Jums ir jāplāno, lai noķertu iebrucēju
Cerams, ka jūsu datori tiek ielādēti un atjaunināti, un jūsu tīkls ir drošs. Tomēr tas ir diezgan neizbēgami, ka jūs kaut kādā brīdī tiksies ar ļaunprātīgām darbībām - vīrusu , tārpu , Trojas zirgu, hack attack vai citādi. Kad tas notiks, ja pirms uzbrukuma esat pabeidzis pareizās lietas, jūs veicat darbu, lai noteiktu, kad un kā uzbrukums notika daudz vieglāk.
Ja esat kādreiz skatījies TV izrādi CSI vai vienkārši par jebkuru citu policijas vai likumīgu TV pārraidi, jūs zināt, ka pat ar visplašāko tiesu ekspertīzes pierādījumu daļu izmeklētāji var identificēt, izsekot un noķert noziedzīgā nodarījuma izdarītāju.
Bet vai tas nebūtu jauki, ja viņiem nebūtu jāšķijas šķiedras, lai atrastu vienu matu, kas faktiski pieder pie vainīgā, un veic DNS testēšanu, lai identificētu tā īpašnieku? Ko darīt, ja katram cilvēkam tiktu uzrakstīts ieraksts par to, ar kuru viņi sazinājās un kad? Ko darīt, ja tiktu saglabāts ieraksts par to, kas tika darīts ar šo personu?
Ja tas tā būtu, izmeklētāji, piemēram, tie, kas atrodas CSI, varētu būt nesaistīti . Policija atradīs ķermeni, pārbaudīs ierakstu, lai redzētu, kas pēdējā nonāca saskarē ar mirušo, un kas tika darīts, un viņiem jau būtu identitāte, kam nav jāraida. Tas ir tas, ko mežizstrāde nodrošina, sniedzot kriminālistikas pierādījumus, ja jūsu datorā vai tīklā ir ļaunprātīgas darbības.
Ja tīkla administrators neieslēdz ierakstīšanu vai neiespējo reģistrēt pareizos notikumus, tiesu medicīnas pierādījumu sagriešana, lai identificētu neautorizētas piekļuves laiku vai datumu vai metodi vai citas ļaunprātīgas darbības, var būt tikpat grūti, kā atrast proverbālo adatu siena kaudze Bieži vien uzbrukuma galvenais cēlonis nekad nav atklāts. Datorurķēžu vai inficēto ierīču tīrīšana un ikviens atgriežas biznesā, kā parasti, bez patiesas zināšanas par to, vai sistēmas ir aizsargātas labāk nekā tās, kad tās ieguva pirmo reizi.
Dažas programmas ieraksta lietas pēc noklusējuma. Tīmekļa serveri, piemēram, IIS un Apache, parasti reģistrē ienākošo datplūsmu. To galvenokārt izmanto, lai redzētu, cik daudz cilvēku apmeklēja vietni, kādu IP adresi viņi izmantoja un citu metrikas tipa informāciju par tīmekļa vietni. Bet, tārpu gadījumā, piemēram, CodeRed vai Nimda, tīmekļa žurnāli var arī parādīt, kad inficētās sistēmas mēģina piekļūt jūsu sistēmai, jo tām ir noteiktas komandas, kuras mēģina rādīt žurnālos, neatkarīgi no tā, vai tās ir veiksmīgas.
Dažām sistēmām ir iebūvētas dažādas revīzijas un mežizstrādes funkcijas. Varat arī instalēt papildu programmatūru, lai datorā pārraudzītu un reģistrētu dažādas darbības (skat. Rīki šī raksta labajā pusē esošajā saites lodziņā). Windows XP Professional mašīnā ir iespējas pārbaudīt konta pieteikšanās notikumus, kontu pārvaldību, direktoriju pakalpojumu pieejamību, pieteikšanās notikumus, objektu piekļuvi, politikas maiņu, privilēģiju izmantošanu, procesu izsekošanu un sistēmas notikumus.
Katram no tiem varat izvēlēties žurnālu veiksmes, neveiksmes vai neko. Piemēram, ja lietojat Windows XP Pro, ja neesat iespējojis nevienu pieeju objektu piekļūšanai, jums nebūtu jāuzskaita, kad visbeidzot bija pieejams fails vai mape. Ja esat iespējojis tikai neveiksmi, jums būtu jāreģistrējas, kad kāds mēģināja piekļūt failam vai mapei, bet neizdevās, jo tam nebija pareizi atļaujas vai atļaujas, bet jums nebūtu ieraksta, kad pilnvarots lietotājs piekļūst failam vai mapei .
Tā kā hacker var ļoti labi izmantot krekinga lietotājvārdu un paroli, viņi var veiksmīgi piekļūt failiem. Ja jūs aplūkojat žurnālus un redzat, ka Bobs Smits svētdiena svinēja uzņēmuma finanšu pārskatu plkst. 3:00, droši varētu uzskatīt, ka Bobs Smits gulēja un ka, iespējams, viņa lietotājvārds un parole ir apdraudēti . Jebkurā gadījumā jūs tagad zināt, kas noticis ar failu un kad tas dod jums sākumpunktu, lai noskaidrotu, kā tas noticis.
Gan neveiksmīga, gan veiksmīga mežizstrāde var sniegt noderīgu informāciju un pavedienus, taču jums ir jāsalīdzina monitoringa un mežizstrādes darbības ar sistēmas veiktspēju. Izmantojot cilvēku grāmatas piemēru no augšas, tas palīdzētu izmeklētājiem, ja cilvēki glabā žurnālu par visiem tiem, ar kuriem viņi saskaras, un par to, kas notika mijiedarbības laikā, taču tas noteikti palēninātu cilvēku darbību.
Ja tev vajadzēja apstāties un pierakstīt, kas un kādā laikā un kādā laikā katrai tikšanās reizei visai dienai var būtiski ietekmēt produktivitāti. Tas pats attiecas uz datora darbības uzraudzību un reģistrēšanu. Varat iespējot visas iespējamās neveiksmes un panākumu reģistrēšanas iespējas, un jums būs ļoti detalizēts ieraksts par visu, kas notiek jūsu datorā. Tomēr jūs būtiski ietekmēsiet veiktspēju, jo procesors būs aizņemts reģistrēt 100 dažādus ierakstus žurnālos ikreiz, kad kāds nospiež pogu vai noklikšķina uz peles.
Jums ir jāizvērtē, kāda veida mežizstrāde būtu labvēlīga ietekmei uz sistēmas veiktspēju un radītu līdzsvaru, kas jums vislabāk būtu. Jums jāpatur prātā arī tas, ka daudzi hakeru rīki un Trojas zirgu programmas, piemēram, Sub7, ietver utilītus, kas ļauj viņiem mainīt žurnāla failus, lai slēptu savas darbības un paslēptu ielaušanos, lai jūs nevarētu paļauties uz 100% log failu.
Jūs varat izvairīties no dažiem veiktspējas problēmām un, iespējams, hakeru rīku slēpšanas problēmām, ņemot vērā noteiktas lietas, kad iestatāt savu mežizstrādi. Jums ir jānovērtē, cik lieli log faili tiks iegūti, un vispirms pārliecinieties, ka vispirms ir pietiekami daudz vietas diskā. Jums arī ir jāiestata politika, vai vecie žurnāli tiks pārrakstīti vai izdzēsti, vai ja vēlaties žurnālus arhivēt ikdienā, iknedēļas vai citā periodiskā veidā, lai arī jums būtu vecāki dati, kas arī atgriezīsies.
Ja ir iespējams izmantot īpašu cieto disku un / vai cietā diska kontrolleri, jums būs mazāka veiktspējas ietekme, jo žurnāla failus var ierakstīt diskā, necenšoties cīnīties ar lietojumprogrammām, kuras mēģināt palaist, lai piekļūtu diskam. Ja jūs varat novirzīt žurnāla failus uz atsevišķu datoru (iespējams, tas ir paredzēts log failu saglabāšanai un ar pilnīgi atšķirīgiem drošības iestatījumiem), iespējams, ka jūs varat bloķēt iebrucēja spēju mainīt vai dzēst arī žurnāla failus.
Pēdējā piezīme ir tāda, ka pirms apskatītu žurnālus jums nevajadzētu gaidīt, kamēr nav par vēlu, un jūsu sistēma jau ir nobloķēta vai apdraudēta. Vislabāk ir periodiski pārskatīt žurnālus, lai jūs varētu uzzināt, kas ir normāls, un noteikt bāzes līniju. Tādā veidā, kad jūs saskaraties ar kļūdainiem ierakstiem, jūs tos varat atpazīt kā tādus un veikt proaktīvas darbības, lai padarītu jūsu sistēmu grūtāku, nevis darot tiesu izmeklēšanu pēc pārāk vēlu.