Რატომ უნდა გამოვიყენო უსაფრთხოების მოვლენების ჟურნალები?

თქვენ უნდა დაგეგმოთ წინ დაჭერა Intruder

იმედი მაქვს, რომ თქვენი კომპიუტერი შეინარჩუნეთ და განახლებული და თქვენი ქსელი უსაფრთხოა. თუმცა, ეს არის საკმაოდ გარდაუვალი, რომ თქვენ რაღაც მომენტში იქნება მოხვდა მუქარის საქმიანობის - ვირუსი , მატლი , ტროას ცხენი, hack თავდასხმა ან სხვაგვარად. როდესაც ეს მოხდება, თუ შეასრულა უფლება რამ შეტევა, თქვენ გახდის სამუშაოს განსაზღვრისას როდის და როგორ თავდასხმა წარმატებით გაცილებით ადვილია.

თუ თქვენ ოდესმე უყურებდით სატელევიზიო შოუს CSI- ს , ან უბრალოდ სხვა პოლიციის ან იურიდიულ სატელევიზიო გადაცემას, თქვენ იცით, რომ თუნდაც სამართალმცოდნეობის მტკიცებულებათა გამოვლენის შემთხვევაში, გამომძიებლებს შეუძლიათ დანაშაულის დამონტაჟება, გამოკვლევა და დაჭერა.

მაგრამ არ იქნებოდა კარგი, თუ მათ არ უნდა გაეკეთებინათ ბოჭკოები, რათა იპოვონ ერთი თმა, რომელიც რეალურად ეკუთვნის დამნაშავეს და დნმ-ს ტესტირება მისი მფლობელის იდენტიფიცირებისთვის? რა მოხდა, თუ იყო ჩანაწერი, რომელიც ინახებოდა თითოეულ ადამიანს, ვისთან დაკავშირებითაც და როდის? რა მოხდა, თუ რა იყო ჩანაწერი, თუ რა გაკეთდა ეს პიროვნება?

თუ ეს იყო შემთხვევა, გამომძიებლები, როგორიც არის CSI- ში, შეიძლება ბიზნესში იყოს. პოლიცია აღმოაჩენს სხეულს, შეამოწმეთ ჩანაწერი იმის შესახებ, თუ ვინ ხვდება გარდაცვლილთან და რა გაკეთდა და მათ უკვე იდენტიფიცირება ჰქონდათ იდენტურობის გარეშე. ეს არის ის, რაც ხე უზრუნველყოფს სასამართლო მტკიცებულებების მიწოდების თვალსაზრისით, როდესაც თქვენს კომპიუტერში ან ქსელში მავნე აქტივობაა.

თუ ქსელის ადმინისტრატორი არ იბრუნებს ხეებს ან არ იწერს სწორი მოვლენების შესახებ, სასამართლო ექსპერტიზის დასკვნის დასადგენად, არასანქცირებული წვდომის ან სხვა ბოროტი აქტივობის დროის, თარიღისა და მეთოდის იდენტიფიცირება შეიძლება ისეთივე რთული იყოს, როგორც სათვალთვალო ნემსი თივა. ხშირად თავდასხმის ძირეული მიზეზი არასოდეს აღმოჩენილია. Hacked ან ინფიცირებული მანქანები გაწმენდილი და ყველას ბრუნდება ბიზნესის როგორც ყოველთვის გარეშე იცის, თუ სისტემები დაცულია ნებისმიერი უკეთესია, ვიდრე ისინი, როდესაც ისინი მოხვდა პირველ რიგში.

ზოგიერთი განაცხადების შესვლის რამ default. ვებ სერვერები, როგორიცაა IIS და Apache, ზოგადად შესვლა ყველა შემომავალი ტრაფიკი. ეს ძირითადად გამოიყენება იმის შესახებ, თუ რამდენი ადამიანი ეწვია ვებ-გვერდს, რა IP მისამართს იყენებდნენ ისინი და სხვა მეტრიკის ტიპის ვებ-გვერდზე. თუმცა, კოდრით ან Nimda- ს მსგავსად, ვებ-ჩანაწერები ასევე შეგიძლიათ გაჩვენოთ, როდესაც ინფიცირებული სისტემები ცდილობენ თქვენს სისტემაში შესვლას, რადგან მათ აქვთ გარკვეული ბრძანებები, რომლებიც ცდილობენ, რომლებიც გამოჩნდებიან ჟურნალებში თუ არა წარმატებული თუ არა.

ზოგიერთ სისტემას გააჩნია სხვადასხვა აუდიტისა და მორგებული ფუნქციები. შეგიძლიათ ასევე დააყენოთ დამატებითი პროგრამული უზრუნველყოფა კომპიუტერში სხვადასხვა ქმედებების მონიტორინგისა და შესასვლელად (იხ. ინსტრუმენტები ამ სტატიის მარჯვენა მხარეს). Windows XP Professional Machine- ში არსებობს ანგარიშების მართვის ანგარიშების აუდიტი, ანგარიშის მენეჯმენტი, დირექტორია მომსახურების ხელმისაწვდომობა, ავტორიზაციის მოვლენები, ობიექტების ხელმისაწვდომობა, პოლიტიკის ცვლილება, პრივილეგიის გამოყენება, პროცესის დამუშავება და სისტემის მოვლენები.

თითოეული მათგანისთვის შეგიძლიათ აირჩიოთ წარმატება, მარცხი ან არაფერი. მაგალითად, Windows XP Pro- ის მაგალითის გამოყენება, თუ ობიექტზე წვდომის არც ერთი ხე არ გაგიკეთებიათ, არ გექნებათ ჩანაწერი, როდესაც ფაილი ან ფოლდერი ბოლო წვდომა იყო. თუ თქვენ ჩართავთ მხოლოდ მარცხის ჩამოსვლას, თქვენ გექნებათ ჩანაწერი, როდესაც ვინმე ცდილობდა წვდომა ფაილზე ან საქაღალდეში, მაგრამ ვერ მოხერხდა სათანადო ნებართვების ან ნებართვის გარეშე, მაგრამ არ გექნებათ ჩანაწერი, როდესაც უფლებამოსილი მომხმარებელი შედიხართ ფაილს ან ფოლდერში .

იმის გამო, რომ ჰაკერმა შეიძლება ძალიან კარგად გამოიყენოს დაბზარული მომხმარებლის სახელი და პაროლი, მათ შეუძლიათ შეძლონ წარმატებით წვდომის ფაილები. თუ დავინახავთ ჟურნალს და დაინახავთ, რომ ბობ სმიტმა კომპანიის ფინანსური ანგარიში ამოიწურა კვირას 3 საათზე, შეიძლება უსაფრთხოდ მიიჩნიოს, რომ ბობ სმიტი მძინავს და ალბათ მისი სახელი და პაროლი კომპრომეტირებულია . ნებისმიერ შემთხვევაში, თქვენ იცით, რა მოხდა ფაილზე და როდის და გაძლევთ და ამით იძლევა ამ საკითხს, თუ როგორ მოხდა ეს.

ორივე წარუმატებლობისა და წარმატების ხე შეიძლება მოგვაწოდოთ სასარგებლო ინფორმაცია და clues, მაგრამ თქვენ უნდა დაბალანსება თქვენი მონიტორინგი და ხე საქმიანობის სისტემის შესრულება. ადამიანური რეკორდის წიგნის მაგალითის გამოყენება ზემოდან - ეს დაეხმარება გამომძიებლებს, თუ ხალხი ინახება ყველასთან შეხებისას, რომ ისინი მოვიდნენ კონტაქტში და რა მოხდა ურთიერთქმედების დროს, მაგრამ ეს, რა თქმა უნდა, შეამცირებს ხალხს.

თუ თქვენ უნდა შეწყვიტოთ და დაწეროთ ვინ, რა და როდის ყოველი ნაცნობობა გქონდათ მთელი დღის განმავლობაში, შესაძლოა სერიოზულად აისახებოდეს თქვენი პროდუქტიულობა. იგივეა, რაც მონიტორინგს და კომპიუტერის მოქმედებას შეასრულებს. თქვენ შეგიძლიათ ჩართოთ ყველა შესაძლო მარცხი და წარმატების ჭრის ვარიანტი და თქვენ გექნებათ დეტალური ჩანაწერი ყველაფერი, რაც თქვენს კომპიუტერშია. თუმცა, თქვენ სერიოზულად აისახება შესრულებაზე, რადგან პროცესორი დაკავებული იქნება 100 სხვადასხვა ჩანაწერის ჩასაწერად ყოველ ჯერზე, როდესაც ვინმე დააჭერს ღილაკს ან მაუსის დაწკაპუნებას.

თქვენ უნდა მოხდეს, თუ რა სახის ხე იქნება სასარგებლო იქნება გავლენა სისტემის შესრულება და ამუშავება ბალანსი, რომელიც მუშაობს საუკეთესო თქვენთვის. თქვენ ასევე უნდა გვახსოვდეს, რომ ბევრი ჰაკერი ინსტრუმენტები და ტროას ცხენი პროგრამები, როგორიცაა Sub7 მოიცავს კომუნალური, რომ მათ შეცვალონ log ფაილი დასამალი მათი ქმედებები და დამალვა შეჭრა ასე რომ თქვენ ვერ დაეყრდნონ 100% on log ფაილი.

თქვენ შეგიძლიათ თავიდან ავიცილოთ ზოგიერთი შესრულების საკითხები და შესაძლოა ჰაკერების ხელსაწყოების დაფარვის საკითხები, რომლებიც შეინარჩუნებენ გარკვეულ საკითხებს იმის გათვალისწინებით, თუ თქვენი ხეების შექმნისას. საჭიროა იმის გაანალიზება, თუ რამდენად დიდია ჟურნალის ფაილები მიიღებს და დარწმუნდით, რომ საკმარისი ადგილია დისკზე პირველ ადგილზე. თქვენ ასევე უნდა შეიქმნას პოლიტიკა თუ არა ძველი ჟურნალები გადააჭარბებს ან წაიშლება ან თუ გსურთ ჟურნალების არქივი ყოველდღიურად, ყოველკვირეულად ან სხვა პერიოდულ საფუძველზე, ისე, რომ თქვენ გაქვთ ძველი მონაცემები, რომ ნახოთ უკან.

თუ შესაძლებელია გამოიყენოთ თავდაპირველი მყარი დისკი და / ან მყარი დისკის კონტროლერი, თქვენ გექნებათ ნაკლებად შესრულებაზე გავლენა, რადგან ჟურნალი ფაილები შეიძლება დაიწეროს დისკზე, რომლებთანაც არ უნდა იყოთ ბრძოლაში განაცხადების მიღებაზე. თუ ცალკე კომპიუტერთან შეგიძლიათ შეხვიდეთ ფაილურ ფაილებზე - შესაძლოა მიძღვნილი ფაილების შესანახად და სრულიად განსხვავებული უსაფრთხოების პარამეტრებით - თქვენ შეძლებთ დაბლოკოს ჩაღრმავების უნარი შეცვალოთ ან წაშალოთ ფაილების წაშლაც.

საბოლოო შენიშვნა ის არის, რომ თქვენ არ უნდა დაველოდოთ, სანამ ძალიან გვიან და თქვენი სისტემა უკვე ჩამოვარდა ან კომპრომეტირებული ნახვის ნახვის წინ. უმჯობესია განიხილოს ჟურნალი პერიოდულად ისე, რომ თქვენ იცით, რა არის ნორმალური და ჩამოყალიბდეს საბაზისო. ამგვარად, როდესაც არასწორი ჩანაწერების გაცნობა გექნებათ, მათ შეუძლიათ ისიც აღიარონ და მიიღონ აქტიური ნაბიჯები თქვენი სისტემის გაძლიერებისათვის, ვიდრე სასამართლო ექსპერტიზის ჩატარება მისი გვიანის შემდეგ.