FIM oder File Integrity Monitoring, ist ohne Zweifel eine sehr wichtige Verteidigungsschicht in jedem schützenswerten Netzwerk. Von Datensicherheitsstandards wie PCI-DSS gefordert und von Auditoren und Sicherheitspraktikern weltweit empfohlen. FIM überwacht kritische Systemdateien, Betriebssystemkomponenten und sogar Netzwerkgeräte auf nicht autorisierte Änderungen.
Durch die Änderung von ePOS-Terminals, Hostdateien des Betriebssystems oder kritischen Anwendungen können böswillige Parteien vertrauliche Informationen wie Zahlungsinformationen zu ihrem eigenen Vorteil aus Netzwerken abrufen. FIM versucht, das Ergebnis solcher Hacks zu verhindern, indem Administratoren vor nicht autorisierten Änderungen im Netzwerk gewarnt werden.
Wie funktioniert FIM eigentlich?
Da wir versuchen, eine der raffiniertesten Arten von Hack zu verhindern, müssen wir ein wirklich unfehlbares Mittel einsetzen, um die Dateiintegrität zu gewährleisten. Dies erfordert, dass jede überwachte Datei mit einem Fingerabdruck versehen wird, wobei ein sicherer Hash-Algorithmus wie SHA1 oder MD5 verwendet wird, um einen eindeutigen Hash-Wert basierend auf dem Inhalt der Datei zu erzeugen.
Die Idee ist, dass zuerst eine Dateiintegritäts-Baseline eingerichtet werden muss. Dann arbeitet jedes gegebene Dateiintegritätsüberwachungssystem, indem es Dateiattribute, Dateigrößen und Hash-Signaturen von der Baseline mit einem anderen Has-Wert vergleicht, der später abgeleitet wird. Alle Änderungen, die nach der Baseline an der Datei vorgenommen werden, führen zu einem anderen Hashwert, der einer autorisierten oder nicht autorisierten Änderung zugeordnet werden kann.
Das Ergebnis ist, dass selbst wenn ein Programm in böswilliger Absicht geändert wird, um Zahlungskartendaten Unbefugten zugänglich zu machen, die Datei dann jedoch so aufgefüllt wird, dass sie dieselbe Größe wie die Originaldatei aufweist, und alle ihre Attribute so bearbeitet werden, dass die Datei gleich aussieht, die Änderungen für eine FIM-Lösung weiterhin sichtbar sind.
Das folgende Bild zeigt, wie ein SHA1-Algorithmus selbst bei der kleinsten Änderung einer Datei einen anderen Hashwert generiert. Dies bietet ein einzigartiges Mittel, um zu überprüfen, ob die Integrität einer Datei beibehalten wurde.
Möchten Sie wissen, wie FIM mit der PCI-DSS-Compliance zusammenhängt? Lesen Sie unseren Blog „Erreichen von PCI-DSS mit File Integrity Monitoring“.
Herausforderungen mit FIM
Ein Problem bei der Verwendung eines sicheren Hash-Algorithmus für FIM besteht darin, dass das Hashing von Dateien prozessorintensiv ist. Dies bedeutet, dass in den meisten Fällen eine Änderungsprüfung nur einmal täglich, in der Regel außerhalb der Geschäftszeiten, durchgeführt werden kann.
Ein weiteres Problem besteht darin, dass in Ihrem Netzwerk möglicherweise mehrere verschiedene Betriebssysteme und Plattformen ausgeführt werden, die überwacht werden müssen. Die zahlreichen Varianten von Linux, Unix und Windows stellen eine Reihe von Herausforderungen dar, und die Kombination von textbasierten Konfigurationsdateien und binären Programmdateien erfordert eine Kombination aus agentenbasierter und agentenloser FIM-Technologie. Windows-Betriebssystemkomponenten bilden die Grundlage für FIM, aber um zu identifizieren, wer die Änderung vorgenommen hat, ist eine spezielle Technologie von Drittanbietern erforderlich.
In beiden Fällen ist die Notwendigkeit, Änderungen basierend auf Dateitypen, Anwendungstyp und / oder Speicherort zu filtern, von größter Bedeutung, um eine Überalarmierung für Dateien zu vermeiden, die sich regelmäßig ändern oder einfach nicht relevant sind.
Darüber hinaus muss das Planen, Alarmieren und Melden von Änderungen der Dateiintegrität an sich ein verwaltbarer und vorzugsweise automatisierter Prozess sein.
Change Alert Overload ist eine große Herausforderung für Lösungen zur Überwachung der Dateiintegrität. Lesen Sie unseren Blogbeitrag zu diesem Thema, um zu erfahren, wie Sie dies überwinden können.
Wie kann NNT Change Tracker helfen?
Eine pragmatische Antwort auf die Notwendigkeit der Überwachung der Dateiintegrität auf allen Plattformen zu liefern, die effektiv, einfach zu implementieren und zu verwalten und vor allem erschwinglich ist, wird weiterhin eine Herausforderung darstellen.
NNT kann helfen!
Mit der NNT Change Tracker Enterprise Solution und dem Log Tracker Enterprise Solution Set profitieren Sie von:
- FIM-Änderungen werden in Echtzeit gemeldet und über tägliche zusammenfassende Berichte bereitgestellt.
- Vollständige Überprüfbarkeit, die zeigt, wer diese Änderungen vorgenommen hat.
- Optionen zum Anzeigen einer vereinfachten Zusammenfassung der Dateiänderungen und eines forensischen Berichts.
- Side-by-Side-Vergleiche von Dateien, Pre- und Post-Change.
- Sicherheitsvorfälle und wichtige Ereignisse korreliert und alarmiert auf.
- Jeder gemeldete Verstoß gegen Compliance-Regeln. Dies schließt Änderungen der Dateiintegrität ein.
- Alle Plattformen und Umgebungen werden unterstützt.
- Erkennung geplanter und ungeplanter Änderungen.
- Device Hardening Templates, die auf eine Vielzahl von Betriebssystemen und Gerätetypen angewendet werden können.