec，據(jù)稱他帶走了很多專利文件。Wang和Symantec的 CEO Gordon Eubanks因盜竊商業(yè)機(jī)密而被起訴，但是這項(xiàng)指控最后被撤銷了。Borland公司狀告Wang和Symantec這件案子拖了5年之久，最后雙方都同意撤銷案件了。

沒(méi)有太多改變。Heirmerl說(shuō)，在2005年得時(shí)候，他咨詢過(guò)一個(gè)制造業(yè)的公司，他們讓一個(gè)研發(fā)部門的工程師下崗了，因?yàn)楦黄鸸ぷ魇且患y以忍受的事。同一天，這個(gè)工程師走出了大廈，他開始在這家公司的競(jìng)爭(zhēng)對(duì)手那里工作。三個(gè)月后，這個(gè)公司的競(jìng)爭(zhēng)對(duì)手發(fā)布了一款新產(chǎn)品，這個(gè)產(chǎn)品幾乎和他們將要在幾周后推出的產(chǎn)品一摸一樣。

"由于是第二個(gè)向市場(chǎng)推出這個(gè)產(chǎn)品，那家公司估計(jì)他們失去了至少80萬(wàn)美元的訂單，"他說(shuō)，"他們起訴那個(gè)工程師，但是他們卻無(wú)法證明他確實(shí)竊取了這個(gè)產(chǎn)品的信息。"

"很多時(shí)候，雖然這些間諜盜賊竊取信息是為了幫助他們自己開創(chuàng)事業(yè)，建立自己的公司，"Ammon說(shuō)，"比如Sergei Aleynikov的案子，這位前Goldman投資公司的程序員，他從他老板那里偷取了自營(yíng)交易的算法，在去年12月，Aleynikov被判處10年監(jiān)禁。"

Ammon說(shuō)，間諜盜賊有時(shí)候也能夠成為一個(gè)泄密者--像一等兵Bradley Manning，他在2009年的時(shí)候向臭名昭著的維基解密情報(bào)分析員泄露了20多萬(wàn)份國(guó)務(wù)院電纜信息。

"無(wú)論他是否是被誤導(dǎo)的，隨著時(shí)間的推移，這樣的泄密都將是一個(gè)巨大的隱患，特別是對(duì)于更加開放的新生代IT行業(yè)來(lái)說(shuō)。"

反流氓防御：對(duì)私人公司的信息進(jìn)行訪問(wèn)控制，不該知道的不許知道。讓那些能夠訪問(wèn)到敏感信息的員工簽署保密協(xié)議，從而來(lái)約束他們，即使他們離開了公司，Heirmerl說(shuō)。這可能不能阻止那些流氓管理員盜竊你的信息，但會(huì)讓他們?nèi)级笮小?p#

IT流氓管理員5：以牙還牙型

如果一個(gè)IT管理員被解雇了，并讓他或者她感到不公平的話，隨之而來(lái)的怨恨及怒火被形容成地獄中的烈焰也毫不為過(guò)。這是常見的盜賊管理員的故事--也是最可怕的情況。

多年以前，當(dāng)他為一個(gè)廣告公司工作的時(shí)候，Troy Davis聘請(qǐng)了一位年輕的系統(tǒng)管理員，因?yàn)樗蛔u(yù)為瘋狂的Linux大拿。但是，六周后，Troy Davis就讓這個(gè)一事無(wú)成的系統(tǒng)管理員離開了。

"幾天后，一個(gè)客戶打來(lái)電話，告訴我們他的網(wǎng)站掛了，" Davis說(shuō)，Davis現(xiàn)在是一家小公司的CTO，這家公司名為 CoupSmart，主要業(yè)務(wù)是幫助中小型企業(yè)在Facebook上做企業(yè)營(yíng)銷。"我登上他們的服務(wù)器，果然，有關(guān)這個(gè)網(wǎng)站的所有相關(guān)文件都被刪除了。"

在對(duì)服務(wù)器日志進(jìn)行搜索之后，一些攻擊者忘記刪除的歷史記錄浮出水面，里面記錄了他的IP地址，登錄時(shí)間，和完整的shell記錄。當(dāng)Troy聯(lián)系了服務(wù)供應(yīng)商并提供了IP地址，它證實(shí)了最近被開除的管理員正是罪魁禍?zhǔn)住?/p>

"當(dāng)?shù)氐木L(zhǎng)去探望他，跟他談了如果公司決定起訴他，那么他所要面臨的是怎樣的服刑情況。" Davis說(shuō)，"我們最終失去了這個(gè)受到刪除事件影響的用戶，因?yàn)樗麄儾辉傩湃挝覀兞恕?quot;

Schwartau說(shuō)，六年前，他在一個(gè)金融公司做顧問(wèn)的時(shí)候，在發(fā)現(xiàn)一個(gè)數(shù)據(jù)庫(kù)管理員正在用公司的電腦襲擊他的前雇主的系統(tǒng)之后，他們解雇了這個(gè)數(shù)據(jù)庫(kù)管理員。問(wèn)題出在哪里？這個(gè)DBA是唯一知道公司數(shù)據(jù)庫(kù)密碼的人，并且他拒絕交出密碼，直到他的老板答應(yīng)給他寫一份好的推薦信。公司妥協(xié)了。

"他們可以叫警察，但是他們不想把事情搞大，"他說(shuō)，"他們想保持沉默，免得其他雇員效仿這個(gè)管理員。"

Stephens說(shuō)他曾經(jīng)在美國(guó)一個(gè)重要的電信局工作，當(dāng)時(shí)就解雇過(guò)一個(gè)違反了人力資源相關(guān)政策的網(wǎng)絡(luò)工程師。

"這個(gè)工程師非常清楚接下來(lái)會(huì)發(fā)生什么，所以在被掃地出門之前，他篡改了所有的核心路由器密碼并且死不認(rèn)賬。他說(shuō)，"這真是讓人崩潰，我們花了很長(zhǎng)一段時(shí)間重置一切，并確保他是被隔離在網(wǎng)絡(luò)外面的。"

但，說(shuō)起一流的復(fù)仇者不得不提到Roger Duronio，他是瑞士銀行前系統(tǒng)管理員。由于不滿于他所獲得的獎(jiǎng)金，2002年3月，他在證券交易所的1000臺(tái)電腦上安裝了邏輯炸彈，目的是讓它們系統(tǒng)崩潰。然后他賣空了公司的股票，希望關(guān)于公司的的負(fù)面消息傳出去后讓股價(jià)下跌，進(jìn)而從中謀利。

"這沒(méi)有用"，Keith J. Jones說(shuō)，他是Jones Dykstra & Associates公司的高級(jí)計(jì)算機(jī)取證工程師，并且是這個(gè)案子的專家鑒定人。他最終給Duronio定罪了。在2006年12月，這位復(fù)仇者被判8年監(jiān)禁并且不能假釋。

"如果你公司里面有一個(gè)心懷不滿的雇員，并且有很高的訪問(wèn)權(quán)限，就像Mr.Duronio這類型的，這對(duì)公司來(lái)說(shuō)就一個(gè)高危風(fēng)險(xiǎn)" Jones說(shuō)，"IT技術(shù)人員一般都是在幕后工作并且毫不起眼，但是你一定要記住他們的力量，他們能夠威脅你的公司，如果他們決定當(dāng)一個(gè)復(fù)仇者。"

反流氓防御：根據(jù)Carnegie Mellon大學(xué)的一項(xiàng)研究，多數(shù)的內(nèi)部損失都發(fā)生在雇員離開之前的10天內(nèi)。所以，在準(zhǔn)備解雇前，必須要盯緊核心系統(tǒng)，審計(jì)系統(tǒng)和密碼恢復(fù)系統(tǒng)。Ammon說(shuō)。

更好的策略可能是，將員工的不滿放在第一位，Peter Hart說(shuō)，他目前是Rideau認(rèn)證方案提供商的CEO，該公司幫助企業(yè)提供獎(jiǎng)勵(lì)策略。對(duì)IT技術(shù)人員來(lái)說(shuō)直觀的獎(jiǎng)勵(lì)方式效果更好，甚至可以利用同事的肯定來(lái)進(jìn)行鼓舞，他補(bǔ)充道。

"所有的公司，好的壞的，都不可避免地會(huì)遇到這種流氓管理員"他說(shuō)，"但你可以用一種良好的獎(jiǎng)勵(lì)制度來(lái)減少這類事情的發(fā)生"。

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】