Analizowanie logów i monitorowanie ruchu

Głównym narzędziem do wykrywania złośliwych działań jest skromny plik logu. Dzienniki zdarzeń i zawartość, którą gromadzą, często zawierają symptomy ataków. Jednak w wielu sieciach logi nie zawsze są włączane i analizowane. Większość administratorów często zapomina o regularnym ich przeglądaniu i analizowaniu zawartości. Rejestrowanie zdarzeń włącza się zazwyczaj jedynie na serwerach, chociaż większość włamań z użyciem kodów złośliwych zdarza się na stacjach roboczych. Jak podaje amerykański operator Verizon, 86% zdarzeń prowadzących do naruszeń danych odnotowano w logach. Jakiego typu informacje powinny zwracać uwagę? Zależy to od środowiska i sytemu, ale niepokój powinny budzić: duża liczba logowań, próby logowania ze starymi nazwami kont, nietypowy czas aktywności i nagłe pojawienie się wcześniej nierejestrowanych błędów krytycznych.

Administratorzy powinni być też uczuleni na nietypowe wzorce ruchu obserwowane w sieci.

Z większością naruszeń bezpieczeństwa danych wiąże się przemieszczanie dużych partii danych między nieautoryzowanymi lokalizacjami. W celu wykrycia takich transferów, można skorzystać z narzędzi monitorujących wzorce ruchu. Dla osiągnięcia najlepszych wyników trzeba ustalić poziom odniesienia: które komputery komunikują się? Jaki jest normalny wzorzec ruchu? Ile danych jest zazwyczaj transmitowanych? Które stacje robocze komunikują się (a zazwyczaj nie powinny tego robić)?. Długie, niespodziewane transmisje, ruch stacja robocza-stacja robocza, a także nietypowa komunikacja serwer-serwer, zawsze powinny zwracać uwagę administratorów.

Pułapki z miodem (honeypots)

Honeypots to urządzenia komputerowe używane do wykrywania nieautoryzowanego dostępu. Tworzy się je z komputerów podłączonych do sieci w atrakcyjnych miejscach i konfiguruje do wysyłania alarmów, jeżeli ktokolwiek próbuje połączyć się z nimi (rejestrując adres IP źródła i dane logowania). Są stosunkowo tanim rozwiązaniem wczesnego ostrzegania, nie generującym zbyt wielu szumów (mała liczba fałszywych rozpoznań). Mogą wykrywać złośliwe działania wcześniej niewykrytych kodów złośliwych i napastników wewnętrznych.

Wędka na pracowników

Ponieważ użytkownicy końcowi są najsłabszym ogniwem każdej sieci, istnieje jeden, szybki sposób uzyskania najlepszych efektów edukacyjnych. W tym celu można zaplanować kampanie phishingu namierzone na własnych użytkowników. Wiadomości phishingowe powinny być dostatecznie realistyczne, aby przyłapać niektórych użytkowników, ale nie na tyle doskonałe, aby wszyscy dali się nabrać. W tej akcji ważne jest wyłowienie pracowników, którzy okażą się podatni na najmniej "kreatywną" zawartość, i wprowadzenie dla nich dodatkowego programu szkoleniowego.

Analiza przyczyn źródłowych

Jeżeli w sieci zostanie wykryty komputer wykorzystywany przez kody złośliwe, to zazwyczaj jest on całkowicie przeformatowywany - w dzisiejszym świecie skomplikowanych malware, nie można być pewnym, co zdalny napastnik zrobił na zaatakowanej maszynie. Jednak przed wyczyszczeniem urządzenia dobrze jest dokonać szybkiej analizy i zobaczyć, czy nie da się stwierdzić, jak napastnik dostał się do komputera. Jeżeli uda się to wykryć, to można wtedy sprawdzić obowiązujące reguły polityki i procedury bezpieczeństwa pod kątem ewentualnego ich zrewidowania (lub dodatkowego przeszkolenia użytkownika końcowego).