Trebuie să planificați mai departe pentru a prinde un intrus
Sperăm să vă păstrați calculatoarele patch-uri și actualizate, iar rețeaua dvs. este sigură. Cu toate acestea, este destul de inevitabil ca, la un moment dat, să fiți afectați de activități rău intenționate - un virus , un vierme , un cal troian , un atac hacker sau altfel. Când se întâmplă acest lucru, dacă ați făcut lucrurile potrivite înainte de atac, veți face treaba de a determina când și cum a reușit atacul cu mult mai ușor.
Dacă ați vizionat vreodată emisiunea TV CSI sau doar despre orice altă emisiune de poliție sau de televiziune legală, știți că, chiar și cu cele mai subțiri de dovezi legale , anchetatorii pot identifica, urmări și prinde pe autorul unei crime.
Dar nu ar fi bine dacă nu ar fi trebuit să treacă prin fibre să găsească singurul păr care aparține făptuitorului și să facă teste ADN pentru a-și identifica proprietarul? Dacă ar fi existat o evidență a fiecărei persoane cu care au intrat în contact și când? Dacă ar fi existat o înregistrare a ceea ce sa făcut cu acea persoană?
Dacă s-ar întâmpla așa, anchetatorii ca cei din CSI s-ar putea să fie în afara afacerii. Poliția va găsi corpul, va verifica înregistrarea pentru a vedea cine a intrat ultima dată în contact cu decedatul și ce sa făcut și că ar avea deja identitatea fără să se sapă. Aceasta este ceea ce oferă logarea în ceea ce privește furnizarea de probe legale atunci când există o activitate rău intenționată pe computer sau rețea.
Dacă un administrator de rețea nu pornește logarea sau nu înregistrează evenimentele corecte, saparea probelor medico-legale pentru a identifica ora și data sau metoda accesului neautorizat sau a altei activități răutăcioase poate fi la fel de dificilă ca și căutarea acului proverbial într-o carul cu fân. Adesea, cauza principală a unui atac nu este descoperită niciodată. Mecanismele hackate sau infectate sunt curățate și toată lumea revine la lucru ca de obicei, fără a ști cu adevărat dacă sistemele sunt protejate mai bine decât atunci când au fost lovite în primul rând.
Unele aplicații înregistrează lucrurile în mod implicit. Serverele web precum IIS și Apache înregistrează, în general, tot traficul de intrare. Acest lucru este folosit în principal pentru a vedea cât de mulți oameni au vizitat site-ul web, ce adresa IP au folosit și alte informații despre tipările referitoare la site-ul web. Dar, în cazul viermilor, cum ar fi CodeRed sau Nimda, jurnalele web vă pot arăta, de asemenea, când sistemele infectate încearcă să vă acceseze sistemul deoarece au anumite comenzi pe care le încearcă să le afișeze în jurnale dacă au succes sau nu.
Unele sisteme au funcții de audit și logare diferite. De asemenea, puteți instala software suplimentar pentru a monitoriza și înregistra diverse acțiuni pe computer (consultați Instrumentele din caseta de link-uri din dreapta acestui articol). Pe o mașină Windows XP Professional există opțiuni pentru a controla evenimentele de conectare la cont, gestionarea contului, accesarea serviciului de directoare, evenimentele de conectare, accesul la obiecte, modificarea politicii, utilizarea privilegiilor, urmărirea proceselor și evenimentele de sistem.
Pentru fiecare dintre acestea puteți alege să înregistrați succesul, eșecul sau nimic. Folosind Windows XP Pro ca exemplu, dacă nu ați activat niciun jurnal pentru accesul la obiecte, nu ați avea nici o înregistrare când a fost accesat ultimul fișier sau dosar. Dacă ați activat numai înregistrarea insucceselor, ați avea o înregistrare când cineva a încercat să acceseze fișierul sau dosarul, dar nu a reușit să nu dețină permisiunile sau autorizația corespunzătoare, dar nu ați avea o înregistrare când un utilizator autorizat a accesat fișierul sau dosarul .
Deoarece un hacker ar putea foarte bine să utilizeze un nume de utilizator și o parolă cracate, este posibil să aibă acces la fișiere cu succes. Dacă vedeți jurnalele și vedeți că Bob Smith a șters declarația financiară a companiei la ora 3 dimineața, ar putea fi sigur să presupunem că Bob Smith dormea și că probabil numele de utilizator și parola lui au fost compromise . În orice caz, știți acum ce sa întâmplat cu dosarul și când și acesta vă oferă un punct de plecare pentru a investiga cum sa întâmplat.
Atât înregistrarea nereușită, cât și succesul pot oferi informații utile și indicii, dar trebuie să vă echilibrați activitățile de monitorizare și logare cu performanța sistemului. Folosind exemplul cărții de evidență a oamenilor de sus, ar fi ajutat anchetatorii dacă oamenii ar fi ținut un jurnal al tuturor celor cu care au intrat în contact și a ceea ce sa întâmplat în timpul interacțiunii, dar ar încetini cu siguranță oamenii în jos.
Dacă a trebuit să vă opriți și să notați cine, ce și când pentru fiecare întâlnire pe care ați avut toată ziua, s-ar putea să vă afectați semnificativ productivitatea. Același lucru este valabil și pentru monitorizarea și logarea activităților pe computer. Puteți activa toate opțiunile de eșec și înregistrare de succes și veți avea o evidență foarte detaliată a tot ceea ce se întâmplă în calculatorul dvs. Cu toate acestea, veți avea un impact puternic asupra performanței, deoarece procesorul va fi ocupat cu înregistrarea a 100 de intrări diferite în jurnalele de fiecare dată când cineva apasă un buton sau dă clic pe mouse.
Trebuie să cântăriți ce tipuri de exploatări ar fi benefice cu impactul asupra performanței sistemului și să găsiți echilibrul care funcționează cel mai bine pentru dvs. De asemenea, trebuie să aveți în vedere faptul că multe instrumente hacker și programe de cal troian , cum ar fi Sub7, includ utilitare care le permit să modifice fișierele jurnal pentru a ascunde acțiunile lor și pentru a ascunde intruziunea, astfel încât să nu puteți baza 100% pe fișierele jurnal.
Puteți evita problemele de performanță și, eventual, problemele de ascundere a instrumentelor de hacker, luând în considerare anumite lucruri atunci când configurați logarea. Trebuie să măsurați cât de mari vor fi fișierele jurnal și să vă asigurați că aveți suficient spațiu pe disc în primul rând. De asemenea, trebuie să configurați o politică pentru a verifica dacă jurnalele vechi vor fi suprascrise sau șterse sau dacă doriți să arhivați jurnalele pe o bază periodică zilnică, săptămânală sau de altă natură, astfel încât să aveți date mai vechi pentru a privi înapoi.
Dacă este posibil să utilizați un hard disk dedicat și / sau un controler de hard disk, veți avea un impact mai mic asupra performanței, deoarece fișierele de jurnal pot fi scrise pe disc fără a trebui să luptați cu aplicațiile pe care încercați să le rulați pentru a accesa unitatea. Dacă puteți direcționa fișierele de jurnal pe un computer separat - posibil dedicat stocării fișierelor de jurnal și cu setări de securitate complet diferite - este posibil să puteți bloca capacitatea unui intrus de a modifica sau șterge și fișierele jurnal.
O notă finală este că nu trebuie să așteptați până când este prea târziu și sistemul dvs. este deja prăbușit sau compromis înainte de vizualizarea jurnalelor. Cel mai bine este să revizuiți jurnalele periodic, astfel încât să puteți ști ce este normal și să stabiliți o linie de bază. În acest fel, când întâlniți intrări eronate, le puteți recunoaște ca atare și puteți lua pași proactivi pentru a vă întări sistemul în loc să faceți investigația medico - legală după ce este prea târziu.