FIMまたはファイルの整合性監視は、間違いなく保護する価値のあるネットワークにおける非常に重要な防御層です。 PCI-DSSなどのデータセキュリティ規格によって要求され、監査人やセキュリティ実務家によって世界的に推奨されています。 FIMは、重要なシステムファイル、オペレーティングシステムコンポーネント、さらにはネットワークデバイスを監視して、不正な変更を監視します。
ePOS端末、オペレーティングシステムのホストファイル、または重要なアプリケーションを変更することにより、悪意のある当事者は、自分の利益のためにネ FIMは、ネットワーク内の不正な変更を管理者に警告することにより、このようなハッキングの結果を防止しようとしています。
FIMは実際にどのように機能しますか?
私たちは最も洗練されたハックの一つを防止しようとしているので、ファイルの整合性を保証する真に絶対確実な手段を利用しなければなりません。 これには、SHA1やMD5などの安全なハッシュアルゴリズムを使用して、ファイルの内容に基づいて一意のハッシュ値を生成するために、監視対象の各
ファイルの整合性ベースラインを最初に確立する必要があるという考えです。 次に、任意のファイル整合性監視システムは、ベースラインからのファイル属性、ファイルサイズ、およびハッシュ署名を後で導出された別の値と比較することによって機能します。 ベースラインの後にファイルに加えられた変更は、承認された変更または許可されていない変更に起因する可能性のある異なるハッシュ値になり
その結果、プログラムが悪意を持って変更されて支払いカードの詳細が不正な関係者に公開されたとしても、ファイルが元のファイルと同じサイズに表示されるようにパディングされ、ファイルが同じように見えるようにすべての属性が編集されている場合でも、変更はFIMソリューションに表示されます。
下の画像は、SHA1アルゴリズムがファイルに対する最小の変更であっても異なるハッシュ値を生成する方法を示しています。 これにより、ファイルの整合性が維持されていることを確認する独自の手段が提供されます。
FIMがPCI-DSS準拠にどのように関連しているかに興味がありますか? ブログ”ファイル整合性監視によるPCI-DSSの実現”を参照してください。
FIMの課題
FIMにセキュアハッシュアルゴリズムを使用する際の問題の1つは、ファイルのハッシュがプロセッサを集中的に使用することです。 つまり、ほとんどの場合、変更チェックは1日に1回のみ、通常は営業時間外に実行できます。
このようなもう一つの問題は、監視する必要があるネットワーク内で実行されているいくつかの異なるオペレーティングシステムとプラット Linux、Unix、Windowsの多数の亜種は、多くの課題を提示し、テキストベースの設定ファイルとバイナリプログラムファイルの組み合わせは、エージェントベースとエージェ Windows OSコンポーネントはFIMの基礎を提供しますが、誰が変更を行ったのかを特定するには、特殊なサードパーティの技術が必要です。
どちらの場合も、ファイルの種類、アプリケーションの種類、および/または場所に基づいて変更をフィルタリングする必要があり、定期的に変更された
さらに、ファイルの整合性の変更のスケジュール、警告、および報告は、それ自体が管理可能で、好ましくは自動化されたプロセスでなければなりません。
変更アラートの過負荷は、ファイルの整合性監視ソリューションにとって重要な課題です。
NNT Change Trackerはどのように役立ちますか?
効果的で、導入と管理が容易で、何よりも手頃な価格のすべてのプラットフォームでファイルの整合性監視の必要性に実用的な対応を提供することは、
NNTは助けることができます!
NNT Change Tracker Enterprise solutionとそのLog Tracker Enterprise solution setを使用すると、以下の利点が得られます:
- FIMの変更はリアルタイムで報告され、毎日の要約レポートを介して配信されます。
- 誰がそれらの変更を行ったかを示す完全な監査可能性。
- ファイルの変更の簡略化された要約とフォレンジックレポートの両方を表示するオプション。
- 変更前と変更後のファイルのサイドバイサイド比較。
- セキュリティインシデントとキーイベントが相関し、警告されました。
- コンプライアンス規則の違反が報告されました。 これには、ファイルの整合性の変更が含まれます。
- すべてのプラットフォームと環境がサポートされています。
- 計画された変更と計画外の変更を検出します。
- さまざまなオペレーティングシステムやデバイスタイプに適用できるデバイス強化テンプレート。