ファイル整合性監視とは何ですか? そして、あなたはそれが必要ですか?

公開: 2022-01-01

組織のIT環境は絶えず変化する場所です。 ソフトウェアプログラムとハードウェア資産の両方が変更されます。 構成ファイルやその他の重要な資産も同様です。 これらのほとんどは許可された変更です。たとえば、ファイルにパッチが適用されているときに発生します。 しかし、予期しない変更は懸念の原因です。 そこで、ファイルの整合性の監視が役立ちます。

ファイル整合性監視(FIM)は、システムで何が起こっているかを知ること以上のものです。 それは、個人データを安全に保ち、規制を遵守しながら攻撃を回避することです。 FIMとは何か、なぜFIMが必要なのか、どのように機能するのかについて説明しましょう。

ファイル整合性監視とは何ですか?

ファイル整合性の監視により、組織にとって何が重要であるかをファイルレベルで可視化できます。 これには以下が含まれます:

  • 構成ファイル
  • 顧客データ
  • 健康情報
  • キーファイルとクレデンシャルファイル
  • システムアプリファイル

次に、FIMは、誰がファイルを編集、削除、または移動しているか、および誰がそれらのファイルに不正にアクセスしているかを通知します。

重要なファイルに誰がアクセスでき、どの変更が発生したかを企業が知ることを要求する規制基準があります。 FIMは、NERC CIP、NIST CSF、PCIDSSなどのコンプライアンス規制を遵守する必要がある企業に義務付けられています。 FIMはGDPRとHIPAAには特に必要ありませんが、監査中に役立つ場合があります。 このような資産の可視性は、これら2つの規制にとって重要です。したがって、これらの場合、FIMは間違いなく害を及ぼすことはありません。

それはあなたをどのような脅威から守りますか?

許可されていない、または有害なユーザーがネットワークにアクセスできる場合、ユーザーは必要なものを変更できます。 また、イベントログを削除して、検出を回避することもできます。 最悪のシナリオは次のとおりです。誰かがネットワークへの内部アクセスを取得し、ファイルを改ざんしているため、FIMアラートが鳴ります。 攻撃者はネットワークをスキャンして他の資産を見つけて侵害したり、従業員になりすましたり、資格情報を盗んだりする可能性があります。誰かがシステムにアクセスした場合、少なくとも捕まるまでは、好きなことを行うことができます。

FIMはどのように機能しますか?

選択したソフトウェアに関係なく、FIMは基本的に次のように機能します。

  • 監視するシステムファイルとレジストリを設定します。 理想的には、範囲を狭めて、不要なアラートが侵入しないようにします。
  • FIMツールがファイルをチェックするための参照ポイントを持つようにベースラインを確立します。
  • FIMツールは、事前に決定されたファイルとレジストリを24時間監視します。
  • 重大なイベント(たとえば、編集または削除されたファイル)が発生すると、FIMツールがデータをキャプチャします。 そのデータには、発生したイベント、影響を受けるアセット、変更を行ったユーザー、およびタイムスタンプが含まれます。
  • イベントデータを他のデータと一緒に分析すると、何が起こったのか、そしてそれが標準から外れているかどうかの全体像がわかります。
  • イベントが悪意のあるものまたは疑わしいものである場合、アラートが送信されます。 (パッチやセキュリティ更新などの適切な変更は、アラートを受け取らないようにホワイトリストに登録されます。)
  • FIMツールは(うまくいけば)イベントを取り巻く他のデータを提供し、ITチームが何が起こったのかを正確に把握できるようにします。

WordPressでファイル整合性監視を実装する方法

WordPressでFIMを実装することは、ファイルが変更されたときに警告するツールを見つけることを超えています。 FIMは、監査ログやユーザー監視などの他のセキュリティ対策と一緒に使用するのが最適です。 セキュリティツールには、コンプライアンス規制や予防的検出など、階層化された検出が必要です。 できるだけ早く他のアクションを停止できるように、攻撃の早い段階で他のアクションを検出する必要があります。

Rapid7は、クラウドベースのファイルイベント追跡システムです。 監視するアセットを選択すると、ソフトウェアがファイルの変更とその作成者を監視します。 重要なファイルまたはフォルダが削除、編集、または移動された場合にアラートが表示されます。 瞬間的なアクティビティを監視したい場合は、リアルタイムのメトリックを表示することもできます。 FIMアラートに加えて、周囲で発生した他のすべての動きを確認できるため、攻撃を調査して対応したり、変更アクティビティをダッシュ​​ボードチャートとしてエクスポートしたりできます。 Rapid7 WordPress拡張機能の詳細については、こちらをご覧ください。

Qualysは、WordPressに使用できるもう1つのFIMツールです。 監視対象の範囲を把握している間、Qualysのすぐに使用可能なプロファイルは、すぐに起動して実行し、ニーズについて詳しく学習するときに範囲を微調整できることを意味します。 クラウドプラットフォームには、リアルタイムの変更検出もあります。 ファイルが変更されると、収集されるデータには、ユーザー、ファイル名、アセットの詳細、およびタイムスタンプが含まれます。 さらに、ソフトウェアやストレージを追加購入しなくてもスケールアップできます。

その他の高評価のFIMツールには、OSSECおよびTripwireが含まれます。 また、そのうちの1つをFIMソリューションとペアリングする場合に備えて、今すぐインストールできる6つの最高のWordPressセキュリティプラグインのリストもあります。

ファイル整合性の監視に関する最終的な考え

会社がFISMA、SOX、またはFIMを必要とする他の多くの規制に準拠する必要がある場合は、ファイル整合性監視ツールが絶対に必要です。 顧客、データ、ファイル、およびシステムを安全に保つだけでなく、監査中に会社を良好な状態に保つことができます。

避けるべき主なことは、多くの企業が陥る罠です。ノイズが多すぎるということです。 監視しているファイルが多すぎると、FIMアラートが過剰になります。 また、コンテキストなしでアラートが発生した場合、脅威とは何かを判断することは不可能です。 効率的なFIMソリューションは、必要なファイルとフォルダーのみを監視し、役立つ洞察を備えたアラートを提供します。

最後に、これら2つのFIMのベストプラクティスを覚えておいてください。 監視するファイルを正確に把握してください。 監視範囲が広すぎると、何かが変更されたときにアラートやアクティビティに圧倒される可能性があります。 次に、FIMアラートを調査してアクションを実行します。 他のユーザーやアセットが影響を受けたかどうかを知ることは重要です。 一部のスタンドアロンツールは、これほど多くのコンテキストを提供しません。 調査に役立つログ管理ツールまたは調査プラットフォームが必要です。

提案するFIMソリューションを使用していますか? それについて教えてください!