Kodėl turėčiau naudoti saugumo įvykių žurnalus?

Jūs turite planuoti prieš sugauti įsibrovėlį

Tikimės, kad jūsų kompiuteriai bus ištaisyti ir atnaujinti, o jūsų tinklas bus saugus. Tačiau tai yra gana neišvengiama, kad tam tikru momentu jūs būsite nukentėjęs nuo kenksmingos veiklos - viruso , širdys , Trojan horse, įsilaužimo atakos ar kitaip. Kai tai atsitiks, jei atliksite tinkamus veiksmus prieš ataką, jūs nustatysite, kada ir kaip tai padarė žymiai lengviau.

Jei kada nors žiūrėjote TV laidą " CSI" arba tiesiog bet kokį kitą policijos ar teisėtą televizijos laidą, jūs žinote, kad net su ploniausiomis teismo ekspertizės žiniomis tyrėjai gali nustatyti, stebėti ir sugauti nusikaltėlius.

Bet ar ne būtų malonu, jei nebūtų perskiepyti per pluoštus, kad surastumėte vieną plauką, kuris faktiškai priklauso nusikaltėliui, ir atlikite DNR tyrimus, kad identifikuotų jo savininką? Ką daryti, jei kiekvienam asmeniui būtų įrašas apie tai, su kuo jie susitiko ir kada? Ką daryti, jei buvo įrašyta, kas buvo padaryta tam asmeniui?

Tokiu atveju tokie tyrėjai, kaip CSI, gali būti neveiksmingi . Policija suras kūną, patikrins įrašą, kad sužinotų, kas su pastaruoju metu susidūrė su mirusiu, ir kas buvo padaryta, ir jie jau turėtų tapatybę, nenorindami. Tai yra tai, ką medienos ruoša teikia teismo ekspertizės įrodymų pateikimui, kai jūsų kompiuteryje ar tinkle yra kenksminga veikla.

Jei tinklo administratorius neužsiregistravo arba neužsiregistravo teisingų įvykių, suklastoti teismo ekspertizę įrodantys duomenys, leidžiantys nustatyti neleistinos prieigos ar kitos kenksmingos veiklos laiką ar datą arba metodą, gali būti tokie pat sunkūs, kaip ieškant patarligės adatos haystack. Dažnai pagrindinė priepuolio priežastis niekada nerasta. Nusiurbtos arba užkrėstos mašinos valomos ir visi grįžta į verslą kaip įprasta, nežinodami, ar sistemos yra saugomos geresnėmis nei jie buvo, kai pirmą kartą pateko.

Kai kurios programos įrašo dalykus pagal numatytuosius nustatymus. Interneto serveriai, tokie kaip IIS ir Apache, paprastai registruoja visus gaunamus srautus. Tai daugiausia naudojama norint sužinoti, kiek žmonių lankėsi svetainėje, kokį IP adresą jie naudojo, ir kitą metrikos tipo informaciją apie svetainę. Tačiau, jei tai kirminai, pavyzdžiui, CodeRed arba Nimda, žiniatinklio žurnalai taip pat gali parodyti, kada užkrečiamos sistemos bando pasiekti jūsų sistemą, nes jos turi tam tikras komandas, kurias bando rodyti žurnaluose, ar jie sėkmingi, ar ne.

Kai kuriose sistemose įdiegtos įvairios audito ir registravimo funkcijos. Taip pat galite įdiegti papildomą programinę įrangą, skirtą stebėti ir registruoti įvairius veiksmus kompiuteryje (žr. Įrankius nuorodų dėžutėje, esančią dešinėje šio straipsnio dalyje). "Windows XP Professional" kompiuteryje yra galimybės tikrinti paskyros prisijungimo įvykius, paskyros valdymą, katalogų paslaugų prieigą, prisijungimo įvykius, objektų prieigą, politikos pakeitimus, privilegijų naudojimą, procesų stebėjimą ir sistemos įvykius.

Kiekvienam iš šių galite pasirinkti prisijungti prie sėkmės, nesėkmės ar nieko. Pavyzdžiui, naudojant "Windows XP Pro", jei neįjungėte jokio prieigos prie objektų žurnalo, neturėtumėte įrašyti, kada paskutinį kartą pasiektas failas ar aplankas. Jei įjungėte tik nesėkmingą prisijungimą, turėtumėte įrašyti, kai kas nors bandė pasiekti failą ar aplanką, bet nepavyko dėl to, kad neturėjo tinkamų įgaliojimų ar įgaliojimų, tačiau neturėtumėte įrašo apie tai, kada įgaliotas naudotojas pasiekė failą ar aplanką .

Kadangi įsilaužėlis gali labai gerai naudoti sugadintą vartotojo vardą ir slaptažodį, jie gali sėkmingai pasiekti failus. Jei peržiūrėsite žurnalus ir pamatysite, kad Bobas Smithas sekmadienio vakarą 3 val. Ištrynė įmonės finansinę ataskaitą, gali būti saugu manyti, kad Bobas Smithas miega ir kad galbūt jo vartotojo vardas ir slaptažodis buvo pažeisti . Bet kuriuo atveju jūs dabar žinote, kas nutiko bylai ir kada ir tai suteikia jums pradinį tašką, kaip ištirti, kaip tai atsitiko.

Tiek klaidų, tiek sėkmės registravimas gali suteikti naudingos informacijos ir patarimų, bet jūs turite suderinti savo stebėsenos ir registravimo veiklą su sistemos veikimu. Naudojant aukščiau esantį žmogaus įrašų knygos pavyzdį, tai padėtų tyrėjams, jei žmonės laikytųsi žurnalo apie visus, su kuriais susidūrėme ir kas atsitiko sąveikos metu, tačiau tai, be abejo, lėtų žmonių.

Jei turėjote sustoti ir parašyti, kas, kas ir kada kiekvieną susitikimą turėjote visą dieną, tai gali smarkiai paveikti jūsų našumą. Tas pats pasakytina apie kompiuterių veiklos stebėjimą ir registravimą. Galite įjungti bet kokią galimą nesėkmės ir sėkmės registravimo parinktį, ir jūs turėsite labai išsamią informaciją apie viską, kas vyksta jūsų kompiuteryje. Tačiau turėsite didelės įtakos našumui, nes procesorius bus užsiėmęs įrašais 100 skirtingų įrašų žurnaluose kiekvieną kartą, kai kas nors paspaudžia mygtuką arba spustelėja pelę.

Turite pasverti, kokios rūšies medienos ruoša naudinga dėl sistemos našumo ir sugebės rasti pusiausvyrą, kuri jums labiausiai tinka. Jūs taip pat turėtumėte nepamiršti, kad daugelis kompiuterių įsilaužėlių ir Trojos arklių programų, pvz., Sub7, apima programas, kurios leidžia jiems keisti žurnalo failus, kad paslėptų savo veiksmus ir slėptų įsibrovimą, todėl jūs negalite pasikliauti 100% žurnalo failais.

Galite išvengti kai kurių našumo problemų ir, galbūt, įsilaužimo iš įsilaužėlių problemų, atsižvelgdami į tam tikrus dalykus nustatydami savo medienos ruošą. Jūs turite įvertinti, kiek dideli žurnalų failai bus, ir įsitikinkite, kad turite pakankamai vietos diske. Taip pat turite nustatyti politiką, ar seni žurnalai bus perrašyti ar ištrinti, ar norite archyvuoti žurnalus kasdien, kas savaitę ar kitais periodiniais duomenimis, kad galėtumėte peržiūrėti ir ankstesnius duomenis.

Jei galite naudoti atskirą kietąjį diską ir (arba) kietojo disko valdiklį, poveikis bus mažesnis, nes žurnalo failai gali būti įrašomi į diską, nebūtina kovoti su programomis, kurias bandote paleisti, kad pasiektumėte diską. Jei galite nukreipti žurnalo failus į atskirą kompiuterį - galbūt skirtas žurnalų failams saugoti ir visiškai skirtingiems saugos nustatymams - galite užblokuoti įsibrovėlio sugebėjimą keisti arba ištrinti žurnalo failus.

Galutinė pastaba yra ta, kad prieš žiūrėdami žurnalus neturėtumėte palaukti, kol pasidarys per vėlu ir jūsų sistema jau sugenda ar pažeista. Geriausia periodiškai peržiūrėti žurnalus, kad galėtumėte žinoti, kas yra įprasta, ir nustatyti bazinį lygį. Tokiu būdu, kai jūs susiduriate su klaidingais įrašais, galite juos atpažinti kaip tokį ir imti aktyvius veiksmus, kad užsidegtų savo sistemą, o ne atliktų teismo ekspertizę po to, kai per vėlu.