Dúfajme, že vaše počítače budú aktualizované a aktualizované a vaša sieť bude bezpečná. Je však celkom nevyhnutné, aby ste v istom momente boli zasiahnutí škodlivými aktivitami - vírusom, červom, trójskym koňom, útokom v podobe útoku alebo inak. Keď k tomu dôjde, ak ste urobili správne veci pred útokom, urobíte prácu určenia, kedy a ako sa útok úspešne uľahčil.
Ak ste niekedy sledovali televíznu reláciu "CSI" alebo len akúkoľvek inú políciu alebo legálnu televíznu reláciu, viete, že aj s najtenším množstvom forenzných dôkazov môžu vyšetrovatelia identifikovať, sledovať a chytať páchateľa trestného činu.
Ale nebolo by pekné, keby nemuseli prebodávať vlákna, aby našli jediné vlasy, ktoré skutočne patrí páchateľovi a robia testy DNA na identifikáciu svojho majiteľa? Čo keby bol zaznamenaný záznam o každej osobe, s ktorou sa dostali do kontaktu a kedy? Čo keby bol zaznamenaný záznam o tom, čo sa stalo s touto osobou?
Ak by tomu tak bolo, vyšetrovatelia, ako sú tí v "CSI", by mohli byť mimo podnikania. Polícia nájde telo, skontroluje záznam, aby zistil, kto naposledy prišiel do styku s zosnulou a čo sa urobilo a už by mali totožnosť bez toho, aby museli kopať. To je to, čo poskytuje protokolovanie, pokiaľ ide o poskytovanie forenzných dôkazov, keď je na vašom počítači alebo sieti škodlivá aktivita.
Ak správca siete nezapne protokolovanie alebo nezaznamená správne udalosti, vykopanie forenzných dôkazov s cieľom určiť čas a dátum alebo spôsob neoprávneného prístupu alebo inej škodlivej aktivity môže byť rovnako zložité ako hľadanie príslovečnej ihly v kope sena. Často nie je objavená hlavná príčina útoku. Hackované alebo infikované počítače sú vyčistené a všetci sa vrátia do práce ako obvykle bez toho, aby skutočne vedeli, či sú systémy chránené oveľa lepšie, ako boli, keď sa dostali na prvé miesto.
Niektoré aplikácie protokolujú predvolené nastavenia. Webové servery ako IIS a Apache spravidla zaznamenávajú všetku prichádzajúcu návštevnosť. Používa sa predovšetkým na to, koľko ľudí navštívilo webovú lokalitu, akú IP adresu použili a ďalšie informácie o metrických údajoch týkajúcich sa webových stránok. Ale v prípade červov, ako je CodeRed alebo Nimda, weblogy môžu tiež ukázať, keď sa infikované systémy pokúšajú pristupovať k vášmu systému, pretože majú určité príkazy, ktoré sa pokúsia zobraziť v protokoloch, či sú úspešné alebo nie.
Niektoré systémy majú rôzne funkcie auditu a zaznamenávania. Môžete tiež nainštalovať ďalší softvér na sledovanie a zaznamenávanie rôznych činností v počítači (pozri náradie v poli odkazu napravo od tohto článku). V počítači so systémom Windows XP Professional sú k dispozícii možnosti auditu udalostí prihlasovania účtu, správy účtov, prístupu k adresárovej službe, prihlasovacích udalostí, prístupu k objektom, zmeny pravidiel, používania práv, sledovania procesov a systémových udalostí.
Pre každý z nich môžete zvoliť zaznamenávanie úspechu, zlyhania alebo nič. Ak používate systém Windows XP Pro ako príklad, ak ste nepovolili žiadne prihlásenie na prístup k objektom, nemali by ste žiaden záznam o tom, kedy bol naposledy sprístupnený súbor alebo priečinok. Ak ste povolili iba zaznamenávanie porúch, mali by ste zaznamenať, kedy sa niekto pokúsil získať prístup k súboru alebo priečinku, ale zlyhal v dôsledku toho, že nemá potrebné oprávnenia alebo oprávnenie, ale nemali by ste mať záznam o tom, kedy oprávnený používateľ pristupoval k súboru alebo priečinku ,
Pretože hacker môže veľmi dobre používať rozbité používateľské meno a heslo, môže byť schopný úspešne pristupovať k súborom. Ak si prezeráte denníky a uvidíte, že Bob Smith vylúčil finančnú závierku spoločnosti o nedeľu o 3:00, mohlo by to byť bezpečné predpokladať, že Bob Smith spal a že jeho používateľské meno a heslo boli pravdepodobne ohrozené. V každom prípade teraz viete, čo sa stalo so súborom a kedy a dáva vám začiatok pre vyšetrovanie toho, ako sa to stalo.
Zlyhanie aj úspešné zaznamenávanie môžu poskytnúť užitočné informácie a stopy, ale musíte vyvažovať aktivity monitorovania a zaznamenávania s výkonom systému. Použitím vyššie uvedeného príkladu ľudskej knihy by to pomohlo vyšetrovateľom, ak ľudia vedeli záznamy o každom, s kým prišli do styku a čo sa stalo počas interakcie, ale určite by to spomalilo ľudí.
Ak ste museli zastaviť a zapísať, kto, čo a kedykoľvek pre každé stretnutie, ktoré ste mali celý deň, to môže vážne ovplyvniť vašu produktivitu. To isté platí pre monitorovanie a zaznamenávanie činnosti počítača. Môžete povoliť každú možnosť zlyhania a úspešného zaznamenávania a budete mať veľmi podrobný záznam o všetkom, čo sa deje vo vašom počítači. Budete však vážne ovplyvňovať výkonnosť, pretože procesor bude mať zaneprázdnené zaznamenávanie 100 rôznych záznamov do denníkov vždy, keď niekto stlačí tlačidlo alebo klikne myšou.
Musíte zvážiť, aké druhy ťažby by boli prospešné s vplyvom na výkon systému a prísť s rovnováhou, ktorá pracuje najlepšie pre vás. Mali by ste tiež mať na pamäti, že mnohé nástroje hackerov a programy trójskeho koňa, ako napríklad Sub7, obsahujú nástroje, ktoré im umožňujú meniť súbory denníkov, aby zakryli svoje akcie a skryli narušenie, takže nemôžete spoľahnúť 100% na protokolové súbory.
Môžete sa vyhnúť niektorým problémom s výkonom a pravdepodobne aj problémom s hackerovým nástrojom, keď zoberiete do úvahy určité skutočnosti pri nastavovaní vašej registrácie. Musíte odhadnúť, aké veľké súbory denníkov získajú, a uistite sa, že máte na prvom mieste dostatok miesta na disku.Takisto je potrebné nastaviť pravidlá, či sa staré záznamy budú prepisovať alebo vymazávať, alebo či chcete archivovať záznamy denne, týždenne alebo na inom periodickom základe, aby ste mali aj staršie údaje, aby sa mohli pozrieť späť.
Ak je možné použiť vyhradený pevný disk a / alebo regulátor pevného disku, budete mať menší vplyv na výkon, pretože súbory denníka je možné zapisovať na disk bez toho, aby ste museli bojovať s aplikáciami, ktoré sa pokúšate spustiť na prístup k jednotke. Ak môžete nasmerovať súbory denníka na samostatný počítač - prípadne venovaný ukladaniu súborov denníka a s úplne inými bezpečnostnými nastaveniami - môžete zablokovať schopnosť narušiteľa meniť alebo mazať aj súbory denníka.
Posledná poznámka spočíva v tom, že by ste nemali čakať, kým nebude príliš neskoro a váš systém už bude havarovaný alebo ohrozený pred zobrazením denníkov. Najlepšie je pravidelne kontrolovať denníky, aby ste vedeli, čo je normálne a vytvoriť základňu. Týmto spôsobom, keď narazíte na nesprávne zadania, môžete ich rozpoznať ako takých a urobiť proaktívne kroky na vytvrdzovanie vášho systému skôr, ako urobiť forenzné vyšetrovanie po jeho príliš neskoro.
