¿Qué es el monitoreo de integridad de archivos? ¿Y lo necesitas?

Publicado: 2022-01-01

El entorno de TI de una organización es un lugar en constante cambio. Los programas de software y los activos de hardware cambian. También lo hacen los archivos de configuración y otros activos importantes. La mayoría de estos son cambios autorizados; se producirán cuando se apliquen parches a los archivos, por ejemplo. Pero los cambios inesperados son motivo de preocupación. Ahí es donde entra en juego el monitoreo de la integridad de los archivos.

El monitoreo de integridad de archivos, o FIM, es más que saber qué está pasando con su sistema. Se trata de mantener seguros los datos personales y evitar un ataque al mismo tiempo que se cumple con las regulaciones. Analicemos qué es FIM, por qué lo necesita y cómo funciona.

¿Qué es el monitoreo de integridad de archivos?

El monitoreo de integridad de archivos le brinda visibilidad a nivel de archivo de lo que es importante para su organización. Eso incluye:

  • Archivos de configuración
  • Información de los clientes
  • Información de salud
  • Archivos de claves y credenciales
  • Archivos de aplicaciones del sistema

Luego, FIM le permite saber quién está editando, eliminando o moviendo los archivos y quién tiene acceso no autorizado a esos archivos.

Existen estándares regulatorios que exigen que las empresas sepan quién tiene acceso a los archivos críticos y qué cambios se produjeron. FIM es obligatorio para las empresas que deben cumplir con las normas de cumplimiento como NERC CIP, NIST CSF y PCI DSS, entre otras. Si bien FIM no se requiere específicamente para GDPR e HIPAA, puede ser útil durante las auditorías. Ese tipo de visibilidad de los activos es importante para esas dos regulaciones, por lo que en esos casos, FIM definitivamente no hará daño.

¿De qué amenazas te protege?

Cuando un usuario no autorizado o dañino tiene acceso a su red, puede cambiar lo que quiera. También pueden eliminar los registros de eventos para evitar la detección. Este es el peor de los casos: se activa una alerta FIM porque alguien obtuvo acceso interno a su red y está manipulando sus archivos. El atacante puede escanear su red para encontrar otros activos y comprometerlos, hacerse pasar por un empleado, robar credenciales, etc. Si alguien obtiene acceso a su sistema, puede hacer lo que quiera, al menos hasta que lo atrapen.

¿Cómo funciona FIM?

Independientemente del software que elija, FIM esencialmente funciona así:

  • Usted establece qué archivos y registros del sistema monitorear. Idealmente, reducirá el alcance para que no se infiltre con alertas innecesarias.
  • Establece una línea de base para que la herramienta FIM tenga un punto de referencia para verificar los archivos.
  • La herramienta FIM monitorea los archivos y registros predeterminados durante todo el día.
  • Cuando ocurre un evento crítico (un archivo que se edita o elimina, por ejemplo), la herramienta FIM captura datos. Esos datos incluyen qué evento tuvo lugar, el activo afectado, el usuario que realizó el cambio y una marca de tiempo.
  • El análisis de los datos del evento junto con otros datos brinda una imagen más completa de lo que sucedió y si está fuera de lo normal.
  • Si el evento es malicioso o sospechoso, se activará una alerta. (Los buenos cambios, como parches y actualizaciones de seguridad, se incluyen en una lista blanca para que no reciba una alerta).
  • La herramienta FIM (con suerte) proporcionará otros datos relacionados con el evento para que su equipo de TI pueda averiguar exactamente qué sucedió.

Cómo implementar el monitoreo de integridad de archivos con WordPress

Implementar FIM con WordPress va más allá de encontrar una herramienta que le avise cuando haya un cambio de archivo. FIM se utiliza mejor junto con otras medidas de seguridad, como el registro de auditoría y la supervisión de usuarios. Su herramienta de seguridad debe tener detección en capas, incluidas las normas de cumplimiento y la detección proactiva. Debe detectar otras acciones antes en el ataque para poder detenerlas lo antes posible.

Rapid7 es un sistema de seguimiento de eventos de archivos basado en la nube. Usted elige qué activos monitorear y luego el software observa las modificaciones de archivos y quién las hizo. Recibirá una alerta si se elimina, edita o mueve un archivo o una carpeta críticos. También puede ver métricas en tiempo real si desea controlar la actividad en el momento. Además de la alerta de FIM, podrá ver todos los demás movimientos que ocurrieron a su alrededor para que pueda investigar y responder al ataque, y puede exportar la actividad de modificación como un gráfico de tablero. Obtenga más información sobre la extensión Rapid7 WordPress aquí.

Qualys es otra herramienta FIM que puedes usar para WordPress. Mientras determina el alcance de lo que debe monitorear, los perfiles listos para usar de Qualys significan que puede ponerse en marcha de inmediato y luego modificar el alcance a medida que aprende más sobre sus necesidades. La plataforma en la nube también tiene detección de cambios en tiempo real. Cuando un archivo cambia, los datos recopilados incluyen el usuario, el nombre del archivo, los detalles del activo y una marca de tiempo. Además, puede escalar sin tener que comprar más software o almacenamiento.

Otras herramientas FIM altamente calificadas incluyen OSSEC y Tripwire. También tenemos una lista de los seis mejores complementos de seguridad de WordPress que puede instalar ahora mismo en caso de que desee vincular uno de ellos con su solución FIM.

Reflexiones finales sobre el monitoreo de integridad de archivos

Si su empresa tiene que cumplir con regulaciones como FISMA, SOX o muchas otras que requieren FIM, definitivamente necesita una herramienta de monitoreo de integridad de archivos. No solo mantendrá seguros a sus clientes, datos, archivos y sistema, sino que también mantendrá a su empresa en buen estado durante una auditoría.

Lo principal a evitar es una trampa en la que caen muchas empresas: demasiado ruido. Si hay demasiados archivos bajo vigilancia, eso dará como resultado una sobreabundancia de alertas de FIM. Y si las alertas llegan sin ningún contexto, es imposible determinar qué es y qué no es una amenaza. Una solución FIM eficiente monitoreará solo los archivos y carpetas necesarios y luego proporcionará alertas con información útil.

Por último, recuerde estas dos mejores prácticas de FIM. Sea preciso acerca de qué archivos se van a monitorear. Si el monitoreo es demasiado amplio, puede verse abrumado con alertas y actividad cuando se modifica algo. Luego, tome medidas investigando una alerta FIM. Es importante saber si otros usuarios o activos se vieron afectados. Algunas herramientas independientes no ofrecen tanto contexto. Necesita una herramienta de administración de registros o una plataforma de investigación que pueda ayudarlo en su investigación.

¿Utiliza una solución FIM que sugiere? ¡Cuéntanoslo!