问一家公司能做些什么来对付内部人士的流氓行为，并对基本的基础设施产生负面影响？

EN

双人规则-配置您的系统，以便所有特权访问都需要两个人。

这可能是一种物理控制-特权访问只能来自NOC，而在NOC内部，人们实际执行该规则。

更实用的是脚本系统。submit没有直接的根访问权，但是他们可以提交作为root运行的脚本。只有在单独的人审查并批准了脚本之后，它们才会运行。在紧急情况下，仍然需要一种访问SSH的方法--在这种情况下，可以使用物理控制来维护两人规则。

斯诺登泄密后的国安局实施了。在我审计过的任何商业或政府系统中，我从未见过一套完整的两人制--尽管我看到了各种部分尝试。

Update -关于如何在单独问题上实现这一点的更多信息。

我们能做些什么来防止突然的流氓内部人员使用他们拥有特权的技术对基本的基础设施产生负面影响呢？

在实践中很少。但是为了解释为什么，让我谈谈你能做些什么。

这里的问题是用户拥有“特权”--他们已经被合法授予了权力。

可以做一些事情来限制赋予合法用户，甚至是特权管理员的权力：

• 使用sudo或PowerBroker之类的方法控制可用的命令。
• 双重控制 (“两人规则”@paj28 28描述)
• 工作流控件 (通常是双重控制的一种形式)

现在，这些控件的使用远远少于它们所能使用的。为什么？因为根据定义，特权用户是可信的。所以我很少说，不是因为没有控制，而是因为这种控制的成本效益比适用于受信任的人员是不够的。

还要注意的是，这里的攻击媒介是“管道中的”--如果花旗银行有双重控制，他们可能会专注于资金转移之类的事情，而这次攻击则是屈膝而来的，只会让底层网络瘫痪。这些重要但安静的系统通常拥有较小的特权用户圈和较少的过度控制。

这里真正的失败不是没有技术控制，而是人员控制不幸地失败了。标准做法是在特权雇员被解雇之前撤销他们的访问权。无论谁认为在与特权雇员发生冲突时没有必要采取这种预防措施，都会做出错误的判断。

(该公司还实施了惩罚性控制-袭击者现在被判处近2年监禁，必须支付近8万美元。正如这篇文章所指出的，这些东西并不能解决这些问题。)

一种方法是接受流氓行为是无法防止的，并专注于确保损害能够被修复。例如，确保路由器有一个单独的控制平面，通过该平面，它们可以重新联机。确保您有只读备份(例如场外磁带)，所以如果有人清除了所有硬盘驱动器，您可以恢复数据。确保数据和代码可以快速回滚到已知的良好状态。

这些保障措施对于无意中的错误也有很大帮助。