Przechowywanie zabezpieczonych sum kontrolnych

Kiedy ktoś włamie się do twojej sieci, będziesz musiał ustalić, co zostało zmienione w twoich systemach. Standardowe narzędzia systemu operacyjnego nie powiedzą ci nic na ten temat napastnicy mogą sfałszować daty modyfikacji plików i przeliczyć proste sumy kontrolne używane przez większość systemów operacyjnych. Będziesz musiał zainstalować kryptograficzny program do obliczania sum kontrolnych (omówiono je w rozdziale 1, „Hosty bastionowe”), obliczyć sumy kontrolne ważnych plików i przechowywać je tam, gdzie napastnik nie będzie ich mógł zmodyfikować (czyli poza siecią). Nie będziesz musiał obliczać sum kontrolnych dla każdego komputera z osobna, jeśli we wszystkich działa ta sama wersja systemu operacyjnego, ale upewnij się, że program sumujący jest dostępny we wszystkich komputerach.

Prowadzenie dzienników operacyjnych Dziennik operacyjny to zapis wszystkich zmian, których dokonano w systemie, zarówno przed incydentem, jak i podczas reakcji na niego. W normalnych okolicznościach w dzienniku operacyjnym zapisuje się zainstalowane programy, zmodyfikowane pliki konfiguracyjne i dołączone urządzenia peryferyjne. Podczas incydentu pojawi się w nim znacznie więcej zapisów.

Do czego służy dziennik operacyjny? Umożliwia on ponowne przeprowadzenie wszystkich zmian, gdybyś musiał odbudować system od podstaw. Pozwala także ustalić, czy zmiany mają wpływ na incydent albo na reakcję.