房樂
2
CISAW
CISP-PTE
官方采納
房樂2
CISAW
CISP-PTE
有效應對攻擊者清除痕跡的方法包括以下幾個方面:
首先,要確保攻擊者的攻擊過程被記錄在日志中,通常采取的方法是對日志進行設置,記錄盡可能多的信息,將日志的保留時間設置更長,把日志的存儲空間設置更大等。
其次,要確保日志記錄的信息不會被刪除和篡改,通常采取的方法是嚴格控制日志的權限,例如,為日志設置獨立的存儲區域,嚴格權限管理(僅有管理員可讀可寫等)。
另外,可在網絡中設置日志服務器,將日志通過網絡保存在另外的服務器上,從而有效地確保日志的安全,例如,在網絡中部署syslog日志服務器,所有支持syslog的安全設備、應用系統等都可將日志存儲在syslog服務器上。
除了對日志采取必要的防護措施之外,還要定時對日志進行分析,查看不正常情況。日志分析過程中需關注記錄中的非正常編碼。
此外,應重點關注超長的記錄;關注日志請求鏈接中的關鍵字,如cmd、select、xp_cmdshell、post等,查詢日志中是否存在涉及這些關鍵字的日志記錄。
在下炳尚
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
官方采納
在下炳尚2
風險管理(專業級)RM/PL
高級信息系統項目管理師
有效應對攻擊者清除痕跡的方法包括以下幾個方面:
要確保攻擊者的攻擊過程被記錄在日志中,通常采取的方法是對日志進行設置,記錄盡可能多的信息,將日志的保留時間設置更長,把日志的存儲空間設置更大等。
要確保日志記錄的信息不會被刪除和篡改,通常采取的方法是嚴格控制日志的權限,例如,為日志設置獨立的存儲區域,嚴格權限管理(僅有管理員可讀可寫等)。
可在網絡中設置日志服務器,將日志通過網絡保存在另外的服務器上,從而有效地確保日志的安全,例如,在網絡中部署syslog日志服務器,所有支持syslog的安全設備、應用系統等都可將日志存儲在syslog服務器上。
定時對日志進行分析,查看不正常情況。日志分析過程中需關注記錄中的非正常編碼。
應重點關注超長的記錄;關注日志請求鏈接中的關鍵字,如cmd、select、xp_cmdshell、post等,查詢日志中是否存在涉及這些關鍵字的日志記錄。
推薦文章
