למה אני צריך להשתמש ביומן אירועים אבטחה?

אתה צריך לתכנן קדימה כדי לתפוס פולש

אני מקווה שאתה שומר את המחשבים שלך טלאים ומעודכנים הרשת שלך מאובטח. עם זאת, זה בלתי נמנע למדי כי תוכל בשלב מסוים להכות עם פעילות זדונית, וירוס , תולעת , סוס טרויאני , התקפה גרזן או אחרת. כאשר זה קורה, אם עשית את הדברים הנכונים לפני ההתקפה אתה תעשה את העבודה של קביעת מתי ואיך ההתקפה הצליחה הרבה יותר קל.

אם אי פעם ראית את תוכנית הטלוויזיה CSI , או רק על כל תוכנית טלוויזיה אחרת במשטרה או משפטית, אתה יודע שאפילו עם החלק הדק ביותר של ראיות משפטית החוקרים יכולים לזהות, לעקוב ולתפוס את מבצע פשע.

אבל, זה לא יהיה נחמד אם הם לא צריכים לנפות דרך סיבים למצוא את השיער אחד למעשה שייך העבריין ולעשות בדיקות DNA לזהות את הבעלים שלה? מה אם היה תיעוד על כל אדם של מי הם באו במגע ומתי? מה אם יש תיעוד שנשמר על מה שנעשה לאותו אדם?

אם זה היה המקרה, חוקרים כמו אלה ב- CSI עשויים להיות מחוץ לעסק. המשטרה היתה מוצאת את הגופה, בודקת את התקליט כדי לראות מי האחרון בא במגע עם המנוח ומה נעשה, והם כבר היו זהות ללא צורך לחפור. זה מה רישום מספק במונחים של אספקת ראיות משפטית כאשר יש פעילות זדונית במחשב או ברשת.

אם מנהל רשת אינו מפעיל את רישום הרישום או אינו מתעד את האירועים הנכונים, חפירת עדויות משפטית כדי לזהות את השעה והתאריך או הגישה של גישה לא מורשית או פעילות זדונית אחרת יכולה להיות קשה באותה מידה כמו חיפוש המחט הפתגומית עֲרֵמַת שַׁחַת. לעתים קרובות הגורם השורש של התקפה הוא מעולם לא התגלה. מכונות פרוצים או נגועים מנוקות וכולם חוזרים לעסקים כרגיל מבלי לדעת אם המערכות מוגנות יותר טוב מאשר כאשר הם נפגעו מלכתחילה.

חלק מהיישומים נרשמים כברירת מחדל. שרתי אינטרנט כמו IIS ו- Apache בדרך כלל מתועדים בכל התנועה הנכנסת. זה משמש בעיקר כדי לראות כמה אנשים ביקרו באתר האינטרנט, מה כתובת ה- IP הם השתמשו ומדדים אחרים, סוג מידע לגבי האתר. אבל, במקרה של תולעים כמו CodeRed או Nimda, יומני הרשת יכולים גם להראות לך כאשר מערכות נגועות מנסים לגשת למערכת שלך כי יש להם פקודות מסוימות שהם מנסים כי יופיעו ביומני אם הם מצליחים או לא.

במערכות מסוימות יש פונקציות שונות של ביקורת ובדיקות שנבנו. ניתן גם להתקין תוכנות נוספות כדי לפקח על פעולות שונות במחשב ולבצע פעולות שונות במחשב (ראה כלים בקישור הנמצא מימין למאמר זה). במכונה של Windows XP Professional קיימות אפשרויות לבדיקת אירועי כניסה לחשבון, ניהול חשבונות, גישה לשירות ספריות, אירועי כניסה, גישה לאובייקט, שינוי מדיניות, שימוש בזכויות, מעקב אחר תהליכים ואירועי מערכת.

עבור כל אחד מהם אתה יכול לבחור להיכנס הצלחה, כישלון או שום דבר. באמצעות Windows XP Pro כדוגמה, אם לא הפעלת כל רישום עבור גישה אובייקט לא היה לך הרשומה של כאשר קובץ או תיקיה היה האחרון גישה. אם הפעלת כניסה לכישלון בלבד, היה לך רישום של כאשר מישהו ניסה לגשת לקובץ או לתיקייה אך נכשל עקב היעדר ההרשאות או ההרשאות המתאימות, אך לא היה לך תיעוד כאשר משתמש מורשה ניגש לקובץ או לתיקייה .

בגלל האקר עשוי בהחלט להיות משתמש שם משתמש סדוק ואת הסיסמה הם יוכלו לגשת בהצלחה קבצים. אם אתה מציג את יומני ולראות כי בוב סמית 'נמחק את הדוחות הכספיים של החברה ב 3:00 ביום ראשון זה יכול להיות בטוח להניח כי בוב סמית ישן וכי אולי שם המשתמש והסיסמה שלו נפגעו . בכל מקרה, עכשיו אתה יודע מה קרה לקובץ ומתי וזה נותן לך נקודת התחלה לחקר איך זה קרה.

גם כישלון וגם הצלחה ההרשמה יכול לספק מידע שימושי רמזים, אבל אתה צריך לאזן את הניטור שלך בכניסה פעילויות עם ביצועי המערכת. שימוש בדוגמה של ספר התקליטים האנושי מלמעלה, יעזור לחוקרים אם אנשים ישמרו על כל אחד מהם שבא במגע עם מה שקרה במהלך האינטראקציה, אבל זה בהחלט יאט אנשים.

אם היית צריך לעצור ולכתוב מי, מה ומתי לכל מפגש שיש לך כל היום זה עלול להשפיע קשות על הפרודוקטיביות שלך. אותו דבר נכון לגבי ניטור ורישום פעילות המחשב. אתה יכול לאפשר את כל הכישלון אפשרי אפשרות ההרשמה הצלחה יהיה לך תיעוד מפורט מאוד של כל מה שקורה במחשב. עם זאת, אתה תהיה השפעה חמורה על הביצועים, כי המעבד יהיה עסוק הקלטה 100 רשומות שונות ביומני בכל פעם שמישהו לוחץ על כפתור או לוחץ על העכבר שלהם.

אתה צריך לשקול אילו סוגים של רישום יהיה מועיל עם ההשפעה על ביצועי המערכת ואת לבוא עם האיזון המתאים ביותר עבורך. כמו כן כדאי לזכור כי כלי האקר רבים ותוכניות סוס טרויאני כגון Sub7 כוללים כלי עזר המאפשרים להם לשנות קבצי יומן כדי להסתיר את מעשיהם ולהסתיר את החדירה, כך שאתה לא יכול להסתמך על 100% קבצי היומן.

תוכל למנוע חלק מבעיות הביצועים ואולי גם את בעיות ההסתרה של כלי האקרים על ידי לקיחת דברים מסוימים בחשבון בעת ​​הגדרת הרישום שלך. אתה צריך לאמוד כמה גדול קבצי היומן יקבלו ולוודא שיש לך מספיק שטח דיסק מלכתחילה. כמו כן, עליך להגדיר מדיניות אם יומנים ישנים מוחלפים או נמחקים או אם ברצונך לאחסן את היומנים על בסיס יומי, שבועי או אחר, כך שיש לך נתונים ישנים להביט אחורה גם כן.

אם אתה יכול להשתמש בכונן קשיח ייעודי ו / או בקר הכונן הקשיח תהיה לך השפעה על הביצועים פחות, כי קבצי יומן יכול להיות כתוב על הדיסק מבלי להילחם עם היישומים שאתה מנסה להפעיל עבור גישה לכונן. אם אתה יכול לכוון את קבצי היומן למחשב נפרד - אולי מוקדש לאחסון קבצי יומן עם הגדרות אבטחה שונות לחלוטין, ייתכן שתוכל לחסום את היכולת של הפורץ לשנות או למחוק את קבצי היומן גם כן.

הערה אחרונה היא שאתה לא צריך לחכות עד שיהיה מאוחר מדי המערכת שלך כבר התרסק או נפרץ לפני הצגת יומנים. עדיף לסקור את היומנים מעת לעת, כך שאתה יכול לדעת מה נורמלי להקים בסיס. בדרך זו, כאשר אתה עושה להתקל ערכים שגויים אתה יכול לזהות אותם ככזה ולנקוט צעדים יזומים להקשיח את המערכת שלך ולא עושה את החקירה משפטית לאחר מאוחר מדי.