U moet vooraf beplan om 'n indringer te vang
Hopelik hou jy jou rekenaars laai en opgedateer en jou netwerk is veilig. Dit is egter redelik onvermydelik dat jy op 'n stadium met kwaadwillige aktiwiteit getref sal word - 'n virus , wurm , trojaanse perd, hackaanval of andersins. As dit gebeur, as jy die regte dinge voor die aanval gedoen het, sal jy die taak bepaal om te bepaal wanneer en hoe die aanval daarin geslaag het, baie makliker.
As jy ooit die TV-program CSI gekyk het, of net oor enige ander polisie of regs-TV-program, weet jy dat selfs met die smalste stukkie forensiese getuienis die ondersoekers die oortreder kan identifiseer, opspoor en vang.
Maar, sou dit nie lekker wees as hulle nie deur vesel moes sif nie om die een hare te vind wat eintlik aan die dader behoort en DNA-toetsing doen om sy eienaar te identifiseer? Wat as daar 'n rekord gehou word op elke persoon van wie hulle in kontak gekom het en wanneer? Wat as daar 'n rekord gehou word van wat aan daardie persoon gedoen is?
As dit die geval was, sou ondersoekers soos dié in CSI dalk buite besigheid wees. Die polisie sal die liggaam kry, die rekord nagaan om te sien wie die laaste met die oorledene in aanraking gekom het en wat gedoen is en hulle sou reeds die identiteit hê sonder om te grawe. Dit is wat logging verskaf in terme van die voorsiening van forensiese bewyse wanneer daar kwaadwillige aktiwiteite op u rekenaar of netwerk is.
As 'n netwerkadministrateur nie aanmeld nie of nie die korrekte gebeurtenisse teken nie, kan dit net so moeilik wees om die forensiese bewyse te identifiseer om die tyd en datum of metode van ongemagtigde toegang of ander kwaadwillige aktiwiteite te identifiseer. hooimied. Dikwels word die oorsaak van 'n aanval nooit ontdek nie. Hacked of besmette masjiene word skoongemaak en almal gaan gewoonlik terug na die besigheid sonder om werklik te weet of die stelsels beter beskerm word as wat hulle was toe hulle in die eerste plek getref word.
Sommige programme teken standaard by verstek. Webbedieners soos IIS en Apache teken gewoonlik al die inkomende verkeer aan. Dit word hoofsaaklik gebruik om te sien hoeveel mense die webwerf besoek het, watter IP-adres hulle gebruik het en ander statistiek-tipe inligting aangaande die webwerf. Maar in die geval van wurms soos CodeRed of Nimda, kan die weblogs jou ook wys wanneer besmette stelsels probeer om toegang tot jou stelsel te hê, want hulle het sekere opdragte wat hulle probeer wat in die logs sal verskyn of hulle suksesvol is of nie.
Sommige stelsels beskik oor verskeie oudit- en logfunksies wat ingebou is. U kan ook addisionele sagteware installeer om verskeie aksies op die rekenaar te monitor en aan te teken (sien Bykomstighede in die skakelkassie regs van hierdie artikel). Op 'n Windows XP Professional-masjien is daar opsies om rekening-aanmeldingsgebeurtenisse, rekeningbestuur, toegang tot toegangsdiens, aanmeldingsgeleenthede, objek toegang, beleidsverandering, voorreg gebruik, prosesopsporing en stelselgebeurtenisse te oudit.
Vir elk van hierdie kan jy kies om sukses, mislukking of niks te teken. As u Windows XP Pro as voorbeeld gebruik, het u geen rekord van objek toegang gehad nie, het u geen rekord van wanneer 'n lêer of gids laas toeganklik was nie. As jy net aangeskakel het, sal jy 'n rekord hê van wanneer iemand probeer om toegang tot die lêer of vouer te kry, maar misluk omdat die regte magtigings of magtiging nie behaal is nie, maar jy het nie 'n rekord van wanneer 'n gemagtigde gebruiker toegang tot die lêer of vouer het nie. .
Aangesien 'n hacker dalk 'n gekraakte gebruikersnaam en wagwoord kan gebruik, sal dit moontlik wees om toegang tot lêers te verkry. As jy die logs sien en sien dat Bob Smith die maatskappy se finansiële verklaring op Sondag om 03:00 uitgehaal het, is dit veilig om te aanvaar dat Bob Smith geslaap het en dat sy gebruikersnaam en wagwoord dalk in gevaar gestel is . In elk geval weet jy nou wat met die lêer gebeur het en wanneer en dit gee jou 'n beginpunt om te ondersoek hoe dit gebeur het.
Beide mislukking en sukses logging kan nuttige inligting en leidrade verskaf, maar jy moet jou monitering- en aanmeldingsaktiwiteite met stelselprestasie balanseer. Met behulp van die voorbeeld van die menslike rekordboek van bo, sou dit navorsers help as mense 'n teken van almal wat hulle in kontak gehad het en wat tydens die interaksie gebeur het, behou het, maar dit sal mense beslis stadiger maak.
As jy moes stop en skryf wie, wat en wanneer vir elke ontmoeting wat jy die hele dag gehad het, kan dit jou produktiwiteit ernstig beïnvloed. Dieselfde geld vir die monitering en logging van rekenaaraktiwiteite. U kan elke moontlike mislukking en sukses logging opsie aktiveer en u sal 'n baie gedetailleerde rekord hê van alles wat in u rekenaar aangaan. U sal egter die prestasie ernstig beïnvloed, aangesien die verwerker besig sal wees om 100 verskillende inskrywings in die logboeke aan te teken elke keer as iemand op 'n knoppie druk of met die muis kliek.
U moet weeg watter soort logging voordelig sou wees met die impak op stelselprestasie en die balans opspoor wat die beste vir u werk. Jy moet ook in gedagte hou dat baie hacker gereedskap en Trojaanse perdprogramme soos Sub7 ook nutsprogramme bevat wat hulle toelaat om logbestand te verander om hul aksies te verberg en die inbraak te verberg, sodat jy nie 100% op die logbestanden kan vertrou nie.
U kan sommige van die prestasieprobleme en moontlik die verwydering van hacker-instrumente vermy deur sekere dinge in ag te neem wanneer u u aanteken opstel. Jy moet bepaal hoe groot die logbestanddele sal kry en maak seker jy het genoeg skyfspasie in die eerste plek. U moet ook 'n beleid opstel vir die gebruik van ou logboeke, of om die logboeke op 'n daaglikse, weeklikse of ander periodieke basis te argiveer sodat u ouer data ook terugkyk.
As dit moontlik is om 'n toegewyde hardeskyf en / of hardeskyf kontroleerder te gebruik, sal u minder prestasie impak hê omdat die loglêers op die skyf geskryf kan word sonder om te veg teen die programme wat u probeer om toegang tot die stasie te laat loop. As u die loglêers na 'n aparte rekenaar kan stuur - moontlik toegewy aan die stoor van loglêers en met heeltemal verskillende sekuriteitsinstellings, kan u moontlik ook die logboeklêers verander of verwyder.
'N Finale noot is dat jy nie moet wag totdat dit te laat is nie en jou stelsel is alreeds neergestort of gekompromitteer voordat jy die logboeke bekyk. Dit is die beste om die logboeke gereeld te hersien, sodat jy kan weet wat normaal is en 'n basislyn vasstel. Op hierdie manier, as jy verkeerde inskrywings teëkom, kan jy dit as sodanig herken en proaktiewe stappe neem om jou stelsel te verhard eerder as om die forensiese ondersoek na te laat te doen.