FIM ou monitoramento de integridade de arquivos, é sem dúvida uma camada de defesa altamente importante em qualquer rede que valha a pena proteger. Exigido por padrões de segurança de dados, como PCI-DSS e recomendado por auditores e profissionais de segurança globalmente. O FIM monitora arquivos críticos do sistema, componentes do sistema operacional e até mesmo dispositivos de rede para alterações não autorizadas.Ao modificar terminais ePOS, arquivos de host do sistema operacional ou aplicativos críticos, partes maliciosas podem desviar informações confidenciais, como informações de pagamento de redes para seu próprio benefício. A FIM procura evitar o resultado de tais hacks alertando os administradores sobre mudanças não autorizadas na rede.
como o FIM realmente funciona?
como estamos tentando evitar um dos tipos mais sofisticados de hack, devemos utilizar um meio verdadeiramente infalível de garantir a integridade do arquivo. Isso requer que cada arquivo monitorado seja ‘Fingerprinted’, usando um algoritmo hash seguro, como SHA1 ou MD5 para produzir um valor hash exclusivo com base no conteúdo do arquivo.
a ideia é que uma linha de base de integridade de arquivo deve ser estabelecida primeiro. Em seguida, qualquer sistema de monitoramento de integridade de arquivo funcionará comparando atributos de arquivo, tamanhos de arquivo e Assinaturas hash da linha de base para outra tem valor derivado mais tarde. Quaisquer alterações feitas no arquivo após a linha de base resultarão em um valor hash diferente, que pode ser atribuído a uma alteração autorizada ou não autorizada.
O resultado é que, mesmo se um programa é modificado maliciosamente para expor os detalhes do cartão de pagamento para pessoas não autorizadas, mas o arquivo é, então, acolchoado para fazer aparecer o mesmo tamanho do arquivo original e com todos os seus atributos editado para tornar o arquivo com a mesma aparência, as modificações serão ainda estar visível para um FIM de solução.
a imagem abaixo mostra como um algoritmo SHA1 gera um valor de hash diferente, mesmo para a menor alteração em um arquivo. Isso fornece um meio exclusivo de verificar se a integridade de um arquivo foi mantida.
interessado em como a FIM está relacionada à conformidade com PCI-DSS? Veja nosso blog, “alcançando PCI-DSS com monitoramento de integridade de arquivos”.
desafios com FIM
um problema com o uso de um algoritmo hash seguro para FIM é que o hash de arquivos consome muito processador. Isso significa que, na maioria dos casos, uma verificação de alteração só pode ser realizada uma vez por dia, geralmente fora do horário comercial.
outro problema é que você pode ter vários sistemas operacionais e plataformas diferentes em execução em sua rede que precisam ser monitorados. As inúmeras variantes do Linux, Unix e Windows apresentam uma série de desafios e a combinação de arquivos de configuração baseados em texto e arquivos de programas binários significa que uma combinação de tecnologia FIM baseada em agente e sem agente será necessária. Os componentes do sistema operacional Windows fornecem a base para a FIM, mas identificar quem fez a alteração exigirá tecnologia especializada de terceiros.
em ambos os casos, a necessidade de filtrar as alterações com base em tipos de arquivo, Tipo de aplicativo e/ou localização é fundamental para evitar alertas excessivos de arquivos que mudam regularmente ou simplesmente não são relevantes.
além disso, o agendamento, alerta e relatório de alterações de integridade de arquivos deve, por si só, ser gerenciável e, de preferência, um processo automatizado.
Change alert overload é um desafio significativo para soluções de monitoramento de integridade de arquivos, veja nossa postagem no blog sobre este tópico para saber como você pode superar isso.
como o nnt pode alterar a ajuda do rastreador?
fornecer uma resposta pragmática à necessidade de monitoramento da integridade de arquivos em todas as plataformas que seja eficaz, fácil de implantar e gerenciar e, acima de tudo, acessível, continuará a representar um desafio.
NNT pode ajudar!
usando a solução nnt Change Tracker Enterprise e seu conjunto de soluções Log Tracker Enterprise, você se beneficiará:
- alterações FIM relatadas em tempo real e entregues por meio de relatórios resumidos diários.
- auditabilidade completa mostrando quem fez essas alterações.
- opções para visualizar um resumo simplificado das alterações do arquivo e um relatório forense.
- comparações lado a lado de arquivos, pré e pós-Alteração.
- incidentes de segurança e eventos-chave correlacionados e alertados.
- qualquer violação das regras de Conformidade relatadas. Isso inclui alterações na integridade do arquivo.
- todas as plataformas e ambientes suportados.
- detecção de alterações planejadas e quaisquer alterações não planejadas.
- modelos de endurecimento de dispositivos que podem ser aplicados a uma variedade de sistemas operacionais e tipos de dispositivos.