Il FIM o il monitoraggio dell’integrità dei file, è senza dubbio uno strato di difesa molto importante in qualsiasi rete che valga la pena proteggere. Richiesto da standard di sicurezza dei dati come PCI-DSS e raccomandato da revisori e professionisti della sicurezza a livello globale. FIM monitora i file di sistema critici, i componenti del sistema operativo e persino i dispositivi di rete alla ricerca di modifiche non autorizzate.
Modificando i terminali ePOS, i file host del sistema operativo o le applicazioni critiche, i malintenzionati possono sottrarre informazioni sensibili, come le informazioni di pagamento dalle reti a proprio vantaggio. FIM cerca di prevenire il risultato di tali hack avvisando gli amministratori di modifiche non autorizzate nella rete.
Come funziona realmente FIM?
Poiché stiamo cercando di prevenire uno dei tipi più sofisticati di hack, dobbiamo utilizzare un mezzo veramente infallibile per garantire l’integrità dei file. Ciò richiede che ogni file monitorato sia “Impronte digitali”, utilizzando un algoritmo di hash sicuro, come SHA1 o MD5 per produrre un valore hash univoco in base al contenuto del file.
L’idea è che una linea di base di integrità del file deve essere stabilita prima. Quindi qualsiasi sistema di monitoraggio dell’integrità dei file funzionerà confrontando gli attributi dei file, le dimensioni dei file e le firme hash dalla linea di base a un altro valore derivato in seguito. Qualsiasi modifica apportata al file dopo la linea di base comporterà un valore hash diverso, che potrebbe essere attribuito a una modifica autorizzata o non autorizzata.
Il risultato è che anche se un programma viene modificato maliziosamente per esporre i dettagli della carta di pagamento a parti non autorizzate, ma il file viene quindi riempito per farlo apparire della stessa dimensione del file originale e con tutti i suoi attributi modificati per rendere il file lo stesso aspetto, le modifiche saranno comunque visibili a una soluzione FIM.
L’immagine qui sotto mostra come un algoritmo SHA1 genera un valore hash diverso anche per la più piccola modifica a un file. Ciò fornisce un mezzo unico per verificare che l’integrità di un file sia stata mantenuta.
Sei interessato a come FIM è correlato alla conformità PCI-DSS? Guarda il nostro blog, “Raggiungere PCI-DSS con il monitoraggio dell’integrità dei file”.
Sfide con FIM
Un problema con l’utilizzo di un algoritmo di hash sicuro per FIM è che l’hashing dei file è intensivo del processore. Ciò significa che nella maggior parte dei casi, un controllo delle modifiche può essere eseguito solo una volta al giorno, di solito al di fuori dell’orario di lavoro.
Un altro problema è che potresti avere diversi sistemi operativi e piattaforme in esecuzione nella tua rete che devono essere monitorati. Le numerose varianti di Linux, Unix e Windows presentano una serie di sfide e la combinazione di file di configurazione basati su testo e file di programma binari significa che sarà necessaria una combinazione di tecnologia FIM basata su agenti e senza agenti. I componenti del sistema operativo Windows forniscono la base per FIM, ma identificare chi ha apportato la modifica richiederà una tecnologia specializzata di terze parti.
In entrambi i casi, la necessità di filtrare le modifiche in base ai tipi di file, al tipo di applicazione e/o alla posizione è fondamentale per evitare un eccessivo avviso per i file che cambiano regolarmente o semplicemente non sono rilevanti.
Inoltre, la pianificazione, l’avviso e la segnalazione delle modifiche all’integrità dei file devono essere di per sé gestibili e preferibilmente un processo automatizzato.
Il sovraccarico degli avvisi di modifica è una sfida significativa per le soluzioni di monitoraggio dell’integrità dei file, consulta il nostro post sul blog su questo argomento per scoprire come superare questo problema.
Come può NNT Change Tracker aiutare?
Fornire una risposta pragmatica alla necessità di un monitoraggio dell’integrità dei file su tutte le piattaforme che sia efficace, facile da implementare e gestire e, soprattutto, conveniente, continuerà a rappresentare una sfida.
NNT può aiutare!
Utilizzando NNT Change Tracker Enterprise Solution e il loro Log Tracker Enterprise Solution set, potrete beneficiare di:
- Modifiche FIM riportate in tempo reale e fornite tramite report di riepilogo giornalieri.
- Verificabilità completa che mostra chi ha apportato tali modifiche.
- Opzioni per visualizzare sia un riepilogo semplificato delle modifiche al file che un rapporto forense.
- Confronti affiancati di file, pre e post-modifica.
- Incidenti di sicurezza ed eventi chiave correlati e allertati.
- Qualsiasi violazione delle regole di conformità segnalata. Ciò include le modifiche all’integrità dei file.
- Tutte le piattaforme e gli ambienti supportati.
- Rilevamento delle modifiche pianificate e di eventuali modifiche non pianificate.
- Modelli di indurimento del dispositivo che possono essere applicati a una varietà di sistemi operativi e tipi di dispositivi.