image

Forensisch expert: Systeembeheerders moeten beter opletten

maandag 24 november 2003, 09:42 door Redactie, 10 reacties

Teveel systeembeheerders houden hun logs niet in de gaten, waardoor aanvallers vrij spel hebben, zo heeft Bryan Sartin van Ubizen laten weten. Soms ligt de schuld bij de systeembeheerder die zijn taak niet goed doet. De andere keer komt het doordat hij teveel verschillende taken heeft en er niet aan toekomt om alle gegevens in de gaten te houden. Volgens Sartin gebruiken de meeste aanvallers lekken in web servers om binnen te komen, onafhankelijk van welk besturingssysteem er gebruikt wordt. Systeembeheerders moeten dan ook beter hun logs monitoren, aangezien hackers door forensisch onderzoek steeds beter hun sporen proberen te verbergen. (VNU)

Reacties (10)
24-11-2003, 10:34 door Anoniem
lijkt mij niet echt objectieve commentaar van de jongens van ubizen :)
Net of ze hun MSS aan de man willen brengen. Heb nog niet gezien dat hun
mss jongens echt wel naar die logs staren. Die werken toch ook met triggers
of niet dan ? :)
24-11-2003, 11:11 door Anoniem
Forensics?? Excuse me??

Ubizen's definitie van forensisch onderzoek is blijkbaar "logboeken
analyseren om te zien hoe, waar en door wat bepaalde triggers geactiveerd
werden". Ik noem dit troubleshooten onder een laag commercieel vernis.

bah.
24-11-2003, 11:15 door Anoniem
Het is gewoon waar, veel systeembeheerders kijken niet in hun logs.
24-11-2003, 11:45 door Anoniem
Door Anoniem
Het is gewoon waar, veel systeembeheerders kijken niet in hun logs.
Eens. Zolang het ontbreekt aan applicaties die logs centraal verzamelt en je
op relatief eenvoudige wijze in staat stelt om alleen de nuttige
events/logregels te laten zien zal het nog wel zo blijven.

Ze zijn er wel, die tools (GFI Languard SELM bijvoorbeeld, of swatch), maar je
moet er echt naar op zoek zijn wil je ze vinden. En de tijd die het je dan kost
om er voor te zorgen dat je alleen nuttige meldingen krijgt.. Die tijd hebben of
krijgen de meeste beheerders niet.
Bovendien leunen de meeste tools toch wel op een van de twee platformen
(syslog v.s. eventlog). Als Microsoft over zou gaan op syslog mogelijkheden
(dus geen brakke 3rd party vertalers) of bij Windows Server standaard een
tool meeleveren die eventlogs verzamelt, dan zouden er al veel meer
beheerders naar eventlogs gaan kijken.
24-11-2003, 12:36 door Anoniem
Komt nog een probleem bij: vaak worden er niet eens logs
bijgehouden. Niet alleen omdat er geen tijd voor is, maar oa
in het MKB wordt vaak nog gebruik gemaakt van apparatuur
waar het niet eens goed mee mogelijk is om logs bij te houden.
24-11-2003, 13:50 door Anoniem
Door Anoniem
Door Anoniem
Het is gewoon waar, veel systeembeheerders kijken niet in hun logs.
Eens. Zolang het ontbreekt aan applicaties die logs centraal verzamelt en je
op relatief eenvoudige wijze in staat stelt om alleen de nuttige
events/logregels te laten zien zal het nog wel zo blijven.

Ze zijn er wel, die tools (GFI Languard SELM bijvoorbeeld, of swatch), maar je
moet er echt naar op zoek zijn wil je ze vinden. En de tijd die het je dan kost
om er voor te zorgen dat je alleen nuttige meldingen krijgt.. Die tijd hebben of
krijgen de meeste beheerders niet.
Bovendien leunen de meeste tools toch wel op een van de twee platformen
(syslog v.s. eventlog). Als Microsoft over zou gaan op syslog mogelijkheden
(dus geen brakke 3rd party vertalers) of bij Windows Server standaard een
tool meeleveren die eventlogs verzamelt, dan zouden er al veel meer
beheerders naar eventlogs gaan kijken.

Er zijn wel goede tools zoals BMC-Patrol
24-11-2003, 14:37 door Anoniem
Wat is een logfile?

Groeten,
de systeembeheerder
24-11-2003, 18:30 door Anoniem
:) Check elke dag alle logs, en beter,.. je zet auto triggers en je bent op de
hoogte van elke attack die er plaatsvindt.
25-11-2003, 11:48 door Anoniem
Wat is een file??
27-11-2003, 10:56 door Anoniem
Door Anoniem
Wat is een file??
Een rij stilstaande en langzaam rijdende bestanden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.