Morate planirati naprijed da uhvatite uljeza
Nadamo se da bi vaši računi bili zakrčeni i ažurirani, a mreža je sigurna. Međutim, prilično je neizbježno da ćete u nekom trenutku biti pogođeni zlonamjernom aktivnošću - virusom , crvima , trojanskim konjima, napadom na hakiranje ili na drugi način. Kada se to dogodi, ako ste prije napada napravili prave stvari, odlučit ćete kada i kako je taj napad uspio mnogo lakše.
Ako ste ikad gledali TV emisiju CSI , ili samo o bilo kojoj drugoj policijskoj ili pravnoj televizijskoj emisiji, znate da čak i kod najtalentiranijih forenzičkih dokaza istražitelji mogu identificirati, pratiti i uhvatiti počinitelja zločina.
Ali, ne bi li bilo lijepo ako nisu morali prosijati vlakna kako bi pronašli jednu kosu koja zapravo pripada počinitelju i obaviti DNA testiranje kako bi identificirala vlasnika? Što ako je na svakoj osobi bila evidencija o tome s kim su došli u kontakt i kada? Što ako se čuva zapis onoga što je učinjeno tu osobu?
Ako je to bio slučaj, istražitelji poput onih u CSI-u možda su izvan posla. Policija će pronaći tijelo, provjeriti rekord da vidi tko je posljednji put došao u kontakt sa pokojnikom i što je učinjeno i da će već imati identitet bez da kopaju. To je ono što bilježenje pruža u smislu dostavljanja forenzičkih dokaza kada postoji zlonamjerna aktivnost na vašem računalu ili mreži.
Ako mrežni administrator ne uključi prijavljivanje ili ne prijavi ispravne događaje, kopiranje forenzičkih dokaza za utvrđivanje vremena i datuma ili načina neovlaštenog pristupa ili druge zlonamjerne aktivnosti može biti jednako teško kao traženje poslovične igle u plast. Često glavni uzrok napada nikada se ne otkrije. Hackirani ili zaraženi strojevi se čiste i svi se vraćaju na posao kao i obično, a da uopće ne znaju jesu li sustavi zaštićeni bilo kakvima bolje nego što su bili kad su na prvom mjestu.
Neke aplikacije prijavljuju stvari prema zadanim postavkama. Web poslužitelji poput IIS-a i Apache općenito bilježe sav dolazni promet. To se prvenstveno koristi za vidjeti koliko je ljudi posjetilo web stranicu, koju IP adresu koriste i druge informacije o mjerilima koje se odnose na web stranicu. No, u slučaju crva poput CodeRed ili Nimda, web zapisi mogu vam pokazati i kada zaraženi sustavi pokušavaju pristupiti vašem sustavu jer imaju određene naredbe koje pokušavaju da se prikažu u zapisima bez obzira jesu li uspješne ili ne.
Neki sustavi imaju različite funkcije revizije i bilježenja. Također možete instalirati dodatni softver za praćenje i prijavu različitih radnji na računalu (pogledajte Alati u linkboxu desno od ovog članka). Na stroj za Windows XP Professional postoje opcije za reviziju događaja prijave računa, upravljanje računom, pristup usluzi imenika, prijavu događaja, pristup objektu, promjenu pravila, korištenje povlastica, praćenje procesa i događaji sustava.
Za svaki od njih možete odabrati prijavu uspjeha, neuspjeha ili ništa. Upotrebom programa Windows XP Pro kao primjer, ako niste omogućili prijavu za pristup objektu, ne bi bilo zapisa o datumu zadnje pristupnice datoteke ili mape. Ako ste omogućili samo zapisivanje neuspjelih, imat ćete zapis o tome kada je netko pokušao pristupiti datoteci ili mapi, ali nije uspio zbog neopravdanih dozvola ili autorizacije, ali ne biste imali evidenciju o tome kada je ovlašteni korisnik pristupio datoteci ili mapi ,
Budući da haker može dobro koristiti ispucalu korisničko ime i zaporku, možda će moći uspješno pristupiti datotekama. Ako pogledate zapisnike i vidite da je Bob Smith izbacio financijsko izvješće tvrtke u 3 ujutro u nedjelju, bilo bi sigurno pretpostaviti da je Bob Smith spavao i da je možda njegovo korisničko ime i zaporka ugrožena . U svakom slučaju, sada znate što se dogodilo datoteci i kada i to vam daje polaznu točku za istraživanje kako se to dogodilo.
I neuspjeh i bilježenje uspjeha mogu pružiti korisne informacije i tragove, ali morate uravnotežiti aktivnosti praćenja i bilježenja s performansama sustava. Koristeći gore navedeni primjer ljudske knjige rekorda - pomoći će istražiteljima da li su ljudi vodili zapisnik o svima s kojima su došli u kontakt i što se dogodilo tijekom interakcije, ali sigurno bi usporilo ljude.
Ako ste morali prestati i zapisati tko, što i kada za svaki susret koji ste imali cijeli dan, to bi moglo jako utjecati na vašu produktivnost. Isto vrijedi i za praćenje i bilježenje aktivnosti računala. Možete omogućiti svaku moguću pogrešku i mogućnost bilježenja uspjeha te ćete imati vrlo detaljan zapis o svemu što se događa na vašem računalu. Međutim, teško ćete utjecati na performanse jer će procesor biti zauzet snimanjem 100 različitih unosa u zapisima svaki put kad netko pritisne gumb ili klikne mišem.
Morate utvrditi kakve bi zapisivanje bilo korisno s utjecajem na performanse sustava i ispostaviti ravnotežu koja vam najbolje odgovara. Imajte na umu da mnogi hakeri i trojanski programi poput Sub7 uključuju alate koji im omogućuju da mijenjaju zapisničke datoteke kako bi prikrili svoje radnje i sakrili upad, tako da se ne možete osloniti na log datoteke.
Možete izbjeći neke od problema s performansama i eventualno hakiranje hakera pomoću određenih stvari prilikom postavljanja bilježenja. Morate odrediti koliko će velike datoteke zapisnika dobiti i osigurati dovoljno prostora na disku na prvom mjestu. Također morate postaviti pravila o tome da li će se stari zapisi prepisati ili izbrisati ili ako želite arhivirati zapise na dnevnoj, tjednoj ili drugoj periodičnoj osnovi, tako da imate i starije podatke koji će se i dalje osvrnuti.
Ako je moguće koristiti namjenski hard disk i / ili kontroler tvrdog diska, imat ćete manje utjecaja na performanse jer se zapisničke datoteke mogu zapisati na disk bez potrebe za borbom s aplikacijama koje pokušavate pokrenuti za pristup pogonu. Ako dnevne datoteke možete usmjeriti na zasebno računalo - možda posvećeno pohranjivanju dnevnika i potpuno drugačijim sigurnosnim postavkama - možda ćete blokirati mogućnost ulasnika da izmijeni i brisne i zapisničke datoteke.
Konačna nota je da ne biste trebali pričekati dok ne bude kasno, a vaš je sustav već srušen ili ugrožen prije nego što pregledate zapisnike. Najbolje je periodično pregledati zapise tako da možete znati što je normalno i uspostaviti osnovnu liniju. Na taj način, kada naiđete na pogrešne unose, možete ih prepoznati kao takve i poduzeti proaktivne korake kako biste očvrsli svoj sustav umjesto da provodite forenzičku istragu nakon što je prekasno.