Anda Perlu Rancang Ahad Untuk Menangkap Pengangkut
Mudah-mudahan anda menyimpan komputer anda dan diperbaharui dan rangkaian anda selamat. Walau bagaimanapun, ia tidak dapat dielakkan lagi bahawa pada suatu ketika anda akan dilanggar dengan aktiviti berniat jahat - virus , cacing , kuda Trojan , serangan hack atau sebaliknya. Apabila itu berlaku, jika anda telah melakukan perkara yang betul sebelum serangan anda akan membuat tugas menentukan kapan dan bagaimana serangan berjaya lebih mudah.
Jika anda pernah menyaksikan pameran TV CSI , atau hanya kira-kira mana-mana rancangan polis atau undang-undang TV yang lain, anda tahu bahawa walaupun dengan bukti tipuan forensik yang paling tipis penyiasat boleh mengenal pasti, mengesan dan menangkap pelaku kejahatan.
Tetapi, tidakkah ia baik jika mereka tidak perlu menyaring melalui gentian untuk mencari satu rambut yang sebenarnya milik pelaku dan melakukan ujian DNA untuk mengenal pasti pemiliknya? Bagaimana jika terdapat rekod yang disimpan pada setiap orang yang mereka bersentuhan dengan dan bila? Bagaimana jika terdapat rekod disimpan apa yang dilakukan kepada orang itu?
Jika itu berlaku, penyiasat seperti yang ada di CSI mungkin keluar daripada perniagaan. Polis akan menemui mayat itu, periksa rekod itu untuk melihat siapa yang terakhir bersentuhan dengan si mati dan apa yang telah dilakukan dan mereka akan mempunyai identiti tanpa perlu menggali. Inilah yang menyediakan pembalakan dari segi membekalkan bukti forensik apabila terdapat aktiviti berniat jahat di komputer atau rangkaian anda.
Jika pentadbir rangkaian tidak menghidupkan pembalakan atau tidak log acara yang betul, menggali bukti forensik untuk mengenal pasti masa dan tarikh atau kaedah akses yang tidak dibenarkan atau aktiviti berniat jahat yang lain sama seperti sukar mencari jarum pepatah dalam jerami. Selalunya akar punca serangan tidak pernah ditemui. Mesin-mesin yang diretas atau dijangkiti dibersihkan dan semua orang kembali ke perniagaan seperti biasa tanpa benar-benar mengetahui sama ada sistem dilindungi lebih baik daripada mereka ketika mereka terpukul di tempat pertama.
Sesetengah aplikasi log perkara secara lalai. Pelayan web seperti IIS dan Apache umumnya log semua lalu lintas masuk. Ini digunakan terutamanya untuk melihat berapa ramai orang melawat laman web, alamat IP yang mereka gunakan dan maklumat jenis metrik lain mengenai laman web. Tetapi, dalam kes cacing seperti CodeRed atau Nimda, log web juga boleh menunjukkan kepada anda apabila sistem yang dijangkiti cuba mengakses sistem anda kerana mereka mempunyai perintah tertentu yang mereka cuba yang akan muncul dalam log sama ada ia berjaya atau tidak.
Sesetengah sistem mempunyai pelbagai fungsi pengauditan dan pembalakan yang dibina. Anda juga boleh memasang perisian tambahan untuk memantau dan log pelbagai tindakan di komputer (lihat Alat dalam kotak pautan di sebelah kanan artikel ini). Pada mesin Profesional Windows XP terdapat pilihan untuk mengaudit acara log masuk akaun, pengurusan akaun, akses perkhidmatan direktori, acara log masuk, akses objek, perubahan dasar, kegunaan hak istimewa, proses pengesanan dan peristiwa sistem.
Untuk setiap ini, anda boleh memilih untuk mencatat kejayaan, kegagalan atau apa-apa. Menggunakan Windows XP Pro sebagai contoh, jika anda tidak mendayakan apa-apa pembalakan untuk akses objek anda tidak akan mempunyai rekod apabila fail atau folder terakhir diakses. Sekiranya anda mendayakan hanya pembalakan kegagalan anda akan mempunyai rekod apabila seseorang cuba mengakses fail atau folder tetapi gagal kerana tidak mempunyai keizinan atau kebenaran yang sewajarnya, tetapi anda tidak akan mempunyai rekod apabila pengguna dibenarkan mengakses fail atau folder .
Kerana seorang penggodam boleh menggunakan nama pengguna dan kata laluan retak yang mereka dapat berjaya mengakses fail. Jika anda melihat log dan melihat bahawa Bob Smith memadamkan penyata kewangan syarikat pada pukul 3 pagi pada hari Ahad, mungkin selamat untuk menganggap bahawa Bob Smith sedang tidur dan mungkin nama pengguna dan kata laluannya telah dikompromikan . Dalam apa jua keadaan, anda sekarang tahu apa yang berlaku pada fail dan kapan dan ia memberi anda titik permulaan untuk menyiasat bagaimana ia berlaku.
Kedua-dua kegagalan dan kejayaan pembalakan boleh memberikan maklumat dan petunjuk berguna, tetapi anda perlu mengimbangi aktiviti pemantauan dan pembalakan anda dengan prestasi sistem. Menggunakan contoh buku rekod manusia dari atas - ia akan membantu penyiasat jika orang menyimpan log semua orang yang mereka hadapi dan apa yang berlaku semasa interaksi, tetapi pastinya akan melambatkan orang ramai.
Jika anda terpaksa berhenti dan menulis siapa, apa dan bila untuk setiap pertemuan yang anda miliki sepanjang hari, ia akan menjejaskan produktiviti anda. Perkara yang sama berlaku untuk pemantauan dan pembalakan aktiviti komputer. Anda boleh mendayakan setiap kemungkinan kegagalan dan pilihan pembalakan kejayaan dan anda akan mempunyai rekod yang terperinci mengenai semua yang berlaku di dalam komputer anda. Walau bagaimanapun, anda akan menjejaskan prestasi yang teruk kerana pemproses akan sibuk merakam 100 entri yang berbeza dalam log setiap kali seseorang menekan butang atau klik tetikus mereka.
Anda perlu menimbang apa jenis pembalakan yang akan memberi kesan kepada impak terhadap prestasi sistem dan menghasilkan baki yang paling sesuai untuk anda. Anda juga perlu diingat bahawa banyak alat hacker dan program kuda Trojan seperti Sub7 termasuk utiliti yang membolehkan mereka mengubah fail log untuk menyembunyikan tindakan mereka dan menyembunyikan gangguan supaya anda tidak boleh bergantung 100% pada fail log.
Anda boleh mengelakkan beberapa masalah prestasi dan mungkin masalah penyembunyian alat penggodam dengan mengambil perkara-perkara tertentu sebagai pertimbangan apabila menyediakan pembalakan anda. Anda perlu mengukur seberapa besar fail log yang akan diperoleh dan pastikan anda mempunyai ruang cakera yang cukup di tempat pertama. Anda juga perlu menyediakan dasar untuk sama ada log lama akan ditulis ganti atau dipadam atau jika anda ingin mengarkibkan log setiap hari, mingguan atau lain-lain secara berkala supaya anda mempunyai data lama untuk melihat kembali juga.
Sekiranya boleh menggunakan cakera keras khusus dan / atau pengawal cakera keras, anda akan mempunyai kesan prestasi yang kurang kerana fail log boleh ditulis ke cakera tanpa perlu berjuang dengan aplikasi yang anda cuba jalankan untuk akses ke pemacu. Jika anda boleh mengarahkan fail log ke komputer yang berasingan - mungkin didedikasikan untuk menyimpan fail log dan dengan tetapan keselamatan yang sama sekali berbeza - anda mungkin dapat menghalang keupayaan penceroboh untuk mengubah atau memadam fail log juga.
Nota akhir ialah anda tidak perlu menunggu sehingga terlambat dan sistem anda telah terhempas atau dikompromikan sebelum melihat log. Adalah lebih baik untuk mengkaji semula log secara berkala supaya anda boleh mengetahui apa yang normal dan mewujudkan garis dasar. Dengan cara ini, apabila anda mencari penyertaan yang salah, anda boleh mengenali mereka sedemikian dan mengambil langkah proaktif untuk menguatkan sistem anda dan bukan melakukan siasatan forensik selepas terlambat.