การตรวจสอบความสมบูรณ์ของไฟล์คืออะไร? และคุณต้องการมันไหม

เผยแพร่แล้ว: 2022-01-01

สภาพแวดล้อมไอทีขององค์กรเป็นสถานที่ที่เปลี่ยนแปลงตลอดเวลา โปรแกรมซอฟต์แวร์และทรัพย์สินฮาร์ดแวร์เปลี่ยนแปลงทั้งคู่ ไฟล์การกำหนดค่าและทรัพย์สินที่สำคัญอื่นๆ ก็เช่นกัน สิ่งเหล่านี้ส่วนใหญ่เป็นการเปลี่ยนแปลงที่ได้รับอนุญาต เช่น จะเกิดขึ้นเมื่อมีการแพตช์ไฟล์ แต่การเปลี่ยนแปลงที่ไม่คาดคิดทำให้เกิดความกังวล นั่นคือที่มาของการตรวจสอบความสมบูรณ์ของไฟล์

การตรวจสอบความสมบูรณ์ของไฟล์หรือ FIM เป็นมากกว่าการรู้ว่าเกิดอะไรขึ้นกับระบบของคุณ มันเกี่ยวกับการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและหลีกเลี่ยงการโจมตีในขณะเดียวกันก็ปฏิบัติตามกฎระเบียบ มาคุยกันว่า FIM คืออะไร เหตุใดคุณจึงต้องการมัน และวิธีการทำงาน

การตรวจสอบความสมบูรณ์ของไฟล์คืออะไร?

การตรวจสอบความสมบูรณ์ของไฟล์ช่วยให้คุณมองเห็นระดับไฟล์ว่าอะไรสำคัญสำหรับองค์กรของคุณ ซึ่งรวมถึง:

  • ไฟล์การกำหนดค่า
  • ข้อมูลลูกค้า
  • ข้อมูลด้านสุขภาพ
  • ไฟล์คีย์และข้อมูลรับรอง
  • ไฟล์แอประบบ

จากนั้น FIM จะแจ้งให้คุณทราบว่าใครกำลังแก้ไข ลบหรือย้ายไฟล์ และใครบ้างที่เข้าถึงไฟล์เหล่านั้นโดยไม่ได้รับอนุญาต

มีมาตรฐานการกำกับดูแลที่กำหนดให้บริษัทต่างๆ รู้ว่าใครสามารถเข้าถึงไฟล์สำคัญและการเปลี่ยนแปลงใดเกิดขึ้น FIM ได้รับคำสั่งสำหรับบริษัทที่ต้องปฏิบัติตามระเบียบข้อบังคับ เช่น NERC CIP, NIST CSF และ PCI DSS เป็นต้น แม้ว่า FIM จะไม่จำเป็นสำหรับ GDPR และ HIPAA โดยเฉพาะ แต่ก็มีประโยชน์ในระหว่างการตรวจสอบ การมองเห็นสินทรัพย์ประเภทนั้นมีความสำคัญสำหรับกฎข้อบังคับสองข้อนี้ – ดังนั้นในกรณีดังกล่าว FIM จะไม่เสียหายอย่างแน่นอน

ภัยคุกคามอะไรที่ปกป้องคุณจาก?

เมื่อผู้ใช้ที่ไม่ได้รับอนุญาตหรือเป็นอันตรายเข้าถึงเครือข่ายของคุณได้ พวกเขาสามารถเปลี่ยนแปลงสิ่งที่พวกเขาต้องการได้ พวกเขายังสามารถลบบันทึกเหตุการณ์เพื่อหลีกเลี่ยงการตรวจพบ สถานการณ์ที่เลวร้ายที่สุดคือ: การแจ้งเตือน FIM ดับลงเนื่องจากมีผู้เข้าถึงเครือข่ายของคุณภายในและกำลังยุ่งเกี่ยวกับไฟล์ของคุณ ผู้โจมตีสามารถสแกนเครือข่ายของคุณเพื่อค้นหาทรัพย์สินอื่น ๆ และประนีประนอมกับพวกเขา สวมบทบาทเป็นพนักงาน ขโมยข้อมูลประจำตัว ฯลฯ หากมีคนเข้าถึงระบบของคุณ พวกเขาสามารถทำทุกอย่างที่ต้องการ – อย่างน้อยก็จนกว่าพวกเขาจะถูกจับได้

FIM ทำงานอย่างไร?

ไม่ว่าคุณจะเลือกซอฟต์แวร์ใดก็ตาม FIM จะทำงานในลักษณะนี้:

  • คุณตั้งค่าไฟล์ระบบและรีจิสตรีที่จะตรวจสอบ ตามหลักการแล้ว คุณจะจำกัดขอบเขตให้แคบลงเพื่อไม่ให้คุณแฝงไปด้วยการแจ้งเตือนที่ไม่จำเป็น
  • คุณสร้างพื้นฐานเพื่อให้เครื่องมือ FIM มีจุดอ้างอิงเพื่อตรวจสอบไฟล์
  • เครื่องมือ FIM จะตรวจสอบไฟล์และการลงทะเบียนที่กำหนดไว้ล่วงหน้าตลอดเวลา
  • เมื่อเกิดเหตุการณ์สำคัญ (เช่น ไฟล์ที่แก้ไขหรือลบ) เครื่องมือ FIM จะบันทึกข้อมูล ข้อมูลดังกล่าวรวมถึงเหตุการณ์ที่เกิดขึ้น เนื้อหาที่ได้รับผลกระทบ ผู้ใช้ที่ทำการเปลี่ยนแปลงและการประทับเวลา
  • การวิเคราะห์ข้อมูลเหตุการณ์ร่วมกับข้อมูลอื่นๆ ช่วยให้เห็นภาพที่สมบูรณ์ยิ่งขึ้นว่าเกิดอะไรขึ้นและผิดปกติหรือไม่
  • หากเหตุการณ์นั้นเป็นอันตรายหรือน่าสงสัย การแจ้งเตือนจะออกไป (การเปลี่ยนแปลงที่ดี เช่น โปรแกรมแก้ไขและการอัปเดตความปลอดภัย ไปที่รายการที่อนุญาตพิเศษเพื่อที่คุณจะไม่ได้รับการแจ้งเตือน)
  • เครื่องมือ FIM จะ (หวังว่า) จะให้ข้อมูลอื่นๆ เกี่ยวกับเหตุการณ์ เพื่อให้ทีมไอทีของคุณสามารถทราบได้อย่างชัดเจนว่าเกิดอะไรขึ้น

วิธีการใช้การตรวจสอบความสมบูรณ์ของไฟล์ด้วย WordPress

การใช้ FIM กับ WordPress เป็นมากกว่าการค้นหาเครื่องมือที่จะแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงไฟล์ ควรใช้ FIM ร่วมกับมาตรการรักษาความปลอดภัยอื่นๆ เช่น การบันทึกการตรวจสอบและการตรวจสอบผู้ใช้ เครื่องมือรักษาความปลอดภัยของคุณควรมีการตรวจจับแบบหลายชั้น รวมถึงระเบียบข้อบังคับด้านการปฏิบัติตามข้อกำหนดและการตรวจจับเชิงรุก คุณต้องตรวจจับการกระทำอื่น ๆ ก่อนการโจมตีเพื่อให้คุณสามารถหยุดพวกเขาได้โดยเร็วที่สุด

Rapid7 เป็นระบบติดตามเหตุการณ์ไฟล์บนคลาวด์ คุณเลือกสินทรัพย์ที่จะตรวจสอบ จากนั้นซอฟต์แวร์จะตรวจสอบการแก้ไขไฟล์และใครเป็นคนสร้าง คุณจะได้รับการแจ้งเตือนหากไฟล์หรือโฟลเดอร์ที่สำคัญถูกลบ แก้ไข หรือย้าย คุณยังสามารถดูเมตริกแบบเรียลไทม์ได้หากต้องการจับตาดูกิจกรรมในขณะนั้น ที่ด้านบนของการแจ้งเตือน FIM คุณจะสามารถดูการเคลื่อนไหวอื่นๆ ทั้งหมดที่เกิดขึ้นรอบ ๆ เพื่อให้คุณสามารถตรวจสอบและตอบสนองต่อการโจมตี และคุณสามารถส่งออกกิจกรรมการปรับเปลี่ยนเป็นแผนภูมิแดชบอร์ดได้ เรียนรู้เพิ่มเติมเกี่ยวกับส่วนขยาย Rapid7 WordPress ที่นี่

Qualys เป็นอีกเครื่องมือ FIM ที่คุณสามารถใช้กับ WordPress ได้ ขณะที่คุณกำลังหาขอบเขตของสิ่งที่ต้องตรวจสอบ โปรไฟล์ที่พร้อมใช้งานทันทีของ Qualys หมายความว่าคุณสามารถเริ่มต้นใช้งานได้ทันที จากนั้นปรับขอบเขตเมื่อคุณเรียนรู้เพิ่มเติมเกี่ยวกับความต้องการของคุณ แพลตฟอร์มคลาวด์ยังมีการตรวจจับการเปลี่ยนแปลงแบบเรียลไทม์ เมื่อไฟล์เปลี่ยนแปลง ข้อมูลที่รวบรวมจะรวมถึงผู้ใช้ ชื่อไฟล์ รายละเอียดสินทรัพย์ และการประทับเวลา นอกจากนี้ คุณยังสามารถขยายขนาดได้โดยไม่ต้องซื้อซอฟต์แวร์หรือที่เก็บข้อมูลเพิ่ม

เครื่องมือ FIM ที่ได้รับคะแนนสูงอื่นๆ ได้แก่ OSSEC และ Tripwire เรายังมีรายการปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด 6 รายการที่คุณสามารถติดตั้งได้ในตอนนี้ ในกรณีที่คุณต้องการจับคู่ปลั๊กอินเหล่านี้กับโซลูชัน FIM ของคุณ

ความคิดสุดท้ายเกี่ยวกับการตรวจสอบความสมบูรณ์ของไฟล์

หากบริษัทของคุณต้องปฏิบัติตามระเบียบข้อบังคับ เช่น FISMA, SOX หรือโฮสต์อื่นๆ ที่ต้องใช้ FIM คุณจะต้องมีเครื่องมือตรวจสอบความสมบูรณ์ของไฟล์อย่างแน่นอน ไม่เพียงแต่จะรักษาลูกค้า ข้อมูล ไฟล์ และระบบของคุณให้ปลอดภัย แต่ยังช่วยให้บริษัทของคุณมีสถานะที่ดีในระหว่างการตรวจสอบ

สิ่งสำคัญที่ควรหลีกเลี่ยงคือกับดักที่หลายบริษัทตกอยู่ใน: เสียงรบกวนมากเกินไป หากมีไฟล์ที่อยู่ภายใต้การดูและมากเกินไป จะส่งผลให้มีการแจ้งเตือน FIM มากเกินไป และหากการแจ้งเตือนเข้ามาโดยไม่มีบริบทใดๆ เป็นไปไม่ได้เลยที่จะระบุได้ว่าสิ่งใดเป็นภัยและไม่คุกคาม โซลูชัน FIM ที่มีประสิทธิภาพจะตรวจสอบเฉพาะไฟล์และโฟลเดอร์ที่จำเป็น จากนั้นให้การแจ้งเตือนพร้อมข้อมูลเชิงลึกที่เป็นประโยชน์

สุดท้ายนี้ อย่าลืมแนวทางปฏิบัติที่ดีที่สุดของ FIM สองข้อนี้ มีความชัดเจนเกี่ยวกับไฟล์ที่จะตรวจสอบ หากการตรวจสอบกว้างเกินไป คุณอาจได้รับการแจ้งเตือนและกิจกรรมมากมายเมื่อมีการแก้ไข จากนั้นดำเนินการตรวจสอบการแจ้งเตือน FIM สิ่งสำคัญคือต้องรู้ว่าผู้ใช้หรือทรัพย์สินรายอื่นได้รับผลกระทบหรือไม่ เครื่องมือแบบสแตนด์อโลนบางตัวไม่ได้ให้บริบทมากนัก คุณต้องมีเครื่องมือการจัดการบันทึกหรือแพลตฟอร์มการตรวจสอบที่สามารถช่วยในการตรวจสอบของคุณได้

คุณใช้โซลูชัน FIM ที่คุณแนะนำหรือไม่ บอกเราเกี่ยวกับมัน!