fim eller Filintegritetsövervakning är utan tvekan ett mycket viktigt försvar i alla nätverk som är värda att skydda. Krävs av datasäkerhetsstandarder som PCI-DSS och rekommenderas av revisorer och säkerhetsutövare globalt. FIM övervakar kritiska systemfiler, operativsystemkomponenter och till och med nätverksenheter för obehöriga ändringar.
genom att ändra ePOS-terminaler, operativsystemvärdfiler eller kritiska applikationer kan skadliga parter suga bort känslig information, till exempel betalningsinformation från nätverk för egen fördel. FIM försöker förhindra resultatet av sådana Hack genom att varna administratörer för obehöriga ändringar i nätverket.
hur fungerar FIM egentligen?
eftersom vi försöker förhindra en av de mest sofistikerade typerna av hack, måste vi använda ett verkligt ofelbart sätt att garantera filintegritet. Detta kräver att varje övervakad fil ska ’fingeravtryck’, med hjälp av en säker hash algoritm, såsom SHA1 eller MD5 för att producera en unik, hashvärde baserat på innehållet i filen.
tanken är att en filintegritetsbaslinje måste upprättas först. Då kommer ett visst filintegritetsövervakningssystem att fungera genom att jämföra filattribut, filstorlekar och hash-signaturer från baslinjen till en annan har värde härledd senare. Alla ändringar som görs i filen efter baslinjen kommer att resultera i ett annat hashvärde, vilket kan hänföras till en auktoriserad eller obehörig ändring.
resultatet är att även om ett program är skadligt modifierat för att exponera betalkortsuppgifter för obehöriga parter, men filen är sedan vadderad för att få den att se ut i samma storlek som originalfilen och med alla dess attribut redigerade för att få filen att se likadan ut, kommer ändringarna fortfarande att vara synliga för en FIM-lösning.
bilden nedan visar hur en SHA1-algoritm genererar ett annat hashvärde även för den minsta ändringen av en fil. Detta ger ett unikt sätt att verifiera att en fils integritet har bibehållits.
intresserad av hur FIM är relaterat till PCI-DSS-överensstämmelse? Se vår blogg,”uppnå PCI-DSS med Filintegritetsövervakning”.
utmaningar med FIM
ett problem med att använda en säker hash-algoritm för FIM är att hashing av filer är processorintensiv. Detta innebär att i de flesta fall kan en ändringskontroll endast utföras en gång om dagen, vanligtvis utanför kontorstid.
ett annat sådant problem är att du kan ha flera olika operativsystem och plattformar som körs i ditt nätverk som måste övervakas. De många varianterna av Linux, Unix och Windows presenterar ett antal utmaningar och kombinationen av textbaserade konfigurationsfiler och binära programfiler innebär att en kombination av agentbaserad och agentlös FIM-teknik kommer att behövas. Windows OS-komponenter utgör grunden för FIM, men för att identifiera vem som gjorde ändringen krävs specialiserad teknik från tredje part.
i båda fallen är behovet av att filtrera ändringar baserat på filtyper, applikationstyp och/eller plats avgörande för att undvika övervarning för filer som regelbundet ändras eller helt enkelt inte är relevanta.
dessutom måste schemaläggning, varning och rapportering av filintegritetsändringar i sig vara en hanterbar och helst en automatiserad process.
Change alert overload är en betydande utmaning för filintegritetsövervakningslösningar, se vårt blogginlägg om detta ämne för att lära dig hur du kan övervinna detta.
Hur kan NNT ändra Tracker hjälp?
att leverera ett pragmatiskt svar på behovet av filintegritetsövervakning på alla plattformar som är effektiv, enkel att distribuera och hantera och framför allt prisvärd, kommer att fortsätta att utgöra en utmaning.
NNT kan hjälpa!
med hjälp av nnt Change Tracker Enterprise solution och deras Log Tracker Enterprise solution set kommer du att dra nytta av:
- fim-förändringar rapporteras i realtid och levereras via dagliga sammanfattande rapporter.
- Full granskbarhet som visar vem som gjorde dessa ändringar.
- alternativ för att visa både en förenklad sammanfattning av filändringarna och en kriminalteknisk rapport.
- sida vid sida jämförelser av filer, före och efter förändring.
- säkerhetsincidenter och viktiga händelser korrelerade och varnade på.
- alla överträdelser av efterlevnadsregler rapporteras. Detta inkluderar filintegritetsändringar.
- alla plattformar och miljöer som stöds.
- upptäckt av planerade ändringar och eventuella oplanerade ändringar.
- enhetshärdningsmallar som kan tillämpas på en mängd olika operativsystem och enhetstyper.