คุณต้องวางแผนล่วงหน้าในการจับผู้บุกรุก
หวังว่าคุณจะทำให้คอมพิวเตอร์ของคุณมีการอัปเดตและเครือข่ายของคุณมีความปลอดภัย อย่างไรก็ตามสิ่งที่หลีกเลี่ยงไม่ได้คือคุณอาจโดนโจมตีด้วยกิจกรรมที่เป็นอันตราย ได้แก่ ไวรัส เวิร์ม โทรจัน สับหรืออื่น ๆ เมื่อสิ่งนี้เกิดขึ้นถ้าคุณทำสิ่งที่ถูกต้องก่อนที่จะถูกโจมตีคุณจะสามารถกำหนดเวลาในการโจมตีได้ง่ายขึ้นและเมื่อไหร่
หากคุณเคยดูรายการทีวี CSI หรือเกี่ยวกับตำรวจหรือรายการทีวีทางกฎหมายอื่น ๆ คุณก็รู้ด้วยว่าแม้จะมีหลักฐาน ทางนิติเวช ที่ละเอียดที่สุดนักวิจัยสามารถระบุติดตามและจับกุมผู้กระทำความผิดอาชญากรรมได้
แต่มันจะไม่ดีถ้าพวกเขาไม่จำเป็นต้องลอดผ่านเส้นใยเพื่อหาหนึ่งผมที่จริงเป็นของผู้กระทำผิดและทำการทดสอบดีเอ็นเอเพื่อระบุเจ้าของ? เกิดอะไรขึ้นถ้ามีบันทึกไว้ในแต่ละคนที่พวกเขาเข้ามาติดต่อกับและเมื่อ? จะเกิดอะไรขึ้นถ้ามีการเก็บบันทึกข้อมูลไว้ว่าบุคคลนั้นทำอะไร?
หากเป็นเช่นนั้นนักวิจัยเช่น CSI อาจไม่อยู่ในธุรกิจ ตำรวจจะพบศพตรวจสอบบันทึกเพื่อดูว่าใครเป็นคนสุดท้ายที่ได้สัมผัสกับผู้ตายและสิ่งที่ได้กระทำและพวกเขาก็จะมีตัวตนโดยไม่ต้องขุด นี่เป็นสิ่งที่การบันทึกมีให้ในแง่ของการจัดหาหลักฐานทางนิติเวชเมื่อมีกิจกรรมที่เป็นอันตรายในคอมพิวเตอร์หรือเครือข่ายของคุณ
หากผู้ดูแลเครือข่ายไม่เปิดการบันทึกหรือไม่บันทึกเหตุการณ์ที่ถูกต้องการขุดค้นหลักฐานทางนิติวิทยาศาสตร์เพื่อระบุเวลาและวันที่หรือวิธีการในการเข้าถึงโดยไม่ได้รับอนุญาตหรือกิจกรรมที่เป็นอันตรายอื่น ๆ สามารถทำได้ยากเช่นเดียวกับการมองหาเข็มสุภาษิตใน กองหญ้า บ่อยครั้งที่รากเหง้าของการโจมตีไม่เคยถูกค้นพบ เครื่องที่ถูกแฮ็กหรือติดเชื้อได้รับการทำความสะอาดแล้วและทุกคนจะกลับมาทำธุรกิจได้ตามปกติโดยไม่ต้องรู้ว่าระบบได้รับการปกป้องอย่างดีกว่าที่เคยเป็นมาหรือไม่
แอ็พพลิเคชันบางอย่างล็อกอินโดยค่าเริ่มต้น เว็บเซิร์ฟเวอร์เช่น IIS และ Apache มักเข้าสู่ระบบการรับส่งข้อมูลทั้งหมด ส่วนใหญ่จะใช้เพื่อดูว่ามีคนเข้าชมเว็บไซต์จำนวนกี่คนใช้ที่ อยู่ IP และข้อมูลประเภทเมตริกอื่น ๆ ในเว็บไซต์ แต่ในกรณีของเวิร์มเช่น CodeRed หรือ Nimda บันทึกเว็บจะแสดงให้คุณทราบเมื่อระบบที่ติดเชื้อพยายามเข้าถึงระบบของคุณเนื่องจากมีคำสั่งบางคำที่พยายามจะแสดงในบันทึกว่าประสบความสำเร็จหรือไม่
ระบบบางระบบมีฟังก์ชั่นการตรวจสอบและบันทึกข้อมูลที่มีอยู่ภายในระบบนอกจากนี้คุณยังสามารถติดตั้งซอฟต์แวร์เพิ่มเติมเพื่อตรวจสอบและบันทึกการทำงานต่างๆบนคอมพิวเตอร์ได้ (ดูที่ เครื่องมือ ในกล่องลิงก์ด้านขวาของบทความนี้) ในเครื่อง Windows XP Professional มีตัวเลือกในการตรวจสอบเหตุการณ์การเข้าสู่ระบบบัญชีการจัดการบัญชีการเข้าถึงบริการไดเรกทอรีเหตุการณ์การเข้าสู่ระบบการเข้าถึงอ็อบเจ็กต์การเปลี่ยนแปลงนโยบายสิทธิ์การใช้การติดตามกระบวนการและเหตุการณ์ระบบ
สำหรับแต่ละสิ่งเหล่านี้คุณสามารถเลือกที่จะบันทึกความสำเร็จความล้มเหลวหรือไม่มีเลย การใช้ Windows XP Pro เป็นตัวอย่างถ้าคุณไม่ได้เปิดใช้งานการเข้าสู่ระบบเพื่อเข้าถึงวัตถุใด ๆ คุณจะไม่มีบันทึกเมื่อไฟล์หรือโฟลเดอร์ถูกเข้าถึงครั้งล่าสุด ถ้าคุณเปิดใช้งานการเข้าสู่ระบบโดยไม่ตั้งใจคุณจะมีบันทึกเมื่อมีผู้พยายามเข้าถึงไฟล์หรือโฟลเดอร์ แต่ล้มเหลวเนื่องจากไม่มีสิทธิ์หรือการให้สิทธิ์ที่เหมาะสม แต่คุณจะไม่มีบันทึกเมื่อผู้ใช้ที่ได้รับอนุญาตเข้าถึงไฟล์หรือโฟลเดอร์ .
เนื่องจากแฮ็กเกอร์อาจใช้ชื่อผู้ใช้และรหัสผ่านที่ร้าวรานอาจเข้าถึงไฟล์ได้สำเร็จ หากคุณดูบันทึกและพบว่า Bob Smith ได้ลบงบการเงินของ บริษัท เมื่อเวลา 3:00 น. ในวันอาทิตย์ที่ผ่านมาอาจเป็นการปลอดภัยที่จะสมมติว่า Bob Smith กำลังหลับอยู่และอาจมีการ บุกรุก ชื่อผู้ใช้และรหัสผ่านของเขา ไม่ว่าในกรณีใดตอนนี้คุณรู้ว่าเกิดอะไรขึ้นกับไฟล์และเมื่อใดและจะให้คุณเป็นจุดเริ่มต้นสำหรับการตรวจสอบว่าเกิดเหตุการณ์เช่นนี้ขึ้น
ความล้มเหลวและความสำเร็จของการบันทึกข้อมูลสามารถให้ข้อมูลและคำแนะนำที่เป็นประโยชน์ได้ แต่คุณต้องปรับการตรวจสอบและบันทึกข้อมูลต่างๆให้มีประสิทธิภาพของระบบ ใช้ตัวอย่างหนังสือจากเบื้องบนของมนุษย์ซึ่งจะช่วยให้นักวิจัยทราบว่าผู้คนเก็บบันทึกเรื่องราวของทุกคนที่พวกเขาติดต่อและเกิดอะไรขึ้นในระหว่างการปฏิสัมพันธ์ แต่จะทำให้คนช้าลง
ถ้าคุณต้องหยุดและเขียนว่าใครจะทำอย่างไรเมื่อไหร่และทุกครั้งที่คุณเผชิญหน้ากันทุกวันอาจส่งผลต่อผลผลิตของคุณอย่างรุนแรง เช่นเดียวกับการตรวจสอบและบันทึกกิจกรรมคอมพิวเตอร์ คุณสามารถเปิดใช้งานทุกความล้มเหลวที่เป็นไปได้และตัวเลือกบันทึกความสำเร็จและคุณจะมีบันทึกรายละเอียดมากของทุกอย่างที่เกิดขึ้นในคอมพิวเตอร์ของคุณ อย่างไรก็ตามคุณจะส่งผลกระทบต่อประสิทธิภาพการทำงานเนื่องจากตัวประมวลผลจะบันทึกรายการที่แตกต่างกัน 100 รายการในบันทึกทุกครั้งที่มีการกดปุ่มหรือคลิกเมาส์
คุณต้องพิจารณาว่าการบันทึกข้อมูลประเภทใดจะเป็นประโยชน์กับผลกระทบต่อประสิทธิภาพของระบบและมากับความสมดุลที่เหมาะสมกับคุณมากที่สุด คุณควรทราบด้วยว่าเครื่องมือแฮ็กเกอร์หลายตัวและโปรแกรมม้า โทรจัน เช่น Sub7 จะ มียูทิลิตีที่ช่วยให้สามารถแก้ไขไฟล์บันทึกเพื่อปกปิดการกระทำของตนและซ่อนการบุกรุกเพื่อไม่ให้คุณล็อกไฟล์ได้ 100%
คุณสามารถหลีกเลี่ยงปัญหาด้านประสิทธิภาพและอาจเป็นปัญหาเกี่ยวกับการปกปิดเครื่องมือของแฮ็กเกอร์โดยการพิจารณาบางอย่างเมื่อตั้งค่าการบันทึก คุณจำเป็นต้องวัดขนาดไฟล์บันทึกที่จะได้รับและให้แน่ใจว่าคุณมีพื้นที่ว่างเพียงพอในฮาร์ดดิสก์ตั้งแต่แรก คุณต้องตั้งค่านโยบายว่าจะลบหรือลบบันทึกเก่าหรือถ้าคุณต้องการเก็บบันทึกเป็นรายวันรายสัปดาห์หรืออื่น ๆ เพื่อให้คุณมีข้อมูลเก่า ๆ ดูดีขึ้น
หากสามารถใช้ฮาร์ดไดรฟ์และ / หรือคอนโทรลเลอร์ฮาร์ดดิสก์โดยเฉพาะคุณจะมีผลกระทบน้อยลงเนื่องจากสามารถบันทึกไฟล์บันทึกลงในดิสก์โดยไม่ต้องต่อสู้กับแอพพลิเคชันที่คุณกำลังพยายามเรียกใช้เพื่อเข้าถึงไดรฟ์ หากคุณสามารถนำไฟล์บันทึกไปยังคอมพิวเตอร์เครื่องอื่นได้โดยตรงสามารถทุ่มเทให้กับการจัดเก็บไฟล์บันทึกและการตั้งค่าความปลอดภัยที่แตกต่างกันโดยสิ้นเชิงคุณอาจจะสามารถป้องกันไม่ให้ผู้บุกรุกสามารถแก้ไขหรือลบไฟล์บันทึกได้เช่นกัน
โน้ตสุดท้ายคือคุณไม่ควรรอจนกว่าจะถึงเวลาที่สายเกินไปและระบบของคุณมีปัญหาหรือถูกบุกรุกก่อนที่จะดูบันทึก ควรอ่านบันทึกเป็นระยะ ๆ เพื่อให้คุณทราบว่าอะไรเป็นเรื่องปกติและสร้างพื้นฐาน ด้วยวิธีการนี้เมื่อคุณเจอรายการที่ผิดพลาดคุณสามารถจดจำพวกเขาได้เช่นนี้และทำตามขั้นตอนเชิงรุกเพื่อทำให้ระบบของคุณแข็งตัวมากกว่าที่จะทำการสืบสวน ทางนิติวิทยาศาสตร์ หลังจากที่สายเกินไป