Sa pead planeerima enne sissetungi saamist
Loodetavasti hoidke oma arvuteid parandatud ja värskendatud ning teie võrk on turvaline. Siiski on üsna vältimatu, et teid mõnel hetkel tabatakse pahatahtlik tegevus - viirus , uss , trooja hobune, häkkimise rünnak või muul viisil. Kui see juhtub, kui olete enne rünnakut teinud õigeid asju, määrake kindlaks, millal ja kuidas rünnak õnnestus, palju lihtsamaks.
Kui olete kunagi televiisoriekraani CSI-d või lihtsalt mõnda muud politsei või seaduslikku telereklaami vaadanud, teate, et uurijad saavad kuritegude toimepanijale tuvastada, jälgida ja püüda isegi kõige õhemate kohtuekspertiisi tõenditega.
Kuid kas poleks tore, kui nad ei peaks kiudude abil läbi sõeluma, et leida ühe karva, mis tegelikult kuulub toimepanijale, ja tegema DNA-testimist selle omaniku tuvastamiseks? Mis siis, kui iga isiku kohta oleks salvestatud andmeid, kellega nad kokku puutuvad ja millal? Mis siis, kui oleks salvestatud selle isiku kohta tehtud andmed?
Kui see nii oleks, võivad uurijad nagu CSI-de töötajad olla töölt eemal. Politsei leiab keha, kontrollib rekordit, et näha, kes viimati sattus surnutega kokku ja mis oli tehtud ja neil oleks juba identiteet, ilma et oleks vaja kaevata. See tähendab, et metsaraie pakub kohtuekspertiisi tõendeid, kui teie arvutis või võrgus on pahatahtlik tegevus.
Kui võrguadministraator ei logi sisse ega logi korrektseid sündmusi, võib kohtuvälise tõendi kaevamine, et tuvastada volitamata juurdepääsu või muu pahatahtliku tegevuse kellaaeg ja kuupäev, või sama pahatahtliku tegevuse tuvastamine sama raske, kui haystack. Sageli pole rünnaku algpõhjus kunagi avastatud. Häkkinud või nakatunud masinad puhastatakse ja kõik naasevad tavapärasesse töösse, ilma et oleks kindel, kas süsteemid on kaitstud paremini kui need, mis neil esmakordselt said.
Mõned rakendused salvestavad asju vaikimisi. Veebiserverid nagu IIS ja Apache registreerivad üldiselt kogu sissetuleva liikluse. Seda kasutatakse peamiselt selleks, et näha, kui palju inimesi veebisaidilt külastas, millist IP-aadressi nad kasutasid ja muud mõõdiku tüüpi teavet veebisaidi kohta. Kuid usside puhul, nagu CodeRed või Nimda, võivad ka veebipäevikud näidata teile, millal nakatunud süsteemid püüavad teie süsteemi pääseda, sest neil on teatud käsklused, mida nad püüavad kuvada logides, kas need on edukad või mitte.
Mõnel süsteemil on sisse ehitatud mitmesugused auditeerimis- ja logimisfunktsioonid. Võite ka arvutisse installida täiendavat tarkvara erinevate toimingute jälgimiseks ja logimiseks (vt käesoleva artikli paremal asuvat linkiboksi tööriistad ). Windows XP Professional'i tööriistal on võimalused konto sisselogimise sündmuste, kontohalduse, kataloogiteenuste juurdepääsu, sisselogimisjuhtumite, objektide ligipääsu, poliitika muutmise, privileegi kasutamise, protsesside jälgimise ja süsteemsete sündmuste kontrollimiseks.
Igaühe jaoks võite logida edu, rike või midagi. Näiteks kui kasutate rakendust Windows XP Pro, kui te ei võimaldanud objektijuurdepääsu logimist, pole teil mingit teavet selle kohta, millal fail või kaust viimati pääseti. Kui lubate ainult rikete logimise, oleks teil salvestus, kui keegi proovis faili või kausta pääseda, kuid ebaõnnestunud, kuna tal pole õigeid õigusi või volitusi, kuid teil pole kirju, millal volitatud kasutaja juurdepääsu failile või kausta .
Kuna häkker võib cracki kasutajanime ja parooli kasutades väga hästi kasutada, võivad nad failidele edukalt juurde pääseda. Kui vaatate palke ja näete, et Bob Smith kustutas äriühingu finantsaruande kell 3 pühapäeval, võib olla kindel, et Bob Smith magab ja et tema kasutajanimi ja parool on ebaõnnestunud . Igal juhul teate nüüd, mis failiga juhtus ja millal ja mis annab teile lähtepunkti, kuidas uurida, kuidas see juhtus.
Nii ebaõnnestumine kui ka edukas metsaraamatus võivad pakkuda kasulikku teavet ja vihjeid, kuid peate oma seire ja logimise toiminguid tasakaalustama süsteemi jõudlusega. Kasutades ülaltoodud inimeste rekordraamatu näidet, aitaks see uurijaid, kui inimesed pidasid kõigi nendega, kellega nad suhtlesid, ja kõik, mis nendega suhtlemisel tekkisid, logi, kuid see kindlasti aeglustab inimesi.
Kui peate peatuda ja kirjutama, kes, milline ja millal igaks kohtumiseks oli teil kogu päeva olnud, võib see teie tööviljakust tõsiselt mõjutada. Sama kehtib ka arvutitegevuse jälgimise ja logimise kohta. Võite lubada iga võimaliku rikete ja edukuse logimise võimaluse ning teil on väga üksikasjalikud andmed selle kohta, mis teie arvutis toimub. Siiski mõjutab see tõsiselt tulemusi, sest töötleja on salvestatud 100 erinevat kirjet logides iga kord, kui keegi vajutab nuppu või klõpsab hiirega.
Te peate kaaluma, milline metsaraie oleks kasulik süsteemi toimivuse mõjust ja tulla välja tasakaal, mis teie jaoks kõige paremini sobib. Samuti peaksite meeles pidama, et paljud häkkerite ja trooja hobuste programmid, näiteks Sub7, sisaldavad utiliite, mis võimaldavad neil logifaile muuta, et varjata oma toiminguid ja varjata sissetungi, nii et te ei saa logifaile 100% toetuda.
Võite vältida mõningaid toimivusprobleeme ja võimalikke häkkerite tööriistade varjamise probleeme, kui arvestate logimise seadistamisel teatud asju. Peate hindama logifailide suurust ja veendumaks, et esimesel kohal on piisavalt kettaruumi. Samuti peate seadma reegli selle kohta, kas vanad logid kirjutatakse ümber või kustutatakse, või kui soovite logisid arhiivida igapäevaselt, kord nädalas või muul perioodil, nii et teil oleks ka vanemad andmed, et saaksite ka tagasi vaadata.
Kui on võimalik kasutada spetsiaalset kõvaketta ja / või kõvaketta kontrollerit, on teil vähem efektiivsust, kuna logifaile saab kettale kirjutada, ilma et peaksite võitlema rakendustega, mida proovite kettale juurdepääsu saamiseks proovida. Kui saate logifaile teisaldada eraldi arvutisse (mis on ette nähtud logifailide salvestamiseks ja täiesti erinevate turvaseadistustega), siis võite blokeerida sissetungija võime logifaile muuta või kustutada.
Lõppmärkus on see, et enne palgamaterjalide vaatamist ei tohiks oodata, kuni on liiga hilja ja teie süsteem juba häkkinud või rikutud. Parim on perioodiliselt vaadata palke, et saaksite teada, mis on normaalne, ja kehtestada lähteolukord. Nii, kui te satute eksikombel sissekannete hulka, võite neid ise tunnustada ja võtta ennetavaid samme süsteemi süvenemise asemel, kui teete kohtuekspertiisi pärast liiga hilja.