fim eller Filintegritetsovervågning er uden tvivl et meget vigtigt forsvarslag i ethvert netværk, der er værd at beskytte. Krævet af datasikkerhedsstandarder som PCI-DSS og anbefalet af revisorer og sikkerhedsudøvere globalt. FIM overvåger kritiske systemfiler, operativsystemkomponenter og endda netværksenheder for uautoriserede ændringer.
ved at ændre epos-terminaler, operativsystemværtfiler eller kritiske applikationer kan ondsindede parter fjerne følsomme oplysninger, såsom betalingsoplysninger fra netværk til deres egen fordel. FIM søger at forhindre resultatet af sådanne hacks ved at advare administratorer om uautoriserede ændringer i netværket.
Hvordan virker FIM faktisk?
da vi forsøger at forhindre en af de mest sofistikerede typer hack, skal vi bruge et virkelig ufejlbarligt middel til at garantere filintegritet. Dette kræver, at hver overvåget fil skal ‘fingeraftryk’ ved hjælp af en sikker hashalgoritme, såsom SHA1 eller MD5 for at producere en unik hashværdi baseret på filens indhold.
ideen er, at en filintegritet baseline skal etableres først. Derefter fungerer et givet filintegritetsovervågningssystem ved at sammenligne filattributter, filstørrelser og hash-signaturer fra basislinjen til en anden har værdi afledt senere. Eventuelle ændringer, der foretages i filen efter baseline, vil resultere i en anden hashværdi, som kan tilskrives en autoriseret eller uautoriseret ændring.
resultatet er, at selvom et program er ondsindet ændret for at afsløre betalingskortoplysninger for uautoriserede parter, men filen derefter polstres for at få den til at se ud i samme størrelse som den originale fil og med alle dens attributter redigeret for at få filen til at se den samme ud, vil ændringerne stadig være synlige for en FIM-løsning.
billedet nedenfor viser, hvordan en SHA1-algoritme genererer en anden hashværdi, selv for den mindste ændring af en fil. Dette giver et unikt middel til at kontrollere, at integriteten af en fil er blevet opretholdt.
interesseret i, hvordan FIM er relateret til PCI-DSS-overholdelse? Se vores blog, “opnåelse af PCI-DSS med Filintegritet overvågning”.
udfordringer med FIM
et problem med at bruge en sikker hashalgoritme til FIM er, at hashing af filer er processorintensiv. Dette betyder, at en ændringskontrol i de fleste tilfælde kun kan udføres en gang om dagen, normalt uden for åbningstiden.
et andet sådant problem er, at du muligvis har flere forskellige operativsystemer og platforme, der kører i dit netværk, som skal overvåges. Kombinationen af tekstbaserede konfigurationsfiler og binære programfiler betyder, at en kombination af agentbaseret og agentløs FIM-teknologi vil være nødvendig. Vinduer OS-komponenter danner grundlaget for FIM, men at identificere, hvem der har foretaget ændringen, kræver specialiseret tredjepartsteknologi.
i begge tilfælde er behovet for at filtrere ændringer baseret på filtyper, applikationstype og/eller placering altafgørende for at undgå overadvarsel for filer, der regelmæssigt ændres eller simpelthen ikke er relevante.
desuden skal planlægning, alarmering og rapportering af ændringer i filintegritet i sig selv være en håndterbar og helst en automatiseret proces.
overbelastning af Ændringsalarm er en betydelig udfordring for overvågningsløsninger til filintegritet, se vores blogindlæg om dette emne for at lære, hvordan du kan overvinde dette.
Hvordan kan NNT Change Tracker hjælpe?
at levere et pragmatisk svar på behovet for overvågning af filintegritet på tværs af alle platforme, der er effektiv, nem at implementere og administrere og frem for alt overkommelig, vil fortsat udgøre en udfordring.
NNT kan hjælpe!
brug af NNT Change Tracker Enterprise solution og deres Log Tracker Enterprise solution set, vil du drage fordel af:
- fim-ændringer rapporteret i realtid og leveret via daglige sammenfattende rapporter.
- fuld revision, der viser, hvem der har foretaget disse ændringer.
- muligheder for at se både en forenklet oversigt over filændringerne og en retsmedicinsk rapport.
- side om side sammenligninger af filer, før og efter ændring.
- sikkerhedshændelser og Nøglehændelser korrelerede og advarede om.
- enhver overtrædelse af compliance regler rapporteret. Dette inkluderer ændringer i filintegritet.
- alle platforme og miljøer understøttes.
- påvisning af planlagte ændringer og eventuelle uplanlagte ændringer.
- enhedshærdningsskabeloner, der kan anvendes på en række operativsystemer og enhedstyper.