Οι περισσότερες σοβαρές επιθέσεις από hackers σε εταιρείες ή οργανισμούς γίνονται με πολύ καλό σχεδιασμό και μελέτη της υποδομής. Ο βασικός σκοπός του hacker είναι να μην εντοπιστεί, είτε πετύχει η επίθεση είτε όχι.
Τα logs είναι το σημείο αναφοράς ενός συμβάντος το οποίο μπορεί να εμφανίσει την πραγματική ταυτότητα του επιτιθέμενου
Στο σχεδιασμό μίας επίθεσης, πρωταγωνιστικό ρόλο έχουν τα logs των συστημάτων που θα χρησιμοποιηθούν για την επίτευξη των στόχων της. Έχει φανεί με τα χρόνια ότι το σβήσιμο όλων των logs από τα συστήματα κατά την επίθεση, λειτούργησε προς όφελος των επιτιθέμενων διότι ήταν σχεδόν αδύνατη η εντόπιση των ενεργειών τους.
Πολύ λίγες εταιρείες έχουν ένα οργανωμένο σύστημα καταγραφής συμβάντων και αυτοματοποιημένης ενημέρωσης σε περίπτωση επίθεσης. Το logging είναι σχετικά ακριβό διότι αν αποφασιστεί να ενεργοποιηθεί ως εργαλείο, χρειάζεται αρκετό αποθηκευτικό χώρο και σίγουρα αρκετά χρήματα για την αρχική εγκατάσταση, παραμετροποίηση και στη συνέχεια τον συνεχή έλεγχο και την ανάλυση των συμβάντων. Έτσι, οι εταιρείες, αφήνουν το πολύ βασικό logging των συστημάτων και δεν δίνουν ιδιαίτερη σημασία, έως τη στιγμή που κάποιοι hackers θα καταφέρουν να μπουν και είτε θα τα σβήσουν, είτε θα τα αλλάξουν.
Όλοι οι Security και Forensics investigators, το πρώτο πράγμα που θα ζητήσουν είναι τα logs από τα συστήματα που υπέστησαν επίθεση από τους hackers. Αν δεν υπάρχουν, ή είναι αλλαγμένα δεν θα μπορέσουν να βγάλουν ασφαλή συμπεράσματα.
Θα πρέπει λοιπόν να προστατέψουμε όλα τα logs από τους hackers ανεξαρτήτως αν έχουμε ενεργοποιημένο κάποιο advanced logging system ή το default logging system των μηχανημάτων. Υπάρχουν διάφορα πράγματα τα οποία μπορούμε να υλοποιήσουμε χωρίς κάποιο ιδιαίτερο κόστος όπως αυτό που θα είχαμε στην περίπτωση του αυτοματοποιημένου logging.
Μερικές από τις τεχνικές προστασίας των logs είναι οι ακόλουθες
- Μπορούμε να φτιάξουμε ένα job / batch το οποίο να κάνει export τα logs σε άλλο σύστημα ανά τακτά χρονικά διαστήματα.
- Μπορούμε να αλλάξουμε το βασικό logging directory διότι τα περισσότερα αυτοματοποιημένα εργαλεία επίθεσης, χτυπούν το default directory.
- Μπορούμε να κάνουμε SFTP transfer σε σύστημα ή αποθηκευτικό χώρο στο Cloud
- Μπορούμε να δημιουργήσουμε το default logs directory ως HoneyPot
Σε κάθε περίπτωση όμως θα πρέπει όλοι οι administrators να συμπεριλάβουν στα daily tasks τους το backup όλων των logs από όλα τα συστήματα, είτε είναι public facing είτε όχι
