Was ist Dateiintegritätsüberwachung? Und brauchen Sie es?

Veröffentlicht: 2022-01-01

Die IT-Umgebung eines Unternehmens verändert sich ständig. Sowohl Softwareprogramme als auch Hardware-Assets ändern sich. Dies gilt auch für Konfigurationsdateien und andere wichtige Assets. Die meisten davon sind autorisierte Änderungen – sie treten beispielsweise auf, wenn Dateien gepatcht werden. Aber unerwartete Veränderungen geben Anlass zur Sorge. Hier kommt die Überwachung der Dateiintegrität ins Spiel.

Bei der Überwachung der Dateiintegrität oder FIM geht es um mehr als nur darum, zu wissen, was mit Ihrem System vor sich geht. Es geht darum, personenbezogene Daten zu schützen und Angriffe zu vermeiden und gleichzeitig Vorschriften einzuhalten. Lassen Sie uns besprechen, was FIM ist, warum Sie es brauchen und wie es funktioniert.

Was ist Dateiintegritätsüberwachung?

Die Dateiintegritätsüberwachung gibt Ihnen auf Dateiebene Einblick in das, was für Ihr Unternehmen wichtig ist. Dazu gehören:

  • Konfigurationsdateien
  • Kundendaten
  • Gesundheitsinformationen
  • Schlüssel- und Berechtigungsdateien
  • System-App-Dateien

Dann teilt Ihnen FIM mit, wer die Dateien bearbeitet, löscht oder verschiebt und wer unbefugten Zugriff auf diese Dateien hat.

Es gibt regulatorische Standards, die verlangen, dass Unternehmen wissen, wer Zugriff auf kritische Dateien hat und welche Änderungen aufgetreten sind. FIM ist für Unternehmen vorgeschrieben, die unter anderem Compliance-Vorschriften wie NERC CIP, NIST CSF und PCI DSS einhalten müssen. Obwohl FIM für GDPR und HIPAA nicht ausdrücklich erforderlich ist, kann es bei Audits hilfreich sein. Diese Art der Sichtbarkeit von Vermögenswerten ist für diese beiden Vorschriften wichtig – in diesen Fällen wird FIM also definitiv nicht schaden.

Vor welchen Bedrohungen schützt es Sie?

Wenn ein nicht autorisierter oder schädlicher Benutzer Zugriff auf Ihr Netzwerk hat, kann er alles ändern, was er will. Sie können auch die Ereignisprotokolle löschen, um eine Entdeckung zu vermeiden. Hier ist das Worst-Case-Szenario: Eine FIM-Warnung wird ausgelöst, weil sich jemand internen Zugriff auf Ihr Netzwerk verschafft hat und Ihre Dateien manipuliert. Der Angreifer kann Ihr Netzwerk scannen, um andere Assets zu finden und zu kompromittieren, sich als Angestellter ausgeben, Zugangsdaten stehlen usw. Wenn sich jemand Zugang zu Ihrem System verschafft, kann er tun, was er will – zumindest bis er erwischt wird.

Wie funktioniert FIM?

Unabhängig von der gewählten Software funktioniert FIM im Wesentlichen so:

  • Sie legen fest, welche Systemdateien und Registrierungen überwacht werden sollen. Im Idealfall grenzen Sie den Bereich ein, damit Sie nicht mit unnötigen Warnungen infiltriert werden.
  • Sie legen eine Baseline fest, damit das FIM-Tool über einen Referenzpunkt verfügt, an dem Dateien überprüft werden können.
  • Das FIM-Tool überwacht die vorgegebenen Dateien und Register rund um die Uhr.
  • Wenn ein kritisches Ereignis eintritt (z. B. eine Datei, die bearbeitet oder gelöscht wird), erfasst das FIM-Tool Daten. Zu diesen Daten gehören das Ereignis, das betroffene Asset, der Benutzer, der die Änderung vorgenommen hat, und ein Zeitstempel.
  • Die Analyse der Ereignisdaten zusammen mit anderen Daten gibt ein vollständigeres Bild davon, was passiert ist und ob es außerhalb der Norm liegt.
  • Wenn das Ereignis böswillig oder verdächtig ist, wird eine Warnung ausgegeben. (Gute Änderungen wie Patches und Sicherheitsupdates werden auf eine Whitelist gesetzt, damit Sie keine Benachrichtigung erhalten.)
  • Das FIM-Tool liefert (hoffentlich) weitere Daten rund um das Ereignis, damit Ihr IT-Team genau herausfinden kann, was passiert ist.

So implementieren Sie die Dateiintegritätsüberwachung mit WordPress

Die Implementierung von FIM mit WordPress geht über die Suche nach einem Tool hinaus, das Sie benachrichtigt, wenn eine Datei geändert wird. FIM wird am besten zusammen mit anderen Sicherheitsmaßnahmen wie Audit-Protokollierung und Benutzerüberwachung verwendet. Ihr Sicherheitstool sollte über eine mehrstufige Erkennung verfügen, einschließlich Compliance-Vorschriften und proaktiver Erkennung. Sie müssen andere Aktionen früher im Angriff erkennen, damit Sie sie so schnell wie möglich stoppen können.

Rapid7 ist ein Cloud-basiertes System zur Verfolgung von Dateiereignissen. Sie wählen aus, welche Assets überwacht werden sollen, und dann sucht die Software nach Dateiänderungen und wer sie vorgenommen hat. Sie erhalten eine Benachrichtigung, wenn eine wichtige Datei oder ein Ordner gelöscht, bearbeitet oder verschoben wird. Sie können auch Echtzeit-Metriken anzeigen, wenn Sie die Aktivität im Moment im Auge behalten möchten. Zusätzlich zur FIM-Warnung können Sie alle anderen Bewegungen sehen, die um sie herum stattgefunden haben, damit Sie den Angriff untersuchen und darauf reagieren können, und Sie können die Änderungsaktivität als Dashboard-Diagramm exportieren. Erfahren Sie hier mehr über die Rapid7 WordPress-Erweiterung.

Qualys ist ein weiteres FIM-Tool, das Sie für WordPress verwenden können. Während Sie den zu überwachenden Umfang ermitteln, können Sie mit den vorkonfigurierten Profilen von Qualys sofort loslegen und den Umfang dann anpassen, wenn Sie mehr über Ihre Anforderungen erfahren. Die Cloud-Plattform verfügt auch über eine Änderungserkennung in Echtzeit. Wenn sich eine Datei ändert, umfassen die gesammelten Daten den Benutzer, den Dateinamen, Asset-Details und einen Zeitstempel. Außerdem können Sie skalieren, ohne mehr Software oder Speicherplatz kaufen zu müssen.

Andere hoch bewertete FIM-Tools sind OSSEC und Tripwire. Wir haben auch eine Liste der sechs besten WordPress-Sicherheits-Plugins, die Sie jetzt installieren können, falls Sie eines davon mit Ihrer FIM-Lösung koppeln möchten.

Abschließende Gedanken zur Überwachung der Dateiintegrität

Wenn Ihr Unternehmen Vorschriften wie FISMA, SOX oder eine Vielzahl anderer Vorschriften einhalten muss, die FIM erfordern, benötigen Sie auf jeden Fall ein Tool zur Überwachung der Dateiintegrität. Es schützt nicht nur Ihre Kunden, Daten, Dateien und Ihr System, sondern sorgt auch dafür, dass Ihr Unternehmen während eines Audits in gutem Zustand bleibt.

Das Wichtigste, was es zu vermeiden gilt, ist eine Falle, in die viele Unternehmen tappen: zu viel Lärm. Wenn zu viele Dateien überwacht werden, führt dies zu einer Überfülle von FIM-Warnungen. Und wenn Warnungen ohne jeglichen Kontext eingehen, ist es unmöglich festzustellen, was eine Bedrohung ist und was nicht. Eine effiziente FIM-Lösung überwacht nur notwendige Dateien und Ordner und gibt dann Warnungen mit hilfreichen Einblicken aus.

Denken Sie zu guter Letzt an diese beiden Best Practices der FIM. Geben Sie genau an, welche Dateien überwacht werden sollen. Wenn die Überwachung zu umfassend ist, können Sie mit Warnungen und Aktivitäten überhäuft werden, wenn etwas geändert wird. Ergreifen Sie dann Maßnahmen, indem Sie eine FIM-Warnung untersuchen. Es ist wichtig zu wissen, ob andere Benutzer oder Assets betroffen waren. Einige eigenständige Tools bieten nicht so viel Kontext. Sie benötigen ein Protokollverwaltungstool oder eine Untersuchungsplattform, die Ihnen bei Ihrer Untersuchung helfen kann.

Verwenden Sie eine von Ihnen vorgeschlagene FIM-Lösung? Erzähl uns darüber!