"Het niet bekijken van de logs" is toch geen fout bij het analyseren van
loggegevens? Dit wordt natuurlijk ook vaak veroorzaakt door punt 2:
ontbrekende logs kun je moeilijk bekijken.

"Alleen maar letten op de gevaarlijke dingen".
Als je een grote website hebt met veel bezoekers krijg je ook gigantische
veel en grote logs. Wat verwacht je nou van mensen met dat soort servers,
dat ze elk letterje van de log bekijken? Dan kan je net zo goed 30
werknemers inhuren die alleen maar de hele dag je logs nakijken.

Nummer 0: Geen gesynchroniseerde tijd.

Erg sterk en zeker waar ;-)

Ik heb het zelf een paar keer gehad, nou dan zijn je logs
waardeloos. Daar kom je pas achter als je zoiets
vanzelfsprekends verwacht op een server en je collega daar
simpelweg gewoon geen bal om geeft.

Een server moet gewoon een ntp client hebben en zo hoog
mogelijk in de NTP chain zitten.

Echter krijgen sommige administrators weinig tijd of
resources om dit soort dingen aan te pakken. Allerlei kul
als het resetten van paswoorden zijn belangrijker kennelijk.
Het gesnoeid inrichten van een netwerkomgeving begint bij
het bij kunnen houden van hoe het netwerk belast/gebruikt
wordt.

Gewoon implementeren en er niet meer naar omkijken is vragen
om problemen. Sterker nog, je komt met problemen te zitten
die dagen kunnen kosten voordat je weet wat er aan de hand
is of was. Terwijl je dat voorkomt als je een systematisch
ingericht analyse lab hebt en ook gebruikt.

Tja, want logs........ die zijn er toch enkel voor *ALS* er
wat gebeurd en toch niet *VOORDAT* er wat gebeurd?

Als je zo denkt, dan ben je zeker van mening dat tools als
Snort en cons(n)orten voor niets actief loggen en analyses
outputten, fingerprints van aanvallen bijhouden en eigen
netwerkgedrag controleren?

- Unomi -

O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5 dingen die je wel of
niet moet doen?

Blijkbaar is het nog steeds nodig om regelmatig een paar open deuren
open te trappen. Althans, voor een beetje security pro zijn dit open deuren.
Er zijn hier echter ook regelmatig bezoekers die nog niet zo pro zijn...

En nog een goeie reactie van SirDice...... ;-)

Leren is een kwestie van herhalen van de te leren stof. Hoe
vaker het herhaald wordt, hoe meer het voor mensen gaat leven.

Ook mensen die er zelf weinig mee te maken hebben momenteel,
zullen later zich fragmenten kunnen herinneren van wat er
toen stond. Dan hebben ze er zelf misschien wel mee te maken
(zijn ze misschien zelf admin geworden) en gaan ze de
gelezen stof ook snappen en zelf toepassen. Maar eh.... waar
stond dat artikel ook alweer?

Dan is het fijn en goed en verstandig hier en daar het nog
eens herhaald te hebben.

Er worden in tijdschriften nog steeds tutorials geplaatst
over het zelf bouwen van websites en het snappen van HTML.
Nou, na zoveel jaar toch echt wel een open deur hoor. Maar
dat wij en misschien jezelf ook voorop lopen met bepaalde
zaken, wil niet zeggen dat het voor anderen ook gebakken
koek is.

Ikzelf ben ook blij als bepaalde zaken herhaald worden om
het nog maar eens op te frissen. Het hoge "oh ja, dat was/is
ook zo" gehalte en daarachter meteen de "gut, dat is ook
zo,hoe zat het ook alweer" erlebnis. Geen problemen mee hoor.

- Unomi -