Musíte plánovať dopredu chytiť útočníka
Dúfajme, že vaše počítače budú aktualizované a aktualizované a vaša sieť bude bezpečná. Je však celkom nevyhnutné, aby ste v istom momente boli zasiahnutí škodlivými aktivitami - vírusom , červom , trójskym koňom, útokom v podobe útoku alebo inak. Keď k tomu dôjde, ak ste urobili správne veci pred útokom, urobíte prácu určenia, kedy a ako sa útok úspešne uľahčil.
Ak ste niekedy sledovali televíznu reláciu CSI alebo akúkoľvek inú políciu alebo legálnu televíznu reláciu, viete, že aj pri najtenšom rozdelení forenzných dôkazov môžu vyšetrovatelia identifikovať, sledovať a chytať páchateľa trestného činu.
Ale nebolo by pekné, keby nemuseli prebodávať vlákna, aby našli jediné vlasy, ktoré skutočne patrí páchateľovi a robia testy DNA na identifikáciu svojho majiteľa? Čo keby bol zaznamenaný záznam o každej osobe, s ktorou sa dostali do kontaktu a kedy? Čo keby bol zaznamenaný záznam o tom, čo sa s touto osobou stalo?
Ak by to tak bolo, vyšetrovatelia, ktorí majú podobu v CSI, by mohli byť mimo podnikania. Polícia nájde telo, skontroluje záznam, aby zistil, kto naposledy prišiel do styku s zosnulou a čo sa urobilo a už by mali totožnosť bez toho, aby museli kopať. To je to, čo poskytuje protokolovanie, pokiaľ ide o poskytovanie forenzných dôkazov, keď je na vašom počítači alebo sieti škodlivá aktivita.
Ak správca siete nezapne protokolovanie alebo nezaznamená správne udalosti, vykopanie forenzných dôkazov s cieľom určiť čas a dátum alebo spôsob neoprávneného prístupu alebo inej škodlivej aktivity môže byť rovnako zložité ako hľadanie príslovečnej ihly v kope sena. Často nie je objavená hlavná príčina útoku. Hackované alebo infikované počítače sú vyčistené a všetci sa vrátia do práce ako obvykle bez toho, aby skutočne vedeli, či sú systémy chránené oveľa lepšie, ako boli, keď sa dostali na prvé miesto.
Niektoré aplikácie protokolujú predvolené nastavenia. Webové servery ako IIS a Apache spravidla zaznamenávajú všetku prichádzajúcu návštevnosť. Používa sa predovšetkým na to, koľko ľudí navštívilo webovú lokalitu, akú IP adresu používali a iné informácie o metrických údajoch týkajúce sa webových stránok. Ale v prípade červov ako CodeRed alebo Nimda môžu webové protokoly tiež ukázať, keď sa infikované systémy pokúšajú pristupovať k vášmu systému, pretože majú určité pokusy, ktoré sa pokúsia zobraziť v protokoloch, či sú úspešné alebo nie.
Niektoré systémy majú zabudované rôzne funkcie kontroly a zaznamenávania. Môžete tiež nainštalovať ďalší softvér na monitorovanie a zaznamenávanie rôznych akcií v počítači (pozrite si časť Nástroje v odkazovom riadku vpravo od tohto článku). V počítači so systémom Windows XP Professional sú k dispozícii možnosti auditu udalostí prihlasovania účtu, správy účtu, prístupu k adresárovej službe, udalosti prihlásenia, prístupu k objektom, zmeny pravidiel, používania práv, sledovania procesov a systémových udalostí.
Pre každý z nich môžete zvoliť zaznamenanie úspechu, zlyhania alebo nič. Ak používate systém Windows XP Pro ako príklad, ak ste nepovolili žiadne prihlásenie na prístup k objektom, nemali by ste žiaden záznam o tom, kedy bol naposledy sprístupnený súbor alebo priečinok. Ak ste povolili iba zaznamenávanie porúch, mali by ste zaznamenať, kedy sa niekto pokúsil získať prístup k súboru alebo priečinku, ale zlyhal v dôsledku toho, že nemá potrebné oprávnenia alebo oprávnenie, ale nemali by ste mať záznam o tom, kedy oprávnený používateľ pristupoval k súboru alebo priečinku ,
Pretože hacker môže veľmi dobre používať rozbité používateľské meno a heslo, môže byť schopný úspešne pristupovať k súborom. Ak si prezeráte záznamy a uvidíte, že Bob Smith v nedeľu vylúčil finančnú závierku spoločnosti, mohlo by to byť bezpečne predpokladať, že Bob Smith spal a že jeho používateľské meno a heslo boli pravdepodobne ohrozené . V každom prípade teraz viete, čo sa stalo so súborom a kedy a dáva vám začiatok pre vyšetrovanie toho, ako sa to stalo.
Zlyhanie aj úspešné zaznamenávanie môžu poskytnúť užitočné informácie a stopy, ale musíte vyvažovať aktivity monitorovania a zaznamenávania s výkonom systému. Použitím vyššie uvedeného príkladu ľudskej knihy by to pomohlo vyšetrovateľom, ak ľudia vedeli záznamy o každom, s kým prišli do styku a čo sa stalo počas interakcie, ale určite by to spomalilo ľudí.
Ak ste museli zastaviť a zapísať, kto, čo a kedykoľvek pre každé stretnutie, ktoré ste mali celý deň, to môže vážne ovplyvniť vašu produktivitu. To isté platí pre monitorovanie a zaznamenávanie činnosti počítača. Môžete povoliť každú možnosť zlyhania a úspešného zaznamenávania a budete mať veľmi podrobný záznam o všetkom, čo sa deje vo vašom počítači. Budete však vážne ovplyvňovať výkonnosť, pretože procesor bude mať zaneprázdnené zaznamenávanie 100 rôznych záznamov do denníkov vždy, keď niekto stlačí tlačidlo alebo klikne myšou.
Musíte zvážiť, aké druhy ťažby by boli prospešné s vplyvom na výkon systému a prísť s rovnováhou, ktorá pracuje najlepšie pre vás. Mali by ste tiež mať na pamäti, že mnohé nástroje hackerov a programy trójskeho koňa, ako napríklad Sub7, obsahujú nástroje, ktoré im umožňujú meniť súbory denníkov, aby skryli svoje akcie a skryli narušenie, takže sa nemôžete spoliehať na 100% súbory denníkov.
Môžete sa vyhnúť niektorým problémom s výkonom a pravdepodobne aj problémom s hackerovým nástrojom, keď zoberiete do úvahy určité skutočnosti pri nastavovaní vašej registrácie. Musíte odhadnúť, aké veľké súbory denníkov získajú, a uistite sa, že máte na prvom mieste dostatok miesta na disku. Taktiež je potrebné nastaviť pravidlá, či sa staré denníky prepíšu alebo odstránia, alebo či chcete archivovať denníky, denne, týždenne alebo iné periodické, aby ste mali aj staršie údaje, aby sa mohli pozrieť späť.
Ak je možné použiť špeciálny pevný disk a / alebo ovládač pevného disku, budete mať menší vplyv na výkon, pretože súbory denníka je možné zapisovať na disk bez toho, aby ste museli bojovať s aplikáciami, ktoré sa pokúšate spustiť na prístup k jednotke. Ak môžete nasmerovať súbory denníka na samostatný počítač - prípadne venovaný ukladaniu súborov denníka a s úplne inými bezpečnostnými nastaveniami - môžete zablokovať schopnosť narušiteľa meniť alebo mazať aj súbory denníka.
Posledná poznámka spočíva v tom, že by ste nemali čakať, kým nebude príliš neskoro a váš systém už bude havarovaný alebo ohrozený pred zobrazením denníkov. Najlepšie je pravidelne kontrolovať denníky, aby ste vedeli, čo je normálne a vytvoriť základňu. Týmto spôsobom, keď narazíte na nesprávne zadania, môžete ich rozpoznať ako takých a urobiť proaktívne kroky na vytvrdzovanie vášho systému skôr, ako urobiť forenzné vyšetrovanie po jeho príliš neskoro.