Qu'est-ce que la surveillance de l'intégrité des fichiers ? Et en avez-vous besoin ?

Publié: 2022-01-01

L'environnement informatique d'une organisation est un lieu en constante évolution. Les programmes logiciels et les actifs matériels changent tous les deux. Il en va de même pour les fichiers de configuration et d'autres actifs importants. La plupart d'entre elles sont des modifications autorisées - elles se produiront lorsque des fichiers seront corrigés, par exemple. Mais des changements inattendus sont préoccupants. C'est là qu'intervient la surveillance de l'intégrité des fichiers.

La surveillance de l'intégrité des fichiers, ou FIM, ne se limite pas à savoir ce qui se passe avec votre système. Il s'agit de protéger les données personnelles et d'éviter une attaque tout en respectant la réglementation. Discutons de ce qu'est le FIM, pourquoi vous en avez besoin et comment il fonctionne.

Qu'est-ce que la surveillance de l'intégrité des fichiers ?

La surveillance de l'intégrité des fichiers vous donne une visibilité au niveau des fichiers sur ce qui est important pour votre organisation. Qui comprend:

  • Fichiers de configuration
  • Données client
  • Information sur la santé
  • Fichiers de clés et d'informations d'identification
  • Fichiers d'application système

Ensuite, FIM vous permet de savoir qui modifie, supprime ou déplace les fichiers et qui a un accès non autorisé à ces fichiers.

Il existe des normes réglementaires qui obligent les entreprises à savoir qui a accès aux fichiers critiques et quels changements ont eu lieu. FIM est mandaté pour les entreprises qui doivent respecter les réglementations de conformité telles que NERC CIP, NIST CSF et PCI DSS, entre autres. Bien que FIM ne soit pas spécifiquement requis pour GDPR et HIPAA, il peut être utile lors des audits. Ce type de visibilité sur les actifs est important pour ces deux réglementations – donc dans ces cas, le FIM ne fera certainement pas de mal.

De quelles menaces vous protège-t-il ?

Lorsqu'un utilisateur non autorisé ou nuisible a accès à votre réseau, il peut modifier tout ce qu'il veut. Ils peuvent également supprimer les journaux d'événements pour éviter la détection. Voici le pire scénario : une alerte FIM se déclenche parce que quelqu'un a obtenu un accès interne à votre réseau et falsifie vos fichiers. L'attaquant peut analyser votre réseau pour trouver d'autres actifs et les compromettre, se faire passer pour un employé, voler des informations d'identification, etc. Si quelqu'un accède à votre système, il peut faire ce qu'il veut - jusqu'à ce qu'il soit pris, au moins.

Comment fonctionne le FIM ?

Quel que soit le logiciel que vous choisissez, FIM fonctionne essentiellement comme ceci :

  • Vous définissez les fichiers système et les registres à surveiller. Idéalement, vous réduisez la portée afin de ne pas être infiltré par des alertes inutiles.
  • Vous établissez une ligne de base afin que l'outil FIM dispose d'un point de référence pour vérifier les fichiers.
  • L'outil FIM surveille les fichiers et les registres prédéterminés 24 heures sur 24.
  • Lorsqu'un événement critique se produit (un fichier modifié ou supprimé, par exemple), l'outil FIM capture des données. Ces données incluent l'événement qui s'est produit, l'actif concerné, l'utilisateur qui a effectué la modification et un horodatage.
  • L'analyse des données d'événement ainsi que d'autres données donne une image plus complète de ce qui s'est passé et si cela est hors norme.
  • Si l'événement est malveillant ou suspect, une alerte sera émise. (Les bons changements, comme les correctifs et les mises à jour de sécurité, sont placés sur une liste blanche afin de ne pas recevoir d'alerte.)
  • L'outil FIM fournira (espérons-le) d'autres données entourant l'événement afin que votre équipe informatique puisse comprendre exactement ce qui s'est passé.

Comment implémenter la surveillance de l'intégrité des fichiers avec WordPress

La mise en œuvre de FIM avec WordPress va au-delà de la recherche d'un outil qui vous alertera en cas de changement de fichier. FIM est mieux utilisé avec d'autres mesures de sécurité, comme la journalisation d'audit et la surveillance des utilisateurs. Votre outil de sécurité doit avoir une détection en couches, y compris les réglementations de conformité et une détection proactive. Vous devez détecter d'autres actions plus tôt dans l'attaque afin de pouvoir les arrêter dès que possible.

Rapid7 est un système de suivi des événements de fichiers basé sur le cloud. Vous choisissez les actifs à surveiller, puis le logiciel surveille les modifications de fichiers et qui les a faites. Vous recevrez une alerte si un fichier ou un dossier critique est supprimé, modifié ou déplacé. Vous pouvez également afficher des métriques en temps réel si vous souhaitez garder un œil sur l'activité en temps réel. En plus de l'alerte FIM, vous pourrez voir tous les autres mouvements qui se sont produits autour d'elle afin que vous puissiez enquêter et répondre à l'attaque, et vous pouvez exporter l'activité de modification sous forme de tableau de bord. En savoir plus sur l'extension Rapid7 WordPress ici.

Qualys est un autre outil FIM que vous pouvez utiliser pour WordPress. Pendant que vous déterminez l'étendue de ce qu'il faut surveiller, les profils prêts à l'emploi de Qualys vous permettent d'être opérationnel immédiatement, puis d'ajuster l'étendue au fur et à mesure que vous en apprenez davantage sur vos besoins. La plate-forme cloud dispose également d'une détection des modifications en temps réel. Lorsqu'un fichier change, les données collectées incluent l'utilisateur, le nom du fichier, les détails de l'actif et un horodatage. De plus, vous pouvez évoluer sans avoir à acheter plus de logiciels ou de stockage.

D'autres outils FIM hautement cotés incluent OSSEC et Tripwire. Nous avons également une liste des six meilleurs plugins de sécurité WordPress que vous pouvez installer dès maintenant au cas où vous souhaiteriez associer l'un d'entre eux à votre solution FIM.

Réflexions finales sur la surveillance de l'intégrité des fichiers

Si votre entreprise doit se conformer à des réglementations telles que FISMA, SOX ou une foule d'autres qui exigent FIM, vous avez certainement besoin d'un outil de surveillance de l'intégrité des fichiers. Non seulement cela protégera vos clients, vos données, vos fichiers et votre système, mais cela maintiendra également votre entreprise en règle lors d'un audit.

La principale chose à éviter est un piège dans lequel tombent de nombreuses entreprises : trop de bruit. S'il y a trop de dossiers sous surveillance, cela entraînera une surabondance d'alertes FIM. Et si les alertes arrivent sans aucun contexte, il est impossible de déterminer ce qui est et ce qui n'est pas une menace. Une solution FIM efficace ne surveillera que les fichiers et dossiers nécessaires, puis fournira des alertes avec des informations utiles.

Enfin, rappelez-vous ces deux bonnes pratiques FIM. Soyez précis sur les fichiers qui vont être surveillés. Si la surveillance est trop large, vous pouvez être submergé d'alertes et d'activités lorsque quelque chose est modifié. Ensuite, agissez en enquêtant sur une alerte FIM. Il est important de savoir si d'autres utilisateurs ou actifs ont été affectés. Certains outils autonomes n'offrent pas autant de contexte. Vous avez besoin d'un outil de gestion des logs ou d'une plateforme d'investigation qui peut vous aider dans votre investigation.

Utilisez-vous une solution FIM que vous proposez ? Dis nous à propos de cela!