FIM eli tiedostojen eheyden valvonta on epäilemättä erittäin tärkeä suojakerros missä tahansa suojaamisen arvoisessa verkossa. Vaaditaan tietoturvastandardeissa, kuten PCI-DSS: ssä, ja auditoijat ja tietoturva-alan ammattilaiset suosittelevat sitä maailmanlaajuisesti. FIM valvoo kriittisiä järjestelmätiedostoja, käyttöjärjestelmän osia ja jopa verkkolaitteita luvattomien muutosten varalta.
Epos-päätteitä, käyttöjärjestelmän isäntätiedostoja tai kriittisiä sovelluksia muokkaamalla haittaohjelmat voivat poistaa arkaluonteisia tietoja, kuten maksutietoja verkoista omaksi hyödykseen. FIM pyrkii estämään tällaisten hakkerointien lopputuloksen varoittamalla ylläpitäjiä verkon luvattomista muutoksista.
miten FIM oikeastaan toimii?
koska yritämme estää yhden kehittyneimmistä hakkerointityypeistä, meidän on käytettävä todella erehtymätöntä keinoa taata tiedostojen eheys. Tämä edellyttää, että jokaisesta valvotusta tiedostosta otetaan sormenjäljet käyttämällä suojattua hajautusalgoritmia, kuten SHA1: tä tai MD5: tä, joka tuottaa tiedoston sisältöön perustuvan yksilöllisen hajautusarvon.
ajatuksena on, että ensin on luotava tiedoston eheyden perustaso. Sitten tietyn tiedoston eheyden seurantajärjestelmä toimii vertaamalla tiedoston attribuutteja, tiedostokokoja ja hash allekirjoituksia perustason toiseen on arvo johdettu myöhemmin. Kaikki muutokset, joita tiedostoon tehdään perustason jälkeen, johtavat erilaiseen hajautusarvoon, joka voidaan katsoa luvalliseksi tai luvattomaksi muutokseksi.
tuloksena on, että vaikka ohjelmaa muokattaisiin pahantahtoisesti niin, että maksukorttitiedot paljastuisivat luvattomille tahoille, mutta tiedosto sitten pehmustetaan, jotta se näyttäisi samankokoiselta kuin alkuperäinen tiedosto ja kaikki sen attribuutit muokattaisiin siten, että tiedosto näyttäisi samalta, muutokset näkyvät silti FIM-ratkaisulle.
alla olevassa kuvassa näkyy, kuinka SHA1-algoritmi tuottaa erilaisen hajautusarvon pienellekin muutokselle tiedostoon. Tämä tarjoaa ainutlaatuisen tavan varmistaa, että tiedoston eheys on säilytetty.
Kiinnostaako miten FIM liittyy PCI-DSS-vaatimustenmukaisuuteen? Katso blogimme, ”Achieving PCI-DSS with File Integrity Monitoring”.
haasteet FIM: n kanssa
yksi ongelma FIM: n suojatun hajautusalgoritmin käytössä on se, että tiedostojen tiivistäminen on prosessoriintensiivistä. Tämä tarkoittaa, että useimmissa tapauksissa muutostarkastus voidaan tehdä vain kerran päivässä, yleensä työajan ulkopuolella.
toinen tällainen ongelma on se, että verkossasi saattaa olla käynnissä useita eri käyttöjärjestelmiä ja alustoja, joita pitää seurata. Linuxin, Unixin ja Windowsin lukuisat versiot tuovat mukanaan useita haasteita, ja tekstipohjaisten asetustiedostojen ja binääriohjelmien yhdistäminen tarkoittaa, että tarvitaan agenttipohjaisen ja agentittoman FIM-tekniikan yhdistelmä. Windows-käyttöjärjestelmän komponentit luovat pohjan FIM: lle, mutta muutoksen tekijän tunnistaminen vaatii erikoistunutta, kolmannen osapuolen teknologiaa.
molemmissa tapauksissa tarve suodattaa muutokset tiedostotyyppien, sovellustyypin ja/tai sijainnin perusteella on ensiarvoisen tärkeää, jotta vältetään ylivaroittaminen tiedostoista, jotka muuttuvat säännöllisesti tai eivät yksinkertaisesti ole merkityksellisiä.
lisäksi tiedostojen eheyden muutosten ajoittamisen, ilmoittamisen ja raportoinnin on itsessään oltava hallittavissa oleva ja mieluiten automatisoitu prosessi.
Change alert overload on merkittävä haaste tiedostojen eheyden seurantaratkaisuille, katso blogikirjoituksemme tästä aiheesta saadaksesi tietää, miten voit voittaa tämän.
miten NNT voi muuttaa Trackeria?
käytännöllisen vastauksen antaminen tarpeeseen valvoa tiedostojen eheyttä kaikilla alustoilla, joka on tehokas, helppo ottaa käyttöön ja hallita ja ennen kaikkea edullinen, on edelleen haaste.
NNT voi auttaa!
käyttämällä NNT Change Tracker Enterprise-ratkaisua ja sen Log Tracker Enterprise-ratkaisusarjaa voit hyötyä:
- fim muutokset raportoidaan reaaliajassa ja toimitetaan päivittäisinä yhteenvetoraportteina.
- täydellinen tarkastettavuus, josta käy ilmi, kuka nämä muutokset on tehnyt.
- Options to see both simplified summary of the file changes and a forensic report.
- tiedostojen vertailu rinnakkain ennen ja jälkeen muutoksen.
- Turvallisuushäiriöt ja Avaintapahtumat korreloivat ja hälyttivät.
- ilmoitetut sääntöjenvastaisuudet. Tämä sisältää tiedostojen eheyden muutokset.
- kaikki tuetut alustat ja ympäristöt.
- suunniteltujen ja suunnittelemattomien muutosten havaitseminen.
- Laitekarkaisupohjia, joita voidaan soveltaa useisiin eri käyttöjärjestelmiin ja laitetyyppeihin.