什麼是文件完整性監控? 你需要嗎?

已發表: 2022-01-01

組織的 IT 環境是一個不斷變化的地方。 軟件程序和硬件資產都會發生變化。 配置文件和其他重要資產也是如此。 其中大部分是授權更改——例如,它們會在文件被修補時發生。 但意外的變化令人擔憂。 這就是文件完整性監控的用武之地。

文件完整性監控 (FIM) 不僅僅是了解系統的狀況。 這是關於在遵守法規的同時確保個人數據安全並避免攻擊。 讓我們討論一下 FIM 是什麼、為什麼需要它以及它是如何工作的。

什麼是文件完整性監控?

文件完整性監控使您可以在文件級別查看對您的組織而言重要的內容。 包括:

  • 配置文件
  • 客戶資料
  • 健康信息
  • 密鑰和憑證文件
  • 系統應用文件

然後,FIM 讓您知道誰在編輯、刪除或移動文件,以及誰未經授權訪問這些文件。

有一些監管標準要求公司知道誰可以訪問關鍵文件以及發生了哪些更改。 FIM 適用於必須遵守 NERC CIP、NIST CSF 和 PCI DSS 等合規性法規的公司。 雖然 GDPR 和 HIPAA 沒有特別要求 FIM,但它在審計期間可能會有所幫助。 這種對資產的可見性對於這兩個法規很重要——所以在這些情況下,FIM 絕對不會受到傷害。

它可以保護您免受哪些威脅?

當未經授權或有害的用戶訪問您的網絡時,他們可以更改任何他們想要的內容。 他們還可以刪除事件日誌以避免檢測。 這是最壞的情況:由於有人獲得了對您網絡的內部訪問權限並且正在篡改您的文件,因此 FIM 警報響起。 攻擊者可以掃描您的網絡以查找其他資產並破壞它們、冒充員工、竊取憑據等。如果有人獲得了對您系統的訪問權限,他們可以做任何他們想做的事情——至少在他們被抓到之前。

FIM 是如何工作的?

無論您選擇哪種軟件,FIM 基本上都是這樣工作的:

  • 您設置要監控的系統文件和註冊表。 理想情況下,您會縮小範圍,以免被不必要的警報滲透。
  • 您建立一個基線,以便 FIM 工具有一個參考點來檢查文件。
  • FIM 工俱全天候監控預定文件和註冊表。
  • 當發生關鍵事件(例如,已編輯或刪除的文件)時,FIM 工具會捕獲數據。 該數據包括發生了什麼事件、受影響的資產、進行更改的用戶和時間戳。
  • 對事件數據和其他數據的分析可以更全面地了解發生的情況以及是否超出正常範圍。
  • 如果事件是惡意或可疑的,則會發出警報。 (好的變化,比如補丁和安全更新,會被列入白名單,這樣你就不會收到警報。)
  • FIM 工具將(希望)提供有關事件的其他數據,以便您的 IT 團隊能夠準確地弄清楚發生了什麼。

如何使用 WordPress 實施文件完整性監控

使用 WordPress 實施 FIM 不僅僅是找到一個工具,它會在文件更改時提醒您。 FIM 最好與其他安全措施一起使用,例如審計日誌記錄和用戶監控。 您的安全工具應該具有分層檢測,包括合規性法規和主動檢測。 您需要在攻擊的早期檢測到其他操作,以便盡快阻止它們。

Rapid7是一個基於雲的文件事件跟踪系統。 您選擇要監控的資產,然後軟件會監視文件修改以及修改者。 如果重要文件或文件夾被刪除、編輯或移動,您會收到警報。 如果您想隨時關注活動,還可以查看實時指標。 在 FIM 警報之上,您將能夠看到圍繞它發生的所有其他運動,以便您可以調查和響應攻擊,並且您可以將修改活動導出為儀表板圖表。 在此處了解有關 Rapid7 WordPress 擴展的更多信息。

Qualys是另一個可用於 WordPress 的 FIM 工具。 當您確定要監控的範圍時,Qualys 開箱即用的配置文件意味著您可以立即啟動並運行,然後在您了解更多有關您的需求時調整範圍。 雲平台還具有實時變化檢測功能。 當文件更改時,收集的數據包括用戶、文件名、資產詳細信息和時間戳。 此外,您無需購買更多軟件或存儲即可擴展。

其他評價很高的 FIM 工具包括 OSSEC 和 Tripwire。 我們還列出了您現在可以安裝的六個最佳 WordPress 安全插件,以防您想將其中一個與您的 FIM 解決方案配對。

關於文件完整性監控的最終想法

如果您的公司必須遵守 FISMA、SOX 或許多其他需要 FIM 的法規,那麼您肯定需要一個文件完整性監控工具。 它不僅可以保證您的客戶、數據、文件和系統的安全,還可以讓您的公司在審計期間保持良好的信譽。

要避免的主要事情是許多公司陷入的陷阱:噪音太大。 如果監視的文件過多,則會導致 FIM 警報過多。 如果警報在沒有任何上下文的情況下出現,則無法確定什麼是威脅,什麼不是威脅。 高效的 FIM 解決方案將僅監控必要的文件和文件夾,然後提供具有幫助洞察力的警報。

最後,請記住這兩個 FIM 最佳實踐。 準確了解要監控的文件。 如果監控範圍太廣,當任何內容被修改時,您可能會被警報和活動淹沒。 然後,通過調查 FIM 警報採取措施。 了解其他用戶或資產是否受到影響很重要。 一些獨立的工具不能提供這麼多的上下文。 您需要一個日誌管理工具或調查平台來幫助您進行調查。

您是否使用您建議的 FIM 解決方案? 告訴我們吧!