Mamy nadzieję, że twoje komputery są aktualizowane i aktualizowane, a twoja sieć jest bezpieczna. Jednak jest dość nieuniknione, że w pewnym momencie zostaniesz zaatakowany złośliwą aktywnością - wirus, robak, koń trojański, atak hakera lub w inny sposób. Kiedy tak się stanie, jeśli zrobiłeś właściwe rzeczy przed atakiem, będziesz musiał ustalić, kiedy i jak atak się udał, o wiele łatwiej.
Jeśli kiedykolwiek oglądałeś program telewizyjny "CSI" lub jakikolwiek inny telewizyjny program policyjny lub prawniczy, wiesz, że nawet przy najcieńszym dowodzie sądowym śledczy mogą zidentyfikować, śledzić i złapać sprawcę przestępstwa.
Ale czy nie byłoby miło, gdyby nie musieli przesiać przez włókna, aby znaleźć włosy, które rzeczywiście należą do sprawcy i przeprowadzić testy DNA, aby zidentyfikować właściciela? Co by było, gdyby był zapis dotyczący każdej osoby, z którą miał kontakt i kiedy? A co, jeśli zachowano zapis tego, co zostało zrobione tej osobie?
Gdyby tak było, badacze tacy jak ci z "CSI" mogą być nieczynni. Policja odnalazłaby ciało, sprawdziła dokumentację, by zobaczyć, kto ostatni kontaktował się ze zmarłym i co zostało zrobione, a oni już mieliby tożsamość bez konieczności kopania. To właśnie zapewnia rejestrowanie pod względem dostarczania dowodów kryminalistycznych w przypadku szkodliwej aktywności na komputerze lub w sieci.
Jeśli administrator sieci nie włączy rejestrowania lub nie zarejestruje poprawnych zdarzeń, wykrywanie dowodów kryminalistycznych w celu określenia czasu i daty lub metody nieautoryzowanego dostępu lub innej złośliwej aktywności może być tak samo trudne, jak poszukiwanie przysłowiowej igły w stóg siana. Często główna przyczyna ataku nigdy nie zostaje odkryta. Zhakowane lub zainfekowane maszyny są czyszczone i wszyscy wracają do normalnej pracy, nie wiedząc dokładnie, czy systemy są lepiej chronione niż przed ich uderzeniem.
Niektóre aplikacje domyślnie rejestrują rzeczy. Serwery WWW, takie jak IIS i Apache, zwykle rejestrują cały ruch przychodzący. Służy to głównie do sprawdzenia, ile osób odwiedziło witrynę, jakiego adresu IP użyli oraz innych informacji dotyczących rodzaju danych dotyczących witryny. Ale w przypadku robaków takich jak CodeRed lub Nimda, dzienniki mogą również pokazywać, kiedy zainfekowane systemy próbują uzyskać dostęp do twojego systemu, ponieważ mają pewne polecenia, które próbują pokazać w dziennikach, czy są skuteczne, czy nie.
Niektóre systemy mają wbudowane różne funkcje audytu i rejestrowania. Można także zainstalować dodatkowe oprogramowanie do monitorowania i rejestrowania różnych działań na komputerze (patrz Przybory w polu linku po prawej stronie tego artykułu). Na komputerze z systemem Windows XP Professional dostępne są opcje kontroli zdarzeń logowania na konto, zarządzania kontem, dostępu do usług katalogowych, zdarzeń logowania, dostępu do obiektów, zmiany zasad, korzystania z uprawnień, śledzenia procesów i zdarzeń systemowych.
W przypadku każdego z nich można wybrać rejestrację sukcesu, niepowodzenia lub nic. Na przykładzie systemu Windows XP Pro, jeśli nie włączono żadnego rejestrowania dostępu do obiektu, nie byłby on rejestrowany, kiedy ostatni dostęp do pliku lub folderu. Jeśli włączono rejestrowanie tylko niepowodzenia, będzie to oznaczać, że ktoś próbował uzyskać dostęp do pliku lub folderu, ale nie udało mu się z powodu braku odpowiednich uprawnień lub autoryzacji, ale nie miałby dostępu do rekordu, gdy autoryzowany użytkownik uzyskał dostęp do pliku lub folderu .
Ponieważ haker może bardzo dobrze używać pękniętej nazwy użytkownika i hasła, może być w stanie uzyskać dostęp do plików. Jeśli przejrzysz dzienniki i zobaczysz, że Bob Smith skasował oświadczenie finansowe firmy o 3:00 w niedzielę, można bezpiecznie założyć, że Bob Smith spał i być może jego nazwa użytkownika i hasło zostały naruszone. W każdym razie wiesz już, co stało się z plikiem, a kiedy i to daje ci punkt wyjścia do zbadania, jak to się stało.
Rejestrowanie awarii i sukcesów może dostarczyć przydatnych informacji i wskazówek, ale musisz zrównoważyć monitorowanie i rejestrowanie aktywności z wydajnością systemu. Wykorzystując powyższy przykład z książki dla ludzi, pomogłoby to śledczym, gdyby ludzie przechowywali logi z wszystkimi osobami, z którymi się zetknęli i co się wydarzyło podczas interakcji, ale z pewnością spowolniłoby to ludzi.
Gdybyś musiał przestać i zapisywać, kto, co i kiedy do każdego spotkania miałeś cały dzień, może to poważnie wpłynąć na twoją produktywność. To samo dotyczy monitorowania i rejestrowania aktywności komputera. Możesz włączyć wszystkie możliwe opcje rejestrowania błędów i sukcesów, a będziesz mieć bardzo szczegółowy zapis wszystkiego, co dzieje się na Twoim komputerze. Będziesz jednak miał poważny wpływ na wydajność, ponieważ procesor będzie zajęty nagrywaniem 100 różnych wpisów w dziennikach za każdym razem, gdy ktoś naciśnie przycisk lub kliknie myszą.
Trzeba rozważyć, jaki rodzaj pozyskiwania danych byłby korzystny z punktu widzenia wydajności systemu i wypracować równowagę, która najbardziej Ci odpowiada. Należy również pamiętać, że wiele narzędzi hakerskich i programów typu koń trojański, takich jak Sub7, zawiera narzędzia, które pozwalają im zmieniać pliki dziennika, aby ukryć swoje działania i ukryć intruzów, więc nie można polegać w 100% na plikach dziennika.
Możesz uniknąć niektórych problemów z wydajnością i prawdopodobnie problemów z ukrywaniem się narzędzi hakerskich, biorąc pod uwagę pewne kwestie podczas konfigurowania rejestrowania. Musisz ocenić, jak duże będą pliki logów i upewnić się, że masz wystarczająco dużo miejsca na dysku.Musisz również skonfigurować zasady sprawdzania, czy stare dzienniki zostaną nadpisane lub usunięte, czy też chcesz zarchiwizować dzienniki codziennie, co tydzień lub co jakiś czas, aby mieć również starsze dane do obejrzenia.
Jeśli możliwe jest użycie dedykowanego dysku twardego i / lub kontrolera dysku twardego, będzie to miało mniejszy wpływ na wydajność, ponieważ pliki dziennika mogą być zapisywane na dysku bez konieczności walki z aplikacjami, które próbujesz uruchomić, aby uzyskać dostęp do dysku. Jeśli możesz skierować pliki dziennika na oddzielny komputer Â- być może dedykowany do przechowywania plików dziennika iz zupełnie innymi ustawieniami zabezpieczeń - możesz zablokować zdolność intruza do modyfikowania lub usuwania plików dziennika.
Ostatnia uwaga jest taka, że nie powinieneś czekać, aż będzie za późno, a twój system jest już rozbity lub naruszony przed wyświetleniem dzienników. Najlepiej jest okresowo przeglądać dzienniki, aby można było sprawdzić, co jest normalne i ustalić linię podstawową. W ten sposób, gdy natkniesz się na błędne wpisy, możesz je rozpoznać i podjąć proaktywne kroki, aby wzmocnić system, zamiast prowadzić dochodzenie sądowe po jego spóźnieniu.
