Att bestämma vilka förändringar som gjordes i ett datorsystem vid en viss tidpunkt innebär en kombination av verktyg och tekniker. Här är en uppdelning:
1. Revision och loggning:
* Systemloggar: Varje operativsystem och de flesta applikationer har loggar. Dessa loggar registrerar händelser som användarinloggningar, filåtkomst, programvaruinstallationer, ändringar i konfigurationer och säkerhetshändelser.
* Förändringshanteringssystem: Organisationer med robust IT -infrastruktur använder ofta dedikerade system för att spåra och godkänna förändringar. Dessa system registrerar vem som gjorde förändringarna, karaktären av förändringen, den tid den gjordes och inkluderar ofta en motivering för förändringen.
* Security Information and Event Management (SIEM) Systems: Dessa system samlar loggar från olika källor, analyserar dem för mönster och kan hjälpa till att identifiera förändringar som kan indikera skadlig aktivitet.
2. Versionskontrollsystem:
* Källkodförvar (git, svn, etc.): Dessa system spårar ändringar till källkod över tid. Utvecklare kan enkelt se vilka kodrader som modifierades, när och av vem. Detta är avgörande för mjukvaruutveckling men kan också vara användbart för systemkonfigurationsfiler om de hanteras under versionskontroll.
* Konfigurationshanteringsverktyg (Ansible, Puppet, Chef): Dessa verktyg automatiserar infrastrukturförsörjning och konfigurationshantering. De upprätthåller ett register över det önskade tillståndet i ditt system och kan visa dig vilka förändringar som gjordes för att få systemet till det önskade tillståndet.
3. Kriminaltekniska verktyg:
* diskavbildning och analys: Verktyg som FTK Imager eller Encase kan skapa en ögonblicksbild av en hårddisk eller partition vid en viss tidpunkt. Detta gör det möjligt för kriminaltekniker att analysera systemets tillstånd och potentiellt återställa raderade filer eller identifiera ändringar som försökte döljas.
4. Nätverksövervakning och analys:
* Nätverkstrafikanalys: Analysera nätverkstrafik kan avslöja försök att ansluta till fjärrservrar, ladda ner filer eller ändra systemkonfigurationer. Verktyg som Wireshark kan fånga och analysera nätverkstrafik.
5. Användarkonton och privilegier:
* revisionsspår: Användarkontoaktivitetsloggar kan ange när en användare har åtkomst till specifika filer, gjort ändringar i systeminställningar eller installerad programvara.
* Access Control Lists (ACLS): ACLS definierar vem som har tillgång till specifika filer och resurser. Ändringar av ACL:er kan indikera ändringar av systemsäkerhet.
Utmaningar:
* ofullständig loggning: Inte alla ändringar loggas konsekvent.
* Loggmanipulation: Loggar kan manipuleras med eller raderas, vilket gör det svårt att rekonstruera händelser.
* Systemkomplexitet: Moderna datorsystem är komplexa, vilket gör det utmanande att isolera specifika förändringar.
bästa metoder:
* Upprätta starka loggningspolicyer: Se till att loggar är omfattande, behålls under en rimlig varaktighet och skyddas mot obehörig åtkomst.
* Implementera förändringshanteringsprocesser: Formalisera godkännandeprocesser för att spåra och dokumentera ändringar, minimera riskerna och förbättra ansvarsskyldighet.
* Granska regelbundet loggar: Analysera regelbundet loggar för att identifiera potentiella säkerhetsfrågor eller ovanlig aktivitet.
Genom att kombinera flera informationskällor och tillämpa kriminaltekniker kan du öka chansen att bestämma vilka förändringar som gjordes i ett datorsystem vid en viss tidpunkt.
