可以做些什么来防止突然的流氓内部人员使用他们有权使用的技术对基本基础设施产生负面影响？

在实践中，很少。但是为了解释原因，让我谈谈你能做什么。

这里的问题是用户是“特权”——他们被合法地授予了权力。

可以采取一些措施来限制赋予合法用户的权力，甚至是特权管理员：

• 使用 sudo 或 PowerBroker 等工具控制可用命令。
• 双重控制（“两人规则”@paj28 描述
• 工作流控制（通常是双重控制的一种形式）

现在，这些控件的使用量远远低于它们的使用量。为什么？因为特权用户在定义上是受信任的。所以我说的很少，不是因为没有控制，而是因为当应用于受信任的人员时，这种控制的成本效益比不足以证明它是合理的。

另请注意，这里的攻击向量是“在管道中” - 如果花旗银行有双重控制，他们可能专注于资金转移等事情，而这种攻击是在膝盖上出现的，只是让底层网络瘫痪。这些重要但安静的系统通常拥有较小的特权用户圈子和较少的过度控制。

这里真正的失败不是没有技术控制，而是人员控制失败得很惨。 在特权员工被终止之前撤销他们的访问权限是标准做法。谁决定在与特权员工发生冲突时无需采取此类预防措施，则判断力不佳。

（该公司还采用了惩罚性控制措施——攻击者现在被判处近 2 年监禁，并且必须支付近 8 万美元。正如文章指出的那样，这些事情并不能解决任何问题。）

两人规则- 配置您的系统，以便所有特权访问都需要两个人。

这可能是一种物理控制——特权访问只能来自 NOC，并且在 NOC 内部人们会实际执行规则。

更实用的是脚本系统。系统管理员没有直接的 root 访问权限，但他们可以提交脚本以作为 root 运行。它们只会在单独的人审核并批准脚本后运行。仍然需要一种在紧急情况下进行 SSH 访问的方法——在这种情况下，可以使用物理控制来维持两人规则。

国家安全局在斯诺登泄密后实施了这一措施。在我审计过的任何商业或政府系统中，我从未见过完整的两人系统——尽管我见过各种部分尝试。

更新- 有关如何在单独的问题上实现此功能的更多信息。

一种方法是接受无法防止恶意行为的事实，并专注于确保可以修复损坏。例如，确保路由器有一个单独的控制平面，通过它可以使它们重新联机。确保您有只读备份（例如异地磁带），因此如果有人清除了所有硬盘驱动器，您可以恢复数据。确保数据和代码可以快速回滚到已知的良好状态。

在出现意外错误的情况下，这些保护措施也将有很大帮助。

审计。特别是网络流量和在特定机器上执行的操作/操作。你想捕捉，谁做了什么，他们什么时候做的，从哪里做的。虽然这不会阻止攻击，但如果内部人员认为他们会被识别和抓住，它将有助于阻止此类行为。

然后你必须进入防篡改审计机制的问题