Предположим, что атака уже произошла. Следовательно, перед руководством среди прочего стоит вопрос о выявлении виновного. Практика показывает, что помочь в этом могут только журналы системных событий. Однако следует учитывать, что злоумышленник сделает все возможное и невозможное, чтобы скрыть свою личность, предстать кем-то другим или запутать следы. Во многих случаях диверсанта могут вычислить другие служащие, не имеющие с безопасностью IT-инфраструктуры ничего общего.
Если перевести эти данные на язык цифр, то получится, что 63% атак были замечены лишь потому, что в системе появились сильные отклонения. В 42% случаев система вышла из строя. При этом в 70% инцидентов злоумышленника удается вычислить по журналам системных событий, в 33% — по IP-адресу, в 28% — по телефонным записям, в 24% — по имени пользователя, в 13% — путем процедур аудита. Таким образом, журналы событий () являются наиболее эффективным средством. В тех случаях, когда используются журналы системных событий, чаще всего нужно исследовать журнал событий удаленного доступа (73%). За ним с большим отставанием следуют журнал доступа к файлам (37%), журнал изменения системных файлов (37%), журналы приложений и баз данных (30%), почтовые журналы (13%). В общем, в 31% случаев для идентификации злоумышленника используются сразу несколько журналов ().
Но не все так просто. В 76% инцидентов диверсанты пытаются скрыть свою личность (31%), действия (12%) или одновременно и то и другое (33%). Повторим, что саботажники могут модифицировать или удалять журналы событий, создавать скрытые входы в систему и неавторизованные учетные записи, подделывать свой IP-адрес. При этом 71% саботажей совершается сотрудниками, не связанными с обеспечением IT-безопасности.