Ju duhet të planifikoni përpara për të kapur një ndërhyrës
Shpresojmë që ju mbani kompjuterat tuaj patched dhe përditësuar dhe rrjetin tuaj është i sigurt. Megjithatë, është mjaft e pashmangshme që në një farë pike do të goditeni me veprimtari të dëmshme - një virus , krimb , kalë Trojan , sulm hack ose ndryshe. Kur kjo të ndodhë, nëse keni bërë gjërat e duhura përpara sulmit, do të bëni punën për të përcaktuar se kur dhe si ka arritur suksesi shumë më lehtë.
Nëse e keni parë ndonjëherë programin televiziv CSI , ose vetëm për ndonjë shfaqje tjetër të policisë ose të televizionit ligjor, ju e dini që edhe me copëzën më të hollë të provave mjeko-ligjore , hetuesit mund të identifikojnë, ndjekin dhe kapin kryerësin e një krimi.
Por, a nuk do të ishte mirë nëse nuk do të duhej të analizonin fibra për të gjetur një flokë që në të vërtetë i takon kryerësit dhe të bëjë testimin e ADN-së për të identifikuar pronarin e saj? Çfarë ndodh nëse do të mbaheshin shënime në secilin person se kush erdhën në kontakt dhe kur? Çfarë ndodh nëse do të mbahen shënime për atë që është bërë për atë person?
Nëse do të ishte kështu, hetuesit si ata në CSI mund të jenë jashtë afarizmit. Policia do ta gjente trupin, do të kontrollonte të dhënat për të parë se kush erdhi në kontakt me të ndjerin dhe atë që ishte bërë dhe ata tashmë do të kishin identitetin pa pasur nevojë të gërmonin. Kjo është ajo që siguron logging në aspektin e furnizimit të provave mjeko-ligjore kur ka aktivitet me qëllim të keq në kompjuterin ose rrjetin tuaj.
Nëse një administrator i rrjetit nuk e aktivizon regjistrimin ose nuk regjistron ngjarjet korrekte, gërmimi i provave forenzike për të identifikuar kohën dhe datën ose metodën e një aksesi të paautorizuar ose veprimtari të tjera me qëllim të keq mund të jetë po aq e vështirë sa kërkimi i gjilpërës proverbiale në një kashtë. Shpesh rrënja e një sulmi nuk zbulohet kurrë. Makinat e hackuara ose të infektuara pastrohen dhe të gjithë kthehen në biznes si zakonisht pa e ditur nëse sistemet janë të mbrojtura më mirë se ato kur ishin goditur në vendin e parë.
Disa aplikacione i identifikojnë gjërat me paracaktim. Web serverat si IIS dhe Apache përgjithësisht hyjnë në të gjithë trafikun që vjen. Kjo përdoret kryesisht për të parë se sa njerëz kanë vizituar faqen e internetit, çfarë IP adresa kanë përdorur dhe informacione të tjera të tipit të metrikës në lidhje me faqen e internetit. Por, në rastet e krimbave si CodeRed ose Nimda, shkrimet e uebit mund t'ju tregojnë edhe kur sistemet e infektuara po përpiqen të hyjnë në sistemin tuaj, sepse ata kanë komanda të caktuara që tentojnë të shfaqen në shkrimet nëse ato janë të suksesshme apo jo.
Disa sisteme kanë funksione të ndryshme të auditimit dhe të regjistrimit. Gjithashtu mund të instaloni programe shtesë për monitorimin dhe regjistrimin e veprimeve të ndryshme në kompjuter (shih Tools në linkbox në të djathtë të këtij neni). Në një makinë Windows XP Professional ekzistojnë mundësi për të audituar ngjarjet e identifikimit të llogarisë, menaxhimin e llogarisë, aksesin në shërbimin e drejtorisë, ngjarjet e identifikimit, aksesin e objektit, ndryshimin e politikave, përdorimin e privilegjit, ndjekjen e procesit dhe ngjarjet e sistemit.
Për secilën nga këto ju mund të zgjidhni të regjistroni suksesin, dështimin ose asgjë. Duke përdorur Windows XP Pro si shembull, në qoftë se nuk keni lejuar ndonjë regjistrim për aksesin e objektit, nuk do të keni asnjë të dhënë kur një skedar apo dosje është qasur së fundi. Nëse aktivizoni vetëm regjistrimin e dështimeve, do të keni një rekord kur dikush u mundua të hyjë në skedar ose dosje, por dështoi për shkak të mos lejimit të lejeve ose autorizimit të duhur, por nuk do të kishit një regjistrim kur një përdorues i autorizuar i është qasur skedarit ose dosjes .
Sepse një haker mund të jetë shumë mirë duke përdorur një emër përdoruesi dhe fjalëkalim të plasaritur që mund të jenë në gjendje të marrin me sukses skedarët. Nëse shikoni shkrimet dhe shihni se Bob Smith ka fshirë deklaratën financiare të kompanisë në orën 3 të diel, mund të jetë e sigurt të supozohet se Bob Smith ishte duke fjetur dhe se ndoshta emri i tij i përdoruesit dhe fjalëkalimi janë komprometuar . Në çdo rast, tani e dini se çfarë ndodhi me dosjen dhe kur dhe kjo ju jep një pikë fillimi për të hetuar se si ka ndodhur.
Të dy dështimet dhe prerjet e suksesit mund të ofrojnë informata dhe të dhëna të dobishme, por ju duhet të balanconi aktivitetet tuaja të monitorimit dhe prerjeve me performancën e sistemit. Duke përdorur shembullin e librit të librit njerëzor nga lart - kjo do të ndihmonte hetuesit nëse njerëzit mbanin një regjistër të të gjithë atyre me të cilët ata kishin kontakt dhe çfarë ndodhi gjatë ndërveprimit, por me siguri do të ngadalësonin njerëzit.
Nëse duhej të ndalonit dhe të shkruani se kush, çfarë dhe kur për çdo takim që keni pasur gjatë gjithë ditës mund të ndikojë rëndë produktivitetin tuaj. E njëjta gjë vlen edhe për monitorimin dhe regjistrimin e aktivitetit kompjuterik. Ju mund të mundësoni çdo dështim të mundshëm dhe sukses logging opsion dhe ju do të keni një rekord shumë të detajuar të çdo gjë që vazhdon në kompjuterin tuaj. Megjithatë, do të ndikoni rëndë punën, sepse procesori do të jetë i zënë me regjistrimin e 100 shënimeve të ndryshme në shkrimet çdo herë që dikush shtyp një buton ose klikon miun e tyre.
Ju duhet të peshoni se çfarë lloj prerjeje do të ishte e dobishme me ndikimin në performancën e sistemit dhe të dalë me bilancin që punon më mirë për ju. Ju gjithashtu duhet të mbani në mend se shumë mjete hacker dhe programet e trojeve të Trojës të tilla si Sub7 përfshijnë shërbimet që u lejojnë atyre të ndryshojnë skedarët e skedarëve për të fshehur veprimet e tyre dhe fshehin ndërhyrjen në mënyrë që të mos mbështeteni në 100% në skedarët e regjistrit.
Ju mund të shmangni disa nga çështjet e performancës dhe mundësisht çështjet e fshehjes së mjeteve të hakerëve duke marrë parasysh disa gjëra kur vendosni regjistrimin tuaj. Ju duhet të vlerësoni se sa të mëdha do të marrin dosjet e logaritjeve dhe të siguroheni që keni hapësirë të mjaftueshme në disk në vendin e parë. Ju gjithashtu duhet të krijoni një politikë nëse të regjistrit të vjetra do të mbivendosen ose fshihen ose nëse dëshironi të arkivoni shkrimet në baza ditore, javore ose periodike të tjera në mënyrë që të keni të dhëna më të vjetra për t'u kthyer prapa.
Nëse është e mundur të përdorësh një hard disk të përkushtuar dhe / ose hard drive, do të kesh ndikim më të vogël të performancës sepse skedarët e regjistrit mund të shkruhen në disk pa pasur nevojë të luftojnë me aplikacionet që po përpiqesh të kandidosh për qasje në makinë. Nëse mund t'i drejtoni skedarët e regjistrit në një kompjuter të veçantë - ndoshta të dedikuar për ruajtjen e skedarëve të skedarëve dhe me cilësime të ndryshme të sigurisë - mund të jeni në gjendje të bllokoni aftësinë e një ndërhyrës për të ndryshuar ose fshirë skedarët e skedarëve.
Një shënim përfundimtar është që ju nuk duhet të prisni derisa të jetë tepër vonë dhe sistemi juaj është prishur ose kompromentuar para shikimit të regjistrave. Është mirë që të rishikoni shkrimet periodikisht në mënyrë që të mund të dini se çfarë është normale dhe të krijoni një bazë. Në këtë mënyrë, kur ju vijnë të hyra gabuar ju mund t'i njohin ato si të tilla dhe të marrin hapa proaktive për të ngurtësuar sistemin tuaj në vend që të bëni hetim mjeko - ligjor pasi është tepër vonë.