FIM sau monitorizarea integrității fișierelor, este fără îndoială un strat extrem de important de apărare în orice rețea care merită protejată. Cerute de standardele de securitate a datelor, cum ar fi PCI-DSS și recomandate de auditori și practicieni de securitate la nivel global. FIM monitorizează fișierele de sistem critice, componentele sistemului de operare și chiar dispozitivele de rețea pentru modificări neautorizate.
prin modificarea terminalelor ePOS, a fișierelor gazdă ale sistemului de operare sau a aplicațiilor critice, părțile rău intenționate pot extrage informații sensibile, cum ar fi informațiile de plată din rețele în beneficiul lor. FIM urmărește să prevină rezultatul unor astfel de hack-uri prin alertarea administratorilor cu privire la modificările neautorizate ale rețelei.
cum funcționează FIM?
deoarece încercăm să prevenim unul dintre cele mai sofisticate tipuri de hack, trebuie să folosim un mijloc cu adevărat infailibil de garantare a integrității fișierelor. Acest lucru necesită ca fiecare fișier monitorizat să fie ‘amprentat’, folosind un algoritm hash securizat, cum ar fi SHA1 sau MD5 pentru a produce o valoare hash unică bazată pe conținutul fișierului.
ideea este că o linie de bază a integrității fișierului trebuie stabilită mai întâi. Apoi, orice sistem de monitorizare a integrității fișierului dat va funcționa comparând atributele fișierului, dimensiunile fișierelor și semnăturile hash de la linia de bază la alta are valoare derivată ulterior. Orice modificări aduse fișierului după linia de bază vor avea ca rezultat o valoare hash diferită, care ar putea fi atribuită unei modificări autorizate sau neautorizate.
rezultatul este că, chiar dacă un program este modificat cu rea intenție pentru a expune detaliile cardului de plată părților neautorizate, dar fișierul este apoi căptușit pentru a face să pară de aceeași dimensiune ca fișierul original și cu toate atributele sale editate pentru a face fișierul să arate la fel, modificările vor fi în continuare vizibile pentru o soluție FIM.
imaginea de mai jos arată cum un algoritm SHA1 generează o valoare hash diferită chiar și pentru cea mai mică modificare a unui fișier. Aceasta oferă un mijloc unic de a verifica dacă integritatea unui fișier a fost menținută.
interesat de modul în care FIM este legat de conformitatea PCI-DSS? Vizualizați blogul nostru, „realizarea PCI-DSS cu monitorizarea integrității fișierelor”.
provocări cu FIM
o problemă cu utilizarea unui algoritm hash securizat pentru FIM este că hashing-ul fișierelor este intensiv în procesor. Aceasta înseamnă că, în majoritatea cazurilor, o verificare a schimbării poate fi efectuată doar o dată pe zi, de obicei în afara programului de lucru.
o altă astfel de problemă este că este posibil să aveți mai multe sisteme de operare și platforme diferite care rulează în rețeaua dvs., care trebuie monitorizate. Numeroasele variante de Linux, Unix și Windows prezintă o serie de provocări, iar combinația de fișiere de configurare bazate pe text și fișiere de programe binare înseamnă că va fi necesară o combinație de tehnologie FIM bazată pe agenți și fără agenți. Componentele sistemului de operare Windows oferă baza pentru FIM, dar identificarea cine a făcut schimbarea va necesita tehnologie specializată, terță parte.
în ambele cazuri, necesitatea de a filtra modificările pe baza tipurilor de fișiere, a tipului de aplicație și/sau a locației este esențială pentru a evita alertarea excesivă pentru fișierele care se schimbă în mod regulat sau pur și simplu nu sunt relevante.
mai mult, programarea, alertarea și raportarea modificărilor integrității fișierelor trebuie să fie în sine un proces gestionabil și, de preferință, automatizat.
supraîncărcarea alertei de modificare este o provocare semnificativă pentru soluțiile de monitorizare a integrității fișierelor, consultați postarea noastră pe blog pe acest subiect pentru a afla cum puteți depăși acest lucru.
cum poate ajuta NNT Change Tracker?
oferirea unui răspuns pragmatic la necesitatea monitorizării integrității fișierelor pe toate platformele, care să fie eficientă, ușor de implementat și de gestionat și, mai presus de toate, accesibilă, va continua să reprezinte o provocare.
NNT poate ajuta!
folosind soluția NNT Change Tracker Enterprise și setul lor de soluții Log Tracker Enterprise, veți beneficia de:
- modificările FIM raportate în timp real și livrate prin rapoarte sumare zilnice.
- auditabilitate completă care arată cine a făcut aceste modificări.
- opțiuni pentru a vizualiza atât un rezumat simplificat al modificărilor fișierului, cât și un raport criminalistic.
- comparații Side-by-side de fișiere, pre și post-schimbare.
- incidentele de securitate și evenimentele cheie corelate și alertate.
- orice încălcare a normelor de conformitate raportate. Aceasta include modificările integrității fișierelor.
- toate platformele și mediile acceptate.
- detectarea modificărilor planificate și a oricăror modificări neplanificate.
- șabloane de întărire a dispozitivelor care pot fi aplicate la o varietate de sisteme de operare și tipuri de dispozitive.