Чаму я павінен выкарыстоўваць бяспекі часопісаў падзей?

Вы павінны планаваць загадзя, каб злавіць Intruder

Спадзяюся , што вы трымаеце вашыя кампутары пропатчны і абнаўляюцца , і ваша сетка абаронена. Аднак, гэта даволі непазбежна , што вы ў якім - то момант ударыць з шкоднасным деятельность- на вірус , чарвяк , траянскі конь, секчы напад ці іншым чынам . Калі гэта адбудзецца, калі вы зрабілі правільныя рэчы перад атакай вы будзеце рабіць працу вызначэння таго, калі і як атака ўдалася, што значна прасцей.

Калі вы калі - небудзь глядзелі тэлешоў CSI, або проста аб якіх - небудзь іншых паліцэйскіх ці юрыдычнай ТБ - шоу, вы ведаеце , што нават з самым тонкім жмутком судовых доказаў сьледчыя могуць ідэнтыфікаваць, адсочваць і злавіць віноўнік злачынства.

Але, не было б добра, калі б у іх не было просеять праз валакна, каб знайсці адзін валасоў, што на самой справе належыць да злачынцу і зрабіць аналіз ДНК, каб ідэнтыфікаваць яго ўладальніка? Што рабіць, калі існуе запіс захоўваецца на кожным чалавеку, які яны ўступілі ў кантакт і калі? Што рабіць, калі існуе запіс, якую захоўвае тое, што было зроблена для гэтага чалавека?

Калі б гэта было так, то даследчыкі , як тыя , у CSI можа быць з бізнэсу. Паліцыя знойдзе цела, праверыць запіс, каб убачыць, хто ў апошні раз ўступала ў кантакт з памерлым і тое, што было зроблена, і яны ўжо ёсць асобу, не капаць. Гэта тое, што пратакаляванне забяспечвае ў плане падачы судовых доказаў пры наяўнасці шкоднаснай актыўнасці на вашым кампутары або ў сеткі.

Калі адміністратар сеткі не ўключаецца вядзенне часопіса або не рэгіструе правільныя падзеі, выкопваць судова-медыцынскія доказы, каб вызначыць час і дату або метад несанкцыянаванага доступу або іншай шкоднаснай актыўнасці можа быць гэтак жа цяжка, як шукаю праславутую іголку ў стог сена. Часта прычына нападу ніколі не выяўлена. Узламаны або заражаныя машыны прыбіралі, і ўсё вяртаецца ў бізнес, як звычайна, не ведаючы, ці сапраўды сістэмы абаронены лепш, чым яны былі, калі яны былі абмежаваныя ў першую чаргу.

Пэўныя праграмы увайсці рэчы па змаўчанні. Вэб-серверы, як IIS і Apache звычайна пратакаліраваць ўвесь ўваходны трафік. Гэта ў асноўным выкарыстоўваецца , каб убачыць , як шмат людзей наведалі вэб - сайт, якія IP - адрасы яны выкарыстоўвалі і іншую інфармацыю метрыкі тыпу ў дачыненні да вэб - сайта. Але, у выпадку чарвякоў, такіх як CodeRed або Nimda, вэб-часопісы могуць таксама паказаць вам, калі заражаныя сістэмы спрабуюць атрымаць доступ да вашай сістэме, таму што ў іх ёсць пэўныя каманды, яны спрабуюць, якія будуць адлюстроўвацца ў часопісах, ці з'яўляюцца яны паспяховымі ці не.

Некаторыя сістэмы маюць розны аўдыт і пратакаляванне функцыі , убудаваную ў сістэме . Вы можаце таксама ўсталяваць дадатковае праграмнае забеспячэнне для маніторынгу і рэгістрацыі розных дзеянняў на кампутары (гл інструментаў у linkbox справа ад гэтага артыкула). На прафесійнай машыне Windows XP ёсць варыянты для правядзення аўдыту ўліковага запісу для ўваходу ў сістэме падзей, кіравання ўліковымі запісаў, доступ да службы каталогаў, падзея ўваходу ў сістэме, доступ да аб'ектаў, змяненне палітыкі, выкарыстанне прывілеяў, адсочванне працэсу і сістэмныя падзеі.

Для кожнага з іх вы можаце ўвайсці поспех, няўдачу або нічога. Выкарыстанне Windows XP Pro ў якасці прыкладу, калі вы не ўключылі якой-небудзь пратакалявання доступу да аб'екта не будзе мець ніякіх запісаў аб тым, калі файл або тэчка апошняга доступу. Калі ўключана толькі збой пры ўваходзе вы бы запіс аб тым, калі хто-то спрабаваў атрымаць доступ да файла ці тэчцы, але не з-за не маючы належнага дазволу або дазволу, але не будзе мець запіс аб тым, калі аўтарызаваны карыстач атрымаў доступ да файла ці тэчцы ,

Паколькі хакер можа вельмі добра выкарыстоўваць трэснута імя карыстальніка і пароль, яны могуць быць у стане паспяхова атрымаць доступ да файлаў. Пры праглядзе часопісаў і паглядзець , што Боб Сміт выдаліў кампаніі фінансавы справаздачу ў 3 гадзіны ночы ў нядзелю , гэта можа быць з упэўненасцю выказаць здагадку , што Боб Сміт спіць , і што , магчыма , яго імя карыстальніка і пароль былі скампраметаваныя . У любым выпадку, цяпер вы ведаеце, што здарылася з файлам, і калі, і гэта дае вам адпраўную кропку для даследавання, як гэта здарылася.

І няўдача і поспех рэгістрацыя можа даць карысную інфармацыю і падказкі, але вы павінны збалансаваць сваю дзейнасць па маніторынгу і пратакалявання прадукцыйнасці сістэмы. Выкарыстоўваючы чалавечы прыклад запісу кнігі з вышэй- гэта дапаможа следчым, калі б людзі трымалі часопіс ўсіх яны прыйшлі ў кантакт і што адбылося падчас ўзаемадзеяння, але гэта было б, вядома, павольна людзі ўніз.

Калі б вам давялося спыніцца і запісаць, хто, што і калі для кожнай сутычцы вы былі ўвесь дзень ён можа сур'ёзна паўплываць на прадукцыйнасць. Тое ж самае ставіцца і да кампутарнай маніторынгавай дзейнасці і лесанарыхтовак. Вы можаце ўключыць усе магчымыя опцыі няўдачы і поспеху пратакалявання і вы будзеце мець вельмі падрабязную справаздачу пра ўсё, што адбываецца ў вашым кампутары. Тым не менш, вы будзеце сур'ёзна паўплываць на прадукцыйнасць, так як працэсар будзе заняты запісам 100 розных запісаў у часопісах кожны раз, калі хтосьці націскае на кнопку або націскае іх мышшу.

Вы павінны ўзважыць, якія віды высечак было б карысна з уплывам на прадукцыйнасць сістэмы і прыдумаць баланс, які лепш працуе для вас. Вы павінны таксама мець на ўвазе , што многія хакерскія прылады і траянскія праграмы коні , такія як Sub7 ўключаюць у сябе ўтыліты , якія дазваляюць ім змяняць файлы часопісаў , каб схаваць свае дзеянні і схаваць ўварванне , так што вы не можаце спадзявацца на 100% на лог - файлы.

Вы можаце пазбегнуць некаторых праблем прадукцыйнасці і, магчыма, пытанні хакер інструмент маскіравання, прымаючы некаторыя рэчы пад увагу пры наладзе пратакалявання. Вы павінны ацаніць, наколькі вялікія файлы часопіса будуць атрымліваць і пераканайцеся, што ў вас ёсць дастаткова месца на дыску, у першую чаргу. Акрамя таго, неабходна стварыць палітыку, ці будзе перазапісаць або выдаліць старыя часопісы або калі вы хочаце архіваваць часопісы на штодзённай, штотыднёвай або іншы перыядычнай аснове, з тым, што ў вас ёсць старыя дадзеныя, каб азірнуцца назад на, а таксама.

Калі гэта магчыма, каб выкарыстоўваць выдзелены жорсткі дыск і / або кантролер жорсткага дыска ў вас будзе менш уплывае на прадукцыйнасць, так як файлы часопіса могуць быць запісаныя на дыск без неабходнасці змагацца з прыкладаннямі, якія вы спрабуеце запусціць для доступу да дыска. Калі вы можаце накіраваць файлы часопісы на асобны кампутар - магчыма, прызначаны для захоўвання файлаў часопісаў і з зусім іншай бяспекай налады- вы маглі б быць у стане заблакаваць здольнасць зламысніка змяняць або выдаляць файлы часопісы, а таксама.

Апошняе заўвага ў тым, што вы не павінны чакаць, пакуль гэта не занадта позна, і ваша сістэма ўжо сапсаваная або скампраметаваная перад праглядам часопісаў. Лепш за ўсё праглядаць часопісы перыядычна, так што вы можаце ведаць, што з'яўляецца нармальным і ўсталяваць базавы ўзровень. Такім чынам, калі вы сутыкнецеся з памылковымі запісамі вы можаце распазнаць іх як такія і прадпрымаць актыўныя крокі для ўзмацнення жорсткасці сістэмы , а не рабіць на судова - расследаванне пасля таго, як яго занадта позна.