• 홈페이지
  • 조항
  • 주제
  • 파일 무결성 모니터링이란 무엇입니까? 그리고 당신은 그것을 필요로합니까?

파일 무결성 모니터링이란 무엇입니까? 그리고 당신은 그것을 필요로합니까?

게시 됨: 2022-01-01

조직의 IT 환경은 끊임없이 변화하는 곳입니다. 소프트웨어 프로그램과 하드웨어 자산은 모두 변경됩니다. 구성 파일 및 기타 중요한 자산도 마찬가지입니다. 대부분은 승인된 변경 사항입니다. 예를 들어 파일이 패치될 때 발생합니다. 하지만 예상치 못한 변화가 걱정거리다. 파일 무결성 모니터링이 필요한 곳입니다.

파일 무결성 모니터링(FIM)은 시스템에 무슨 일이 일어나고 있는지 아는 것 이상입니다. 개인 데이터를 안전하게 보호하고 공격을 피하는 동시에 규정을 준수하는 것입니다. FIM이 무엇인지, 왜 필요한지, 어떻게 작동하는지 논의해 보겠습니다.

파일 무결성 모니터링이란 무엇입니까?

파일 무결성 모니터링은 조직에 중요한 사항에 대한 파일 수준 가시성을 제공합니다. 그것은 포함:

  • 구성 파일
  • 고객 데이터
  • 건강 정보
  • 키 및 자격 증명 파일
  • 시스템 앱 파일

그런 다음 FIM은 파일을 편집, 삭제 또는 이동하는 사람과 해당 파일에 대한 무단 액세스 권한이 있는 사람을 알려줍니다.

회사에서 누가 중요한 파일에 액세스할 수 있고 어떤 변경 사항이 발생했는지 알아야 하는 규정 표준이 있습니다. FIM은 특히 NERC CIP, NIST CSF 및 PCI DSS와 같은 규정 준수 규정을 준수해야 하는 회사에 필수입니다. FIM은 GDPR 및 HIPAA에 특별히 필요한 것은 아니지만 감사 중에 도움이 될 수 있습니다. 자산에 대한 이러한 유형의 가시성은 두 가지 규정에 중요합니다. 따라서 이러한 경우 FIM은 확실히 문제가 되지 않습니다.

어떤 위협으로부터 보호합니까?

권한이 없거나 유해한 사용자가 네트워크에 액세스하면 원하는 모든 것을 변경할 수 있습니다. 탐지를 피하기 위해 이벤트 로그를 삭제할 수도 있습니다. 최악의 시나리오는 다음과 같습니다. 누군가가 네트워크에 내부적으로 액세스하여 파일을 변조하고 있기 때문에 FIM 경고가 발생합니다. 공격자는 네트워크를 스캔하여 다른 자산을 찾아 손상시키고, 직원으로 가장하고, 자격 증명을 훔치는 등의 작업을 수행할 수 있습니다. 누군가가 시스템에 액세스할 수 있게 되면 최소한 잡히기 전까지 원하는 모든 작업을 수행할 수 있습니다.

FIM은 어떻게 작동합니까?

선택한 소프트웨어에 관계없이 FIM은 기본적으로 다음과 같이 작동합니다.

  • 모니터링할 시스템 파일 및 레지스트리를 설정합니다. 이상적으로는 범위를 좁혀 불필요한 경고가 침투하지 않도록 합니다.
  • FIM 도구에 파일을 검사할 기준점이 있도록 기준선을 설정합니다.
  • FIM 도구는 미리 결정된 파일과 레지스트리를 24시간 모니터링합니다.
  • 중요한 이벤트(예: 편집 또는 삭제된 파일)가 발생하면 FIM 도구가 데이터를 캡처합니다. 해당 데이터에는 발생한 이벤트, 영향을 받는 자산, 변경한 사용자 및 타임스탬프가 포함됩니다.
  • 다른 데이터와 함께 이벤트 데이터를 분석하면 무슨 일이 일어났는지 그리고 그것이 정상을 벗어났는지에 대한 완전한 그림을 얻을 수 있습니다.
  • 이벤트가 악의적이거나 의심스러운 경우 경고가 표시됩니다. (패치 및 보안 업데이트와 같은 좋은 변경 사항은 알림을 받지 않도록 허용 목록에 추가합니다.)
  • FIM 도구는 이벤트를 둘러싼 다른 데이터를 제공하므로 IT 팀이 정확히 무슨 일이 일어났는지 파악할 수 있습니다.

WordPress로 파일 무결성 모니터링을 구현하는 방법

WordPress로 FIM을 구현하는 것은 파일 변경 사항이 있을 때 알려주는 도구를 찾는 것 이상입니다. FIM은 감사 로깅 및 사용자 모니터링과 같은 다른 보안 조치와 함께 사용하는 것이 가장 좋습니다. 보안 도구에는 규정 준수 및 사전 탐지를 포함하여 계층화된 탐지가 있어야 합니다. 최대한 빨리 중지할 수 있도록 공격 초기에 다른 작업을 감지해야 합니다.

Rapid7 은 클라우드 기반 파일 이벤트 추적 시스템입니다. 모니터링할 자산을 선택하면 소프트웨어가 파일 수정 사항과 수정한 사람을 감시합니다. 중요한 파일이나 폴더가 삭제, 편집 또는 이동되면 경고를 받게 됩니다. 순간의 활동을 주시하려는 경우 실시간 메트릭을 볼 수도 있습니다. FIM 경보 외에도 주변에서 발생한 다른 모든 움직임을 볼 수 있으므로 공격을 조사하고 대응할 수 있으며 수정 활동을 대시보드 차트로 내보낼 수 있습니다. 여기에서 Rapid7 WordPress 확장에 대해 자세히 알아보십시오.

Qualys 는 WordPress에 사용할 수 있는 또 다른 FIM 도구입니다. 모니터링할 대상의 범위를 파악하는 동안 Qualys의 기본 프로필을 사용하면 즉시 시작하여 실행할 수 있으며 필요에 대해 더 많이 알게 되면 범위를 조정할 수 있습니다. 클라우드 플랫폼에는 실시간 변경 감지 기능도 있습니다. 파일이 변경되면 수집된 데이터에는 사용자, 파일 이름, 자산 세부 정보 및 타임스탬프가 포함됩니다. 또한 추가 소프트웨어나 스토리지를 구입하지 않고도 확장할 수 있습니다.

다른 높은 평가를 받은 FIM 도구로는 OSSEC 및 Tripwire가 있습니다. 또한 FIM 솔루션과 그 중 하나를 페어링하려는 경우에 대비하여 지금 설치할 수 있는 6가지 최고의 WordPress 보안 플러그인 목록이 있습니다.

파일 무결성 모니터링에 대한 최종 생각

회사에서 FISMA, SOX 또는 FIM이 필요한 기타 여러 규정을 준수해야 하는 경우 파일 무결성 모니터링 도구가 반드시 필요합니다. 고객, 데이터, 파일 및 시스템을 안전하게 보호할 뿐만 아니라 감사 중에 회사를 양호한 상태로 유지합니다.

피해야 할 주요 사항은 많은 회사가 빠지는 함정입니다. 너무 많은 소음입니다. 감시 중인 파일이 너무 많으면 FIM 경고가 너무 많아집니다. 그리고 아무런 컨텍스트 없이 경보가 발생하면 위협이 무엇인지 판단하는 것이 불가능합니다. 효율적인 FIM 솔루션은 필요한 파일과 폴더만 모니터링한 다음 유용한 통찰력과 함께 경고를 제공합니다.

마지막으로 이 두 가지 FIM 모범 사례를 기억하십시오. 어떤 파일을 모니터링할 것인지 정확하게 파악하십시오. 모니터링이 너무 광범위하면 무엇이든 수정될 때 경고와 활동에 압도될 수 있습니다. 그런 다음 FIM 경고를 조사하여 조치를 취하십시오. 다른 사용자나 자산이 영향을 받았는지 아는 것이 중요합니다. 일부 독립 실행형 도구는 이 정도의 컨텍스트를 제공하지 않습니다. 조사에 도움이 될 수 있는 로그 관리 도구 또는 조사 플랫폼이 필요합니다.

제안하는 FIM 솔루션을 사용하고 있습니까? 그것에 대해 알려주십시오!