az FIM vagy a fájl integritásának figyelése kétségtelenül nagyon fontos védelmi réteg minden olyan hálózatban, amelyet érdemes védeni. Az adatbiztonsági szabványok, például a PCI-DSS megkövetelik, és az auditorok és a biztonsági szakemberek világszerte ajánlják. A fim figyeli a kritikus rendszerfájlokat, az operációs rendszer összetevőit, sőt a hálózati eszközöket is az illetéktelen változtatások szempontjából.
az ePOS terminálok, az operációs rendszer gazdafájljainak vagy a kritikus alkalmazások módosításával a rosszindulatú felek saját hasznukra kiszívhatják az érzékeny információkat, például a fizetési információkat a hálózatokból. A FIM arra törekszik, hogy megakadályozza az ilyen hackek eredményét azáltal, hogy figyelmezteti a rendszergazdákat a hálózat jogosulatlan változásaira.
hogyan működik a FIM?
mivel megpróbáljuk megakadályozni az egyik legkifinomultabb típusú hack, meg kell használni egy valóban tévedhetetlen eszköz garantálja a fájl integritását. Ez megköveteli, hogy minden megfigyelt fájl ujjlenyomatot vegyen egy biztonságos hash algoritmus használatával, például SHA1 vagy MD5, hogy egyedi, hash értéket állítson elő a fájl tartalma alapján.
az ötlet az, hogy először létre kell hozni egy fájl integritási alapvonalat. Ezután az adott fájl integritását ellenőrző rendszer úgy fog működni, hogy összehasonlítja a fájlattribútumokat, a fájlméreteket és a hash aláírásokat az alapvonaltól a másikig, amelynek értéke később származik. A fájlban az alapvonal után végrehajtott módosítások eltérő hash értéket eredményeznek, amely egy engedélyezett vagy nem engedélyezett változásnak tulajdonítható.
az eredmény az, hogy még akkor is, ha egy programot rosszindulatúan módosítanak, hogy illetéktelen feleknek tegyék ki a fizetési kártya adatait, de a fájlt ezután párnázzák, hogy az eredeti fájl méretével megegyező méretűnek tűnjön, és minden attribútumával szerkesztve, hogy a fájl ugyanúgy nézzen ki, a módosítások továbbra is láthatók lesznek a FIM megoldás számára.
az alábbi kép azt mutatja, hogy egy SHA1 algoritmus hogyan generál más hash értéket még a fájl legkisebb változtatása esetén is. Ez egyedülálló eszközt biztosít annak ellenőrzésére, hogy a fájl integritása megmaradt-e.
érdekli, hogy az FIM hogyan kapcsolódik a PCI-DSS megfelelőséghez? Tekintse meg blogunkat,” elérése PCI-DSS fájl integritását Monitoring”.
kihívások a FIM-mel
az egyik probléma a biztonságos hash algoritmus használatával a FIM számára az, hogy a fájlok kivonatolása processzorigényes. Ez azt jelenti, hogy a legtöbb esetben a változás-ellenőrzést csak naponta egyszer lehet elvégezni, általában munkaidőn kívül.
egy másik ilyen probléma az, hogy lehet, hogy több különböző operációs rendszer és platform fut a hálózaton, amelyeket ellenőrizni kell. A Linux, Unix és Windows számos változata számos kihívást jelent, és a szöveges konfigurációs fájlok és a bináris programfájlok kombinációja azt jelenti, hogy az ügynök alapú és az ügynök nélküli FIM technológia kombinációjára lesz szükség. A Windows operációs rendszer összetevői képezik az alapot a FIM-hez, de a változtatás azonosításához speciális, harmadik féltől származó technológiára lesz szükség.
mindkét esetben a módosítások fájltípusok, alkalmazástípusok és/vagy hely alapján történő szűrésének szükségessége a legfontosabb, hogy elkerüljük a rendszeresen változó vagy egyszerűen nem releváns fájlok túlzott figyelmeztetését.
ezenkívül a fájlintegritás-változások ütemezésének, figyelmeztetésének és jelentésének önmagában is kezelhető és lehetőleg automatizált folyamatnak kell lennie.
a change alert túlterhelés jelentős kihívást jelent a fájlintegritás-figyelő megoldások számára, lásd a témával kapcsolatos blogbejegyzésünket, hogy megtudja, hogyan lehet ezt leküzdeni.
hogyan segíthet az NNT Change Tracker?
a hatékony, könnyen telepíthető és kezelhető, és mindenekelőtt megfizethető fájlintegritás-ellenőrzés szükségességére adott gyakorlati válasz továbbra is kihívást jelent.
az NNT segíthet!
az NNT Változáskövető vállalati megoldásának és a Log Tracker vállalati megoldáskészletének használata:
- a fim-változások valós időben jelennek meg, és napi összefoglaló jelentéseken keresztül érkeznek.
- teljes auditálhatóság, amely megmutatja, ki hajtotta végre ezeket a változtatásokat.
- opciók mind a fájlváltozások egyszerűsített összefoglalásának, mind a Törvényszéki jelentés megtekintéséhez.
- Side-by-side összehasonlításokat fájlok előtti és utáni változás.
- a biztonsági események és a kulcsfontosságú események összefüggenek és riasztottak.
- a megfelelőségi szabályok megsértése. Ez magában foglalja a fájl integritásának megváltoztatását.
- minden platform és környezet támogatott.
- a tervezett változások és a nem tervezett változások észlelése.
- Eszközkeményítő sablonok, amelyek különféle operációs rendszerekre és eszköztípusokra alkalmazhatók.