O que é o monitoramento de integridade de arquivos? E Você Precisa?

O ambiente de TI de uma organização é um lugar em constante mudança. Programas de software e ativos de hardware mudam. Assim como os arquivos de configuração e outros ativos importantes. A maioria delas são alterações autorizadas – elas ocorrerão quando os arquivos estiverem sendo corrigidos, por exemplo. Mas mudanças inesperadas são motivo de preocupação. É aí que entra o monitoramento de integridade de arquivos.

O monitoramento de integridade de arquivos, ou FIM, é mais do que saber o que está acontecendo com seu sistema. Trata-se de manter os dados pessoais seguros e evitar um ataque, ao mesmo tempo em que cumpre os regulamentos. Vamos discutir o que é o FIM, por que você precisa dele e como ele funciona.

O que é o monitoramento de integridade de arquivos?

O monitoramento de integridade de arquivos oferece visibilidade em nível de arquivo sobre o que é importante para sua organização. Isso inclui:

• Arquivos de configuração
• Dados do cliente
• Informação de saúde
• Arquivos de chave e credenciais
• Arquivos de aplicativos do sistema

Em seguida, o FIM permite que você saiba quem está editando, excluindo ou movendo os arquivos e quem tem acesso não autorizado a esses arquivos.

Existem normas regulatórias que exigem que as empresas saibam quem tem acesso aos arquivos críticos e quais alterações ocorreram. O FIM é obrigatório para empresas que precisam cumprir regulamentos de conformidade como NERC CIP, NIST CSF e PCI DSS, entre outros. Embora o FIM não seja especificamente exigido para GDPR e HIPAA, ele pode ser útil durante as auditorias. Esse tipo de visibilidade dos ativos é importante para esses dois regulamentos – portanto, nesses casos, o FIM definitivamente não fará mal.

De quais ameaças ele protege você?

Quando um usuário não autorizado ou prejudicial tem acesso à sua rede, ele pode alterar o que quiser. Eles também podem excluir os logs de eventos para evitar a detecção. Aqui está o pior cenário: um alerta FIM dispara porque alguém obteve acesso interno à sua rede e está adulterando seus arquivos. O invasor pode escanear sua rede para encontrar outros ativos e comprometê-los, se passar por funcionário, roubar credenciais etc. Se alguém obtiver acesso ao seu sistema, poderá fazer o que quiser – até ser pego, pelo menos.

Como o FIM funciona?

Independentemente do software que você escolher, o FIM funciona basicamente assim:

• Você define quais arquivos e registros do sistema devem ser monitorados. Idealmente, você restringirá o escopo para não ser infiltrado com alertas desnecessários.
• Você estabelece uma linha de base para que a ferramenta FIM tenha um ponto de referência para verificar os arquivos.
• A ferramenta FIM monitora os arquivos e registros predeterminados 24 horas por dia.
• Quando ocorre um evento crítico (um arquivo editado ou excluído, por exemplo), a ferramenta FIM captura os dados. Esses dados incluem qual evento ocorreu, o ativo afetado, o usuário que fez a alteração e um carimbo de data/hora.
• A análise dos dados do evento junto com outros dados fornece uma visão mais completa do que aconteceu e se está fora do normal.
• Se o evento for malicioso ou suspeito, um alerta será emitido. (Boas mudanças, como patches e atualizações de segurança, vão para uma lista de permissões para que você não receba um alerta.)
• A ferramenta FIM fornecerá (espero) outros dados em torno do evento para que sua equipe de TI possa descobrir exatamente o que aconteceu.

Como implementar o monitoramento de integridade de arquivos com o WordPress

A implementação do FIM com o WordPress vai além de encontrar uma ferramenta que o alertará quando houver uma alteração no arquivo. O FIM é melhor usado junto com outras medidas de segurança, como registro de auditoria e monitoramento de usuários. Sua ferramenta de segurança deve ter detecção em camadas, incluindo regulamentos de conformidade e detecção proativa. Você precisa detectar outras ações no início do ataque para poder interrompê-las o mais rápido possível.

Rapid7 é um sistema de rastreamento de eventos de arquivos baseado em nuvem. Você escolhe quais ativos monitorar e, em seguida, o software observa as modificações de arquivos e quem as fez. Você receberá um alerta se um arquivo ou pasta crítica for excluído, editado ou movido. Você também pode visualizar métricas em tempo real se quiser ficar de olho na atividade no momento. Além do alerta do FIM, você poderá ver todos os outros movimentos que aconteceram em torno dele para poder investigar e responder ao ataque e exportar a atividade de modificação como um gráfico de painel. Saiba mais sobre a extensão WordPress Rapid7 aqui.

Qualys é outra ferramenta FIM que você pode usar para WordPress. Enquanto você descobre o escopo do que monitorar, os perfis prontos para uso da Qualys significam que você pode começar a trabalhar imediatamente e ajustar o escopo à medida que aprende mais sobre suas necessidades. A plataforma em nuvem também possui detecção de alterações em tempo real. Quando um arquivo é alterado, os dados coletados incluem o usuário, o nome do arquivo, os detalhes do ativo e um carimbo de data/hora. Além disso, você pode expandir sem precisar comprar mais software ou armazenamento.

Outras ferramentas FIM altamente classificadas incluem OSSEC e Tripwire. Também temos uma lista dos seis melhores plugins de segurança do WordPress que você pode instalar agora mesmo, caso queira emparelhar um deles com sua solução FIM.

Considerações finais sobre o monitoramento de integridade de arquivos

Se sua empresa precisa cumprir regulamentações como FISMA, SOX ou uma série de outras que exigem FIM, você definitivamente precisa de uma ferramenta de monitoramento de integridade de arquivos. Não apenas manterá seus clientes, dados, arquivos e sistema seguros, mas também manterá sua empresa em boas condições durante uma auditoria.

O principal a evitar é uma armadilha em que muitas empresas caem: muito barulho. Se houver muitos arquivos sob vigilância, isso resultará em uma superabundância de alertas FIM. E se os alertas chegarem sem qualquer contexto, é impossível determinar o que é e o que não é uma ameaça. Uma solução FIM eficiente monitorará apenas os arquivos e pastas necessários e fornecerá alertas com informações úteis.

Por fim, lembre-se dessas duas melhores práticas do FIM. Seja preciso sobre quais arquivos serão monitorados. Se o monitoramento for muito amplo, você poderá ficar sobrecarregado com alertas e atividades quando algo for modificado. Em seguida, tome medidas investigando um alerta FIM. É importante saber se outros usuários ou ativos foram afetados. Algumas ferramentas independentes não oferecem tanto contexto. Você precisa de uma ferramenta de gerenciamento de logs ou plataforma de investigação que possa ajudar em sua investigação.

Você usa uma solução FIM que você sugere? Conte-nos sobre isso!