Bestemmelse af, hvilke ændringer der blev foretaget i et computersystem på et bestemt tidspunkt, involverer en kombination af værktøjer og teknikker. Her er en sammenbrud:
1. Revision og logning:
* Systemlogfiler: Hvert operativsystem og de fleste applikationer opretholder logfiler. Disse logfiler registrerer begivenheder som bruger login, filadgang, softwareinstallationer, ændringer til konfigurationer og sikkerhedsbegivenheder.
* Ændringsstyringssystemer: Organisationer med robust IT -infrastruktur bruger ofte dedikerede systemer til at spore og godkende ændringer. Disse systemer registrerer, der har foretaget ændringerne, arten af ændringen, den tid, den blev foretaget, og inkluderer ofte en begrundelse for ændringen.
* Sikkerhedsoplysninger og Event Management (SIEM) systemer: Disse systemer samler logfiler fra forskellige kilder, analyserer dem for mønstre og kan hjælpe med at identificere ændringer, der kan indikere ondsindet aktivitet.
2. Versionskontrolsystemer:
* kildekodepositorier (Git, SVN osv.): Disse systemer sporer ændringer til kildekode over tid. Udviklere kan let se, hvilke kodelinjer blev ændret, hvornår og af hvem. Dette er afgørende for softwareudvikling, men kan også være nyttigt til systemkonfigurationsfiler, hvis de administreres under versionskontrol.
* Konfigurationsstyringsværktøjer (Ansible, Puppet, Chef): Disse værktøjer automatiserer infrastrukturforsyning og konfigurationsstyring. De opretholder en oversigt over den ønskede tilstand af dit system og kan vise dig, hvilke ændringer der blev foretaget for at bringe systemet ind i den ønskede tilstand.
3. Retsmedicinske værktøjer:
* diskafbildning og analyse: Værktøjer som FTK Imager eller Encase kan skabe et øjebliksbillede af en harddisk eller partition på et specifikt tidspunkt. Dette giver retsmedicinske analytikere mulighed for at analysere systemet for systemet og potentielt gendanne slettede filer eller identificere ændringer, der blev forsøgt at blive skjult.
4. Netværksovervågning og analyse:
* Netværkstrafikanalyse: Analyse af netværkstrafik kan afsløre forsøg på at oprette forbindelse til eksterne servere, downloade filer eller ændre systemkonfigurationer. Værktøjer som Wireshark kan fange og analysere netværkstrafik.
5. Brugerkonti og privilegier:
* revisionsspor: Brugerkontoaktivitetslogfiler kan indikere, hvornår en bruger har adgang til specifikke filer, foretaget ændringer i systemindstillinger eller installeret software.
* adgangskontrollister (ACLS): ACL'er definerer, hvem der har adgang til specifikke filer og ressourcer. Ændringer i ACL'er kan indikere ændringer af systemsikkerhed.
Udfordringer:
* ufuldstændig logning: Ikke alle ændringer er logget konsekvent.
* Logmanipulation: Logfiler kan manipuleres med eller slettes, hvilket gør det vanskeligt at rekonstruere begivenheder.
* Systemkompleksitet: Moderne computersystemer er komplekse, hvilket gør det udfordrende at isolere specifikke ændringer.
Bedste praksis:
* etablere stærke logningspolitikker: Sørg for, at logfiler er omfattende, tilbageholdt i en rimelig varighed og beskyttet mod uautoriseret adgang.
* Implementere ændringsstyringsprocesser: Formaliser ændringsgodkendelsesprocesser til at spore og dokumentere ændringer, minimere risici og forbedre ansvarligheden.
* Gennemgå regelmæssigt logfiler: Analyser periodisk logfiler for at identificere potentielle sikkerhedsproblemer eller usædvanlig aktivitet.
Ved at kombinere flere informationskilder og anvende retsmedicinske teknikker kan du øge chancerne for at bestemme, hvilke ændringer der blev foretaget i et computersystem på et bestemt tidspunkt.
