Dosya Bütünlüğü İzleme Nedir? Ve İhtiyacınız Var mı?

Yayınlanan: 2022-01-01

Bir kuruluşun BT ortamı sürekli değişen bir yerdir. Hem yazılım programları hem de donanım varlıkları değişir. Yapılandırma dosyaları ve diğer önemli varlıklar da öyle. Bunların çoğu yetkilendirilmiş değişikliklerdir – örneğin dosyalara yama uygulanırken meydana gelirler. Ancak beklenmedik değişiklikler endişe nedenidir. Dosya bütünlüğü izlemenin devreye girdiği yer burasıdır.

Dosya bütünlüğü izleme veya FIM, sisteminizde neler olduğunu bilmekten daha fazlasıdır. Kişisel verileri güvende tutmak ve bir saldırıdan kaçınmak ve aynı zamanda düzenlemelere uymakla ilgilidir. FIM'in ne olduğunu, neden ihtiyaç duyduğunuzu ve nasıl çalıştığını tartışalım.

Dosya Bütünlüğü İzleme Nedir?

Dosya bütünlüğü izleme, kuruluşunuz için neyin önemli olduğuna ilişkin dosya düzeyinde görünürlük sağlar. Bu şunları içerir:

  • Yapılandırma dosyaları
  • Müşteri bilgisi
  • Sağlık Bilgisi
  • Anahtar ve kimlik bilgileri dosyaları
  • Sistem uygulama dosyaları

Ardından FIM, dosyaları kimin düzenlediğini, sildiğini veya taşıdığını ve bu dosyalara kimin yetkisiz erişimi olduğunu bilmenizi sağlar.

Şirketlerin kritik dosyalara kimin erişimi olduğunu ve hangi değişikliklerin meydana geldiğini bilmesini gerektiren düzenleyici standartlar vardır. FIM, diğerleri arasında NERC CIP, NIST CSF ve PCI DSS gibi uyumluluk düzenlemelerine uymak zorunda olan şirketler için zorunludur. FIM, GDPR ve HIPAA için özel olarak gerekli olmasa da denetimler sırasında yardımcı olabilir. Varlıklara ilişkin bu tür bir görünürlük, bu iki düzenleme için önemlidir - bu nedenle bu durumlarda FIM'in kesinlikle zararı olmaz.

Sizi Hangi Tehditlerden Korur?

Yetkisiz veya zararlı bir kullanıcı ağınıza eriştiğinde, istedikleri her şeyi değiştirebilirler. Algılamayı önlemek için olay günlüklerini de silebilirler. İşte en kötü durum senaryosu: Birisi ağınıza dahili erişim kazandığı ve dosyalarınızı değiştirdiği için bir FIM uyarısı söner. Saldırgan, diğer varlıkları bulmak ve onları tehlikeye atmak için ağınızı tarayabilir, bir çalışan olarak poz verebilir, kimlik bilgilerini çalabilir, vb. Birisi sisteminize erişim sağlarsa, en azından yakalanana kadar istediklerini yapabilirler.

FIM Nasıl Çalışır?

Seçtiğiniz yazılımdan bağımsız olarak, FIM temelde şu şekilde çalışır:

  • Hangi sistem dosyalarının ve kayıtların izleneceğini siz belirlersiniz. İdeal olarak, gereksiz uyarılara sızmamak için kapsamı daraltırsınız.
  • FIM aracının dosyaları kontrol etmek için bir referans noktasına sahip olması için bir temel oluşturursunuz.
  • FIM aracı, önceden belirlenmiş dosyaları ve kayıtları günün her saatinde izler.
  • Kritik bir olay meydana geldiğinde (örneğin, düzenlenen veya silinen bir dosya), FIM aracı verileri yakalar. Bu veriler, hangi olayın gerçekleştiğini, etkilenen varlığı, değişikliği yapan kullanıcıyı ve bir zaman damgasını içerir.
  • Diğer verilerle birlikte olay verilerinin analizi, ne olduğu ve norm dışı olup olmadığı hakkında daha eksiksiz bir resim verir.
  • Olay kötü niyetli veya şüpheli ise bir uyarı verilir. (Yamalar ve güvenlik güncellemeleri gibi iyi değişiklikler, uyarı almamanız için beyaz listeye alınır.)
  • FIM aracı (umarız) olayı çevreleyen diğer verileri sağlar, böylece BT ekibiniz tam olarak ne olduğunu anlayabilir.

WordPress ile Dosya Bütünlüğü İzleme Nasıl Uygulanır?

FIM'i WordPress ile uygulamak, bir dosya değişikliği olduğunda sizi uyaracak bir araç bulmanın ötesine geçer. FIM, denetim günlüğü ve kullanıcı izleme gibi diğer güvenlik önlemleriyle birlikte en iyi şekilde kullanılır. Güvenlik aracınız, uyumluluk düzenlemeleri ve proaktif algılama dahil olmak üzere katmanlı algılamaya sahip olmalıdır. En kısa sürede durdurabilmeniz için diğer eylemleri saldırıda daha önce tespit etmeniz gerekir.

Rapid7 , bulut tabanlı bir dosya olay takip sistemidir. Hangi varlıkların izleneceğini siz seçersiniz ve ardından yazılım dosya değişikliklerini ve bunları kimin yaptığını izler. Kritik bir dosya veya klasör silinir, düzenlenir veya taşınırsa bir uyarı alırsınız. Anlık aktiviteye göz atmak istiyorsanız, gerçek zamanlı ölçümleri de görüntüleyebilirsiniz. FIM uyarısının yanı sıra, saldırıyı araştırıp yanıt verebilmek için çevresinde meydana gelen diğer tüm hareketleri görebileceksiniz ve değişiklik etkinliğini bir gösterge panosu grafiği olarak dışa aktarabilirsiniz. Rapid7 WordPress uzantısı hakkında daha fazla bilgiyi buradan edinebilirsiniz.

Qualys , WordPress için kullanabileceğiniz başka bir FIM aracıdır. Neyin izleneceğinin kapsamını belirlerken, Qualys'in kullanıma hazır profilleri, hemen çalışmaya başlayabileceğiniz ve ardından ihtiyaçlarınız hakkında daha fazla bilgi edindikçe kapsamı değiştirebileceğiniz anlamına gelir. Bulut platformu ayrıca gerçek zamanlı değişiklik algılama özelliğine sahiptir. Bir dosya değiştiğinde, toplanan veriler kullanıcıyı, dosya adını, varlık ayrıntılarını ve bir zaman damgasını içerir. Ayrıca, daha fazla yazılım veya depolama alanı satın almak zorunda kalmadan ölçeği büyütebilirsiniz.

Diğer yüksek dereceli FIM araçları arasında OSSEC ve Tripwire bulunur. Ayrıca, birini FIM çözümünüzle eşleştirmek istemeniz durumunda şu anda yükleyebileceğiniz en iyi altı WordPress güvenlik eklentisinin bir listesine sahibiz.

Dosya Bütünlüğünü İzleme Hakkında Son Düşünceler

Şirketinizin FISMA, SOX veya FIM gerektiren diğer birçok düzenlemeye uyması gerekiyorsa, kesinlikle bir dosya bütünlüğü izleme aracına ihtiyacınız vardır. Yalnızca müşterilerinizi, verilerinizi, dosyalarınızı ve sisteminizi güvende tutmakla kalmaz, aynı zamanda bir denetim sırasında şirketinizi iyi durumda tutar.

Kaçınılması gereken en önemli şey, birçok şirketin içine düştüğü bir tuzaktır: çok fazla gürültü. İzlenen çok fazla dosya varsa, bu FIM uyarılarının fazla olmasına neden olur. Uyarılar herhangi bir bağlam olmadan gelirse, neyin tehdit olup olmadığını belirlemek imkansızdır. Etkili bir FIM çözümü, yalnızca gerekli dosya ve klasörleri izleyecek ve ardından yararlı bilgiler içeren uyarılar sağlayacaktır.

Son olarak, bu iki FIM en iyi uygulamasını hatırlayın. Hangi dosyaların izleneceği konusunda kesin olun. İzleme çok genişse, herhangi bir değişiklik yapıldığında uyarılar ve etkinliklerle boğulabilirsiniz. Ardından, bir FIM uyarısını araştırarak harekete geçin. Diğer kullanıcıların veya varlıkların etkilenip etkilenmediğini bilmek önemlidir. Bazı bağımsız araçlar bu kadar bağlam sağlamaz. Araştırmanızda yardımcı olabilecek bir günlük yönetim aracına veya araştırma platformuna ihtiyacınız var.

Önerdiğiniz bir FIM çözümü kullanıyor musunuz? Bize bundan bahset!