Будем надеяться, что ваши компьютеры будут исправлены и обновлены, а ваша сеть будет безопасной. Тем не менее, совершенно неизбежно, что в какой-то момент вы будете поражены злонамеренной деятельностью - вирусом, червем, троянским конем, хакерской атакой или иным способом. Когда это произойдет, если вы сделали правильные вещи перед атакой, вы сделаете задачу определить, когда и как атака удалась намного проще.
Если вы когда-либо смотрели телешоу «CSI» или практически любую другую полицейскую или юридическую телепередачу, вы знаете, что даже при самой тонкой клочке судебных доказательств следователи могут идентифицировать, отслеживать и поймать преступника.
Но было бы неплохо, если бы им не пришлось просеивать волокна, чтобы найти один волос, который действительно принадлежит преступнику, и провести тестирование ДНК, чтобы определить его владельца? Что, если на каждом человеке, с кем они вступали в контакт и когда? Что, если бы была сделана запись того, что было сделано с этим человеком?
Если бы это было так, следователи, подобные тем, которые были в «CSI», могли оказаться вне бизнеса. Полиция найдет тело, проверит запись, чтобы узнать, кто последний вступил в контакт с покойным и что было сделано, и у них уже будет личность без необходимости копать. Это то, что протоколирование предоставляет с точки зрения предоставления судебных доказательств при наличии вредоносной активности на вашем компьютере или в сети.
Если сетевой администратор не включит ведение журнала или не регистрирует правильные события, выкапывание судебных доказательств для определения времени и даты или способа несанкционированного доступа или другой злонамеренной деятельности может быть столь же трудным, как поиск иглы в пресловутых стог сена. Часто основная причина атаки никогда не обнаруживается. Взломанные или зараженные машины очищаются, и все возвращаются к бизнесу, как обычно, не зная, защищены ли системы лучше, чем когда они попали в первую очередь.
Некоторые приложения регистрируют события по умолчанию. Веб-серверы, такие как IIS и Apache, обычно регистрируют весь входящий трафик. Это в основном используется, чтобы увидеть, сколько человек посетило веб-сайт, какой IP-адрес они использовали и другую информацию о типе данных, относящуюся к веб-сайту. Но в случае таких червей, как CodeRed или Nimda, веб-журналы также могут показать вам, когда зараженные системы пытаются получить доступ к вашей системе, потому что у них есть определенные команды, которые они пытаются выявить в журналах, являются ли они успешными или нет.
Некоторые системы имеют различные функции аудита и ведения журнала. Вы также можете установить дополнительное программное обеспечение для мониторинга и регистрации различных действий на компьютере (см. инструменты в поле ссылки справа от этой статьи). На машине Windows XP Professional есть опции для аудита событий входа в учетную запись, управления учетными записями, доступа к каталогам, событий входа, доступа к объектам, изменения политики, использования привилегий, отслеживания процессов и системных событий.
Для каждого из них вы можете выбрать успех журнала, неудачу или ничего. Используя Windows XP Pro в качестве примера, если вы не включили регистрацию для доступа к объекту, у вас не будет записи о том, когда последний файл или папка были в последний раз доступны. Если вы включили только регистрацию ошибок, у вас будет запись о том, когда кто-то попытался получить доступ к файлу или папке, но не удалось из-за отсутствия надлежащих разрешений или авторизации, но у вас не было бы записи о том, когда авторизованный пользователь обратился к файлу или папке ,
Поскольку хакер может очень хорошо использовать взломанное имя пользователя и пароль, они могут иметь возможность успешно обращаться к файлам. Если вы просмотрите журналы и увидите, что Боб Смит удалил финансовую отчетность компании в 3 часа ночи в воскресенье, можно с уверенностью предположить, что Боб Смит спал и что, возможно, его имя пользователя и пароль были скомпрометированы. В любом случае вы теперь знаете, что произошло с файлом, и когда и это дает вам отправную точку для расследования того, как это произошло.
Как протоколирование сбоев, так и успех могут предоставить полезную информацию и подсказки, но вы должны сбалансировать свои действия по мониторингу и регистрации с эффективностью системы. Используя вышеприведенный пример книги для записей людей, это помогло бы исследователям, если бы люди держали журнал всех, с кем они вступали в контакт, и что происходило во время взаимодействия, но это, безусловно, замедляло бы людей.
Если вам приходилось останавливаться и записывать, кто, что и когда для каждой встречи у вас был весь день, это может серьезно повлиять на вашу производительность. То же самое относится к мониторингу и регистрации активности компьютера. Вы можете включить все возможные варианты сбоя и успешного ведения журнала, и у вас будет очень подробная запись обо всем, что происходит на вашем компьютере. Тем не менее, вы серьезно повлияете на производительность, потому что процессор будет занят записью 100 различных записей в журналах каждый раз, когда кто-то нажимает кнопку или нажимает на их мышь.
Вы должны взвесить, какие виды ведения журналов были бы полезны с воздействием на производительность системы и придумать баланс, который лучше всего подходит для вас. Вы также должны помнить, что многие хакерские инструменты и программы для троянских коней, такие как Sub7, включают в себя утилиты, которые позволяют им изменять файлы журналов, чтобы скрыть свои действия и скрыть вторжение, поэтому вы не можете на 100% полагаться на файлы журнала.
Вы можете избежать некоторых проблем с производительностью и, возможно, проблемы сокрытия хакерских инструментов, принимая во внимание некоторые вещи при настройке ведения журнала. Вам нужно оценить, насколько велики будут файлы журналов, и убедитесь, что у вас достаточно места на диске в первую очередь.Вам также необходимо настроить политику для того, будут ли старые записи журналов перезаписаны или удалены, или если вы хотите архивировать журналы на ежедневной, еженедельной или другой периодической основе, чтобы иметь более старые данные, чтобы оглядываться назад.
Если вы можете использовать выделенный жесткий диск и / или контроллер жесткого диска, у вас будет меньше влияния на производительность, потому что файлы журнала могут быть записаны на диск без необходимости сражаться с приложениями, которые вы пытаетесь запустить для доступа к диску. Если вы можете направлять файлы журналов на отдельный компьютер, возможно, предназначенный для хранения файлов журнала и с совершенно разными параметрами безопасности, вы можете заблокировать возможность злоумышленника изменять или удалять файлы журнала.
Последнее замечание состоит в том, что вам не следует ждать, пока не станет слишком поздно, и ваша система уже разбилась или скомпрометирована перед просмотром журналов. Лучше периодически просматривать журналы, чтобы вы могли узнать, что является нормальным, и установить базовый уровень. Таким образом, когда вы сталкиваетесь с ошибочными записями, вы можете распознать их как таковые и предпринять активные шаги, чтобы закрепить свою систему, а не делать судебное расследование после ее слишком поздно.
