Inizierò dicendo questo, se NON hai FILE DI LOG , allora ci sono buone probabilità che non capirai MAI dove o come è riuscito l'attacco. Anche con file di registro completi e corretti, può essere estremamente difficile comprendere appieno chi, cosa, dove, quando, perché e come.
Quindi, sapendo quanto sono importanti i file di registro, inizi a capire quanto devi tenerli al sicuro. Questo è il motivo per cui le aziende fanno e dovrebbero investire in sicurezza informazioni e gestione degli eventi o in breve SIEM.
In breve, correlare tutti i file di registro in eventi specifici (basati sul tempo o meno) può essere un'attività estremamente scoraggiante. Dai un'occhiata ai syslog del firewall in modalità debug se non mi credi. E questo è solo da un apparecchio! Un processo SIEM inserisce questi file di registro in una serie di eventi logici che rendono molto più facile capire cosa è successo.
Per iniziare a comprendere meglio come, è utile studiare le metodologie di penetrazione .
È anche utile sapere come viene scritto un virus . O come scrivere un rootkit .
Può anche essere estremamente utile impostare e studiare un honeypot .
Aiuta anche ad avere un parser di log e diventare esperto con esso.
È utile raccogliere una base per la rete e i sistemi. Qual è il traffico "normale" nella tua situazione rispetto al traffico "anormale"?
CERT ha un'eccellente guida su cosa fare dopo che il tuo computer è stato violato, in particolare (che riguarda direttamente la tua domanda specifica) la sezione "Analizza l'intrusione":
- Cerca le modifiche apportate al software di sistema e ai file di configurazione
- Cerca modifiche ai dati
- Cerca strumenti e dati lasciati dall'intruso
- Rivedere i file di registro
- Cerca i segni di uno sniffer di rete
- Controlla altri sistemi sulla tua rete
- Verificare la presenza di sistemi coinvolti o interessati in siti remoti
Ci sono molte domande simili alle tue che sono state poste su SF:
- Come eseguire un post mortem di un hack del server
- Strani elementi nel file host e Netstat
- è un tentativo di hacking?
- Come posso imparare Linux dal punto di vista della pirateria informatica o della sicurezza
Questo può essere un processo estremamente complicato e coinvolto. La maggior parte delle persone, me compreso, assumerebbe solo un consulente se fosse coinvolto più di quanto i miei apparecchi SIEM potrebbero mettere insieme.
E, a quanto pare, se mai vuoi capire COMPLETAMENTE come sono stati hackerati i tuoi sistemi, devi passare anni a studiarli e rinunciare alle donne.