FIM o Monitoreo de Integridad de archivos, es sin duda una capa de defensa muy importante en cualquier red que valga la pena proteger. Requerido por estándares de seguridad de datos como PCI-DSS y recomendado por auditores y profesionales de seguridad de todo el mundo. FIM supervisa los archivos críticos del sistema, los componentes del sistema operativo e incluso los dispositivos de red para detectar cambios no autorizados.
Al modificar los terminales ePOS, los archivos host del sistema operativo o las aplicaciones críticas, las partes maliciosas pueden desviar información confidencial, como la información de pago de las redes para su propio beneficio. FIM intenta evitar el resultado de tales ataques alertando a los administradores de cambios no autorizados en la red.
¿Cómo funciona realmente FIM?
Dado que estamos tratando de evitar uno de los tipos más sofisticados de hackeo, debemos utilizar un medio verdaderamente infalible para garantizar la integridad de los archivos. Esto requiere que cada monitoreados archivo ‘Huellas digitales’, utilizando un algoritmo de hash seguro, como SHA1 o MD5 para producir un único valor de hash basado en el contenido del archivo.
La idea es que primero se debe establecer una línea de base de integridad de archivo. Luego, cualquier sistema de monitoreo de integridad de archivos funcionará comparando atributos de archivo, tamaños de archivo y firmas hash de la línea de base con otro valor que se derive más adelante. Cualquier cambio realizado en el archivo después de la base de referencia dará lugar a un valor hash diferente, que podría atribuirse a un cambio autorizado o no autorizado.
El resultado es que incluso si un programa se modifica maliciosamente para exponer los detalles de la tarjeta de pago a personas no autorizadas, pero el archivo se rellena para que parezca del mismo tamaño que el archivo original y con todos sus atributos editados para que el archivo se vea igual, las modificaciones seguirán siendo visibles para una solución FIM.
La siguiente imagen muestra cómo un algoritmo SHA1 genera un valor hash diferente incluso para el cambio más pequeño en un archivo. Esto proporciona un medio único para verificar que se ha mantenido la integridad de un archivo.
¿Está interesado en cómo se relaciona FIM con el cumplimiento de PCI-DSS? Vea nuestro blog, «Lograr PCI-DSS con Monitoreo de Integridad de Archivos».
Desafíos con FIM
Un problema con el uso de un algoritmo hash seguro para FIM es que el hash de archivos es intensivo en el procesador. Esto significa que, en la mayoría de los casos, la comprobación de cambios solo se puede realizar una vez al día, generalmente fuera del horario comercial.
Otro problema de este tipo es que puede tener varios sistemas operativos y plataformas diferentes que se ejecutan en su red y que deben monitorizarse. Las numerosas variantes de Linux, Unix y Windows presentan una serie de desafíos y la combinación de archivos de configuración basados en texto y archivos de programa binarios significa que se necesitará una combinación de tecnología FIM basada en agentes y sin agentes. Los componentes del sistema operativo Windows proporcionan la base para FIM, pero la identificación de quién realizó el cambio requerirá tecnología especializada de terceros.
En ambos casos, la necesidad de filtrar los cambios en función de los tipos de archivo, el tipo de aplicación y/o la ubicación es primordial para evitar alertas excesivas para archivos que cambian regularmente o simplemente no son relevantes.
Además, la programación, las alertas y los informes de cambios en la integridad de los archivos deben ser en sí mismos un proceso manejable y preferiblemente automatizado.
La sobrecarga de alertas de cambio es un desafío importante para las soluciones de monitoreo de integridad de archivos, consulte nuestra publicación de blog sobre este tema para aprender cómo puede superar esto.
¿Cómo puede Ayudar NNT Change Tracker?
Dar una respuesta pragmática a la necesidad de supervisar la integridad de los archivos en todas las plataformas que sea eficaz, fácil de implementar y administrar y, sobre todo, asequible, seguirá planteando un desafío.
¡NNT puede ayudar!
Con la solución NNT Change Tracker Enterprise y su conjunto de soluciones Log Tracker Enterprise, se beneficiará de:
- Cambios FIM reportados en tiempo real y entregados a través de informes de resumen diarios.
- Auditabilidad completa que muestra quién realizó esos cambios.
- Opciones para ver un resumen simplificado de los cambios del archivo y un informe forense.
- Comparaciones paralelas de archivos, antes y después del cambio.
- Incidentes de seguridad y Eventos Clave correlacionados y alertados.
- Cualquier incumplimiento de las normas de cumplimiento notificado. Esto incluye los cambios en la integridad de los archivos.
- Todas las plataformas y entornos compatibles.
- Detección de cambios planificados y cualquier cambio no planificado.
- Plantillas de endurecimiento de dispositivos que se pueden aplicar a una variedad de sistemas operativos y tipos de dispositivos.