Int għandek tippjana bil-quddiem biex taqbad Intruder
Nisperaw li żżomm il-kompjuters tiegħek imqassma u aġġornati u n-netwerk tiegħek huwa sigur. Madankollu, huwa pjuttost inevitabbli li int se tolqot f'xi punt b'attivita 'malizzjuża- virus , dud , żiemel Trojan , attakk ta' hack jew mod ieħor. Meta jiġri dan, jekk tkun għamilt l-affarijiet tajbin qabel l-attakk, inti se tagħmel ix-xogħol li tiddetermina meta u kif l-attakk irnexxielha li ħafna aktar faċli.
Jekk qatt rajt l-ispettaklu tat-TV CSI , jew sempliċement dwar xi wirja oħra tal-pulizija jew tat-TV legali, tafu li anki bl-aktar skrin tal - evidenza forensika l -investigaturi jistgħu jidentifikaw, jittraċċaw u jaqbdu l-awtur ta 'delitt.
Iżda, ma kienx ikun sabiħ jekk ma kellhomx jgħarfu l-fibri biex isibu xagħar wieħed li fil-fatt jappartjeni lill-awtur u jagħmel l-ittestjar tad-DNA biex jidentifika s-sid tiegħu? X'jiġri jekk kien hemm rekord miżmum fuq kull persuna li ġew f'kuntatt ma 'u meta? X'jiġri jekk kien hemm rekord miżmum dwar dak li sar lil dik il-persuna?
Jekk dak kien il-każ, investigaturi bħal dawk fis- CSI jistgħu jkunu fin-negozju. Il-pulizija ssib il-ġisem, iċċekkja r-rekord biex tara lil min l-aħħar daħlet f'kuntatt mal-mejjet u dak li sar u li huma diġà jkollhom l-identità mingħajr ma jkollhom għalfejn inħafferhom. Dan huwa dak li jipprovdi l-qtugħ f'termini ta 'forniment ta' evidenza forensika meta jkun hemm attività malizzjuża fuq il-kompjuter jew in-netwerk tiegħek.
Jekk amministratur tan-netwerk ma jdurx fuq il-qtugħ tas-siġar jew ma jillogjax l-avvenimenti korretti, it-tħaffif ta 'evidenza forensika biex tidentifika l-ħin u d-data jew il-metodu ta' aċċess mhux awtorizzat jew attività malizzjuża oħra jista 'jkun daqstant diffiċli kemm infittxu l-labra proverbial haystack. Ħafna drabi l-kawża ewlenija ta 'attakk qatt ma tiġi skoperta. Hacked jew magni infettati huma mnaddfa u kulħadd jirritorna għan-negozju bħas-soltu mingħajr ma jaf verament jekk is-sistemi huma protetti aħjar minn meta kienu meta ntlaqtu fl-ewwel post.
Xi applikazzjonijiet jaqbdu l-affarijiet awtomatikament. Servers tal-Web bħal IIS u Apache ġeneralment jirreġistraw it-traffiku kollu li jkun dieħel. Dan jintuża prinċipalment biex jara kemm in-nies żaru l-websajt, liema indirizz IP użaw u informazzjoni oħra tat-tip ta 'metriċi dwar is-sit web. Iżda, fil-każ ta 'dud bħal CodeRed jew Nimda, it-zkuk tal-web jistgħu juru wkoll meta s-sistemi infettati qed jippruvaw jidħlu fis-sistema tiegħek minħabba li għandhom ċerti kmandi li huma jippruvaw li jidhru fir-reġistri kemm jekk huma ta' suċċess jew le.
Xi sistemi għandhom diversi funzjonijiet ta 'verifika u ta' qtugħ mibnija. Tista 'wkoll tinstalla softwer addizzjonali biex tissorvelja u tniżżel diversi azzjonijiet fuq il-kompjuter (ara l- Għodod fil-linkbox fuq il-lemin ta' dan l-artikolu). Fuq magna Windows XP Professional hemm għażliet biex issir verifika tal-avvenimenti tal-logon tal-kont, ġestjoni tal-kontijiet, aċċess għal servizz tad-direttorju, avvenimenti ta 'logon, aċċess għal oġġett, bidla fil-politika, użu ta' privileġġ, tracking tal-proċess u avvenimenti tas-sistema.
Għal kull wieħed minn dawn tista 'tagħżel li tirreġistra s-suċċess, in-nuqqas jew xejn. Bl-użu ta 'Windows XP Pro bħala l-eżempju, jekk ma ħallietx l-ebda qtugħ għal aċċess għal oġġett ma jkollokx rekord ta' meta fajl jew folder kien aċċessat l-aħħar. Jekk ppermettiet biss qtugħ ta 'ħsarat ikollok rekord ta' meta xi ħadd ipprova jidħol fil-fajl jew fil-folder imma naqas minħabba li ma jkollux il-permessi jew l-awtorizzazzjoni xierqa, iżda ma jkollokx rekord ta 'meta utent awtorizzat ikollu aċċess għall-fajl jew folder .
Minħabba l-fatt li hacker jista 'jkun qed juża' username u password kkrekkjat jista 'jkun hemm aċċess għal fajls b'suċċess. Jekk tara d-zkuk u tara li Bob Smith ħassar id-dikjarazzjoni finanzjarja tal-kumpanija fit-3 ta 'nhar il-Ħadd jista' jkun sikur li wieħed jassumi li Bob Smith kien qiegħed jorqod u li forsi l-username u l-password ġew kompromessi . Fi kwalunkwe każ, issa taf x'ġara lill-fajl u meta u tagħtik il-punt tat-tluq biex tinvestiga kif ġara.
Kemm in-nuqqas kif ukoll il-qtugħ tas-suċċess jistgħu jipprovdu informazzjoni u ħjiel utli, iżda trid tibbilanċja l-attivitajiet ta 'monitoraġġ u ta' qtugħ tas-siġar mal-prestazzjoni tas-sistema. Uża l-eżempju tal-ktieb tar-rekord tal-bniedem minn fuq - tgħin lill-investigaturi jekk in-nies iżommu reġistru ta 'kulħadd li ġew f'kuntatt ma' u dak li ġara matul l-interazzjoni, iżda ċertament inaqqas in-nies.
Jekk kellek tieqaf u tikteb min, liema u meta għal kull laqgħa li kellek il-ġurnata kollha jista 'jkollu impatt serju fuq il-produttività tiegħek. L-istess ħaġa tgħodd għall-monitoraġġ u l-qtugħ tal-attività tal-kompjuter. Tista 'tippermetti kull nuqqas possibbli u l-għażla ta' qtugħ tas-suċċess u jkollok rekord dettaljat ħafna ta 'dak kollu li jmur fuq il-kompjuter tiegħek. Madankollu, ser ikollok impatt qawwi fuq il-prestazzjoni minħabba li l-proċessur se jkun okkupat li jirreġistra 100 entrata differenti fir-reġistri kull darba li xi ħadd jippressa buttuna jew ikklikkja l-maws.
Għandek tqis x'tip ta 'qtugħ ta' siġar tkun ta 'benefiċċju bl-impatt fuq il-prestazzjoni tas-sistema u toħroġ bilanċ li jaħdem l-aħjar għalik. Għandek iżżomm f'moħħok ukoll li ħafna għodod hacker u programmi Trojan horse bħal Sub7 jinkludu utilitajiet li jippermettulhom ibiddlu fajls log biex jaħbu l-azzjonijiet tagħhom u jaħbu l-intrużjoni sabiex ma tkunx tista 'tibbaża ruħha 100% fuq il-fajls log.
Tista 'tevita xi wħud mill-kwistjonijiet ta' prestazzjoni u possibbilment il-kwistjonijiet ta 'ħabi ta' għodda ta 'Hacker billi tqis ċerti affarijiet fit-twaqqif tal-qtugħ tiegħek. Għandek bżonn tkejjel kemm se jinġiebu l-log files u tassigura li għandek biżżejjed spazju fuq id-disk fl-ewwel post. Għandek bżonn ukoll li twaqqaf politika dwar jekk reġistri qodma serx jiġu miktuba jew imħassra jew jekk tridx tinstalla z-zkuk fuq bażi ta 'kuljum, fil-ġimgħa jew fuq bażi oħra perjodika sabiex ikollok data aktar antika biex terġa' tfittex ukoll.
Jekk huwa possibbli li tuża hard drive iddedikat u / jew kontrollur tal-hard drive ikollok inqas impatt fuq il-prestazzjoni minħabba li l-fajls log jistgħu jinkitbu fuq id-disk mingħajr ma jkollhom għalfejn jiġġieldu bl-applikazzjonijiet li qed tipprova tmexxi għall-aċċess għall-drive. Jekk tista 'tidderieġi l-fajls log għal kompjuter separat - possibilment iddedikat għall-ħażna ta' fajls ta 'log u b'sistemi ta' sigurtà kompletament differenti - tista 'tkun kapaċi timblokka l-kapaċità ta' l-intruż li tbiddel jew tħassar ukoll il-fajls tar-reġistru.
Nota finali hija li m'għandekx tistenna sakemm tkun tard wisq u s-sistema tiegħek diġà tkun ġġarraf jew ġiet kompromessa qabel ma tara r-reġistri. L-aħjar huwa li tirrevedi r-reġistri perjodikament sabiex tkun tista 'tkun taf x'inhu normali u tistabbilixxi linja bażi. B'dan il-mod, meta ssib dħul żbaljat tista 'tirrikonoxxihom bħala tali u tieħu passi proattivi biex issaħħaħ is-sistema tiegħek minflok tagħmel l - investigazzjoni forensika wara li tkun tard wisq.