Musíte plánovat před sebou chytit vetřelce
Doufám, že vaše počítače budou aktualizovány a vaše síť bude bezpečná. Je však docela nevyhnutelné, že v určitém okamžiku narazíte na zlomyslnou aktivitu - virus , červ , trojský koně, útok na hack nebo jinak. Když k tomu dojde, pokud jste udělali správné věci před útokem, uděláte práci, když určíte, kdy a jak se útok úspěšně ujal, mnohem jednodušší.
Pokud jste někdy sledovali televizní pořad CSI nebo jen o nějakém jiném policejním či legálním televizním pořadu, víte, že i při nejmenším rozbití forenzních důkazů mohou vyšetřovatelé identifikovat, sledovat a chytit pachatele zločinu.
Ale nebylo by hezké, kdyby nemusely prolétávat vlákna, aby našly jediné vlasy, které vlastně patří pachateli a provádějí testování DNA, aby identifikovali svého majitele? Co kdyby byl zaznamenán záznam o každé osobě, s níž se dostali do kontaktu a kdy? Co kdyby bylo zaznamenáno, co se s touto osobou dělo?
Pokud by tomu tak bylo, vyšetřovatelé jako ti v CSI by mohli být mimo podnik. Policie nalezla tělo, zkontrolovala záznam, aby zjistila, kdo naposledy přišel do styku s mrtvým a co se stalo, a že už budou mít totožnost, aniž by museli kopat. To je to, co poskytuje protokolování, pokud jde o poskytování forenzních důkazů, pokud v počítači nebo síti dochází ke škodlivé aktivitě.
Pokud správce sítě nezapne protokolování nebo nezaznamená správné události, vykopávat forenzní důkazy s cílem určit čas a datum nebo způsob neoprávněného přístupu nebo jiné škodlivé činnosti může být stejně obtížné jako hledání příslovečné jehly kupka sena. Často není zjištěna příčina útoku. Hackované nebo infikované počítače jsou vyčištěny a všichni se vrátí k podnikání jako obvykle, aniž by věděli, zda jsou systémy chráněny lépe, než kdyby se dostaly na první místo.
Některé aplikace protokolují věci ve výchozím nastavení. Webové servery jako IIS a Apache obecně zaznamenávají veškerou příchozí přenos. To se používá hlavně k tomu, jak mnoho lidí navštívilo webovou stránku, jakou IP adresu používají a jakoukoli jinou informaci o typu metrik týkajících se webových stránek. Ale v případě červů, jako je CodeRed nebo Nimda, mohou webové protokoly také ukázat, když se infikované systémy pokoušejí o přístup k vašemu systému, protože mají určité příkazy, které se pokoušejí, které se v protokolech objeví, zda jsou úspěšné nebo ne.
Některé systémy mají různé funkce pro kontrolu a protokolování. Můžete také nainstalovat další software pro sledování a zaznamenávání různých akcí v počítači (viz Nástroje v odkazovacím poli vpravo od tohoto článku). Na počítači se systémem Windows XP Professional jsou k dispozici možnosti auditu událostí přihlašování účtu, správy účtů, přístupu k adresářové službě, událostí přihlášení, přístupu k objektům, změně zásad, používání oprávnění, sledování procesů a událostí systému.
Pro každý z nich můžete zvolit protokol o úspěchu, selhání nebo nic. Použití systému Windows XP Pro jako příkladu, pokud jste nepovolili žádné protokolování pro přístup k objektům, byste neměli žádný záznam o tom, kdy byl soubor nebo složka naposledy přístupný. Pokud jste povolili pouze protokolování selhání, měli byste záznamy o tom, kdy se někdo pokusil o přístup k souboru nebo složce, ale selhal kvůli tomu, že nemá správná oprávnění nebo oprávnění, ale neměl byste mít záznam o tom, kdy oprávněný uživatel přistupoval k souboru nebo složce .
Vzhledem k tomu, že hacker může velmi dobře používat rozbité uživatelské jméno a heslo, může být schopen úspěšně přistupovat k souborům. Pokud si prohlížíte protokoly a uvidíte, že Bob Smith smazal finanční výkaz společnosti v neděli 3.am, může být bezpečné předpokládat, že Bob Smith spal a že možná jeho uživatelské jméno a heslo byly ohroženy . V každém případě nyní víte, co se stalo se spisem a kdy a dává vám výchozí bod pro zkoumání toho, jak se to stalo.
Jak protokolování o selhání, tak úspěch může poskytnout užitečné informace a stopy, ale musíte vyvážit aktivity monitorování a protokolování s výkonem systému. Použitím výše uvedeného příkladu knihy o lidských knihách by to pomohlo vyšetřovatelům, kdyby lidé vedli záznamy o všem, s nimiž se dostali do styku, a co se stalo během interakce, ale určitě by to zpomalilo lidi.
Pokud jste museli zastavit a napsat, kdo, co a kdy pro každé setkání, které jste měli celý den, by to mohlo vážně ovlivnit vaši produktivitu. Totéž platí pro sledování a protokolování činnosti počítače. Můžete povolit každou možnost selhání a úspěšné protokolování a budete mít velmi podrobný záznam o všem, co se děje ve vašem počítači. Avšak budete mít vážný dopad na výkon, protože procesor bude mít zaneprázdněný záznam 100 různých záznamů v protokolech pokaždé, když někdo stiskne tlačítko nebo klikne na svou myš.
Musíte zvážit, jaký druh těžby dřeva by byl prospěšný s dopadem na výkon systému a přijít s rovnováhou, která vám nejlépe vyhovuje. Měli byste také mít na paměti, že mnoho hackerských nástrojů a programů pro trojské koně, jako je Sub7, obsahuje nástroje, které jim umožňují změnit soubory protokolu, aby zakryly své akce a skryli vniknutí, takže se nemůžete spoléhat na soubory protokolu o 100%.
Můžete se vyhnout některým problémům s výkonem a případně problémům s utajováním nástrojů hackerů tím, že při nastavování protokolování zohledníte určité věci. Musíte odhadnout, jak velké budou soubory protokolu a ujistěte se, že máte dostatek místa na disku. Také je třeba nastavit zásady, zda budou staré protokoly přepsány nebo odstraněny, nebo chcete denní, týdenní nebo jiná pravidelná archivace protokolů, abyste získali starší data, aby se také mohli podívat zpět.
Pokud je možné použít vyhrazený pevný disk a / nebo řadič pevného disku, budete mít menší dopad na výkon, protože soubory protokolu lze zapsat na disk, aniž byste museli bojovat s aplikacemi, které se pokoušíte spustit pro přístup k jednotce. Pokud můžete soubory protokolu směrovat do samostatného počítače - případně vyhrazeného pro ukládání souborů protokolu a zcela odlišných bezpečnostních nastavení - můžete být schopni zablokovat schopnost narušitelů také změnit nebo odstranit soubory protokolu.
Poslední poznámkou je, že byste neměli čekat, až bude příliš pozdě a váš systém je již před prohlížením protokolů havarován nebo ohrožen. Nejlepší je pravidelně kontrolovat protokoly, abyste věděli, co je normální, a nastavte základní hodnotu. Tímto způsobem, když se setkáte s chybnými záznamy, můžete je rozpoznat jako takové a podniknout proaktivní kroky ke zpevnění vašeho systému spíše než provádět forenzní vyšetřování poté, co je příliš pozdě.