La surveillance de l’intégrité des fichiers ou FIM est sans aucun doute une couche de défense très importante dans tout réseau qui mérite d’être protégé. Requis par les normes de sécurité des données telles que PCI-DSS et recommandé par les auditeurs et les praticiens de la sécurité dans le monde entier. FIM surveille les fichiers système critiques, les composants du système d’exploitation et même les périphériques réseau pour détecter les modifications non autorisées.
En modifiant les terminaux ePOS, les fichiers hôtes du système d’exploitation ou les applications critiques, les parties malveillantes peuvent siphonner des informations sensibles, telles que des informations de paiement provenant de réseaux pour leur propre bénéfice. FIM cherche à empêcher le résultat de tels piratages en alertant les administrateurs des modifications non autorisées du réseau.
Comment fonctionne réellement la FIM?
Puisque nous essayons d’empêcher l’un des types de piratage les plus sophistiqués, nous devons utiliser un moyen vraiment infaillible de garantir l’intégrité des fichiers. Cela nécessite que chaque fichier surveillé soit « Empreinte digitale », en utilisant un algorithme de hachage sécurisé, tel que SHA1 ou MD5 pour produire une valeur de hachage unique basée sur le contenu du fichier.
L’idée est qu’une ligne de base d’intégrité de fichier doit d’abord être établie. Ensuite, tout système de surveillance de l’intégrité de fichier donné fonctionnera en comparant les attributs de fichier, les tailles de fichier et les signatures de hachage de la ligne de base à une autre valeur dérivée plus tard. Toute modification apportée au fichier après la ligne de base entraînera une valeur de hachage différente, qui pourrait être attribuée à une modification autorisée ou non autorisée.
Le résultat est que même si un programme est modifié de manière malveillante pour exposer les détails de la carte de paiement à des parties non autorisées, mais que le fichier est ensuite rembourré pour le faire apparaître de la même taille que le fichier d’origine et avec tous ses attributs modifiés pour rendre le fichier identique, les modifications seront toujours visibles par une solution FIM.
L’image ci-dessous montre comment un algorithme SHA1 génère une valeur de hachage différente, même pour la plus petite modification apportée à un fichier. Cela fournit un moyen unique de vérifier que l’intégrité d’un fichier a été maintenue.
Vous souhaitez savoir comment la FIM est liée à la conformité PCI-DSS? Consultez notre blog, « Atteindre la norme PCI-DSS avec la surveillance de l’intégrité des fichiers ».
Défis avec FIM
Un problème avec l’utilisation d’un algorithme de hachage sécurisé pour FIM est que le hachage des fichiers est intensif en processeur. Cela signifie que dans la plupart des cas, une vérification des modifications ne peut être effectuée qu’une fois par jour, généralement en dehors des heures ouvrables.
Un autre problème de ce type est que vous pouvez avoir plusieurs systèmes d’exploitation et plates-formes différents en cours d’exécution sur votre réseau qui doivent être surveillés. Les nombreuses variantes de Linux, Unix et Windows présentent un certain nombre de défis et la combinaison de fichiers de configuration textuels et de fichiers de programme binaires signifie qu’une combinaison de technologie FIM basée sur un agent et sans agent sera nécessaire. Les composants du système d’exploitation Windows constituent la base de la FIM, mais identifier qui a apporté le changement nécessitera une technologie spécialisée et tierce.
Dans les deux cas, la nécessité de filtrer les modifications en fonction des types de fichiers, du type d’application et/ ou de l’emplacement est primordiale pour éviter les alertes excessives pour les fichiers qui changent régulièrement ou qui ne sont tout simplement pas pertinents.
De plus, la planification, l’alerte et le signalement des changements d’intégrité des fichiers doivent en soi être un processus gérable et de préférence automatisé.
La surcharge des alertes de changement est un défi important pour les solutions de surveillance de l’intégrité des fichiers, consultez notre article de blog sur ce sujet pour savoir comment vous pouvez y remédier.
Comment NNT Change Tracker Peut-Il Aider?
Apporter une réponse pragmatique au besoin de surveillance de l’intégrité des fichiers sur toutes les plateformes, efficace, facile à déployer et à gérer et, surtout, abordable, continuera de poser un défi.
NNT peut vous aider!
En utilisant la solution NNT Change Tracker Enterprise et leur ensemble de solutions Log Tracker Enterprise, vous bénéficierez de:
- Changements FIM signalés en temps réel et livrés via des rapports de synthèse quotidiens.
- Vérifiabilité complète montrant qui a effectué ces modifications.
- Options pour afficher à la fois un résumé simplifié des modifications apportées au fichier et un rapport médico-légal.
- Comparaisons côte à côte des fichiers, avant et après la modification.
- Incidents de sécurité et événements clés corrélés et alertés.
- Tout manquement aux règles de conformité signalé. Cela inclut les modifications de l’intégrité des fichiers.
- Toutes les plates-formes et environnements pris en charge.
- Détection des changements planifiés et de tout changement imprévu.
- Modèles de durcissement de périphériques pouvant être appliqués à une variété de systèmes d’exploitation et de types de périphériques.