Треба да планирате напред за да го фатиш Натрапникот
Се надеваме дека ќе ги задржите вашите компјутери скоро и ажурирани и вашата мрежа е безбедна. Меѓутоа, прилично неизбежно е дека во одреден момент ќе бидете погодени од злонамерни активности - вирус , црв , тројански коњ, хакерски напад или на друг начин. Кога тоа ќе се случи, ако сте го направиле вистинските работи пред нападот, ќе ја направите задачата да определите кога и како нападот успеал многу полесно.
Ако некогаш сте го гледале телевизиското шоу CSI , или само за било која друга полициска или правна ТВ-емисија, знаете дека дури и со најтенкиот дел од форензички докази, иследниците можат да го идентификуваат, следат и да го фатат сторителот на кривичното дело.
Но, не би било ли убаво ако не треба да се пресекуваат низ влакна за да ја најдат една коса што всушност му припаѓа на сторителот и да направи ДНК-тестирање за да го идентификува својот сопственик? Што ако имало евиденција на секој човек со кого дојдоа во контакт и кога? Што ако имало запис за тоа што е направено на тоа лице?
Ако тоа беше случај, истражувачите како оние во CSI би можеле да бидат надвор од бизнисот. Полицијата ќе го пронајде телото, ќе го провери рекордот за да види кој последен пат стапил во контакт со починатиот и што е направено и тие веќе би имале идентитет без да мора да копаат. Ова е она што се најавува во смисла на обезбедување на форензички докази кога има злонамерна активност на вашиот компјутер или мрежа.
Ако мрежниот администратор не се вклучи да влезете или не се најавите на точните настани, ископувањето на форензички докази за да се идентификуваат времето и датумот или методот на неовластен пристап или друга злонамерна активност може да биде исто толку тешко како да ја барате пословичната игла во сено. Често коренот на напад никогаш не е откриен. Оштетените или заразените машини се исчистени и секој се враќа во бизнисот како и обично, без вистински да знаат дали системите се заштитени било подобро отколку што беа кога беа погодени на прво место.
Некои апликации стандардно се логираат работите. Веб серверите како што се IIS и Apache генерално се логираат сите дојдовни сообраќај. Ова главно се користи за да се види колку луѓе ја посетија веб страната, која IP адреса ја користеле и други информации за тип на метрика во врска со веб-страницата. Но, во случај на црви како CodeRed или Nimda, веб-логовите исто така може да ви покажат кога заразените системи се обидуваат да пристапат до вашиот систем, бидејќи тие имаат одредени команди што се обидуваат да се појават во дневниците дали се успешни или не.
Некои системи имаат вградени различни функции за ревизија и влезете. Можете исто така да инсталирате дополнителен софтвер за следење и најавување на различни дејства на компјутерот (видете Алатки во полето за врски, десно од овој член). На машината за Windows XP Professional постојат опции за ревизија на настани за најавување на сметки, управување со сметки, пристап до директориумот, настани за најавување, пристап до објект, промена на политиката, употреба на привилегии, следење на процесот и системски настани.
За секоја од овие можете да изберете да се најавите успех, неуспех или ништо. Користејќи го Windows XP Pro како пример, ако не сте овозможиле било каков најава за пристап до објект, немате запис за тоа кога датотеката или папката биле последно посетени. Ако дозволивте само регистрирање на неуспех, ќе имате евиденција за тоа кога некој се обиде да пристапи до датотеката или папката, но не успеа поради тоа што немаше соодветни дозволи или овластувања, но нема да имате евиденција за тоа кога овластен корисник ја примил датотеката или папката .
Бидејќи хакер многу добро може да користи скршен корисничко име и лозинка, тие можеби ќе можат успешно да пристапат до датотеките. Ако ги видите дневниците и гледате дека Боб Смит ја избришал финансиската изјава на компанијата во 3 часот во неделата, можеби е безбедно да се претпостави дека Боб Смит спиел и дека можеби неговото корисничко име и лозинка се компромитирани . Во секој случај, сега знаеш што се случи со датотеката и кога и ти дава почетна точка за истражување како се случило.
И откажувањето и успешното евидентирање може да обезбедат корисни информации и индиции, но мора да ги балансирате вашите активности за следење и логирање со перформансите на системот. Користејќи го примерот со хумани книги од погоре, тоа ќе им помогне на истражувачите ако луѓето чуваат дневник на сите со кого дојдоа во контакт и што се случило за време на интеракцијата, но сигурно ќе ги забави луѓето.
Ако требаше да застанете и да запишете кој, што и кога за секоја средба што ја имавте целиот ден може сериозно да влијае на вашата продуктивност. Истото важи и за следење и логирање на компјутерските активности. Можете да овозможите секоја можна опција за пријавување на неуспех и успех и ќе имате многу детален запис за сè што се случува на вашиот компјутер. Сепак, сериозно ќе влијаете врз перформансите, бидејќи процесорот ќе биде зафатен со снимање на 100 различни записи во дневникот секој пат кога некој ќе притисне копче или ќе кликне на глувчето.
Мора да размислите какви видови влезени би биле корисни со влијанието врз перформансите на системот и да го изнајдеме балансот што најдобро функционира за вас. Треба исто така да се има предвид дека многу хакерски алатки и програми за тројански коњ, како што е Sub7, вклучуваат комунални услуги кои им дозволуваат да ги менуваат датотеките на логовите за да ги сокријат своите постапки и да ја сокријат упад, така што не можете да се потпрете на 100% на лог датотеките.
Можете да избегнете некои од проблемите со перформансите и можеби проблемите со прикривањето на хакерите со преземање на одредени работи при поставувањето на вашето најавување. Треба да се измери колку големи ќе бидат лог датотеки и да се осигурате дека имате доволно простор на дискот на прво место. Исто така треба да поставите политика за тоа дали старите записи ќе бидат препишани или избришани или ако сакате да ги архивирате дневниците на дневна, неделна или друга периодична основа, така што ќе имате постари податоци за да се вратите назад.
Ако е можно да користите посветен хард диск и / или хард диск контролер, ќе имате помало влијание врз перформансите, бидејќи датотеките на лог можат да бидат запишани на дискот, без да морате да се борите со апликациите што се обидувате да ги стартувате за пристап до уредот. Ако можете да ги насочите лог датотеките на посебен компјутер - можеби посветен на складирање на лог датотеки и со сосема различни поставувања за безбедност - можеби ќе можете да блокирате способност на натрапникот да ги измени или избрише лог датотеките, како и.
Последна забелешка е дека не треба да чекате додека не е предоцна и вашиот систем веќе се урна или компромитира пред да ги видите дневниците. Најдобро е да ги разгледате дневниците периодично за да можете да знаете што е нормално и да воспоставите основно ниво. На тој начин, кога ќе наидете на погрешни записи, можете да ги препознаете како такви и да преземете проактивни чекори за зацврстување на вашиот систем, наместо да ја вршите форензичката истрага, откако ќе биде предоцна.