چرا باید از گزارشات رویدادهای امنیتی استفاده کنم؟

پیشاپیش برای گرفتن یک مزاحم باید برنامه ریزی کنید

امیدوارم رایانه شما رایانه شما را تکه تکه کرده و بروزرسانی کرده و شبکه شما امن باشد. با این حال، اجتناب ناپذیر است که شما در برخی مواقع با فعالیت های مخرب - ویروس ، کرم ، اسب تروا ، حمله هک یا غیره برخورد کنید. هنگامی که این اتفاق می افتد، اگر قبل از حمله به کارهای درست انجام داده اید، تعیین می کنید که چه زمانی و چگونه حمله موفقیت آمیز بود.

اگر شما تا کنون تلویزیون CSI را تماشا کرده اید، یا فقط در مورد هر پلیس یا تلویزیون تلویزیونی حقوقی دیگر، می دانید که حتی با باریک ترین شواهد قانونی ، محققان می توانند مرتکب جرمی را شناسایی، پیگیری و دستگیر کنند.

اما، آیا خوب نیست اگر آنها مجبور نباشند از طریق فیبرها را از بین ببرند تا یک مو را که در واقع متعلق به عاملین است پیدا کند و آزمایش DNA را برای شناسایی صاحب آن انجام دهد؟ چه می شود اگر یک رکورد در هر فردی که با آنها تماس گرفته شده بود و در آن زمان وجود داشته باشد؟ چه می شود اگر رکوردی از آنچه که به آن شخص انجام شده بود نگهداری شود؟

اگر این مورد بود، محققین مانند کسانی که در CSI هستند ممکن است از کار بیفتند. پلیس بدن را پیدا می کند، رکورد را بررسی می کند تا ببیند چه کسی در تماس با مرحوم بوده و چه کاری انجام داده است و آنها قبلا باید هویت خود را بدون نیاز به حفاری داشته باشند. این چیزی است که ورود به سیستم از لحاظ ارائه شواهد قانونی در صورت وجود فعالیت مخرب در رایانه یا شبکه شما فراهم می شود.

اگر یک مدیر شبکه وارد نشود یا رویدادهای صحیح را وارد ننمائی کند، شواهد قانونی را برای شناسایی زمان و تاریخ یا روش دسترسی غیر مجاز یا سایر فعالیت های مخرب استخراج می کند، همانطور که جستجو برای سوزن قرآن در یک هیزله اغلب علت اصلی این حمله هرگز کشف نشده است. ماشین های هک شده و یا آلوده پاک می شوند و همه به طور معمول به طور معمول باز می گردند بدون این که واقعا بدانند سیستم ها چه بهتر از زمانی که در وهله اول قرار گرفته اند محافظت می شوند.

بعضی از برنامه ها به طور پیش فرض وارد می شوند. سرورهای وب مانند IIS و Apache به طور کلی تمام ترافیک ورودی را وارد می کنند. این عمدتا برای دیدن اینکه تعداد افراد از وب سایت بازدید کرده اید، کدام آدرس آی پی که آنها استفاده کرده اید و دیگر اطلاعات نوع معیار مربوط به وب سایت استفاده می شود. اما، در مورد کرم هایی مانند CodeRed یا Nimda، سیاهههای مربوط به وب همچنین می تواند به شما نشان دهد هنگامی که سیستم های آلوده در حال تلاش برای دسترسی به سیستم شما هستند، زیرا آنها دارای دستورات خاصی هستند که در سیاهه ها نشان داده می شود که آیا آنها موفق بوده یا خیر.

بعضی از سیستم ها دارای حسابرسی های مختلف و توابع ورود به سیستم ساخته شده است. شما همچنین می توانید نصب نرم افزار اضافی برای نظارت و وارد کردن اقدامات مختلف در کامپیوتر (به ابزار در جعبه لینک به سمت راست این مقاله مراجعه کنید). در یک ماشین ویندوز ایکس پی حرفه ای گزینه هایی برای حسابرسی رویدادهای ورود به حساب، مدیریت حساب، دسترسی به خدمات دایرکتوری، وقایع ورود به سیستم، دسترسی به شی، تغییر سیاست، استفاده از امتیازات، ردیابی روند و رویدادهای سیستم وجود دارد.

برای هر یک از اینها می توانید موفقیت، شکست یا هیچ چیز را وارد کنید. به عنوان مثال، با استفاده از Windows XP Pro، اگر هیچ ورودی برای دسترسی به شیء را فعال نکردید، هیچیک از سوابق را در مورد آخرین دسترسی فایل یا پوشه نداشتید. اگر فقط ورودی خرابی را فعال کردید، می توانید یک سابقه از زمانی که کسی سعی در دسترسی به فایل یا پوشه داشت، اما به دلیل عدم دسترسی مجوز یا مجوز مناسب، موفق نشد، اما نمی توانستید زمانی که یک کاربر مجاز به فایل یا پوشه دسترسی داشت .

از آنجا که یک هکر ممکن است به راحتی با استفاده از یک نام کاربری و رمز عبور خراب شود، ممکن است بتواند با موفقیت به فایل ها دسترسی پیدا کند. اگر شما سیاهچاله ها را مشاهده می کنید و متوجه می شوید که باب اسمیت بیانیه مالی شرکت را در روز سه شنبه سه شنبه حذف کرد، ممکن است ایمن باشد که فرض کنیم که باب اسمیت خواب بود و شاید نام کاربری و رمز عبور او به خطر افتاده باشد. در هر صورت، اکنون می دانید که چه اتفاقی برای فایل افتاده و چه زمانی رخ می دهد و به شما یک نقطه شروع برای بررسی این اتفاق می دهد.

هر دو شکست و موفقیت ورود به سیستم می تواند اطلاعات مفید و سرنخ را فراهم کند، اما شما باید فعالیت های نظارت و ثبت را با عملکرد سیستم تعادل کنید. با استفاده از نمونه سوابق کتاب انسانی از بالا، اگر محتویات هر فردی را که با آن در تماس بوده و در جریان تعاملات اتفاق افتاده باشد، به محققان کمک می کند، اما به طور قطع افراد را آهسته می کند.

اگر مجبور شدید متوقف شوید و بنویسید چه زمانی و چه زمانی برای هر برخوردی که در تمام طول روز دارید، ممکن است به شدت بر بهره وری شما تأثیر بگذارد. همین امر در مورد نظارت و ثبت فعالیت های کامپیوتری نیز صادق است. شما می توانید هر گزینه احتمالی شکست و موفقیت ورود به سیستم را فعال کنید و شما یک رکورد بسیار دقیق از همه چیز که در کامپیوتر شما می گذرد را خواهید داشت. با این حال، شما به شدت به عملکرد تاثیر می گذارد زیرا پردازنده خواهد شد مشغول ضبط 100 ورودی های مختلف در سیاهههای مربوط هر زمانی که کسی یک دکمه را فشار داده و یا کلیک ماوس خود را.

شما باید بدانید چه نوع ورود به سیستم با تاثیر بر عملکرد سیستم سودمند است و با تعادل که برای شما مناسب است، سود می برد. شما همچنین باید در نظر داشته باشید که بسیاری از ابزار هکرها و برنامه های اسب تروایی مانند Sub7 شامل ابزارهایی هستند که به آنها اجازه می دهد که فایل های ورودی را برای مخفی کردن فعالیت هایشان تغییر دهند و نفوذ را مخفی کنند تا بتوانید 100٪ در فایل های log استفاده کنید.

شما می توانید برخی از مسائل مربوط به عملکرد و احتمالا مسائل مربوط به پنهان سازی ابزار هکر را با در نظر گرفتن موارد خاص در هنگام راه اندازی ورود به سیستم خود، اجتناب کنید. شما باید اندازه فایل های ورودی را بدست آورید و مطمئن شوید که فضای دیسک کافی در وهله اول وجود دارد. شما همچنین باید یک سیاست برای تعیین اینکه آیا سیاهههای مربوط قدیمی رونویسی شده یا حذف شده است یا خیر، یا اگر می خواهید بایگانی روزنامه ها، هفتگی یا سایر دوره های دوره ای بایگانی بایگانی کنید تا داده های قدیمی تر برای بازنگری نیز داشته باشید.

اگر امکان استفاده از یک هارد دیسک اختصاصی و / یا کنترلر هارد دیسک وجود داشته باشد، تاثیر کمتری خواهد داشت چون فایل های log را می توان به دیسک بدون نیاز به مبارزه با برنامه هایی که می خواهید برای دسترسی به درایو اجرا کنید. اگر شما می توانید فایل های log را به یک کامپیوتر جداگانه هدایت کنید - احتمالا اختصاص داده شده به ذخیره سازی فایل های ورودی و با تنظیمات امنیتی کاملا متفاوت - شما ممکن است قادر به جلوگیری از قابلیت نفوذ برای تغییر و یا حذف فایل های log باشد.

یادداشت نهایی این است که شما نباید منتظر بمانید تا اینکه خیلی دیر شود و سیستم شما قبل از مشاهده سیاهههای مربوطه سقوط کرده یا به خطر افتاده است. بهتر است که دوره ها را به صورت منظم بررسی کنید تا بتوانید بدانید که طبیعی است و پایه را ایجاد می کند. به این ترتیب، هنگامی که شما درمورد ورودی های اشتباه آمده اید، می توانید آنها را به صورت یکسان تشخیص دهید و اقدامات پیشگیرانه را برای سخت تر شدن سیستم خود انجام دهید، نه اینکه تحقیقات قانونی را بعد از اینکه خیلی دیر انجام دادید انجام دهید.