FIM Eller File Integrity Monitoring, er uten tvil et svært viktig forsvarslag i ethvert nettverk som er verdt å beskytte. Kreves av datasikkerhetsstandarder SOM PCI-DSS og anbefalt av revisorer og sikkerhetsutøvere globalt. FIM overvåker kritiske systemfiler, operativsystemkomponenter og til og med nettverksenheter for uautoriserte endringer.
ved å endre epos-terminaler, vertsfiler for operativsystemet eller kritiske programmer, kan ondsinnede parter sippe av sensitiv informasjon, for eksempel betalingsinformasjon fra nettverk til egen fordel. FIM forsøker å forhindre resultatet av slike hack ved å varsle administratorer om uautoriserte endringer i nettverket.
Hvordan FUNGERER FIM egentlig?
Siden Vi prøver å hindre en av de mest sofistikerte typer hack, vi må utnytte en virkelig ufeilbarlig måte å garantere fil integritet. Dette krever At hver overvåkede fil Skal Være Fingeravtrykk, ved hjelp av en sikker hash-algoritme, for eksempel SHA1 eller MD5, for å produsere en unik hash-verdi basert på innholdet i filen.
tanken er at en filintegritetsplan må etableres først. Deretter vil et gitt filintegritetsovervåkingssystem fungere ved å sammenligne filattributter, filstørrelser og hash-signaturer fra grunnlinjen til en annen har verdi avledet senere. Eventuelle endringer i filen etter grunnlinjen vil resultere i en annen hashverdi, som kan tilskrives en autorisert eller uautorisert endring.
resultatet er at selv om et program er skadelig endret for å avsløre betalingskortdetaljer til uautoriserte parter, men filen blir deretter polstret for å få den til å vises i samme størrelse som den opprinnelige filen, og med alle dets attributter redigert for å få filen til å se ut som den samme, vil endringene fortsatt være synlige for EN FIM-løsning.
bildet nedenfor viser hvordan EN SHA1-algoritme genererer en annen hash-verdi selv for den minste endringen i en fil. Dette gir en unik måte å verifisere at integriteten til en fil har blitt opprettholdt.
Interessert i HVORDAN FIM er relatert til PCI-DSS-samsvar? Se vår blogg, «Oppnå PCI-DSS Med Filintegritetsovervåking».
Utfordringer MED FIM
et problem med å bruke en sikker hashalgoritme FOR FIM er at hashing av filer er prosessorintensiv. Dette betyr at i de fleste tilfeller kan en endringskontroll bare utføres en gang om dagen, vanligvis utenfor åpningstiden.
Et annet slikt problem er at du kan ha flere forskjellige operativsystemer og plattformer som kjører i nettverket ditt som må overvåkes. De mange varianter Av Linux, Unix og Windows presenterer en rekke utfordringer, og kombinasjonen av tekstbaserte konfigurasjonsfiler og binære programfiler betyr at en kombinasjon av agentbasert OG agentløs FIM-teknologi vil være nødvendig. Windows OS-komponenter gir grunnlag FOR FIM, men å identifisere hvem som gjorde endringen vil kreve spesialisert tredjepartsteknologi.
i begge tilfeller er behovet for å filtrere endringer basert på filtyper, programtype og/eller plassering avgjørende for å unngå over-varsling for filer som regelmessig endres eller er rett og slett ikke relevant.
videre må planlegging, varsling og rapportering av endringer i filintegritet i seg selv være en håndterlig og helst en automatisert prosess.
endre varsling overbelastning er en betydelig utfordring for fil integritet overvåking løsninger, se vårt blogginnlegg om dette emnet for å lære hvordan du kan overvinne dette.
Hvordan KAN NNT Endre Tracker Hjelp?
Å Levere et pragmatisk svar på behovet for filintegritetsovervåking på tvers av alle plattformer som er effektive, enkle å distribuere og administrere, og fremfor alt rimelig, vil fortsette å utgjøre en utfordring.
NNT kan hjelpe!
Ved HJELP AV Nnt Change Tracker Enterprise solution og Deres Log Tracker Enterprise solution set, vil du dra nytte av:
- FIM endringer rapportert i sanntid og levert via daglige sammendragsrapporter.
- full revisjon som viser hvem som har gjort disse endringene.
- Alternativer for å vise både et forenklet sammendrag av filendringene og en rettsmedisinsk rapport.
- Side-by-side sammenligninger av filer, før og etter endring.
- Sikkerhetshendelser og Viktige Hendelser korrelert og varslet på.
- eventuelle brudd på compliance regler rapportert. Dette inkluderer endringer i filintegritet.
- alle plattformer og miljøer støttes.
- Påvisning av planlagte endringer og eventuelle uplanlagte endringer.
- Enhetsherdingsmaler som kan brukes på en rekke operativsystemer og enhetstyper.