FIM nebo monitorování Integrity souborů je bezpochyby velmi důležitou vrstvou obrany v jakékoli síti, která stojí za ochranu. Vyžadováno standardy zabezpečení dat, jako je PCI-DSS, a doporučeno auditory a odborníky na bezpečnost po celém světě. FIM monitoruje kritické systémové soubory, součásti operačního systému a dokonce i síťová zařízení pro neoprávněné změny.
úpravou terminálů ePOS, hostitelských souborů operačního systému nebo kritických aplikací mohou škodlivé strany odčerpávat citlivé informace, jako jsou platební informace, ze sítí pro svůj vlastní prospěch. FIM se snaží zabránit následkům takových hacků upozorněním správců na neoprávněné změny v síti.
jak FIM vlastně funguje?
protože se snažíme zabránit jednomu z nejsofistikovanějších typů hacků, musíme použít skutečně neomylné prostředky zaručující integritu souborů. To vyžaduje, aby každý sledovaný soubor byl „otisky prstů“ pomocí bezpečného hash algoritmu, jako je SHA1 nebo MD5, aby se vytvořila jedinečná hodnota hash založená na obsahu souboru.
myšlenka je, že základní integrita souboru musí být stanovena jako první. Pak jakýkoli daný systém monitorování integrity souborů bude fungovat porovnáním atributů souborů, velikostí souborů a hash podpisů od základní linie k jiné má hodnotu odvozenou později. Jakékoli změny provedené v souboru po základní linii budou mít za následek jinou hodnotu hash, kterou lze připsat autorizované nebo neautorizované změně.
výsledkem je, že i když je program zlomyslně upraven tak, aby odhalil údaje o platební kartě neoprávněným stranám, ale soubor je poté vycpán tak, aby vypadal stejně jako původní soubor a se všemi jeho atributy upravenými tak, aby soubor vypadal stejně, budou změny stále viditelné pro řešení FIM.
obrázek níže ukazuje, jak algoritmus SHA1 generuje jinou hodnotu hash i pro nejmenší změnu souboru. To poskytuje jedinečný způsob ověření, zda byla zachována integrita souboru.
zajímá Vás, jak FIM souvisí s dodržováním PCI-DSS? Podívejte se na náš blog „dosažení PCI-DSS s monitorováním Integrity souborů“.
výzvy s FIM
jedním z problémů s použitím bezpečného hash algoritmu pro FIM je, že hashování souborů je náročné na procesor. To znamená, že ve většině případů lze kontrolu změny provést pouze jednou denně, obvykle mimo pracovní dobu.
dalším takovým problémem je, že ve vaší síti může být spuštěno několik různých operačních systémů a platforem, které je třeba sledovat. Četné varianty LINUXU, Unixu a Windows představují řadu výzev a kombinace textových konfiguračních souborů a binárních programových souborů znamená, že bude zapotřebí kombinace technologie fim založené na agentech a agentech. Komponenty operačního systému Windows poskytují základ pro FIM, ale identifikace toho, kdo provedl změnu, bude vyžadovat specializovanou technologii třetích stran.
v obou případech je potřeba filtrovat změny na základě typů souborů, typu aplikace a/nebo umístění, aby nedošlo k nadměrnému upozornění na soubory, které se pravidelně mění nebo prostě nejsou relevantní.
kromě toho musí být plánování, upozornění a hlášení změn integrity souborů samo o sobě zvládnutelným a nejlépe automatizovaným procesem.
Změna upozornění přetížení je významnou výzvou pro řešení pro monitorování integrity souborů, viz náš blogový příspěvek na toto téma, kde se dozvíte, jak to můžete překonat.
jak může NNT změnit Tracker pomoci?
poskytování pragmatické reakce na potřebu monitorování integrity souborů na všech platformách, které je efektivní, snadno implementovatelné a spravovatelné a především cenově dostupné, bude i nadále představovat výzvu.
NNT může pomoci!
pomocí NNT Change Tracker Enterprise solution a jejich Log Tracker Enterprise solution set, budete mít prospěch z:
- změny FIM hlášené v reálném čase a dodávané prostřednictvím denních souhrnných zpráv.
- Plná auditovatelnost ukazující, kdo tyto změny provedl.
- možnosti zobrazení jak zjednodušeného shrnutí změn souboru, tak forenzní zprávy.
- Side-by-side srovnání souborů, před a po změně.
- bezpečnostní incidenty a klíčové události korelovaly a upozorňovaly.
- jakékoli porušení pravidel shody hlášeno. To zahrnuje změny integrity souborů.
- všechny podporované platformy a prostředí.
- detekce plánovaných změn a neplánovaných změn.
- šablony vytvrzování zařízení, které lze aplikovat na různé operační systémy a typy zařízení.