|
La détermination des modifications a été apportée à un système informatique à un moment précis implique une combinaison d'outils et de techniques. Voici une ventilation:
1. Audit et journalisation:
* Journaux système: Chaque système d'exploitation et la plupart des applications conservent des journaux. Ces journaux enregistrent des événements comme les connexions des utilisateurs, les accès à fichiers, les installations logicielles, les modifications des configurations et les événements de sécurité.
* Systèmes de gestion du changement: Les organisations ayant une infrastructure informatique robuste utilisent souvent des systèmes dédiés pour suivre et approuver les changements. Ces systèmes enregistrent qui ont apporté les modifications, la nature du changement, le temps qu'elle a été effectuée et inclut souvent une justification du changement.
* Systèmes de gestion des informations de sécurité et d'événements (SIEM): Ces systèmes regroupent les journaux de diverses sources, les analysent pour les modèles et peuvent aider à identifier les changements qui pourraient indiquer une activité malveillante.
2. Systèmes de contrôle de version:
* RepOsitories de code source (git, svn, etc.): Ces systèmes suivent les modifications du code source au fil du temps. Les développeurs peuvent facilement voir quelles lignes de code ont été modifiées, quand et par qui. Ceci est crucial pour le développement de logiciels, mais peut également être utile pour les fichiers de configuration du système s'ils sont gérés sous contrôle de version.
* Outils de gestion de la configuration (Ansible, marionnette, chef): Ces outils automatisent l'approvisionnement des infrastructures et la gestion de la configuration. Ils maintiennent un enregistrement de l'état souhaité de votre système et peuvent vous montrer quelles changements ont été apportés pour amener le système dans cet état souhaité.
3. Outils médico-légaux:
* Imagerie et analyse du disque: Des outils comme FTK Imageer ou Encase peuvent créer un instantané d'un disque dur ou d'une partition à un moment précis. Cela permet aux analystes criminels d'analyser l'état du système et potentiellement de récupérer des fichiers supprimés ou d'identifier les modifications qui ont été tentées d'être cachées.
4. Surveillance et analyse du réseau:
* Analyse du trafic réseau: L'analyse du trafic réseau peut révéler des tentatives pour se connecter à des serveurs distants, télécharger des fichiers ou modifier les configurations système. Des outils comme Wireshark peuvent capturer et analyser le trafic réseau.
5. Comptes d'utilisateurs et privilèges:
* Trails d'audit: Les journaux d'activité du compte utilisateur peuvent indiquer quand un utilisateur a accédé à des fichiers spécifiques, apporté des modifications aux paramètres système ou un logiciel installé.
* listes de contrôle d'accès (ACL): Les ACL définissent qui a accès à des fichiers et des ressources spécifiques. Les modifications des ACL peuvent indiquer des modifications de la sécurité du système.
défis:
* journalisation incomplète: Toutes les modifications ne sont pas enregistrées de manière cohérente.
* Manipulation log: Les journaux peuvent être falsifiés ou supprimés, ce qui rend difficile la reconstruction des événements.
* Complexité du système: Les systèmes informatiques modernes sont complexes, ce qui rend difficile d'isoler des changements spécifiques.
meilleures pratiques:
* Établir des politiques de journalisation solides: Assurez-vous que les journaux sont complets, conservés pour une durée raisonnable et protégés contre l'accès non autorisé.
* Implémentez les processus de gestion du changement: Formaliser les processus d'approbation des changements pour suivre et documenter les changements, minimiser les risques et améliorer la responsabilité.
* Examiner régulièrement les journaux: Analyser périodiquement les journaux pour identifier les problèmes de sécurité potentiels ou une activité inhabituelle.
En combinant plusieurs sources d'informations et en appliquant des techniques médico-légales, vous pouvez augmenter considérablement les chances de déterminer les changements apportés à un système informatique à un moment précis.
|
