Kailangan Ninyong Magplano nang Muli Upang Makuha ang Isang Nanghihimasok
Sana ay panatilihin mo ang iyong mga computer na na- patched at na-update at secure ang iyong network. Gayunpaman, medyo hindi maiiwasan na sa isang punto ay mapapansin mo ang nakahahamak na aktibidad- isang virus , worm , Trojan horse, hack attack o iba pa. Kapag nangyari iyon, kung nagawa mo na ang mga tamang bagay bago ang pag-atake ay gagawin mo ang trabaho ng pagtukoy kung kailan at kung paano ang pag-atake ay nagtagumpay na mas madali.
Kung napanood mo na ang TV show CSI , o halos anumang iba pang pulisya o legal na palabas sa telebisyon, alam mo na kahit na ang slimmest piraso ng forensic na katibayan ang mga investigator ay maaaring makilala, masubaybayan at mahuli ang may kasalanan ng isang krimen.
Ngunit, hindi ba ito ay maganda kung hindi nila kailangang mag-ayos sa pamamagitan ng fibers upang mahanap ang isang buhok na talagang pag-aari ng may sala at gawin ang pagsubok ng DNA upang makilala ang may-ari nito? Paano kung may isang rekord na itinatago sa bawat tao kung sino ang kanilang nakilala at kailan? Paano kung may isang talaan na pinananatiling kung ano ang ginawa sa taong iyon?
Kung ganoon nga, ang mga investigator na tulad ng mga nasa CSI ay maaaring wala sa negosyo. Makikita ng pulisya ang katawan, suriin ang rekord upang makita kung sino ang huling nakipag-ugnayan sa namatay at kung ano ang ginawa at magkakaroon na sila ng pagkakakilanlan nang hindi kinakailangang maghukay. Ito ay kung ano ang nagbibigay ng pag-log sa mga tuntunin ng supplying forensic na ebidensya kapag may malisyosong aktibidad sa iyong computer o network.
Kung ang isang tagapangasiwa ng network ay hindi nag-i-log o hindi naka-log ang mga tamang kaganapan, ang paghuhukay ng forensic na katibayan upang makilala ang oras at petsa o pamamaraan ng isang di-awtorisadong pag-access o iba pang mga nakakahamak na aktibidad ay maaaring maging kasing mahirap katulad ng paghanap ng isang kilalang karayom sa isang haystack. Kadalasan ay hindi natuklasan ang ugat na sanhi ng atake. Naka-clean ang na-hack o natatakot na mga machine at lahat ay bumalik sa negosyo gaya ng dati nang walang tunay na alam kung ang mga sistema ay protektado ng mas mahusay kaysa sa kung kailan sila ay nagkaroon ng hit sa unang lugar.
Ang ilang mga application mag-log ng mga bagay sa pamamagitan ng default. Ang mga web server tulad ng IIS at Apache sa pangkalahatan ay nag-log sa lahat ng papasok na trapiko. Ito ay higit sa lahat na ginagamit upang makita kung gaano karaming mga tao ang bumisita sa web site, kung anong IP address na ginamit nila at iba pang impormasyon na uri ng sukatan tungkol sa web site. Subalit, sa kaso ng mga worm tulad ng CodeRed o Nimda, ang mga web log ay maaari ring magpakita sa iyo kapag sinusubukan ng mga nahawaang system na ma-access ang iyong system dahil mayroon silang ilang mga utos na tinangka nila na magpapakita sa mga log kung matagumpay man o hindi.
Ang ilang mga sistema ay may iba't ibang mga pag-audit at pag-log ng mga pag-andar na nakapaloob sa. Maaari ka ring mag-install ng karagdagang software upang masubaybayan at mag-log ng iba't ibang mga pagkilos sa computer (tingnan ang Mga Tool sa linkbox sa kanan ng artikulong ito). Sa isang makina ng Windows XP Professional may mga opsyon upang i-audit ang mga kaganapan sa account logon, pamamahala ng account, pag-access sa direktoryo ng serbisyo, mga kaganapan sa logon, pag-access ng bagay, pagbabago ng patakaran, paggamit ng pribilehiyo, proseso ng pagsubaybay at mga kaganapan sa system.
Para sa bawat isa sa mga ito maaari mong piliin na mag-log ng tagumpay, pagkabigo o wala. Ang paggamit ng Windows XP Pro bilang halimbawa, kung hindi mo paganahin ang anumang pag-log para sa pag-access ng bagay ay wala kang rekord kung kailan huling na-access ang isang file o folder. Kung pinagana mo lamang ang pag-log ng pagkabigo makakakuha ka ng rekord kung kailan sinubukan ng isang tao na ma-access ang file o folder ngunit nabigo dahil sa hindi pagkakaroon ng wastong mga pahintulot o pahintulot, ngunit hindi ka magkakaroon ng rekord kung kailan na-access ng awtorisadong gumagamit ang file o folder .
Sapagkat ang isang Hacker ay maaaring maging mahusay na gamit ang isang basag na username at password maaari silang matagumpay na ma-access ang mga file. Kung titingnan mo ang mga log at makita na binura ni Bob Smith ang pananalapi na pahayag ng kumpanya sa alas-3 ng umaga sa Linggo ay maaaring maging ligtas na ipalagay na si Bob Smith ay natutulog at marahil ay na- kompromiso ang kanyang username at password. Sa anumang kaganapan, alam mo na ngayon kung ano ang nangyari sa file at kung kailan at ito ay nagbibigay sa iyo ng isang panimulang punto para sa sinisiyasat kung paano ito nangyari.
Ang parehong kabiguan at pag-log ng tagumpay ay maaaring magbigay ng kapaki-pakinabang na impormasyon at mga pahiwatig, ngunit kailangan mong balansehin ang iyong mga aktibidad sa pagsubaybay at pag-log sa pagganap ng system. Gamit ang halimbawa ng rekord ng rekord ng tao mula sa itaas-makakatulong ito sa mga investigator kung ang mga tao ay nag-iingat ng isang log ng lahat na kanilang nakilala at kung ano ang nangyari sa pakikipag-ugnayan, ngunit tiyak na mababawasan ang mga tao.
Kung kailangan mong ihinto at isulat kung sino, kung ano at kung kailan para sa bawat tagpo na mayroon ka ng lahat ng araw maaari itong lubos na makaapekto sa iyong pagiging produktibo. Ang parehong bagay ay totoo sa pagsubaybay at pagtatala ng aktibidad sa computer. Maaari mong paganahin ang bawat posibleng kabiguan at pagpipilian sa pag-log ng tagumpay at magkakaroon ka ng isang detalyadong tala ng lahat ng bagay na napupunta sa iyong computer. Gayunpaman, ikaw ay malubhang makakaapekto sa pagganap dahil ang processor ay abala na mag-record ng 100 iba't ibang mga entry sa mga log sa bawat oras na may isang tao na pagpindot ng isang pindutan o pag-click sa kanilang mouse.
Dapat mong timbangin kung anong uri ng pag-log ang magiging kapaki-pakinabang sa epekto sa pagganap ng sistema at makabuo ng balanse na pinakamahusay na gumagana para sa iyo. Dapat mo ring isaisip na maraming mga tool ng hacker at mga programang kabayo ng Trojan tulad ng Sub7 ay nagsasama ng mga utility na nagpapahintulot sa kanila na baguhin ang mga file ng pag-log upang itago ang kanilang mga pagkilos at itago ang panghihimasok sa gayon ay hindi ka maaaring umasa ng 100% sa mga file ng pag-log.
Maaari mong maiwasan ang ilan sa mga isyu sa pagganap at posibleng mga isyu sa pag-conceal ng tool ng hacker sa pamamagitan ng pagsasaalang-alang sa ilang mga bagay kapag nag-set up ng iyong pag-log. Kailangan mong sukatin kung gaano kalaki ang makukuha ng mga log file at siguraduhing mayroon kang sapat na disk space sa unang lugar. Kailangan mo ring mag-set up ng isang patakaran kung ang mga lumang log ay mapapatungan o matatanggal o kung nais mong i-archive ang mga log sa isang pang-araw-araw, lingguhan o iba pang pana-panahong batayan upang mayroon ka ring mas lumang data upang tingnan muli.
Kung posible na gumamit ng isang dedikadong hard drive at / o hard drive controller magkakaroon ka ng mas kaunting epekto sa pagganap dahil ang mga log file ay maaaring nakasulat sa disk nang hindi na kailangang makipag-away sa mga application na sinusubukan mong patakbuhin para sa pag-access sa drive. Kung maaari mong idirekta ang mga file ng pag-log sa isang hiwalay na computer - posibleng nakatuon sa pag-iimbak ng mga file ng pag-log at may ganap na iba't ibang mga setting ng seguridad-maaari mong i-block ang kakayahan ng manlolupot na baguhin o tanggalin ang mga log file pati na rin.
Ang huling tala ay hindi ka dapat maghintay hanggang sa huli na at ang iyong system ay nag-crash o nakompromiso bago makita ang mga log. Pinakamabuting suriin ang mga log nang panaka-nakang panahon upang malaman mo kung ano ang normal at magtatag ng isang baseline. Sa ganoong paraan, kapag nakikita mo ang maling mga entry maaari mong makilala ang mga ito bilang tulad at gumawa ng mga proactive hakbang upang patigasin ang iyong system sa halip na gawin ang forensic pagsisiyasat pagkatapos nito huli na.