Co to jest monitorowanie integralności plików? I czy tego potrzebujesz?

Opublikowany: 2022-01-01

Środowisko IT organizacji to ciągle zmieniające się miejsce. Zmieniają się zarówno programy, jak i zasoby sprzętowe. Podobnie pliki konfiguracyjne i inne ważne zasoby. Większość z nich to autoryzowane zmiany – pojawią się na przykład podczas łatania plików. Ale nieoczekiwane zmiany są powodem do niepokoju. Tu właśnie pojawia się monitorowanie integralności plików.

Monitorowanie integralności plików lub FIM to coś więcej niż tylko wiedza o tym, co dzieje się z Twoim systemem. Chodzi o zapewnienie bezpieczeństwa danych osobowych i unikanie ataku przy jednoczesnym przestrzeganiu przepisów. Porozmawiajmy o tym, czym jest FIM, dlaczego go potrzebujesz i jak działa.

Co to jest monitorowanie integralności plików?

Monitorowanie integralności plików zapewnia wgląd na poziomie plików w to, co jest ważne dla Twojej organizacji. To obejmuje:

  • Pliki konfiguracyjne
  • Dane klienta
  • Informacje o zdrowiu
  • Pliki kluczy i poświadczeń
  • Pliki aplikacji systemowych

Następnie FIM informuje, kto edytuje, usuwa lub przenosi pliki i kto ma nieautoryzowany dostęp do tych plików.

Istnieją standardy regulacyjne, które wymagają od firm, aby wiedziały, kto ma dostęp do krytycznych plików i jakie zmiany zaszły. FIM jest przeznaczony dla firm, które muszą przestrzegać przepisów dotyczących zgodności, takich jak między innymi NERC CIP, NIST CSF i PCI DSS. Chociaż FIM nie jest specjalnie wymagany dla RODO i HIPAA, może być pomocny podczas audytów. Ten rodzaj wglądu w aktywa jest ważny dla tych dwóch regulacji – więc w tych przypadkach FIM na pewno nie zaszkodzi.

Przed jakimi zagrożeniami chroni Cię?

Gdy nieautoryzowany lub szkodliwy użytkownik ma dostęp do Twojej sieci, może zmienić wszystko, co chce. Mogą również usuwać dzienniki zdarzeń, aby uniknąć wykrycia. Oto najgorszy scenariusz: alert FIM włącza się, ponieważ ktoś uzyskał wewnętrzny dostęp do Twojej sieci i manipuluje Twoimi plikami. Atakujący może przeskanować Twoją sieć, aby znaleźć inne zasoby i narazić je na szwank, udawać pracownika, ukraść dane uwierzytelniające itp. Jeśli ktoś uzyska dostęp do Twojego systemu, może robić, co tylko zechce – przynajmniej dopóki nie zostanie złapany.

Jak działa FIM?

Niezależnie od oprogramowania, które wybierzesz, FIM zasadniczo działa tak:

  • Ustawiasz, które pliki systemowe i rejestry mają być monitorowane. Najlepiej byłoby zawęzić zakres, aby nie narażać się na niepotrzebne alerty.
  • Ustalasz linię bazową, aby narzędzie FIM miało punkt odniesienia do sprawdzania plików.
  • Narzędzie FIM monitoruje z góry określone pliki i rejestry przez całą dobę.
  • Gdy wystąpi zdarzenie krytyczne (na przykład plik, który jest edytowany lub usuwany), narzędzie FIM przechwytuje dane. Dane te obejmują zdarzenie, które miało miejsce, zasób, którego dotyczy zmiana, użytkownika, który dokonał zmiany, oraz sygnaturę czasową.
  • Analiza danych o zdarzeniach wraz z innymi danymi daje pełniejszy obraz tego, co się wydarzyło i czy jest to poza normą.
  • Jeśli zdarzenie jest złośliwe lub podejrzane, pojawi się alert. (Dobre zmiany, takie jak poprawki i aktualizacje zabezpieczeń, należy umieścić na białej liście, aby nie otrzymywać alertów).
  • Narzędzie FIM dostarczy (miejmy nadzieję) innych danych dotyczących zdarzenia, aby Twój zespół IT mógł dokładnie określić, co się stało.

Jak wdrożyć monitorowanie integralności plików za pomocą WordPress

Wdrażanie FIM za pomocą WordPressa wykracza poza znalezienie narzędzia, które powiadomi Cię, gdy nastąpi zmiana pliku. FIM najlepiej jest używać wraz z innymi środkami bezpieczeństwa, takimi jak rejestrowanie audytu i monitorowanie użytkowników. Twoje narzędzie bezpieczeństwa powinno mieć wykrywanie warstwowe, w tym przepisy dotyczące zgodności i wykrywanie proaktywne. Musisz wykryć inne działania na wcześniejszym etapie ataku, aby móc je jak najszybciej zatrzymać.

Rapid7 to oparty na chmurze system śledzenia zdarzeń plików. Ty wybierasz, które zasoby monitorować, a następnie oprogramowanie obserwuje modyfikacje plików i kto je wykonał. Otrzymasz alert, jeśli krytyczny plik lub folder zostanie usunięty, edytowany lub przeniesiony. Możesz także przeglądać dane w czasie rzeczywistym, jeśli chcesz mieć oko na aktywność w danym momencie. Oprócz alertu FIM będziesz mógł zobaczyć wszystkie inne ruchy, które miały miejsce wokół niego, dzięki czemu możesz zbadać i zareagować na atak, a także możesz wyeksportować aktywność modyfikacji jako wykres pulpitu nawigacyjnego. Dowiedz się więcej o rozszerzeniu Rapid7 WordPress tutaj.

Qualys to kolejne narzędzie FIM, którego możesz używać w WordPress. Gdy zastanawiasz się nad zakresem monitorowania, gotowe profile Qualys oznaczają, że możesz od razu rozpocząć pracę, a następnie dostosować zakres, gdy dowiesz się więcej o swoich potrzebach. Platforma w chmurze ma również wykrywanie zmian w czasie rzeczywistym. Gdy plik ulegnie zmianie, gromadzone dane obejmują użytkownika, nazwę pliku, szczegóły zasobu i znacznik czasu. Ponadto możesz skalować w górę bez konieczności kupowania dodatkowego oprogramowania lub pamięci masowej.

Inne wysoko oceniane narzędzia FIM to OSSEC i Tripwire. Mamy również listę sześciu najlepszych wtyczek zabezpieczających WordPress, które możesz teraz zainstalować, jeśli chcesz sparować jedną z nich z rozwiązaniem FIM.

Ostatnie przemyślenia na temat monitorowania integralności plików

Jeśli Twoja firma musi przestrzegać przepisów, takich jak FISMA, SOX lub wielu innych, które wymagają FIM, zdecydowanie potrzebujesz narzędzia do monitorowania integralności plików. Nie tylko zapewni bezpieczeństwo Twoim klientom, danym, plikom i systemowi, ale także zapewni dobrą kondycję Twojej firmie podczas audytu.

Najważniejszą rzeczą, której należy unikać, jest pułapka, w którą wpada wiele firm: zbyt duży hałas. Jeśli obserwowanych jest zbyt wiele plików, spowoduje to nadmiar alertów FIM. A jeśli alerty pojawią się bez kontekstu, nie da się określić, co jest, a co nie jest zagrożeniem. Wydajne rozwiązanie FIM będzie monitorować tylko niezbędne pliki i foldery, a następnie dostarczać alerty z pomocnymi informacjami.

Na koniec pamiętaj o tych dwóch najlepszych praktykach FIM. Dokładnie określ, jakie pliki będą monitorowane. Jeśli monitorowanie jest zbyt szerokie, możesz zostać przytłoczony alertami i aktywnością, gdy coś zostanie zmodyfikowane. Następnie podejmij działanie, badając alert FIM. Ważne jest, aby wiedzieć, czy wpłynęło to na innych użytkowników lub zasoby. Niektóre samodzielne narzędzia nie oferują tak dużego kontekstu. Potrzebujesz narzędzia do zarządzania logami lub platformy dochodzeniowej, która może pomóc w dochodzeniu.

Czy korzystasz z zaproponowanego przez Ciebie rozwiązania FIM? Opowiedz nam o tym!