【51CTO.com 6月27日外電頭條】IT管理員：離開他們你就活不了。在你的系統、網絡及數據方面，他們有著巨大的權限--這是你企業的命脈。非IT人士很少有人能理解他們的所作所為，能夠監管和控制他們行為的人就更少了。

當然，絕大多數的IT管理員是實誠的，他們努力工作，同時也常常遭到忽視。但是，當他們變成流氓的時候，事情就糟糕了。企業很可能發現自己竟然被阻擋在自有網絡之外。客戶數據莫名其妙地丟失。公司通過掃描網絡發現有人正在利用數據中心網絡訪問不良站點。商業機密不是被銷毀就是被盜取了，員工們似乎感到有人正在監視著他們的一舉一動，這是多么令人毛骨悚然啊--而且這種感覺旋即得到證實。

你聽到的那些只是小意思。大多數公司都會想盡一切辦法封鎖關于流氓管理員的任何消息，因為名譽受損的影響可能比滿腔不忿或是熱情過度的極客們帶來的破壞更為嚴重。

"然而，許多公司再做什么也是于事無補。"Team Cymru研究人員，全球拓展總監Steve Santorelli說。

"即使你的系統固若金湯，甚至核武器級別的攻勢都無法撼動，在逆襲的管理員面前仍然無濟于事。"他說。"只要流氓管理員具有root或者特別訪問權限，他就可以繞過你的邊界安全措施和tripwires軟件的檢測，因為他們在進行本職工作需要深入到這些區域。負責攻擊防護和組織侵襲的往往是同一個人。他們知道如何覆蓋防火墻日志或者改變訪問控制，以使其它監控者無法進入系統并發現他們。他們知道哪里日志備份在何處，也知道如何篡改密鑰。"

在你的企業中可能已經存在著蠢蠢欲動的流氓管理員了。以下我們將了解一下如何去發現并阻止他們，以便減少損失。#p#

IT流氓管理員1：善意熱情型

他知道你應該做什么，也知道你應該如去何做--而且在未經同意的情況下，他也很可能堅持實施自以為正確的操作。總之，一個善意的但是過分熱情的管理員常常會像那些流氓管理員一樣為工作體系帶來毀滅性打擊。

許多流氓活動中并不包括心懷不滿的員工，Josh Stephens說，他是SolarWinds網絡管理軟件制造商的極客負責人。

"一個流氓管理員總是我行我素，并不依照公司的要求去做，"他說。"盡管你強調了公司用的是標準的Windows系統，但是你的流氓管理員卻喜歡Linux系統。三個月下來，你可能會發現三分之一的服務器都在使用Linux。"

然而，有的時候，當充滿善意及熱情的管理員接管之后，結果同樣是一片狼藉。早在90年代中期，Jon Heirmerl在政府部門做軟件開發的時候，"我們有一個網絡管理員，我一般叫他Jim，他在走過大廳的時候，會查看一下那些已經下班的家伙中，都有誰的電腦還處在登錄狀態。"Heirmerl說道，Heirmerl現在是Solutionary的戰略安全總監了。

后來有一天，一個資深開發人員抓住了正在刪除文件的Jim。這個開發人員立刻狂暴了，因為他沒有做最近的備份，在Jim按下Delete鍵之后，這幾個月的開發成果就瞬間消失了。

"他一拳打在了Jim的臉上"，Heirmerl回憶道，"至此以后，Jim再也沒有刪除過任何文件。"

也許最有名的善意熱情型管理員就是Terry Childs了。他是前舊金山網絡管理員，他拒絕交出城市系統的密碼，原因是他覺得他的上司是不稱職的。Childs被判違反了違反了加州計算機犯罪法，事發時是2010年4月，而且他至今仍在監獄服刑，刑期為4年。

"公平地說，像Terry Childs這樣的人，認為他們正在做正確的事，"Santorelli說。"希特勒也還以為他做的是正確的事呢。當然僅僅是出于義憤的個人行為絕對無法有效遏制犯罪。不過根據大多數人的意見，在沒有災難恢復的情況下，我們仍然應該保有進行檢舉的權利，無論檢舉對象是媒體，政府，或是一些管理機構。

反流氓防御：通過分離職務，將控制權交到兩個人手里，從而限制單個負責人帶來的損害，Xceedium的首席戰略官 Ken Ammon說，他專門提供相關設備，以確保享有特權的用戶通過既定方式訪問關鍵系統。這樣將確保敏感任務是由多人完成的，并且，同一個人不能執行兩項任務，也不能審查具體的任務執行流程。#p#

IT流氓管理員2：以廠為家型

你想讓燈一直亮著，讓服務器一直運行，盡力讓終端用戶滿意（至少不能鬧事），并且還要保護網絡不受黑客和小流氓的攻擊，對絕大多數管理員來說，這已經比全職工作做的要多了。然而，偶爾還是會有一些小毛賊決定用上班時間和公司的設備，來開辟一點周邊業務。

Heirmerl說，他遇到的小毛賊就是在利用公司的服務器出售他能想到的任何產品，從山寨衛星設備到塔羅牌，應有盡有。毫無疑問，這種零售業務被發現后，他立馬就被解雇了。然后，下任管理員還得費勁地去拆解那個流氓管理員留下的能夠允許他進入網絡的復雜防火墻規則。

"改完防火墻規則后的30分鐘內，那個毛賊管理員給公司打來電話，抱怨說他的訪問被切斷了，" Heirmerl說，"此時他離開公司已經兩周了。他態度非常粗魯，并且認為受到這種待遇很不公平。"

Mobile Active Defense智能手機安全公司總裁Winn Schwartau說，在2003年，他在為一個金融服務公司做獨立咨詢的時候，他發現一個系統管理員正在利用其職位之便運營一個收費的不良網站，方式是借助一個外置modem和一個分區的硬盤驅動器。這個modem在一次常規的網絡掃描中被發現，被小毛賊當做通訊設備。通過這個modem，外網人士可以瀏覽該不良網站，Schwartau說。

這種情況發生的原因在于無人監管，Heirmerl說。

"這種人是不負責任的，"他說，"這些家伙開著塔羅牌網站的系統審計日志，來掩飾他們的行為。他們擁有所有權限，并且毫無責任感。"

反流氓防御：訪問和網絡管理工具對防御流氓行為大有幫助。SolarWinds' Stephens說。"我們有充分的理由去建立一個管理系統，當有人訪問系統時，就會通知你，并且不能修改密碼，這樣一來你就可以弄清到底發生了啥事"他說，"強大的軟件可以讓你遠離這些事件所帶來的煩惱"。#p#

IT流氓管理員3：變態偷窺型

他們擁有通向王國的鑰匙，周圍沒有人的時候，他們會使用這把鑰匙。因為他們可以不受限制地訪問公司的網絡，所以一些毛賊管理員們就會忍不住地去窺視（他們想知道的東西）。

Josh Stephens說，一個與他共事多年的系統官員是他的老朋友，這個管理員因為一直閱讀別人的email或者一些比這個更糟糕的行為而被開除了。大約是5年前的一天，Stephens說，他正在為30位高管做一個WebEx演示，并展示SolarWinds' Netflow這個工具是如何讓人們能夠隨時看到網絡上的任何用戶正在做什么事情。演示中，他隨即挑選了一個雇員--一個技術管理員--繼而深入該雇員的桌面系統。

"我們看見他正在Monster.com更新他的簡歷，并開著一個WOW游戲的會話，這個終端服務是通過應該用來進行公司工作的電腦而運行的。" Stephens說，"我以我最快的速度返回，但是所有人還是看到了。我對這個家伙感覺壞透了，但是…之后他很快就離職了。"

紐約計算機技術支持公司CEO，Joe Silverman說，在2009年的時候，因為一個前任IT管理員的糾纏，他到一家公關公司做電腦維修服務。一個雇員遠程連接了公司網絡，當他以為沒有人在辦公室的時候，想要偷看一些很有魅力的20多歲女雇員的桌面。他抓取她們的照片，監視她們的日歷，并把她們的郵件暗中抄送給他自己。

"他知道她們的時間安排表，所以，他就趁她們吃午飯的時候進入她們的電腦，" Silverman說，"如果有人提前回來了，她會看到鼠標光標正自動移動，也許一場拉鋸戰會由此展開，直到他路上對她們的電腦進行控制。"

Silverman說，通過改變管理員密碼，他們成功地鎖定了這個IT偷窺狂，并切斷了他所有的訪問權限--這件事就這么結束了。公關公司的老大并不想追究其責任。

有時候，當極客們變身為流氓，他們的所作所為比你所看到的多多了。大約在8年前，安全管理服務公司NetSec為一個知名雜志社鑒別一個盜賊管理員，NetSec 公司的CEO Ammon說（NetSec在2006年被Verizon收購了。）

該出版物以刊登比基尼美女而知名，并有在線競選活動，讀者可以通過投票來支持那些封面模特。但是，自從雇了一個管理員來管理這個系統以后，整個競選活動變得完全不同了。

他訪問了數據庫，其中包含了泳衣模特們的姓名和地址，并進而操縱這個不公平的競爭，從而換取女人們的青睞和性，Ammon說。Ammon現在是Xceedium的首席戰略官。他專門提供相關設備，以確保享有特權的用戶通過既定方式訪問關鍵系統。直到某位模特跟雜志社抱怨了這件事之后，這位管理員才被發現。Ammon不知道有多少模特接受了這樣的條款而沒有任何怨言。

"像這種業內人士所帶來的巨大挑戰是，他們非常聰明，而且非常熟悉你的網絡基礎設施"他說道，"通過他們自身的職務之便，就可以輕而易舉地違反規則，而且他們沒有受到任何監管。問題就變成了，誰去監督監督者。"

反流氓防御：不要僅僅依靠背景調查去審查潛在的雇員，Schwartau說，聰明的雇主也需要通過心理測試來了解每個人的動機、癖性和弱點。

"他們是好人還是壞人？"他問，"他們很容被金錢和性所左右？他們做事的底線何在？每一個執法機構都可以做到，但是企業卻無法弄清一切以保護自身安全。"#p#

IT流氓管理員4：吃里爬外型

IT管理員控制的不僅僅是系統、網絡和數據庫；他們往往還能獲得商業機密、知識產權和一些企業見不得人的事。一個盜賊可能決定用這些信息獲得個人利益、或者從競爭對手那里獲得好處，還可以以此來要挾雇主--通常，很少有公司能夠去阻止這樣的事情。

證明商業間諜是非常困難的。Borland公司發現，在20世紀90年代之后，前副總裁Eugene Wang跳槽到Symantec，據稱他帶走了很多專利文件。Wang和Symantec的 CEO Gordon Eubanks因盜竊商業機密而被起訴，但是這項指控最后被撤銷了。Borland公司狀告Wang和Symantec這件案子拖了5年之久，最后雙方都同意撤銷案件了。

沒有太多改變。Heirmerl說，在2005年得時候，他咨詢過一個制造業的公司，他們讓一個研發部門的工程師下崗了，因為跟他一起工作是一件難以忍受的事。同一天，這個工程師走出了大廈，他開始在這家公司的競爭對手那里工作。三個月后，這個公司的競爭對手發布了一款新產品，這個產品幾乎和他們將要在幾周后推出的產品一摸一樣。

"由于是第二個向市場推出這個產品，那家公司估計他們失去了至少80萬美元的訂單，"他說，"他們起訴那個工程師，但是他們卻無法證明他確實竊取了這個產品的信息。"

"很多時候，雖然這些間諜盜賊竊取信息是為了幫助他們自己開創事業，建立自己的公司，"Ammon說，"比如Sergei Aleynikov的案子，這位前Goldman投資公司的程序員，他從他老板那里偷取了自營交易的算法，在去年12月，Aleynikov被判處10年監禁。"

Ammon說，間諜盜賊有時候也能夠成為一個泄密者--像一等兵Bradley Manning，他在2009年的時候向臭名昭著的維基解密情報分析員泄露了20多萬份國務院電纜信息。

"無論他是否是被誤導的，隨著時間的推移，這樣的泄密都將是一個巨大的隱患，特別是對于更加開放的新生代IT行業來說。"

反流氓防御：對私人公司的信息進行訪問控制，不該知道的不許知道。讓那些能夠訪問到敏感信息的員工簽署保密協議，從而來約束他們，即使他們離開了公司，Heirmerl說。這可能不能阻止那些流氓管理員盜竊你的信息，但會讓他們三思而后行。#p#

IT流氓管理員5：以牙還牙型

如果一個IT管理員被解雇了，并讓他或者她感到不公平的話，隨之而來的怨恨及怒火被形容成地獄中的烈焰也毫不為過。這是常見的盜賊管理員的故事--也是最可怕的情況。

多年以前，當他為一個廣告公司工作的時候，Troy Davis聘請了一位年輕的系統管理員，因為他被譽為瘋狂的Linux大拿。但是，六周后，Troy Davis就讓這個一事無成的系統管理員離開了。

"幾天后，一個客戶打來電話，告訴我們他的網站掛了，" Davis說，Davis現在是一家小公司的CTO，這家公司名為 CoupSmart，主要業務是幫助中小型企業在Facebook上做企業營銷。"我登上他們的服務器，果然，有關這個網站的所有相關文件都被刪除了。"

在對服務器日志進行搜索之后，一些攻擊者忘記刪除的歷史記錄浮出水面，里面記錄了他的IP地址，登錄時間，和完整的shell記錄。當Troy聯系了服務供應商并提供了IP地址，它證實了最近被開除的管理員正是罪魁禍首。

"當地的警長去探望他，跟他談了如果公司決定起訴他，那么他所要面臨的是怎樣的服刑情況。" Davis說，"我們最終失去了這個受到刪除事件影響的用戶，因為他們不再信任我們了。"

Schwartau說，六年前，他在一個金融公司做顧問的時候，在發現一個數據庫管理員正在用公司的電腦襲擊他的前雇主的系統之后，他們解雇了這個數據庫管理員。問題出在哪里？這個DBA是唯一知道公司數據庫密碼的人，并且他拒絕交出密碼，直到他的老板答應給他寫一份好的推薦信。公司妥協了。

"他們可以叫警察，但是他們不想把事情搞大，"他說，"他們想保持沉默，免得其他雇員效仿這個管理員。"

Stephens說他曾經在美國一個重要的電信局工作，當時就解雇過一個違反了人力資源相關政策的網絡工程師。

"這個工程師非常清楚接下來會發生什么，所以在被掃地出門之前，他篡改了所有的核心路由器密碼并且死不認賬。他說，"這真是讓人崩潰，我們花了很長一段時間重置一切，并確保他是被隔離在網絡外面的。"

但，說起一流的復仇者不得不提到Roger Duronio，他是瑞士銀行前系統管理員。由于不滿于他所獲得的獎金，2002年3月，他在證券交易所的1000臺電腦上安裝了邏輯炸彈，目的是讓它們系統崩潰。然后他賣空了公司的股票，希望關于公司的的負面消息傳出去后讓股價下跌，進而從中謀利。

"這沒有用"，Keith J. Jones說，他是Jones Dykstra & Associates公司的高級計算機取證工程師，并且是這個案子的專家鑒定人。他最終給Duronio定罪了。在2006年12月，這位復仇者被判8年監禁并且不能假釋。

"如果你公司里面有一個心懷不滿的雇員，并且有很高的訪問權限，就像Mr.Duronio這類型的，這對公司來說就一個高危風險" Jones說，"IT技術人員一般都是在幕后工作并且毫不起眼，但是你一定要記住他們的力量，他們能夠威脅你的公司，如果他們決定當一個復仇者。"

反流氓防御：根據Carnegie Mellon大學的一項研究，多數的內部損失都發生在雇員離開之前的10天內。所以，在準備解雇前，必須要盯緊核心系統，審計系統和密碼恢復系統。Ammon說。

更好的策略可能是，將員工的不滿放在第一位，Peter Hart說，他目前是Rideau認證方案提供商的CEO，該公司幫助企業提供獎勵策略。對IT技術人員來說直觀的獎勵方式效果更好，甚至可以利用同事的肯定來進行鼓舞，他補充道。

"所有的公司，好的壞的，都不可避免地會遇到這種流氓管理員"他說，"但你可以用一種良好的獎勵制度來減少這類事情的發生"。

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】