• Homepage
  • Articoli
  • Tema
  • Che cos'è il monitoraggio dell'integrità dei file? E ne hai bisogno?

Che cos'è il monitoraggio dell'integrità dei file? E ne hai bisogno?

Pubblicato: 2022-01-01

L'ambiente IT di un'organizzazione è un luogo in continua evoluzione. I programmi software e le risorse hardware cambiano entrambi. Così fanno i file di configurazione e altre risorse importanti. La maggior parte di queste sono modifiche autorizzate: si verificheranno, ad esempio, durante l'applicazione di patch ai file. Ma i cambiamenti inaspettati sono motivo di preoccupazione. È qui che entra in gioco il monitoraggio dell'integrità dei file.

Il monitoraggio dell'integrità dei file, o FIM, è più che sapere cosa sta succedendo al tuo sistema. Si tratta di proteggere i dati personali ed evitare un attacco, rispettando anche le normative. Parliamo di cos'è la FIM, perché ne hai bisogno e come funziona.

Che cos'è il monitoraggio dell'integrità dei file?

Il monitoraggio dell'integrità dei file offre visibilità a livello di file su ciò che è importante per la tua organizzazione. Quello include:

  • File di configurazione
  • Dati dei clienti
  • Informazioni sulla salute
  • File di chiavi e credenziali
  • File dell'app di sistema

Quindi, FIM ti consente di sapere chi sta modificando, eliminando o spostando i file e chi ha accesso non autorizzato a tali file.

Esistono standard normativi che richiedono alle aziende di sapere chi ha accesso ai file critici e quali modifiche si sono verificate. FIM è obbligatorio per le aziende che devono rispettare le normative di conformità come NERC CIP, NIST CSF e PCI DSS, tra le altre. Sebbene FIM non sia specificamente richiesto per GDPR e HIPAA, può essere utile durante gli audit. Questo tipo di visibilità sulle risorse è importante per queste due normative, quindi in questi casi la FIM non farà sicuramente male.

Da quali minacce ti protegge?

Quando un utente non autorizzato o dannoso ha accesso alla tua rete, può cambiare tutto ciò che vuole. Possono anche eliminare i registri eventi per evitare il rilevamento. Ecco lo scenario peggiore: un avviso FIM si attiva perché qualcuno ha ottenuto l'accesso interno alla tua rete e sta manomettendo i tuoi file. L'attaccante può scansionare la tua rete per trovare altre risorse e comprometterle, fingere di essere un dipendente, rubare le credenziali, ecc. Se qualcuno riesce ad accedere al tuo sistema, può fare quello che vuole, almeno finché non viene catturato.

Come funziona FIM?

Indipendentemente dal software scelto, FIM funziona essenzialmente in questo modo:

  • Puoi impostare i file di sistema e i registri da monitorare. Idealmente, restringi l'ambito in modo da non essere infiltrato con avvisi non necessari.
  • Stabilisci una linea di base in modo che lo strumento FIM abbia un punto di riferimento rispetto al quale controllare i file.
  • Lo strumento FIM monitora i file e i registri predeterminati 24 ore su 24.
  • Quando si verifica un evento critico (un file che viene modificato o eliminato, ad esempio), lo strumento FIM acquisisce i dati. Tali dati includono l'evento che si è verificato, la risorsa interessata, l'utente che ha apportato la modifica e un timestamp.
  • L'analisi dei dati dell'evento insieme ad altri dati fornisce un quadro più completo di ciò che è accaduto e se è fuori norma.
  • Se l'evento è dannoso o sospetto, verrà emesso un avviso. (Buone modifiche, come patch e aggiornamenti di sicurezza, vanno in una whitelist in modo da non ricevere un avviso.)
  • Lo strumento FIM (si spera) fornirà altri dati relativi all'evento in modo che il tuo team IT possa capire esattamente cosa è successo.

Come implementare il monitoraggio dell'integrità dei file con WordPress

L'implementazione di FIM con WordPress va oltre la ricerca di uno strumento che ti avviserà in caso di modifica di un file. FIM viene utilizzato al meglio insieme ad altre misure di sicurezza, come la registrazione degli audit e il monitoraggio degli utenti. Il tuo strumento di sicurezza dovrebbe avere un rilevamento a più livelli, comprese le normative di conformità e il rilevamento proattivo. È necessario rilevare altre azioni all'inizio dell'attacco in modo da poterle fermare il prima possibile.

Rapid7 è un sistema di tracciamento degli eventi di file basato su cloud. Scegli quali risorse monitorare, quindi il software controlla le modifiche ai file e chi le ha apportate. Riceverai un avviso se un file o una cartella importanti vengono eliminati, modificati o spostati. Puoi anche visualizzare le metriche in tempo reale se vuoi tenere d'occhio l'attività del momento. Oltre all'avviso FIM, sarai in grado di vedere tutti gli altri movimenti che si sono verificati intorno ad esso in modo da poter indagare e rispondere all'attacco e potrai esportare l'attività di modifica come grafico dashboard. Scopri di più sull'estensione Rapid7 per WordPress qui.

Qualys è un altro strumento FIM che puoi utilizzare per WordPress. Mentre stai cercando di capire l'ambito di cosa monitorare, i profili pronti all'uso di Qualys ti consentono di iniziare subito a lavorare, quindi modificare l'ambito man mano che impari di più sulle tue esigenze. La piattaforma cloud ha anche il rilevamento delle modifiche in tempo reale. Quando un file cambia, i dati raccolti includono l'utente, il nome del file, i dettagli della risorsa e un timestamp. Inoltre, puoi scalare senza dover acquistare altro software o spazio di archiviazione.

Altri strumenti FIM molto apprezzati includono OSSEC e Tripwire. Abbiamo anche un elenco dei sei migliori plugin di sicurezza di WordPress che puoi installare in questo momento nel caso in cui desideri associarne uno alla tua soluzione FIM.

Considerazioni finali sul monitoraggio dell'integrità dei file

Se la tua azienda deve rispettare normative come FISMA, SOX o una miriade di altre che richiedono FIM, allora hai sicuramente bisogno di uno strumento di monitoraggio dell'integrità dei file. Non solo manterrà al sicuro clienti, dati, file e sistema, ma manterrà anche la tua azienda in regola durante un audit.

La cosa principale da evitare è una trappola in cui cadono molte aziende: il troppo rumore. Se ci sono troppi file sotto controllo, ciò comporterà una sovrabbondanza di avvisi FIM. E se gli avvisi arrivano senza alcun contesto, è impossibile determinare cosa sia e non sia una minaccia. Una soluzione FIM efficiente monitorerà solo i file e le cartelle necessari, quindi fornirà avvisi con informazioni utili.

Infine, ricorda queste due migliori pratiche FIM. Sii preciso su quali file verranno monitorati. Se il monitoraggio è troppo ampio, puoi essere sopraffatto da avvisi e attività quando qualcosa viene modificato. Quindi, agire esaminando un avviso FIM. È importante sapere se altri utenti o risorse sono stati interessati. Alcuni strumenti autonomi non offrono così tanto contesto. Hai bisogno di uno strumento di gestione dei registri o di una piattaforma di indagine che possa aiutarti nelle tue indagini.

Usi una soluzione FIM che suggerisci? Raccontacelo!