Apa itu Pemantauan Integritas File? Dan Apakah Anda Membutuhkannya?

Diterbitkan: 2022-01-01

Lingkungan TI organisasi adalah tempat yang selalu berubah. Program perangkat lunak dan aset perangkat keras keduanya berubah. Begitu juga file konfigurasi dan aset penting lainnya. Sebagian besar adalah perubahan yang diotorisasi – perubahan tersebut akan terjadi ketika file sedang ditambal, misalnya. Tapi perubahan tak terduga menjadi perhatian. Di situlah pemantauan integritas file masuk.

Pemantauan integritas file, atau FIM, lebih dari sekadar mengetahui apa yang terjadi dengan sistem Anda. Ini tentang menjaga keamanan data pribadi dan menghindari serangan sekaligus mematuhi peraturan. Mari kita bahas apa itu FIM, mengapa Anda membutuhkannya dan bagaimana cara kerjanya.

Apa itu Pemantauan Integritas File?

Pemantauan integritas file memberi Anda visibilitas tingkat file tentang apa yang penting bagi organisasi Anda. Itu termasuk:

  • File konfigurasi
  • Data pelanggan
  • Informasi kesehatan
  • File kunci dan kredensial
  • File aplikasi sistem

Kemudian, FIM memberi tahu Anda siapa yang mengedit, menghapus, atau memindahkan file, dan siapa yang memiliki akses tidak sah ke file tersebut.

Ada standar peraturan yang mengharuskan perusahaan mengetahui siapa yang memiliki akses ke file penting dan perubahan mana yang terjadi. FIM diamanatkan untuk perusahaan yang harus mematuhi peraturan kepatuhan seperti NERC CIP, NIST CSF dan PCI DSS, antara lain. Meskipun FIM tidak secara khusus diperlukan untuk GDPR dan HIPAA, FIM dapat membantu selama audit. Jenis visibilitas ke dalam aset itu penting untuk kedua peraturan itu – jadi dalam kasus itu, FIM pasti tidak akan rugi.

Ancaman Apa yang Melindungi Anda Dari?

Ketika pengguna yang tidak sah atau berbahaya memiliki akses ke jaringan Anda, mereka dapat mengubah apa pun yang mereka inginkan. Mereka juga dapat menghapus log peristiwa untuk menghindari deteksi. Berikut skenario terburuknya: Peringatan FIM berbunyi karena seseorang telah mendapatkan akses internal ke jaringan Anda dan merusak file Anda. Penyerang dapat memindai jaringan Anda untuk menemukan aset lain dan mengkompromikannya, menyamar sebagai karyawan, mencuri kredensial, dll. Jika seseorang memperoleh akses ke sistem Anda, mereka dapat melakukan apa pun yang mereka inginkan – setidaknya sampai mereka tertangkap.

Bagaimana FIM Bekerja?

Terlepas dari perangkat lunak yang Anda pilih, FIM pada dasarnya berfungsi seperti ini:

  • Anda mengatur file sistem dan registri mana yang akan dipantau. Idealnya, Anda akan mempersempit cakupan sehingga Anda tidak disusupi dengan peringatan yang tidak perlu.
  • Anda menetapkan garis dasar sehingga alat FIM memiliki titik referensi untuk memeriksa file.
  • Alat FIM memantau file dan pendaftar yang telah ditentukan sebelumnya sepanjang waktu.
  • Saat peristiwa penting terjadi (misalnya, file yang diedit atau dihapus), alat FIM akan menangkap data. Data tersebut mencakup peristiwa yang terjadi, aset yang terpengaruh, pengguna yang membuat perubahan, dan stempel waktu.
  • Analisis data peristiwa bersama dengan data lain memberikan gambaran yang lebih lengkap tentang apa yang terjadi dan jika itu di luar norma.
  • Jika acara tersebut berbahaya atau mencurigakan, peringatan akan keluar. (Perubahan yang baik, seperti patch dan pembaruan keamanan, masuk ke daftar putih sehingga Anda tidak akan mendapatkan peringatan.)
  • Alat FIM akan (semoga) memberikan data lain seputar acara tersebut sehingga tim TI Anda dapat mengetahui dengan tepat apa yang terjadi.

Cara Menerapkan Pemantauan Integritas File Dengan WordPress

Menerapkan FIM dengan WordPress lebih dari sekadar menemukan alat yang akan mengingatkan Anda ketika ada perubahan file. FIM paling baik digunakan bersama dengan langkah-langkah keamanan lainnya, seperti pencatatan audit dan pemantauan pengguna. Alat keamanan Anda harus memiliki deteksi berlapis, termasuk peraturan kepatuhan dan deteksi proaktif. Anda perlu mendeteksi tindakan lain lebih awal dalam serangan sehingga Anda dapat menghentikannya secepatnya.

Rapid7 adalah sistem pelacakan peristiwa file berbasis cloud. Anda memilih aset mana yang akan dipantau, dan kemudian perangkat lunak mengawasi modifikasi file dan siapa yang membuatnya. Anda akan mendapatkan peringatan jika file atau folder penting dihapus, diedit, atau dipindahkan. Anda juga dapat melihat metrik waktu nyata jika Anda ingin mengawasi aktivitas pada saat itu. Di atas peringatan FIM, Anda akan dapat melihat semua gerakan lain yang terjadi di sekitarnya sehingga Anda dapat menyelidiki dan merespons serangan tersebut, dan Anda dapat mengekspor aktivitas modifikasi sebagai bagan dasbor. Pelajari lebih lanjut tentang ekstensi WordPress Rapid7 di sini.

Qualys adalah alat FIM lain yang dapat Anda gunakan untuk WordPress. Saat Anda mencari tahu ruang lingkup apa yang harus dipantau, profil Qualys yang siap pakai berarti Anda bisa langsung bangun dan berjalan, lalu sesuaikan cakupannya saat Anda mempelajari lebih lanjut tentang kebutuhan Anda. Platform cloud juga memiliki deteksi perubahan waktu nyata. Saat file berubah, data yang dikumpulkan mencakup pengguna, nama file, detail aset, dan stempel waktu. Selain itu, Anda dapat meningkatkan skala tanpa harus membeli lebih banyak perangkat lunak atau penyimpanan.

Alat FIM berperingkat tinggi lainnya termasuk OSSEC dan Tripwire. Kami juga memiliki daftar enam plugin keamanan WordPress terbaik yang dapat Anda instal sekarang jika Anda ingin memasangkan salah satunya dengan solusi FIM Anda.

Pemikiran Akhir Tentang Pemantauan Integritas File

Jika perusahaan Anda harus mematuhi peraturan seperti FISMA, SOX, atau sejumlah lainnya yang memerlukan FIM, maka Anda pasti memerlukan alat pemantauan integritas file. Tidak hanya akan menjaga pelanggan, data, file, dan sistem Anda tetap aman, tetapi juga akan menjaga perusahaan Anda dalam performa yang baik selama audit.

Hal utama yang harus dihindari adalah jebakan yang membuat banyak perusahaan jatuh: terlalu banyak kebisingan. Jika ada terlalu banyak file yang diawasi, itu akan menghasilkan peringatan FIM yang meluap-luap. Dan jika peringatan datang tanpa konteks apa pun, tidak mungkin untuk menentukan apa yang merupakan dan bukan ancaman. Solusi FIM yang efisien hanya akan memantau file dan folder yang diperlukan, kemudian memberikan peringatan dengan wawasan yang bermanfaat.

Terakhir, ingat dua praktik terbaik FIM ini. Tepat tentang file apa yang akan dipantau. Jika pemantauan terlalu luas, Anda bisa kewalahan dengan peringatan dan aktivitas saat ada yang diubah. Kemudian, ambil tindakan dengan menyelidiki peringatan FIM. Penting untuk mengetahui apakah pengguna atau aset lain terpengaruh. Beberapa alat yang berdiri sendiri tidak menawarkan banyak konteks. Anda memerlukan alat manajemen log atau platform investigasi yang dapat membantu investigasi Anda.

Apakah Anda menggunakan solusi FIM yang Anda sarankan? Beritahu kami tentang hal itu!