당신은 침입자를 잡기 위해 미리 계획해야합니다.
잘하면 컴퓨터를 패치 하고 업데이트하고 네트워크를 안전하게 유지하십시오. 그러나 어느 시점에서는 바이러스 , 웜 , 트로이 목마, 해킹 공격 등의 악의적 인 활동이 발생할 수밖에 없습니다. 그런 일이 발생했을 때, 공격하기 전에 올바른 일을 수행했다면 공격이 성공한시기와 방법을 훨씬 쉽게 결정할 수 있습니다.
TV 쇼 CSI 나 다른 경찰이나 합법 TV 프로그램을 본 적이 있다면 법의학 증거가 가장 얇은 경우에도 조사관은 범죄자를 식별하고 추적하며 파악할 수 있음을 알고 있습니다.
그러나 실제로 가해자에게 속한 머리카락을 찾기 위해 섬유를 훑어보아야 할 필요가 없으며 DNA 검사를 통해 소유자를 식별 할 수 있다면 좋지 않을까요? 그들이 접촉 한 사람의 각자에게 기록이 보관되어 있다면 언제? 그 사람에게 한 일에 대한 기록이 있다면 어떻게 될까요?
그럴 경우 CSI에 있는 조사원과 같은 조사관이 사업을 중단 할 수 있습니다. 경찰은 시체를 발견하고 사망자와 마지막으로 접촉 한 사람과 기록 된 사람을 확인하고 그들이 한 일을 끝내고 발굴하지 않고 신원을 밝힐 수 있습니다. 이것은 컴퓨터 또는 네트워크에 악성 활동이있을 때 포렌식 증거를 제공하는 측면에서 로깅이 제공하는 것입니다.
네트워크 관리자가 기록을 켜지 않거나 정확한 이벤트를 기록하지 않으면 권한이없는 액세스 나 다른 악성 활동의 시간과 날짜 또는 방법을 확인하기위한 포렌식 증거를 수집하는 것은 커다란 건초 더미. 종종 공격의 근본 원인은 발견되지 않습니다. 해킹 당하거나 감염된 시스템을 청소하고 모든 사람이 원래대로 시스템을 보호하는지 여부를 알지 못한 채 모든 사람이 평상시처럼 업무에 복귀합니다.
일부 응용 프로그램은 기본적으로 사물을 기록합니다. IIS 및 Apache와 같은 웹 서버는 일반적으로 들어오는 모든 트래픽을 기록합니다. 이것은 주로 얼마나 많은 사람들이 웹 사이트를 방문했는지, 그들이 사용한 IP 주소 및 웹 사이트에 관한 다른 메트릭 유형 정보를보기 위해 사용됩니다. 그러나 CodeRed 또는 Nimda와 같은 웜의 경우 웹 로그는 감염된 시스템이 성공했는지 여부에 관계없이 로그에 표시되는 특정 명령을 사용하기 때문에 감염된 시스템이 시스템에 액세스하려고 할 때도 표시됩니다.
일부 시스템에는 다양한 감사 및 로깅 기능이 내장되어 있습니다. 추가 소프트웨어를 설치하여 컴퓨터에서 다양한 작업을 모니터링하고 기록 할 수 있습니다 (이 기사의 오른쪽에있는 링크 상자의 도구 참조). Windows XP Professional 컴퓨터에는 계정 로그온 이벤트, 계정 관리, 디렉터리 서비스 액세스, 로그온 이벤트, 개체 액세스, 정책 변경, 권한 사용, 프로세스 추적 및 시스템 이벤트를 감사하는 옵션이 있습니다.
이들 각각에 대해 성공, 실패 또는 아무것도 기록하도록 선택할 수 있습니다. 예를 들어 Windows XP Pro를 사용하면 개체 액세스에 대한 로깅을 사용하지 않으면 파일이나 폴더에 마지막으로 액세스 한 시간을 기록하지 않습니다. 실패 로깅 만 사용하도록 설정 한 경우 누군가가 파일이나 폴더에 액세스하려고 시도했지만 적절한 권한이나 권한이 없기 때문에 실패한 기록을 볼 수 있지만 권한이 부여 된 사용자가 파일이나 폴더에 액세스 한 시간은 기록하지 않습니다 .
해커가 깨진 사용자 이름과 암호를 사용하고있을 수 있으므로 파일에 성공적으로 액세스 할 수 있습니다. 로그를보고 Bob Smith가 일요일 3am에 회사 재무 제표를 삭제 한 경우 Bob Smith가 잠자고 있고 사용자 이름과 암호가 손상 되었다고 가정하는 것이 안전 할 수 있습니다. 어쨌든 파일에 어떤 일이 일어 났는지 그리고 언제 어떻게되었는지 조사 할 수있는 출발점을 제공합니다.
실패 및 성공 로깅 모두 유용한 정보와 단서를 제공 할 수 있지만 모니터링 및 로깅 활동과 시스템 성능의 균형을 맞추어야합니다. 위의 인간 기록부 예제를 사용하면 사람들이 접촉 한 모든 사람의 기록을 남기고 상호 작용하는 동안 일어난 일을 조사자가 도울 수있게 도울 것입니다. 그러나 확실히 사람을 감속시킵니다.
하루 종일 겪었던 모든 일에 대해 누가, 언제, 무엇을 그리고 언제 중단했는지 기록해야만한다면 생산성에 심각한 영향을 미칠 수 있습니다. 컴퓨터 활동을 모니터링하고 기록하는 것도 마찬가지입니다. 가능한 모든 실패 및 성공 로깅 옵션을 사용할 수 있으며 컴퓨터에서 진행되는 모든 작업에 대한 자세한 기록이 있습니다. 그러나 누군가가 버튼을 누르거나 마우스를 클릭 할 때마다 프로세서가 로그에 100 개의 항목을 기록하는 중일 때 성능에 심각한 영향을 미칩니다.
어떤 종류의 로깅이 시스템 성능에 미치는 영향에 도움이되는지 평가해야하며 가장 적합한 균형을 고안해야합니다. 또한 많은 해커 도구와 Sub7 과 같은 트로이 목마 프로그램에는 로그 파일을 변경하여 침입을 숨기고 로그 파일에 100 % 의존 할 수없는 유틸리티가 포함되어 있음을 명심해야합니다.
로깅을 설정할 때 특정 사항을 고려하여 성능 문제 및 해커 도구 숨김 문제를 피할 수 있습니다. 로그 파일의 크기를 측정하고 처음부터 충분한 디스크 공간이 있는지 확인해야합니다. 또한 이전 로그를 덮어 쓸지 삭제할지 또는 매일, 매주 또는 기타 주기적으로 로그를 보관하여 이전 데이터를 다시 볼 것인지를 결정하는 정책을 설정해야합니다.
전용 하드 드라이브 및 / 또는 하드 드라이브 컨트롤러를 사용할 수 있다면 드라이브에 액세스하기 위해 실행하려는 응용 프로그램과 충돌하지 않고 로그 파일을 디스크에 쓸 수 있기 때문에 성능에 미치는 영향이 적습니다. 로그 파일을 다른 컴퓨터 (로그 파일 저장 및 완전히 다른 보안 설정 전용)로 보낼 수 있다면 침입자가 로그 파일을 변경하거나 삭제할 수 없도록 차단할 수 있습니다.
마지막주의 사항은 너무 늦어서 로그를보기 전에 시스템이 이미 손상되었거나 손상 될 때까지 기다리지 말아야한다는 것입니다. 주기적으로 로그를 검토하여 정상적인 내용을 파악하고 기준을 설정하는 것이 가장 좋습니다. 그렇게하면 잘못된 항목을 발견 할 때 해당 항목을 인식하고 너무 늦은 후에 법의학 조사를 수행하는 대신 시스템을 강화하기위한 사전 조치를 취할 수 있습니다.