什么是文件完整性监控? 你需要吗?

已发表: 2022-01-01

组织的 IT 环境是一个不断变化的地方。 软件程序和硬件资产都会发生变化。 配置文件和其他重要资产也是如此。 其中大部分是授权更改——例如,它们会在文件被修补时发生。 但意外的变化令人担忧。 这就是文件完整性监控的用武之地。

文件完整性监控 (FIM) 不仅仅是了解系统的状况。 这是关于在遵守法规的同时确保个人数据安全并避免攻击。 让我们讨论一下 FIM 是什么、为什么需要它以及它是如何工作的。

什么是文件完整性监控?

文件完整性监控使您可以在文件级别查看对您的组织而言重要的内容。 包括:

  • 配置文件
  • 客户资料
  • 健康信息
  • 密钥和凭证文件
  • 系统应用文件

然后,FIM 让您知道谁在编辑、删除或移动文件,以及谁未经授权访问这些文件。

有一些监管标准要求公司知道谁可以访问关键文件以及发生了哪些更改。 FIM 适用于必须遵守 NERC CIP、NIST CSF 和 PCI DSS 等合规性法规的公司。 虽然 GDPR 和 HIPAA 没有特别要求 FIM,但它在审计期间可能会有所帮助。 这种对资产的可见性对于这两个法规很重要——所以在这些情况下,FIM 绝对不会受到伤害。

它可以保护您免受哪些威胁?

当未经授权或有害的用户访问您的网络时,他们可以更改任何他们想要的内容。 他们还可以删除事件日志以避免检测。 这是最坏的情况:由于有人获得了对您网络的内部访问权限并且正在篡改您的文件,因此 FIM 警报响起。 攻击者可以扫描您的网络以查找其他资产并对其进行破坏、冒充员工、窃取凭据等。如果有人获得了对您系统的访问权限,他们可以为所欲为——至少在他们被抓到之前。

FIM 是如何工作的?

无论您选择哪种软件,FIM 基本上都是这样工作的:

  • 您设置要监控的系统文件和注册表。 理想情况下,您会缩小范围,以免被不必要的警报渗透。
  • 您建立一个基线,以便 FIM 工具有一个参考点来检查文件。
  • FIM 工具全天候监控预定文件和注册表。
  • 当发生关键事件(例如,已编辑或删除的文件)时,FIM 工具会捕获数据。 该数据包括发生了什么事件、受影响的资产、进行更改的用户和时间戳。
  • 对事件数据和其他数据的分析可以更全面地了解发生的情况以及是否超出正常范围。
  • 如果事件是恶意或可疑的,则会发出警报。 (好的变化,比如补丁和安全更新,会被列入白名单,这样你就不会收到警报。)
  • FIM 工具将(希望)提供有关事件的其他数据,以便您的 IT 团队能够准确地弄清楚发生了什么。

如何使用 WordPress 实施文件完整性监控

使用 WordPress 实施 FIM 不仅仅是找到一个工具,它会在文件更改时提醒您。 FIM 最好与其他安全措施一起使用,例如审计日志记录和用户监控。 您的安全工具应该具有分层检测,包括合规性法规和主动检测。 您需要在攻击的早期检测到其他操作,以便尽快阻止它们。

Rapid7是一个基于云的文件事件跟踪系统。 您选择要监控的资产,然后软件会监视文件修改以及修改者。 如果重要文件或文件夹被删除、编辑或移动,您会收到警报。 如果您想随时关注活动,还可以查看实时指标。 在 FIM 警报之上,您将能够看到它周围发生的所有其他运动,以便您可以调查和响应攻击,并且您可以将修改活动导出为仪表板图表。 在此处了解有关 Rapid7 WordPress 扩展的更多信息。

Qualys是另一个可用于 WordPress 的 FIM 工具。 当您确定要监控的范围时,Qualys 开箱即用的配置文件意味着您可以立即启动并运行,然后在您了解更多有关您的需求时调整范围。 云平台还具有实时变化检测功能。 当文件更改时,收集的数据包括用户、文件名、资产详细信息和时间戳。 此外,您无需购买更多软件或存储即可扩展。

其他评价很高的 FIM 工具包括 OSSEC 和 Tripwire。 我们还列出了您现在可以安装的六个最佳 WordPress 安全插件,以防您想将其中一个与您的 FIM 解决方案配对。

关于文件完整性监控的最终想法

如果您的公司必须遵守 FISMA、SOX 或许多其他需要 FIM 的法规,那么您肯定需要一个文件完整性监控工具。 它不仅可以保证您的客户、数据、文件和系统的安全,还可以让您的公司在审计期间保持良好的信誉。

要避免的主要事情是许多公司陷入的陷阱:噪音太大。 如果监视的文件过多,则会导致 FIM 警报过多。 如果警报在没有任何上下文的情况下出现,则无法确定什么是威胁,什么不是威胁。 高效的 FIM 解决方案将仅监控必要的文件和文件夹,然后提供具有帮助洞察力的警报。

最后,请记住这两个 FIM 最佳实践。 准确了解要监控的文件。 如果监控范围太广,当任何内容被修改时,您可能会被警报和活动淹没。 然后,通过调查 FIM 警报采取措施。 了解其他用户或资产是否受到影响很重要。 一些独立的工具不能提供这么多的上下文。 您需要一个日志管理工具或调查平台来帮助您进行调查。

您是否使用您建议的 FIM 解决方案? 告诉我们吧!