Hopelijk houd je je computers gepatcht en bijgewerkt en is je netwerk beveiligd. Het is echter redelijk onvermijdelijk dat je op enig moment wordt getroffen door kwaadaardige activiteiten - een virus, worm, een Trojaans paard, een hackaanval of anderszins. Als dat gebeurt, als je de juiste dingen voor de aanval hebt gedaan, zal je bepalen wanneer en hoe de aanval is gelukt.
Als je het tv-programma 'CSI' of zowat elke andere tv-show met politie of legaal hebt gezien, weet je dat zelfs met het dunste stukje forensisch bewijs de onderzoekers de dader van een misdrijf kunnen identificeren, opsporen en vangen.
Maar zou het niet fijn zijn als ze niet door vezels moesten zoeken om het ene haar te vinden dat eigenlijk bij de dader hoort en DNA-testen uit te voeren om de eigenaar te identificeren? Wat als er een record werd bijgehouden van elke persoon met wie ze in contact kwamen en wanneer? Wat als er een record werd bijgehouden van wat er met die persoon werd gedaan?
Als dat het geval was, zouden onderzoekers zoals die in 'CSI' mogelijk niet werken. De politie zou het lijk vinden, het dossier controleren om te zien wie het laatst in contact kwam met de overledene en wat er gebeurd was en zij zouden de identiteit al hebben zonder te graven. Dit is wat logging biedt in termen van het leveren van forensisch bewijsmateriaal wanneer er kwaadaardige activiteit op uw computer of netwerk is.
Als een netwerkbeheerder logboekregistratie niet inschakelt of de juiste gebeurtenissen niet registreert, kan het opzoeken van forensisch bewijs om de tijd en datum of methode van ongeautoriseerde toegang of andere kwaadwillige activiteit te identificeren net zo moeilijk zijn als het zoeken naar de spreekwoordelijke naald in een hooiberg. Vaak wordt de oorzaak van een aanval nooit ontdekt. Gehackte of geïnfecteerde machines worden schoongemaakt en iedereen keert terug naar de normale gang van zaken zonder echt te weten of de systemen beter worden beschermd dan toen ze werden geraakt in de eerste plaats.
Sommige applicaties loggen dingen standaard in. Webservers zoals IIS en Apache loggen over het algemeen al het inkomende verkeer. Dit wordt voornamelijk gebruikt om te zien hoeveel mensen de website hebben bezocht, welk IP-adres ze hebben gebruikt en andere informatie over het type met betrekking tot de website. Maar in het geval van wormen zoals CodeRed of Nimda, kunnen de weblogs u ook laten zien wanneer geïnfecteerde systemen proberen toegang tot uw systeem te krijgen, omdat zij bepaalde opdrachten hebben die zij proberen die in de logs zullen verschijnen, ongeacht of ze succesvol zijn of niet.
Sommige systemen hebben verschillende audit- en logging-functies ingebouwd. U kunt ook extra software installeren om verschillende acties op de computer te bewaken en te loggen (zie Hulpmiddelen in het linkvenster rechts van dit artikel). Op een Windows XP Professional-computer zijn er opties voor het auditen van aanmeldingsgebeurtenissen van accounts, accountbeheer, directory-servicetoegang, aanmeldingsgebeurtenissen, objecttoegang, beleidsverandering, gebruik van privileges, procesregistratie en systeemgebeurtenissen.
Voor elk van deze kunt u ervoor kiezen om successen, storingen of niets vast te leggen. Als u Windows XP Pro als voorbeeld gebruikt en geen logboekregistratie hebt ingeschakeld voor objecttoegang, hebt u geen gegevens over wanneer een bestand of map voor het laatst is geopend. Als u alleen foutregistratie had ingeschakeld, zou u een record hebben van wanneer iemand probeerde toegang tot het bestand of de map te krijgen, maar dit is mislukt omdat u niet over de juiste machtigingen of autorisatie beschikte, maar er was geen registratie van wanneer een geautoriseerde gebruiker het bestand of de map opende .
Omdat een hacker mogelijk een gebarsten gebruikersnaam en wachtwoord gebruikt, kunnen ze mogelijk bestanden openen. Als u de logboeken bekijkt en ziet dat Bob Smith de financiële verklaring van het bedrijf om 3 uur 's morgens op zondag heeft verwijderd, kan het veilig zijn om aan te nemen dat Bob Smith sliep en dat zijn gebruikersnaam en wachtwoord mogelijk zijn aangetast. In elk geval weet je nu wat er met het bestand is gebeurd en wanneer en het geeft je een startpunt om te onderzoeken hoe het is gebeurd.
Zowel falen als succesregistratie kan nuttige informatie en aanwijzingen bieden, maar u moet uw monitoring- en loggingactiviteiten in balans brengen met de systeemprestaties. Met behulp van het voorbeeld van een menselijk recordboek van bovenaf zou het de onderzoekers helpen als mensen een logboek bijhouden van iedereen met wie ze in contact kwamen en wat er tijdens de interactie is gebeurd, maar het zou de mensen zeker vertragen.
Als je zou moeten stoppen en opschrijven wie, wat en wanneer voor elke ontmoeting die je de hele dag hebt gehad, kan dit een grote impact hebben op je productiviteit. Hetzelfde geldt voor het bewaken en registreren van computeractiviteit. U kunt elke mogelijke fout- en succesregistratieoptie inschakelen en u hebt een zeer gedetailleerd overzicht van alles wat zich op uw computer afspeelt. U zult echter een grote impact hebben op de prestaties, omdat de processor 100 verschillende vermeldingen in de logboeken zal opnemen telkens wanneer iemand op een knop drukt of op de muis klikt.
U moet afwegen welke soorten logboekregistratie gunstig zouden zijn voor de impact op de systeemprestaties en de balans vinden die het beste bij u past. Houd er ook rekening mee dat veel hacker-tools en Trojan horse-programma's, zoals Sub7, hulpprogramma's bevatten waarmee ze logbestanden kunnen wijzigen om hun acties te verbergen en de inbraak te verbergen, zodat u niet 100% op de logbestanden kunt vertrouwen.
U kunt een aantal van de prestatieproblemen en mogelijk de verhullingskwesties van hackerhulpen vermijden door bepaalde dingen in overweging te nemen bij het opzetten van uw logboekregistratie. U moet bepalen hoe groot de logbestanden moeten zijn en in de eerste plaats ervoor zorgen dat u over voldoende schijfruimte beschikt.U moet ook een beleid instellen voor de vraag of oude logboeken worden overschreven of verwijderd of dat u de logbestanden dagelijks, wekelijks of een andere periodieke archiveren wilt zodat u ook oudere gegevens hebt waarop u kunt terugkijken.
Als het mogelijk is om een speciale harde schijf en / of een vaste schijfcontroller te gebruiken, hebt u minder invloed op de prestaties, omdat de logbestanden naar de schijf kunnen worden geschreven zonder te vechten met de toepassingen die u probeert uit te voeren voor toegang tot de schijf. Als u de logbestanden naar een afzonderlijke computer kunt sturen Â- mogelijk bestemd voor het opslaan van logbestanden en met volledig verschillende beveiligingsinstellingen- kunt u mogelijk de indringer ook blokkeren of de logbestanden verwijderen.
Een laatste opmerking is dat je niet moet wachten tot het te laat is en je systeem al is gecrasht of gecompromitteerd voordat je de logs bekijkt. Het is het beste om de logboeken periodiek te bekijken, zodat u weet wat normaal is en een basislijn vaststelt. Op die manier, wanneer je foutieve vermeldingen tegenkomt, kun je ze als zodanig herkennen en proactieve stappen ondernemen om je systeem te verharden in plaats van het te laat uitvoeren van het forensisch onderzoek.
