ما هي مراقبة سلامة الملف؟ وهل تحتاجها؟

نشرت: 2022-01-01

بيئة تكنولوجيا المعلومات للمؤسسة هي مكان دائم التغير. تتغير البرامج وأصول الأجهزة. وكذلك الحال بالنسبة لملفات التكوين والأصول الهامة الأخرى. معظم هذه التغييرات مصرح بها - ستحدث عندما يتم تصحيح الملفات ، على سبيل المثال. لكن التغييرات غير المتوقعة مدعاة للقلق. وهنا يأتي دور مراقبة سلامة الملفات.

تتعلق مراقبة سلامة الملفات ، أو FIM ، بأكثر من مجرد معرفة ما يحدث مع نظامك. يتعلق الأمر بالحفاظ على البيانات الشخصية آمنة وتجنب الهجوم مع الامتثال أيضًا للوائح. دعونا نناقش ما هو FIM ، ولماذا تحتاجه وكيف يعمل.

ما هي مراقبة سلامة الملف؟

تمنحك مراقبة تكامل الملفات رؤية على مستوى الملف لما هو مهم لمؤسستك. يتضمن:

  • ملفات التكوين
  • بيانات العميل
  • معلومات صحية
  • ملفات المفتاح وبيانات الاعتماد
  • ملفات تطبيقات النظام

بعد ذلك ، يتيح لك FIM معرفة من يقوم بتحرير الملفات أو حذفها أو نقلها ، ومن لديه وصول غير مصرح به إلى هذه الملفات.

هناك معايير تنظيمية تتطلب من الشركات معرفة من يمكنه الوصول إلى الملفات الهامة والتغييرات التي حدثت. تم تفويض FIM للشركات التي يتعين عليها الالتزام بلوائح الامتثال مثل NERC CIP و NIST CSF و PCI DSS ، من بين أمور أخرى. في حين أن FIM ليس مطلوبًا على وجه التحديد لـ GDPR و HIPAA ، إلا أنه يمكن أن يكون مفيدًا أثناء عمليات التدقيق. هذا النوع من الرؤية للأصول مهم لهاتين اللائحتين - لذلك في هذه الحالات ، لن يضر FIM بالتأكيد.

ما هي التهديدات التي تحميك منها؟

عندما يتمكن مستخدم غير مصرح به أو ضار من الوصول إلى شبكتك ، يمكنه تغيير أي شيء يريده. يمكنهم أيضًا حذف سجلات الأحداث لتجنب الاكتشاف. إليك أسوأ سيناريو: ينطلق تنبيه FIM لأن شخصًا ما قد حصل على وصول داخلي إلى شبكتك ويتلاعب بملفاتك. يمكن للمهاجم فحص شبكتك للعثور على أصول أخرى وتعريضها للخطر ، والتظاهر كموظف ، وسرقة بيانات الاعتماد ، وما إلى ذلك. إذا تمكن شخص ما من الوصول إلى نظامك ، فيمكنه فعل ما يريد - حتى يتم القبض عليه ، على الأقل.

كيف يعمل FIM؟

بغض النظر عن البرنامج الذي تختاره ، يعمل FIM بشكل أساسي على النحو التالي:

  • تقوم بتعيين ملفات النظام والسجلات المراد مراقبتها. من الناحية المثالية ، ستقوم بتضييق النطاق حتى لا يتم اختراقك بتنبيهات غير ضرورية.
  • يمكنك إنشاء خط أساس بحيث يكون لأداة FIM نقطة مرجعية للتحقق من الملفات.
  • تراقب أداة FIM الملفات والسجلات المحددة مسبقًا على مدار الساعة.
  • عند وقوع حدث مهم (ملف تم تحريره أو حذفه ، على سبيل المثال) ، تقوم أداة FIM بالتقاط البيانات. تتضمن هذه البيانات الحدث الذي وقع والأصل المتأثر والمستخدم الذي أجرى التغيير والطابع الزمني.
  • يعطي تحليل بيانات الحدث إلى جانب البيانات الأخرى صورة أكمل لما حدث وما إذا كان خارج القاعدة.
  • إذا كان الحدث خبيثًا أو مريبًا ، فسيتم إصدار تنبيه. (التغييرات الجيدة ، مثل التصحيحات وتحديثات الأمان ، يتم وضعها في القائمة البيضاء حتى لا تتلقى تنبيهًا.)
  • ستوفر أداة FIM (نأمل) بيانات أخرى تحيط بالحدث حتى يتمكن فريق تكنولوجيا المعلومات لديك من معرفة ما حدث بالضبط.

كيفية تنفيذ مراقبة سلامة الملفات باستخدام WordPress

يتجاوز تطبيق FIM باستخدام WordPress العثور على أداة تنبهك عند حدوث تغيير في الملف. من الأفضل استخدام FIM جنبًا إلى جنب مع إجراءات الأمان الأخرى ، مثل تسجيل التدقيق ومراقبة المستخدم. يجب أن تحتوي أداة الأمان الخاصة بك على اكتشاف متعدد الطبقات ، بما في ذلك لوائح الامتثال والاكتشاف الاستباقي. تحتاج إلى اكتشاف الإجراءات الأخرى في وقت مبكر من الهجوم حتى تتمكن من إيقافها في أسرع وقت ممكن.

Rapid7 هو نظام تتبع أحداث الملفات المستند إلى السحابة. يمكنك اختيار الأصول المراد مراقبتها ، ثم يراقب البرنامج تعديلات الملف ومن قام بها. ستتلقى تنبيهًا إذا تم حذف ملف أو مجلد مهم أو تحريره أو نقله. يمكنك أيضًا عرض مقاييس الوقت الفعلي إذا كنت تريد مراقبة النشاط في الوقت الحالي. في الجزء العلوي من تنبيه FIM ، ستتمكن من رؤية كل الحركات الأخرى التي حدثت حوله حتى تتمكن من التحقيق والرد على الهجوم ، ويمكنك تصدير نشاط التعديل كمخطط لوحة معلومات. تعرف على المزيد حول ملحق Rapid7 WordPress هنا.

Qualys هي أداة FIM أخرى يمكنك استخدامها لووردبريس. أثناء اكتشافك لنطاق ما يجب مراقبته ، تعني ملفات التعريف الجاهزة الخاصة بشركة Qualys أنه يمكنك النهوض والركض على الفور ، ثم تعديل النطاق كلما تعلمت المزيد عن احتياجاتك. يحتوي النظام الأساسي السحابي أيضًا على اكتشاف التغيير في الوقت الفعلي. عندما يتغير ملف ، تتضمن البيانات التي تم جمعها المستخدم واسم الملف وتفاصيل الأصل والطابع الزمني. بالإضافة إلى ذلك ، يمكنك التوسع دون الحاجة إلى شراء المزيد من البرامج أو وحدات التخزين.

تشمل أدوات FIM الأخرى ذات التصنيف العالي OSSEC و Tripwire. لدينا أيضًا قائمة بأفضل ستة إضافات أمان في WordPress يمكنك تثبيتها الآن في حالة رغبتك في إقران أحدها بحل FIM الخاص بك.

الأفكار النهائية حول مراقبة سلامة الملفات

إذا كان يتعين على شركتك الامتثال للوائح مثل FISMA أو SOX أو مجموعة أخرى تتطلب FIM ، فأنت بالتأكيد بحاجة إلى أداة مراقبة سلامة الملفات. لن تحافظ فقط على أمان عملائك وبياناتك وملفاتك ونظامك ، ولكنها ستحافظ أيضًا على شركتك في وضع جيد أثناء التدقيق.

الشيء الرئيسي الذي يجب تجنبه هو الفخ الذي تقع فيه العديد من الشركات: الكثير من الضوضاء. إذا كان هناك عدد كبير جدًا من الملفات قيد المراقبة ، فسيؤدي ذلك إلى كثرة تنبيهات FIM. وإذا وردت التنبيهات بدون أي سياق ، فمن المستحيل تحديد ما يمثل تهديدًا وما لا يمثل تهديدًا. سيراقب حل FIM الفعال الملفات والمجلدات الضرورية فقط ، ثم يقدم تنبيهات برؤية مفيدة.

أخيرًا ، تذكر هاتين أفضل ممارسات FIM. كن دقيقا بشأن الملفات التي ستتم مراقبتها. إذا كانت المراقبة واسعة جدًا ، فقد تغمرك التنبيهات والنشاط عند تعديل أي شيء. بعد ذلك ، اتخذ الإجراء من خلال التحقيق في تنبيه FIM. من المهم معرفة ما إذا كان المستخدمون أو الأصول الأخرى قد تأثرت. لا تقدم بعض الأدوات المستقلة هذا القدر الكبير من السياق. أنت بحاجة إلى أداة لإدارة السجل أو نظام أساسي للتحقيق يمكن أن يساعدك في التحقيق.

هل تستخدم حل FIM الذي تقترحه؟ اخبرنا عنها!