fim of Bestandsintegriteitsmonitoring is zonder twijfel een zeer belangrijke verdedigingslaag in elk netwerk dat beschermd moet worden. Vereist door gegevensbeveiligingsstandaarden zoals PCI-DSS en aanbevolen door auditors en security practitioners wereldwijd. FIM bewaakt kritieke systeembestanden, besturingssysteemcomponenten en zelfs netwerkapparaten op ongeoorloofde wijzigingen.
door ePOS-terminals, hostbestanden van besturingssystemen of kritieke toepassingen te wijzigen, kunnen kwaadwillende partijen gevoelige informatie, zoals betalingsinformatie, voor hun eigen bestwil van netwerken afhalen. FIM probeert het resultaat van dergelijke hacks te voorkomen door beheerders te waarschuwen voor ongeoorloofde wijzigingen in het netwerk.
Hoe werkt FIM eigenlijk?
omdat we proberen een van de meest geavanceerde typen hack te voorkomen, moeten we een echt onfeilbaar middel gebruiken om de integriteit van bestanden te garanderen. Dit vereist dat elk bewaakte bestand ‘Fingerprinted’ is, met behulp van een beveiligde hash-algoritme, zoals SHA1 of MD5 om een unieke hash-waarde te produceren op basis van de inhoud van het bestand.
het idee is dat eerst een baseline voor bestandsintegriteit moet worden vastgesteld. Dan zal elk gegeven bestand integriteit monitoring systeem werken door het vergelijken van bestandskenmerken, bestandsgroottes en hash handtekeningen van de basislijn naar een andere heeft waarde afgeleid later. Wijzigingen in het bestand na de baseline resulteren in een andere hashwaarde, die kan worden toegeschreven aan een geautoriseerde of ongeautoriseerde wijziging.
het resultaat is dat zelfs als een programma kwaadwillig wordt gewijzigd om betaalkaartgegevens bloot te stellen aan onbevoegde partijen, maar het bestand vervolgens wordt opgevuld om het dezelfde grootte te laten lijken als het oorspronkelijke bestand en met al zijn attributen bewerkt om het bestand er hetzelfde uit te laten zien, de wijzigingen nog steeds zichtbaar zijn voor een FIM-oplossing.
de afbeelding hieronder laat zien hoe een SHA1-algoritme een andere hashwaarde genereert, zelfs voor de kleinste wijziging in een bestand. Dit biedt een uniek middel om te controleren of de integriteit van een bestand is gehandhaafd.
geïnteresseerd in hoe FIM gerelateerd is aan PCI-DSS compliance? Bekijk onze blog, “Het bereiken van PCI-DSS met File Integrity Monitoring”.
uitdagingen met FIM
een probleem met het gebruik van een beveiligde hash-algoritme voor FIM is dat de hashing van bestanden processorintensief is. Dit betekent dat in de meeste gevallen een change check slechts eenmaal per dag kan worden uitgevoerd, meestal buiten kantooruren.
een ander probleem is dat er verschillende besturingssystemen en platforms in uw netwerk draaien die moeten worden gemonitord. De vele varianten van Linux, Unix en Windows bieden een aantal uitdagingen en de combinatie van tekst-gebaseerde configuratiebestanden en binaire programmabestanden betekent dat een combinatie van agent-gebaseerde en agentless FIM-technologie nodig zal zijn. Windows OS-componenten bieden de basis voor FIM, maar het identificeren van wie de verandering heeft gemaakt vereist gespecialiseerde technologie van derden.
in beide gevallen is de noodzaak om wijzigingen te filteren op basis van bestandstypen, toepassingstype en / of locatie van het grootste belang om te voorkomen dat bestanden die regelmatig veranderen of gewoon niet relevant zijn, te veel worden gewaarschuwd.
bovendien moet het plannen, alarmeren en rapporteren van wijzigingen in bestandsintegriteit op zich een beheersbaar en bij voorkeur een geautomatiseerd proces zijn.
change alert overload is een belangrijke uitdaging voor bestandsintegriteit monitoring oplossingen, zie onze blog post over dit onderwerp om te leren hoe u dit kunt overwinnen.
Hoe kan NNT Tracker Help wijzigen?
een pragmatische reactie op de behoefte aan monitoring van de bestandsintegriteit op alle platforms, die doeltreffend, gemakkelijk te implementeren en te beheren en vooral betaalbaar is, zal een uitdaging blijven.
NNT kan helpen!
met behulp van de NNT Change Tracker Enterprise-oplossing en hun Log Tracker Enterprise-oplossingsset profiteert u van:
- fim-veranderingen worden in realtime gerapporteerd en via dagelijkse samenvattende rapporten geleverd.
- volledige controleerbaarheid waaruit blijkt wie deze wijzigingen heeft aangebracht.
- opties om zowel een vereenvoudigde samenvatting van de bestandswijzigingen als een Forensisch rapport te bekijken.
- Side-by-side vergelijkingen van bestanden, pre en post-change.
- veiligheidsincidenten en belangrijke gebeurtenissen gecorreleerd en gewaarschuwd.
- gemelde inbreuken op de nalevingsregels. Dit omvat bestandsintegriteitswijzigingen.
- alle ondersteunde platforms en omgevingen.
- detectie van geplande wijzigingen en eventuele ongeplande wijzigingen.
- Apparaathardingsjablonen die kunnen worden toegepast op een verscheidenheid aan besturingssystemen en apparaattypen.