Zašto koristiti evidencije sigurnosnih događaja?

Moraš da planiraš kako bi uhvatio intrudera

Nadamo se da ćete držati računare popunjene i ažurirane i vaša mreža sigurna. Međutim, prilično je neizbežno da ćete u određenom trenutku biti pogođeni zlonamernim aktivnostima - virusom , crvom , trojanskim konjem, napadom na hakove ili na drugi način. Kada se to desi, ako ste uradili prave stvari prije napada, izvršićete posao određivanja kada i kako je napad mnogo lakši.

Ako ste ikada gledali televizijsku emisiju CSI , ili samo o bilo kojoj drugoj policijskoj ili pravnoj TV emisiji, znate da čak i sa najtanjim sudom forenzičkih dokaza istražitelji mogu identifikovati, pratiti i uhvatiti počinitelja zločina.

Ali, zar ne bi bilo lepo ako nisu morali da prolaze kroz vlakna da pronađu jednu kosu koja zapravo pripada počiniocu i da testira DNK kako bi identifikovala svog vlasnika? Šta ako je postojao zapis o svakoj osobi s kim su došli u kontakt i kada? Šta ako se vodi evidencija o tome šta je učinjeno tom licu?

Ako je to slučaj, istražitelji poput onih u CSI možda ne bi bili u poslu. Policija će pronaći telo, proveriti zapisnik da vidi ko je poslednji put stupio u kontakt sa preminulim i šta je učinjeno, a oni bi već imali identitet bez potrebe da kopaju. To je ono što logovanje pruža u smislu pružanja forenzičkih dokaza kada postoji zlonamerna aktivnost na računaru ili mreži.

Ako mrežni administrator ne uključi evidenciju ili ne prijavljuje ispravne događaje, iskopavanje forenzičkih dokaza za identifikaciju vremena i datuma ili metode neovlaštenog pristupa ili druge zlonamerne aktivnosti može biti isto tako teško kao i traženje pregovaračke igle u seno. Često osnovni uzrok napada nikad nije otkriven. Hakirane ili zaražene mašine se čiste i svako se vraća u posao kao i obično bez ikakvog znanja da li su sistemi zaštićeni bilo kakvo kada su bili pogođeni na prvom mestu.

Neke aplikacije po defaultu prijavljuju stvari. Veb serveri kao što su IIS i Apache generalno prijavljuju sve dolazeće saobraćaj. Ovo se uglavnom koristi da bi se videlo koliko je ljudi posetilo web stranicu, koju IP adresu su koristile, kao i druge informacije o tipu metrika koje se odnose na web stranicu. Ali, u slučaju crva kao što su CodeRed ili Nimda, web dnevnici takođe mogu pokazati kada zaraženi sistemi pokušavaju da pristupe vašem sistemu zato što imaju određene komande koje pokušavaju da se pojave u evidencijama da li su uspješni ili ne.

Neki sistemi imaju različite funkcije za reviziju i evidentiranje. Možete takođe instalirati dodatni softver za praćenje i prijavljivanje različitih radnji na računaru (pogledajte Alatke u sandučetu s desne strane ovog članka). Na Windows XP Professional mašini postoje opcije za reviziju događaja prijavljivanja naloga, upravljanje nalogom, pristup servisnom direktoriju, događaji prijavljivanja, pristup objektu, promjena politike, korištenje privilegija, praćenje procesa i sistemski događaji.

Za svako od njih možete izabrati da prijavite uspjeh, neuspjeh ili ništa. Koristeći Windows XP Pro kao primjer, ako niste omogućili bilo kakvo evidentiranje pristupa objektu, nećete imati nikakav zapis o tome kada je datoteka ili folder poslednji pristup. Ako ste omogućili samo evidenciju neuspjeha, imali biste zapis o tome kada je neko pokušao pristupiti datotekama ili direktorijumu, ali nije uspeo zbog toga što nemate odgovarajuće dozvole ili autorizaciju, ali ne biste imali zapis o tome kada je ovlašteni korisnik pristupio datoteku ili fasciklu .

Zbog toga što haker može vrlo dobro koristiti iskrivljeno korisničko ime i lozinku, možda će moći uspješno pristupiti datotekama. Ako pogledate evidencije i vidite da je Bob Smith izbrisao finansijsku izjavu kompanije u 3 u nedjelju, možda bi bilo sigurno pretpostaviti da je Bob Smith spavao i da je možda njegovo korisničko ime i lozinka ugrožena . U svakom slučaju, sada znate šta se desilo sa dosijeom i kada vam daje početnu tačku za istraživanje kako se to dogodilo.

I neuspjeh i uspješno evidentiranje mogu pružiti korisne informacije i tragove, ali morate uravnotežiti svoje aktivnosti praćenja i evidentiranja s sistemskim performansama. Korišćenjem primera ljudske knjige s gornje strane, to bi pomoglo istražiteljima da li ljudi čuvaju dnevnik svima s kojima su stupili u kontakt i šta se desilo tokom interakcije, ali to će sigurno usporiti ljude.

Ako ste morali da zaustavite i zapišete ko, šta i za svaki susret koji ste imali ceo dan to može ozbiljno uticati na vašu produktivnost. Isto važi i za praćenje i evidentiranje računarskih aktivnosti. Možete omogućiti svaku moguću opciju prijavljivanja grešaka i uspjeha i imate vrlo detaljan zapis o svemu što se dešava na vašem računaru. Međutim, ozbiljno ćete uticati na performanse jer će procesor biti zaposlen snimanjem 100 različitih unosa u dnevnike svaki put kada neko pritisne dugme ili klikne na miš.

Morate sagledati koje vrste sečenja bi bile korisne za uticaj na performanse sistema i iznalaženje ravnoteže koje najbolje funkcioniše za vas. Takođe treba imati na umu da mnogi alati za hakeri i trojanski programi kao što je Sub7 uključuju pomoćne programe koji im dozvoljavaju da mijenjaju datoteke dnevnika da sakrije svoje postupke i sakriju upad tako da se ne možete pouzdati 100% na datoteke dnevnika.

Možete izbjeći neke probleme sa performansama i eventualno probleme pri skrivanju alatki hakera uzimajući u obzir određene stvari prilikom postavljanja logovanja. Morate da procenite koliko će se velike datoteke dnevnika dobiti i osigurati da imate dovoljno prostora na disku na prvom mestu. Takođe morate postaviti politiku da li će se stari dnevnici prepisati ili izbrisati ili ako želite arhivirati evidenciju na dnevnoj, nedeljnoj ili drugoj periodičnoj osnovi tako da imate starije podatke kako biste se ponovo osvrnuli na to.

Ako je moguće koristiti namenski hard disk i / ili kontroler čvrstog diska, imat ćete manje efekta na performanse jer se datoteke dnevnika mogu pisati na disk bez potrebe da se bijete sa aplikacijama koje pokusavate da pokrenete za pristup disku. Ako možete upućivati ​​datoteke evidencije na odvojen računar - možda posvećeni čuvanju datoteka dnevnika i s potpuno različitim postavkama sigurnosti - možda ćete moći blokirati mogućnost uljeza da izmijeni ili briše datoteke dnevnika.

Konačna napomena je da ne treba čekati dok ne bude prekasno i da je vaš sistem već srušen ili kompromitovan pre nego što pregledate dnevnike. Najbolje je periodično pregledati evidencije tako da možete znati šta je normalno i uspostavite osnovnu liniju. Na taj način, kada nađete pogrešne unose, prepoznajete ih kao takve i preduzimate proaktivne korake da učvrstite svoj sistem umesto da obavite forenzičku istragu nakon što je prekasno.