FIM lub monitorowanie integralności plików jest bez wątpienia bardzo ważną warstwą obrony w każdej sieci, którą warto chronić. Wymagane przez standardy bezpieczeństwa danych, takie jak PCI-DSS i zalecane przez audytorów i praktyków bezpieczeństwa na całym świecie. FIM monitoruje krytyczne pliki systemowe, elementy systemu operacyjnego, a nawet urządzenia sieciowe pod kątem nieautoryzowanych zmian.
modyfikując terminale ePOS, pliki hosta systemu operacyjnego lub krytyczne aplikacje, złośliwe strony mogą pobierać poufne informacje, takie jak informacje o płatnościach z sieci na własną korzyść. FIM stara się zapobiegać skutkom takich hacków, ostrzegając administratorów o nieautoryzowanych zmianach w sieci.
jak faktycznie działa FIM?
ponieważ staramy się zapobiec jednemu z najbardziej wyrafinowanych typów włamania, musimy użyć naprawdę niezawodnych środków gwarantujących integralność plików. Wymaga to, aby każdy monitorowany plik był „Odciskany”, przy użyciu bezpiecznego algorytmu skrótu, takiego jak SHA1 lub MD5, aby uzyskać unikalną wartość skrótu na podstawie zawartości pliku.
chodzi o to, że najpierw musi zostać ustalona podstawa integralności pliku. Następnie każdy dany system monitorowania integralności plików będzie działać poprzez porównanie atrybutów plików, rozmiarów plików i podpisów hash od linii bazowej do innego ma wartość pochodną później. Wszelkie zmiany wprowadzone w pliku po linii bazowej będą skutkować inną wartością skrótu, która może być przypisana do autoryzowanej lub nieautoryzowanej zmiany.
rezultatem jest to, że nawet jeśli program jest złośliwie zmodyfikowany, aby ujawnić dane karty płatniczej nieautoryzowanym stronom, ale plik jest następnie wyściełany, aby wyglądał na ten sam rozmiar co oryginalny plik i ze wszystkimi jego atrybutami edytowanymi, aby plik wyglądał tak samo, modyfikacje będą nadal widoczne dla rozwiązania FIM.
poniższy obrazek pokazuje, jak algorytm SHA1 generuje inną wartość skrótu nawet dla najmniejszej zmiany pliku. Zapewnia to unikalny sposób sprawdzania, czy integralność pliku została zachowana.
interesuje Cię, jak FIM jest powiązany ze zgodnością PCI-DSS? Zobacz nasz blog „osiągnięcie PCI-DSS z monitorowaniem integralności plików”.
wyzwania związane z FIMEM
jednym z problemów związanych z używaniem bezpiecznego algorytmu skrótu FIM jest to, że haszowanie plików jest intensywne dla procesora. Oznacza to, że w większości przypadków Kontrola zmian może być przeprowadzana tylko raz dziennie, zwykle poza godzinami pracy.
innym takim problemem jest to, że możesz mieć kilka różnych systemów operacyjnych i platform działających w sieci, które muszą być monitorowane. Liczne warianty Linuksa, Unix i Windows stwarzają szereg wyzwań, a połączenie tekstowych plików konfiguracyjnych i plików programów binarnych oznacza, że potrzebne będzie połączenie technologii FIM opartej na agentach i bezagentowej. Komponenty systemu operacyjnego Windows stanowią podstawę FIM, ale określenie, kto dokonał zmiany, będzie wymagało wyspecjalizowanej technologii stron trzecich.
W obu przypadkach potrzeba filtrowania zmian w oparciu o typy plików, typ aplikacji i/lub lokalizację Jest Najważniejsza, aby uniknąć nadmiernego ostrzegania o plikach, które regularnie się zmieniają lub po prostu nie są istotne.
ponadto planowanie, ostrzeganie i raportowanie zmian integralności plików musi być samo w sobie zarządzalnym i najlepiej zautomatyzowanym procesem.
przeciążenie powiadomień o zmianach jest znaczącym wyzwaniem dla rozwiązań monitorowania integralności plików, zobacz nasz post na blogu na ten temat, aby dowiedzieć się, jak można temu zaradzić.
jak NNT może zmienić Tracker?
zapewnienie pragmatycznej odpowiedzi na potrzebę monitorowania integralności plików na wszystkich platformach, które są skuteczne, łatwe do wdrożenia i zarządzania, a przede wszystkim przystępne cenowo, będzie nadal stanowić wyzwanie.
NNT może pomóc!
korzystając z rozwiązania NNT Change Tracker Enterprise i zestawu rozwiązań Log Tracker Enterprise, skorzystasz z:
- zmiany FIM zgłaszane w czasie rzeczywistym i dostarczane za pośrednictwem codziennych raportów podsumowujących.
- Pełna kontrola pokazująca, kto dokonał tych zmian.
- opcje wyświetlania zarówno uproszczonego podsumowania zmian w pliku, jak i raportu Sądowego.
- porównywanie plików przed i po zmianie.
- incydenty bezpieczeństwa i kluczowe zdarzenia skorelowane i powiadamiane o nich.
- zgłaszano wszelkie naruszenia zasad zgodności. Obejmuje to zmiany integralności plików.
- wszystkie platformy i środowiska obsługiwane.
- wykrywanie planowanych zmian i wszelkich nieplanowanych zmian.
- Szablony do utwardzania urządzeń, które mogą być stosowane w różnych systemach operacyjnych i typach urządzeń.