Ce este monitorizarea integrității fișierelor? Și ai nevoie de ea?

Publicat: 2022-01-01

Mediul IT al unei organizații este un loc în continuă schimbare. Programele software și activele hardware se schimbă. La fel și fișierele de configurare și alte active importante. Cele mai multe dintre acestea sunt modificări autorizate – vor avea loc atunci când fișierele sunt corectate, de exemplu. Dar schimbările neașteptate sunt un motiv de îngrijorare. Aici intervine monitorizarea integrității fișierelor.

Monitorizarea integrității fișierelor, sau FIM, înseamnă mai mult decât știi ce se întâmplă cu sistemul tău. Este vorba despre păstrarea în siguranță a datelor cu caracter personal și evitarea unui atac, respectând în același timp reglementările. Să discutăm ce este FIM, de ce aveți nevoie de el și cum funcționează.

Ce este monitorizarea integrității fișierelor?

Monitorizarea integrității fișierelor vă oferă vizibilitate la nivel de fișier asupra a ceea ce este important pentru organizația dvs. Care include:

  • Fișiere de configurare
  • Datele despre consumator
  • Informație despre sănătate
  • Fișiere de chei și acreditări
  • Fișierele aplicației de sistem

Apoi, FIM vă informează cine editează, șterge sau mută fișierele și cine are acces neautorizat la acele fișiere.

Există standarde de reglementare care impun companiilor să știe cine are acces la fișierele critice și ce modificări au avut loc. FIM este mandatat pentru companiile care trebuie să respecte reglementările de conformitate precum NERC CIP, NIST CSF și PCI DSS, printre altele. Deși FIM nu este obligatoriu în mod special pentru GDPR și HIPAA, poate fi util în timpul auditurilor. Acest tip de vizibilitate asupra activelor este important pentru aceste două reglementări – așa că în acele cazuri, FIM cu siguranță nu va strica.

De ce amenințări vă protejează?

Când un utilizator neautorizat sau dăunător are acces la rețeaua dvs., acesta poate schimba orice dorește. De asemenea, pot șterge jurnalele de evenimente pentru a evita detectarea. Iată cel mai rău scenariu: o alertă FIM se declanșează deoarece cineva a obținut acces intern la rețeaua dvs. și vă modifică fișierele. Atacatorul vă poate scana rețeaua pentru a găsi alte active și le poate compromite, să se poată prezenta ca un angajat, să fure acreditări etc. Dacă cineva obține acces la sistemul dvs., poate face ce vrea – până când este prins, cel puțin.

Cum funcționează FIM?

Indiferent de software-ul pe care îl alegeți, FIM funcționează în esență astfel:

  • Setați ce fișiere de sistem și registre să monitorizați. În mod ideal, vei restrânge domeniul de aplicare, astfel încât să nu fii infiltrat cu alerte inutile.
  • Stabiliți o linie de bază, astfel încât instrumentul FIM să aibă un punct de referință pentru a verifica fișierele.
  • Instrumentul FIM monitorizează fișierele și registrele predeterminate non-stop.
  • Când are loc un eveniment critic (un fișier care este editat sau șters, de exemplu), instrumentul FIM captează date. Aceste date includ evenimentul care a avut loc, activul afectat, utilizatorul care a făcut modificarea și un marcaj de timp.
  • Analiza datelor despre eveniment împreună cu alte date oferă o imagine mai completă a ceea ce s-a întâmplat și dacă nu este normal.
  • Dacă evenimentul este rău intenționat sau suspect, se va declanșa o alertă. (Modificările bune, cum ar fi corecțiile și actualizările de securitate, merg pe o listă albă, astfel încât să nu primiți o alertă.)
  • Instrumentul FIM va furniza (sperăm) alte date despre eveniment, astfel încât echipa dumneavoastră IT să poată afla exact ce s-a întâmplat.

Cum să implementați monitorizarea integrității fișierelor cu WordPress

Implementarea FIM cu WordPress depășește găsirea unui instrument care vă va alerta atunci când există o modificare a fișierului. FIM este cel mai bine utilizat împreună cu alte măsuri de securitate, cum ar fi înregistrarea de audit și monitorizarea utilizatorilor. Instrumentul dvs. de securitate ar trebui să aibă detectarea stratificată, inclusiv reglementările de conformitate și detectarea proactivă. Trebuie să detectați alte acțiuni mai devreme în atac, astfel încât să le puteți opri cât mai curând posibil.

Rapid7 este un sistem de urmărire a evenimentelor de fișiere bazat pe cloud. Tu alegi ce active să monitorizezi, iar apoi software-ul urmărește modificările fișierelor și cine le-a făcut. Veți primi o alertă dacă un fișier sau dosar critic este șters, editat sau mutat. De asemenea, puteți vizualiza valori în timp real dacă doriți să urmăriți activitatea în acest moment. Pe lângă alerta FIM, veți putea vedea toate celelalte mișcări care au avut loc în jurul acesteia, astfel încât să puteți investiga și să răspundeți la atac și să puteți exporta activitatea de modificare ca diagramă de bord. Aflați mai multe despre extensia Rapid7 WordPress aici.

Qualys este un alt instrument FIM pe care îl puteți folosi pentru WordPress. În timp ce vă dați seama ce să monitorizați, profilurile ieșite din cutie ale Qualys înseamnă că puteți începe imediat, apoi puteți modifica domeniul de aplicare pe măsură ce aflați mai multe despre nevoile dvs. Platforma cloud are, de asemenea, detectarea schimbărilor în timp real. Atunci când un fișier se modifică, datele colectate includ utilizatorul, numele fișierului, detaliile materialului și un marcaj de timp. În plus, puteți crește fără a fi nevoie să cumpărați mai mult software sau spațiu de stocare.

Alte instrumente FIM foarte apreciate includ OSSEC și Tripwire. Avem, de asemenea, o listă cu cele mai bune șase pluginuri de securitate WordPress pe care le puteți instala chiar acum, în cazul în care doriți să asociați unul dintre ele cu soluția dvs. FIM.

Gânduri finale despre monitorizarea integrității fișierelor

Dacă compania dumneavoastră trebuie să respecte reglementări precum FISMA, SOX sau o serie de altele care necesită FIM, atunci cu siguranță aveți nevoie de un instrument de monitorizare a integrității fișierelor. Nu numai că vă va menține clienții, datele, fișierele și sistemul în siguranță, dar vă va menține și compania în stare bună în timpul unui audit.

Principalul lucru de evitat este o capcană în care cad multe companii: prea mult zgomot. Dacă există prea multe fișiere sub supraveghere, aceasta va duce la o supraabundență de alerte FIM. Și dacă alertele apar fără niciun context, este imposibil să se determine ce este și ce nu este o amenințare. O soluție FIM eficientă va monitoriza numai fișierele și folderele necesare, apoi va oferi alerte cu informații utile.

În cele din urmă, amintiți-vă aceste două bune practici FIM. Fiți precis cu privire la fișierele care vor fi monitorizate. Dacă monitorizarea este prea largă, puteți fi copleșit de alerte și activitate atunci când ceva este modificat. Apoi, luați măsuri prin investigarea unei alerte FIM. Este important să știți dacă alți utilizatori sau active au fost afectați. Unele instrumente de sine stătătoare nu oferă atât de mult context. Aveți nevoie de un instrument de gestionare a jurnalelor sau de o platformă de investigare care vă poate ajuta în investigația dvs.

Folosiți o soluție FIM pe care o sugerați? Povestește-ne despre asta!