Что такое мониторинг целостности файлов? И вам это нужно?

Опубликовано: 2022-01-01

ИТ-среда организации постоянно меняется. Программное обеспечение и аппаратные активы меняются. Как и файлы конфигурации и другие важные активы. Большинство из них являются авторизованными изменениями — они происходят, например, при исправлении файлов. Но неожиданные изменения вызывают беспокойство. Вот где вступает в действие мониторинг целостности файлов.

Мониторинг целостности файлов, или FIM, — это больше, чем просто знание того, что происходит с вашей системой. Речь идет о безопасности личных данных и предотвращении атак, а также о соблюдении правил. Давайте обсудим, что такое FIM, зачем он нужен и как он работает.

Что такое мониторинг целостности файлов?

Мониторинг целостности файлов дает вам представление о том, что важно для вашей организации, на уровне файлов. Это включает:

  • Файлы конфигурации
  • Данные клиентов
  • Информация о состоянии здоровья
  • Файлы ключей и учетных данных
  • Файлы системных приложений

Затем FIM позволяет узнать, кто редактирует, удаляет или перемещает файлы и кто имеет несанкционированный доступ к этим файлам.

Существуют нормативные стандарты, которые требуют, чтобы компании знали, кто имеет доступ к важным файлам и какие изменения были внесены. FIM обязателен для компаний, которые должны соблюдать нормативные требования, такие как NERC CIP, NIST CSF и PCI DSS, среди прочих. Хотя FIM не требуется специально для GDPR и HIPAA, он может быть полезен во время аудитов. Такая видимость активов важна для этих двух правил, поэтому в таких случаях FIM точно не помешает.

От каких угроз он вас защищает?

Когда неавторизованный или вредоносный пользователь получает доступ к вашей сети, он может изменить все, что захочет. Они также могут удалить журналы событий, чтобы избежать обнаружения. Вот наихудший сценарий: предупреждение FIM срабатывает, потому что кто-то получил внутренний доступ к вашей сети и вмешивается в ваши файлы. Злоумышленник может сканировать вашу сеть, чтобы найти другие активы и скомпрометировать их, выдать себя за сотрудника, украсть учетные данные и т. д. Если кто-то получит доступ к вашей системе, он сможет делать все, что захочет, по крайней мере, пока его не поймают.

Как работает ФИМ?

Независимо от того, какое программное обеспечение вы выберете, FIM в основном работает следующим образом:

  • Вы устанавливаете, какие системные файлы и реестры отслеживать. В идеале вы сузите область действия, чтобы не забиваться ненужными предупреждениями.
  • Вы устанавливаете базовый уровень, чтобы инструмент FIM имел контрольную точку для проверки файлов.
  • Инструмент FIM круглосуточно отслеживает предварительно определенные файлы и реестры.
  • Когда происходит критическое событие (например, файл редактируется или удаляется), инструмент FIM фиксирует данные. Эти данные включают в себя произошедшее событие, затронутый актив, пользователя, внесшего изменение, и отметку времени.
  • Анализ данных о событии вместе с другими данными дает более полную картину того, что произошло и выходит ли это за рамки нормы.
  • Если событие является вредоносным или подозрительным, выдается предупреждение. (Хорошие изменения, такие как исправления и обновления безопасности, попадают в белый список, чтобы вы не получали предупреждения.)
  • Инструмент FIM (надеюсь) предоставит другие данные, связанные с событием, чтобы ваша ИТ-команда могла точно выяснить, что произошло.

Как реализовать мониторинг целостности файлов с помощью WordPress

Внедрение FIM с WordPress выходит за рамки поиска инструмента, который предупредит вас об изменении файла. FIM лучше всего использовать вместе с другими мерами безопасности, такими как ведение журнала аудита и мониторинг пользователей. Ваш инструмент безопасности должен иметь многоуровневое обнаружение, включая правила соответствия и упреждающее обнаружение. Вам необходимо обнаруживать другие действия на ранней стадии атаки, чтобы вы могли остановить их как можно скорее.

Rapid7 — это облачная система отслеживания файловых событий. Вы выбираете, какие активы отслеживать, а затем программное обеспечение следит за изменениями файлов и тем, кто их сделал. Вы получите предупреждение, если важный файл или папка будут удалены, отредактированы или перемещены. Вы также можете просматривать метрики в реальном времени, если хотите следить за активностью в данный момент. В дополнение к предупреждению FIM вы сможете увидеть все другие движения, которые произошли вокруг него, чтобы вы могли исследовать атаку и отреагировать на нее, а также вы можете экспортировать активность модификации в виде диаграммы панели мониторинга. Узнайте больше о расширении Rapid7 для WordPress здесь.

Qualys — еще один инструмент FIM, который вы можете использовать для WordPress. Пока вы выясняете объем того, что нужно отслеживать, готовые профили Qualys означают, что вы можете сразу приступить к работе, а затем настраивать объем по мере того, как вы больше узнаете о своих потребностях. Облачная платформа также имеет функцию обнаружения изменений в режиме реального времени. Когда файл изменяется, собранные данные включают пользователя, имя файла, сведения об активе и отметку времени. Кроме того, вы можете расширяться без необходимости покупать дополнительное программное обеспечение или хранилище.

Другие высоко оцененные инструменты FIM включают OSSEC и Tripwire. У нас также есть список из шести лучших плагинов безопасности WordPress, которые вы можете установить прямо сейчас, если вы хотите связать один из них со своим решением FIM.

Заключительные мысли о мониторинге целостности файлов

Если ваша компания должна соблюдать такие правила, как FISMA, SOX или множество других, требующих FIM, вам определенно нужен инструмент для мониторинга целостности файлов. Это не только защитит ваших клиентов, данные, файлы и систему, но и сохранит репутацию вашей компании во время аудита.

Главное избегать ловушки, в которую попадают многие компании: слишком много шума. Если под наблюдением находится слишком много файлов, это приведет к переизбытку предупреждений FIM. А если оповещения приходят без всякого контекста, невозможно определить, что является угрозой, а что нет. Эффективное решение FIM будет отслеживать только необходимые файлы и папки, а затем предоставлять предупреждения с полезной информацией.

Наконец, запомните эти два передовых метода FIM. Будьте точны в том, какие файлы будут отслеживаться. Если мониторинг слишком широк, вы можете быть перегружены предупреждениями и действиями, когда что-либо изменяется. Затем примите меры, изучив предупреждение FIM. Важно знать, были ли затронуты другие пользователи или активы. Некоторые автономные инструменты не предлагают столько контекста. Вам нужен инструмент управления журналами или платформа для расследования, которые могут помочь в вашем расследовании.

Используете ли вы предложенное решение FIM? Расскажите нам об этом!