Трябва да планирате по-надалеч да хванете нарушител
Надяваме се да запазите компютрите си подвързани и актуализирани, а вашата мрежа е сигурна. Обаче, неизбежно е в някакъв момент да бъдете засегнати от злонамерена дейност - вирус , червей , троянски кон, хакерски атаки или по друг начин. Когато това се случи, ако сте направили правилните неща преди атаката, ще направите задачата да определите кога и как атаката успява много по-лесно.
Ако някога сте гледали телевизионното предаване CSI или почти всяко друго полицейско или юридическо телевизионно шоу, знаете, че дори и с най-тънкия брой съдебни доказателства, следователите могат да идентифицират, проследят и хванат извършителя на престъпление.
Но не би било хубаво, ако не трябва да пресяват влакна, за да открият косата, която всъщност принадлежи на извършителя, и да тестват ДНК, за да идентифицират собственика си? Ами ако имаше запис на всеки човек, с когото дойдоха в контакт и кога? Какво щеше да стане, ако имаше отчет за това, което беше направено с този човек?
Ако случаят е такъв, изследователите като тези в CSI може да не са в бизнеса. Полицията ще намери тялото, ще провери рекорда, за да види кой последно е влязъл в контакт с починалия и какво е станало и че вече ще имат самоличността, без да се налага да копаят. Това е, което дърводобива предоставя по отношение на предоставяне на съдебно доказателство, когато има злонамерени дейност на вашия компютър или мрежа.
Ако мрежовият администратор не включи регистрацията или не регистрира правилните събития, изкореняването на съдебни доказателства, за да определи времето и датата или метода на неоторизиран достъп или друга злонамерена дейност, може да бъде също толкова трудно, колкото търсенето на пословичната игла в купа сено. Често основната причина за нападение никога не се открива. Опростените или заразените машини се почистват и всеки се връща към бизнеса както обикновено, без да знае истински дали системите са защитени по-добре от това, което бяха, когато се удариха на първо място.
Някои приложения регистрират неща по подразбиране. Уеб сървърите като IIS и Apache обикновено регистрират всички входящи трафик. Това се използва главно, за да видите колко хора посетиха уеб сайта, какъв IP адрес са използвали и други данни за типа метрики, отнасящи се до уеб сайта. Но в случай на червеи като CodeRed или Nimda, уеб дневниците могат също да ви покажат, когато заразените системи се опитват да получат достъп до вашата система, защото имат определени команди, които се опитват да се появят в дневниците, независимо дали са успешни или не.
Някои системи имат вградени различни функции за одит и записване. Можете да инсталирате и допълнителен софтуер за наблюдение и записване на различни действия на компютъра (вижте Инструменти в полето за връзка отдясно на тази статия). На машина с Windows XP Professional има опции за събития при влизане в одит, управление на акаунт, достъп до директория, събития при влизане, достъп до обекти, промяна на правилата, използване на привилегии, проследяване на процеси и системни събития.
За всеки от тях можете да изберете да регистрирате успех, провал или нищо. Като използвате Windows XP Pro като пример, ако не сте активирали никакво регистриране за достъп до обект, няма да имате запис на последния достъп до файла или папката. Ако сте активирали само регистрирането на неизправности, бихте имали запис, когато някой се е опитал да осъществи достъп до файла или папката, но не е успял да получи съответните разрешения или разрешения, но няма да имате запис за това кога оторизиран потребител е осъществил достъп до файла или папката ,
Тъй като хакерът може много добре да използва изкривено потребителско име и парола, той може успешно да има достъп до файловете. Ако видите дневниците и видите, че Боб Смит е изтрил финансовия отчет на дружеството в 3 часа в неделя, може би е сигурно да предположите, че Боб Смит спи и че вероятно потребителското му име и паролата са били компрометирани . Във всеки случай вече знаете какво се е случило с файла и кога и то ви дава начална точка за разследване как се е случило.
И двата провала и успешното регистриране могат да осигурят полезна информация и улики, но трябва да балансирате дейностите си за наблюдение и регистриране с ефективността на системата. Използвайки примера с човешката регистрационна книга отгоре, това би помогнало на следователите, ако хората държат дневник на всеки, с когото са се свързали, и какво се е случило по време на взаимодействието, но със сигурност би забавило хората.
Ако трябва да спрете и да запишете кой, какво и кога за всяка среща, през която сте имали цял ден, това може сериозно да повлияе върху вашата производителност. Същото важи и за мониторинга и регистрирането на компютърната дейност. Можете да активирате всяка възможна опция за проваляне и успешно записване и ще имате много подробен запис на всичко, което се случва в компютъра ви. Обаче ще окажете сериозно влияние върху производителността, защото процесорът ще бъде зает да записва 100 различни записа в дневниците всеки път, когато някой натисне бутон или кликне върху мишката.
Трябва да се прецени какъв вид дърводобив ще бъде от полза за въздействието върху работата на системата и да излезе балансът, който работи най-добре за вас. Също така трябва да имате предвид, че много хакерски програми и програми за троянски кон, като Sub7, включват помощни програми, които им позволяват да променят регистрационните файлове, за да прикрият действията си и да скрият проникването, така че да не можете да разчитате 100% на лог файловете.
Можете да избегнете някои от проблемите, свързани с ефективността и евентуално проблемите с прикриването на инструментите на хакерите, като вземете предвид някои неща при настройването на регистрацията. Трябва да прецените доколко големи са лог файловете и да се уверите, че имате достатъчно място на диска. Също така трябва да настроите политика за това дали старите дневници ще бъдат презаписани или изтрити или ако искате да архивирате дневниците на дневна, седмична или друга периодична основа, така че да имате и по-стари данни, за да се върнете обратно към тях.
Ако е възможно да използвате специален твърд диск и / или контролер за твърд диск, ще имате по-малко въздействие върху производителността, защото регистрационните файлове могат да се записват на диска, без да се налага да се биете с приложенията, които се опитвате да изпълните за достъп до устройството. Ако можете да насочите регистрационните файлове към отделен компютър - възможно е посветен на съхранение на журнални файлове и с напълно различни настройки за сигурност - може да сте в състояние да блокирате способността на нарушителя да променя или изтрива регистрационните файлове.
Последна бележка е, че не трябва да чакате, докато е твърде късно и вашата система вече е разбита или компрометирана, преди да видите дневниците. Най-добре е периодично да преглеждате регистрационните файлове, за да можете да знаете какво е нормално и да създадете базова линия. По този начин, когато срещнете грешни вписвания, можете да ги разпознаете като такива и да предприемате проактивни стъпки, за да втвърдите системата си, вместо да правите криминалистичното разследване, след като е станало твърде късно.