Bạn có kế hoạch trước để bắt một kẻ xâm nhập
Hy vọng rằng bạn giữ cho máy tính của bạn được vá và cập nhật và mạng của bạn được bảo mật. Tuy nhiên, nó là khá không thể tránh khỏi mà bạn sẽ ở một số điểm được nhấn với hoạt động độc hại-một virus , sâu , Trojan horse, tấn công hack hoặc cách khác. Khi điều đó xảy ra, nếu bạn đã làm những điều đúng trước khi cuộc tấn công bạn sẽ làm cho công việc xác định khi nào và làm thế nào các cuộc tấn công đã thành công mà dễ dàng hơn nhiều.
Nếu bạn đã từng xem chương trình truyền hình CSI , hoặc bất kỳ cảnh sát hay chương trình truyền hình pháp lý nào khác, bạn biết rằng ngay cả với những bằng chứng pháp y mỏng nhất, các nhà điều tra có thể xác định, theo dõi và bắt thủ phạm của một tội phạm.
Nhưng, nó sẽ không được tốt đẹp nếu họ không phải sàng lọc qua sợi để tìm một sợi tóc thực sự thuộc về thủ phạm và làm xét nghiệm DNA để xác định chủ sở hữu của nó? Điều gì sẽ xảy ra nếu có một hồ sơ lưu giữ trên mỗi người mà họ tiếp xúc và khi nào? Điều gì sẽ xảy ra nếu có một hồ sơ lưu giữ những gì đã được thực hiện cho người đó?
Nếu đúng như vậy, các nhà điều tra như những người trong CSI có thể không hoạt động. Cảnh sát sẽ tìm thấy cơ thể, kiểm tra hồ sơ để xem ai cuối cùng đã tiếp xúc với người đã qua đời và những gì đã được thực hiện và họ đã có danh tính mà không cần phải đào bới. Đây là những gì đăng nhập cung cấp về mặt cung cấp bằng chứng pháp y khi có hoạt động độc hại trên máy tính hoặc mạng của bạn.
Nếu quản trị viên mạng không bật ghi nhật ký hoặc không ghi nhật ký sự kiện chính xác, hãy tìm kiếm bằng chứng pháp lý để xác định thời gian và ngày hoặc phương pháp truy cập trái phép hoặc hoạt động độc hại khác có thể khó khăn như tìm kiếm haystack. Thường thì nguyên nhân gốc rễ của một cuộc tấn công không bao giờ được phát hiện. Máy bị tấn công hoặc bị nhiễm sẽ được dọn dẹp và mọi người trở lại làm việc bình thường mà không thực sự biết liệu các hệ thống có được bảo vệ tốt hơn chúng không khi chúng bị tấn công ngay từ đầu.
Một số ứng dụng đăng nhập theo mặc định. Các máy chủ web như IIS và Apache thường ghi lại tất cả lưu lượng truy cập đến. Điều này chủ yếu được sử dụng để xem có bao nhiêu người đã truy cập vào trang web, địa chỉ IP nào họ đã sử dụng và các thông tin kiểu số liệu khác liên quan đến trang web. Tuy nhiên, trong trường hợp sâu như CodeRed hoặc Nimda, nhật ký web cũng có thể hiển thị cho bạn khi hệ thống bị nhiễm đang cố truy cập vào hệ thống của bạn vì chúng có các lệnh nhất định mà chúng cố gắng hiển thị trong nhật ký cho dù chúng có thành công hay không.
Một số hệ thống có nhiều chức năng kiểm tra và ghi nhật ký khác nhau. Bạn cũng có thể cài đặt phần mềm bổ sung để theo dõi và ghi lại các hành động khác nhau trên máy tính (xem Công cụ trong hộp liên kết ở bên phải của bài viết này). Trên máy tính Windows XP Professional có các tùy chọn để kiểm tra các sự kiện đăng nhập tài khoản, quản lý tài khoản, truy cập dịch vụ thư mục, sự kiện đăng nhập, truy cập đối tượng, thay đổi chính sách, sử dụng đặc quyền, theo dõi quy trình và sự kiện hệ thống.
Đối với mỗi bạn có thể chọn để đăng nhập thành công, thất bại hoặc không có gì. Sử dụng Windows XP Pro làm ví dụ, nếu bạn không cho phép bất kỳ đăng nhập nào để truy cập đối tượng, bạn sẽ không có hồ sơ về thời điểm tệp hoặc thư mục được truy cập lần cuối. Nếu bạn chỉ bật nhật ký lỗi, bạn sẽ có bản ghi khi ai đó cố truy cập tệp hoặc thư mục nhưng không thành công do không có quyền hoặc ủy quyền thích hợp, nhưng bạn sẽ không có bản ghi khi người dùng được ủy quyền truy cập tệp hoặc thư mục .
Bởi vì tin tặc có thể sử dụng tên người dùng và mật khẩu bị bẻ khóa nên họ có thể truy cập thành công các tệp. Nếu bạn xem nhật ký và thấy rằng Bob Smith đã xóa báo cáo tài chính của công ty lúc 3 giờ sáng ngày Chủ nhật, có thể an toàn cho rằng Bob Smith đang ngủ và có thể tên người dùng và mật khẩu của anh ấy đã bị xâm phạm . Trong mọi trường hợp, bây giờ bạn biết những gì đã xảy ra với tập tin và khi nào và nó sẽ cho bạn một điểm khởi đầu để điều tra cách nó xảy ra.
Cả thất bại và ghi nhật ký thành công đều có thể cung cấp thông tin và manh mối hữu ích, nhưng bạn phải cân bằng hoạt động giám sát và ghi nhật ký với hiệu năng hệ thống. Sử dụng ví dụ cuốn sách kỷ lục của con người từ trên nó sẽ giúp các nhà điều tra nếu mọi người giữ một nhật ký của tất cả mọi người họ tiếp xúc và những gì đã xảy ra trong tương tác, nhưng nó chắc chắn sẽ làm chậm người.
Nếu bạn phải dừng lại và viết ra ai, cái gì và khi nào cho mỗi cuộc gặp gỡ bạn có cả ngày nó có thể ảnh hưởng nghiêm trọng đến năng suất của bạn. Điều tương tự cũng đúng với hoạt động giám sát và ghi nhật ký máy tính. Bạn có thể kích hoạt mọi thất bại có thể và tùy chọn ghi nhật ký thành công và bạn sẽ có một bản ghi chi tiết về mọi thứ diễn ra trong máy tính của bạn. Tuy nhiên, bạn sẽ ảnh hưởng nghiêm trọng đến hiệu suất vì bộ vi xử lý sẽ bận ghi 100 mục nhập khác nhau trong nhật ký mỗi lần ai đó nhấn một nút hoặc nhấp chuột của họ.
Bạn phải cân nhắc những loại đăng nhập nào sẽ mang lại lợi ích với tác động đến hiệu năng hệ thống và đưa ra sự cân bằng phù hợp nhất với bạn. Bạn cũng nên nhớ rằng nhiều công cụ hacker và chương trình Trojan horse như Sub7 bao gồm các tiện ích cho phép họ thay đổi các tệp nhật ký để che giấu các hành động của họ và ẩn sự xâm nhập để bạn không thể dựa vào 100% các tệp nhật ký.
Bạn có thể tránh một số vấn đề hiệu suất và có thể là vấn đề che giấu công cụ của hacker bằng cách xem xét một số điều nhất định khi thiết lập đăng nhập của bạn. Bạn cần phải đánh giá các tệp nhật ký sẽ lớn như thế nào và đảm bảo bạn có đủ dung lượng đĩa ở nơi đầu tiên. Bạn cũng cần phải thiết lập chính sách cho dù nhật ký cũ sẽ bị ghi đè hay bị xóa hoặc nếu bạn muốn lưu trữ nhật ký trên cơ sở hàng ngày, hàng tuần hoặc cơ sở định kỳ khác để bạn có dữ liệu cũ hơn cũng cần xem lại.
Nếu có thể sử dụng ổ đĩa cứng chuyên dụng và / hoặc bộ điều khiển ổ đĩa cứng, bạn sẽ có ít tác động về hiệu suất hơn vì các tệp nhật ký có thể được ghi vào đĩa mà không cần phải đấu tranh với các ứng dụng bạn đang cố chạy để truy cập vào ổ đĩa. Nếu bạn có thể chuyển các tệp nhật ký sang một máy tính riêng biệt - có thể dành riêng để lưu trữ các tệp nhật ký và với các cài đặt bảo mật hoàn toàn khác nhau, bạn có thể chặn khả năng của người xâm nhập thay đổi hoặc xóa các tệp nhật ký.
Lưu ý cuối cùng là bạn không nên đợi cho đến khi quá muộn và hệ thống của bạn đã bị lỗi hoặc bị xâm phạm trước khi xem nhật ký. Tốt nhất là nên xem lại các bản ghi định kỳ để bạn có thể biết điều gì là bình thường và thiết lập đường cơ sở. Bằng cách đó, khi bạn đi qua các mục sai lầm, bạn có thể nhận ra chúng như vậy và thực hiện các bước chủ động để làm cứng hệ thống của bạn hơn là thực hiện điều tra pháp y sau khi quá muộn.