أفضل 7 برامج لمراقبة سلامة الملفات (مراجعة 2021)

أمن تكنولوجيا المعلومات هو موضوع ساخن. تمتلئ الأخبار بقصص الانتهاكات الأمنية أو سرقة البيانات أو برامج الفدية. قد يجادل البعض بأن كل هذه مجرد علامة على عصرنا ولكنها لا تغير حقيقة أنه عندما يتم تكليفك بالحفاظ على أي نوع من بيئة تكنولوجيا المعلومات ، فإن الحماية من مثل هذه التهديدات تعد جزءًا مهمًا من الوظيفة.

لهذا السبب ، أصبح برنامج مراقبة سلامة الملفات (FIM) تقريبًا أداة لا غنى عنها لأي منظمة. والغرض الأساسي منه هو ضمان التعرف بسرعة على أي تغيير غير مصرح به أو غير متوقع للملف. يمكن أن يساعد في تحسين أمان البيانات بشكل عام ، وهو أمر مهم لأي شركة ولا ينبغي تجاهله.

اليوم ، سنبدأ بإلقاء نظرة سريعة على مراقبة سلامة الملفات. سنبذل قصارى جهدنا لشرح بعبارات بسيطة ما هو وكيف يعمل. سنلقي نظرة أيضًا على من يجب أن يستخدمه. على الأرجح لن تكون مفاجأة كبيرة لمعرفة أنه يمكن لأي شخص الاستفادة منها وسنرى كيف ولماذا. وبمجرد أن نكون جميعًا في نفس الصفحة حول مراقبة سلامة الملفات ، سنكون مستعدين للقفز إلى جوهر هذا المنشور ومراجعة بعض أفضل الأدوات التي يجب أن يقدمها السوق بإيجاز.

ما هي مراقبة سلامة الملف؟

في جوهرها ، تعد مراقبة سلامة الملفات عنصرًا أساسيًا في عملية إدارة أمن تكنولوجيا المعلومات. المفهوم الرئيسي وراء ذلك هو التأكد من أن أي تعديل على نظام الملفات يتم احتسابه وأن أي تعديل غير متوقع يتم التعرف عليه بسرعة.

بينما تقدم بعض الأنظمة مراقبة تكامل الملفات في الوقت الفعلي ، فإنها تميل إلى أن يكون لها تأثير أكبر على الأداء ، ولهذا السبب ، غالبًا ما يُفضل النظام القائم على اللقطة. إنه يعمل عن طريق أخذ لقطة لنظام الملفات على فترات منتظمة ومقارنتها بالنظام السابق أو بخط أساس تم إنشاؤه مسبقًا. بغض النظر عن كيفية وظائف الكشف (في الوقت الفعلي أم لا) ، فإن أي تغيير تم اكتشافه يشير إلى نوع من الوصول غير المصرح به أو نشاط ضار (مثل التغيير المفاجئ في حجم الملف أو الوصول من قبل مستخدم معين أو مجموعة من المستخدمين) والتنبيه هو المثارة و / أو إطلاق شكل ما أو عملية معالجة. يمكن أن يتراوح من ظهور نافذة تنبيه لاستعادة الملف الأصلي من نسخة احتياطية أو حظر الوصول إلى الملف المعرض للخطر.

لمن مراقبة سلامة الملفات؟

الجواب السريع على هذا السؤال هو أحد. حقًا ، يمكن لأي مؤسسة الاستفادة من استخدام برنامج File Integrity Monitoring. ومع ذلك ، سيختار الكثيرون استخدامه لأنهم في وضع يُطلب فيه ذلك. على سبيل المثال ، يعد برنامج File Integrity Monitoring إما مطلوبًا أو يُشار إليه بشدة بواسطة أطر تنظيمية معينة مثل PCI DSS أو Sarbanes-Oxley أو HIPAA. بشكل ملموس ، إذا كنت تعمل في القطاعات المالية أو الرعاية الصحية ، أو إذا كنت تقوم بمعالجة بطاقات الدفع ، فإن File Integrity Monitoring هو مطلب أكثر من كونه خيارًا.

وبالمثل ، على الرغم من أنه قد لا يكون إلزاميًا ، يجب على أي منظمة تتعامل مع المعلومات الحساسة أن تفكر بشدة في برنامج File Integrity Monitoring. سواء كنت تقوم بتخزين بيانات العميل أو الأسرار التجارية ، هناك ميزة واضحة في استخدام هذه الأنواع من الأدوات. يمكن أن ينقذك من كل أنواع الحوادث المؤسفة.

لكن مراقبة سلامة الملفات ليست فقط للمؤسسات الكبيرة. على الرغم من أن الشركات الكبيرة والشركات المتوسطة الحجم على حد سواء تميل إلى إدراك أهمية برنامج مراقبة سلامة الملفات ، إلا أنه يجب على الشركات الصغيرة بالتأكيد النظر فيها أيضًا. هذا صحيح بشكل خاص عندما تأخذ في الاعتبار أن هناك أدوات مراقبة سلامة الملفات التي تناسب كل الاحتياجات والميزانية. في الواقع ، العديد من الأدوات في قائمتنا مجانية ومفتوحة المصدر.

أفضل برامج مراقبة سلامة الملفات

هناك عدد لا يحصى من الأدوات التي توفر وظائف مراقبة سلامة الملفات. بعضها عبارة عن أدوات مخصصة لا تفعل شيئًا آخر في الأساس. من ناحية أخرى ، يعد بعضها حلًا واسعًا لأمن تكنولوجيا المعلومات يدمج مراقبة سلامة الملفات جنبًا إلى جنب مع الوظائف الأخرى المتعلقة بالأمان. لقد حاولنا دمج كلا النوعين من الأدوات في قائمتنا. بعد كل شيء ، غالبًا ما تكون مراقبة سلامة الملفات جزءًا من جهود إدارة أمن تكنولوجيا المعلومات التي تتضمن وظائف أخرى. لماذا لا تذهب لأداة متكاملة ، إذن.

1. مدير حدث أمان SolarWinds (إصدار تجريبي مجاني)

العديد من مسؤولي الشبكات والأنظمة على دراية بـ SolarWinds . بعد كل شيء ، كانت الشركة تصنع بعضًا من أفضل الأدوات منذ حوالي عشرين عامًا. يعتبر منتجها الرئيسي ، المسمى SolarWinds Network Performance Monitor ، أحد أفضل هذه الأدوات في السوق. ولجعل الأمور أفضل ، تنشر SolarWinds أيضًا أدوات مجانية تتناول بعض مهام إدارة الشبكة المحددة.

في حين أن SolarWinds لا تصنع أداة مخصصة لمراقبة تكامل الملفات ، فإن أداة إدارة المعلومات والأحداث الأمنية (SIEM) الخاصة بها ، وهي SolarWinds Security Event Manager ، تتضمن وحدة جيدة جدًا لمراقبة سلامة الملفات. هذا المنتج هو بالتأكيد أحد أفضل أنظمة SIEM للمبتدئين في السوق. تحتوي الأداة على كل شيء تقريبًا يتوقعه المرء من أداة SIEM. يتضمن ذلك ميزات إدارة السجلات والارتباط الممتازة بالإضافة إلى محرك تقارير مثير للإعجاب وبالطبع مراقبة سلامة الملفات.

تجربة مجانية: مدير حدث أمان SolarWinds

رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

عندما يتعلق الأمر بمراقبة تكامل الملفات ، يمكن لـ SolarWinds Security Event Manager إظهار المستخدمين المسؤولين عن تغيير الملفات. يمكنه أيضًا تتبع أنشطة المستخدم الإضافية ، مما يتيح لك إنشاء تنبيهات وتقارير متنوعة. يمكن للشريط الجانبي للصفحة الرئيسية للأداة عرض عدد أحداث التغيير التي حدثت تحت عنوان إدارة التغيير. عندما يبدو شيء ما مريبًا وتريد التعمق أكثر ، فلديك خيار تصفية الأحداث حسب الكلمات الرئيسية.

تتميز الأداة أيضًا بميزات استجابة الحدث الممتازة التي لا تترك شيئًا مرغوبًا فيه. على سبيل المثال ، سيتفاعل نظام الاستجابة التفصيلية في الوقت الفعلي بفاعلية مع كل تهديد. ونظرًا لأنه يعتمد على السلوك بدلاً من التوقيع ، فأنت محمي من التهديدات غير المعروفة أو المستقبلية وهجمات الصفر.

بالإضافة إلى مجموعة الميزات الرائعة ، فإن لوحة معلومات SolarWinds Security Event Manager تستحق المناقشة بالتأكيد. بفضل تصميمه البسيط ، لن تواجه مشكلة في إيجاد طريقك للتغلب على الأداة وتحديد الحالات الشاذة بسرعة. بدءًا من حوالي 4500 دولار ، تكون الأداة أكثر من معقولة. وإذا كنت ترغب في تجربته ومعرفة كيفية عمله في بيئتك ، يتوفر إصدار تجريبي مجاني كامل الوظائف لمدة 30 يومًا للتنزيل.

رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC ، والذي يرمز إلى Open Source Security ، وهو أحد أشهر أنظمة الكشف عن التسلل القائمة على المضيف المفتوح المصدر. المنتج مملوك لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات وصانع أحد أفضل مجموعات الحماية من الفيروسات. وإذا كان المنتج مدرجًا في هذه القائمة ، فتأكد من أنه يحتوي أيضًا على وظيفة جيدة جدًا لمراقبة سلامة الملفات.

عند التثبيت على أنظمة تشغيل Linux أو Mac OS ، يركز البرنامج بشكل أساسي على ملفات السجل والتكوين. يقوم بإنشاء مجاميع اختبارية للملفات المهمة والتحقق من صحتها بشكل دوري ، وتنبيهك كلما حدث شيء غريب. سيقوم أيضًا بمراقبة أي محاولة غير طبيعية للوصول إلى الجذر وتنبيهها. على مضيفي Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي يمكن أن تكون علامة منبهة على نشاط ضار.

عندما يتعلق الأمر بمراقبة سلامة الملفات ، فإن OSSEC لديها وظيفة محددة تسمى Syscheck . تعمل الأداة كل ست ساعات بشكل افتراضي وتتحقق من التغييرات التي تم إجراؤها على المجموع الاختباري لملفات المفاتيح. تم تصميم الوحدة لتقليل استخدام وحدة المعالجة المركزية ، مما يجعلها خيارًا جيدًا محتملًا للمؤسسات التي تتطلب حلاً لإدارة تكامل الملفات بحجم صغير.

بحكم كونه نظام كشف التسلل قائم على المضيف ، يحتاج OSSEC إلى التثبيت على كل كمبيوتر (أو خادم) تريد حمايته. هذا هو العيب الرئيسي لهذه الأنظمة. ومع ذلك ، تتوفر وحدة تحكم مركزية تقوم بدمج المعلومات من كل كمبيوتر محمي لتسهيل الإدارة. تعمل وحدة التحكم OSSEC هذه فقط على أنظمة تشغيل Linux أو Mac OS. ومع ذلك ، يتوفر وكيل لحماية مضيفي Windows. سيؤدي أي اكتشاف إلى إطلاق تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

3. سلامة ملف Samhain

Samhain هو نظام مجاني للكشف عن التسلل للمضيف يوفر فحصًا لسلامة الملفات ومراقبة / تحليل ملف السجل. بالإضافة إلى ذلك ، يقوم المنتج أيضًا باكتشاف الجذور الخفية ، ومراقبة المنفذ ، والكشف عن الملفات التنفيذية لـ SUID المارقة ، والعمليات المخفية. تم تصميم هذه الأداة لمراقبة أنظمة متعددة مع أنظمة تشغيل مختلفة مع التسجيل المركزي والصيانة. ومع ذلك، سامهاين يمكن أن تستخدم أيضا كتطبيق مستقل على جهاز كمبيوتر واحد. يمكن تشغيل الأداة على أنظمة POSIX مثل يونيكس ، لينكس أو ماك OS . يمكن تشغيله أيضًا على Windows تحت Cygwin على الرغم من أنه تم اختبار وكيل المراقبة فقط وليس الخادم في هذا التكوين.

على مضيفي Linux ، يمكن لـ S amhain الاستفادة من آلية inotify لمراقبة أحداث نظام الملفات. في الوقت الفعلي يتيح لك ذلك تلقي إعلامات فورية حول التغييرات ، ويلغي الحاجة إلى إجراء عمليات فحص متكررة لنظام الملفات والتي قد تتسبب في ارتفاع تحميل الإدخال / الإخراج. بالإضافة إلى ذلك ، يمكن التحقق من المجاميع الاختبارية المختلفة مثل TIGER192 أو SHA-256 أو SHA-1 أو MD5. يمكن أيضًا التحقق من حجم الملف ، والوضع / الإذن ، والمالك ، والمجموعة ، والطابع الزمني (الإنشاء / التعديل / الوصول) ، وعدد الروابط الثابتة ، والمسار المرتبط بالروابط الرمزية. يمكن للأداة أيضًا التحقق من المزيد من الخصائص "الغريبة" مثل سمات SELinux و POSIX ACL (على الأنظمة التي تدعمها) وخصائص ملف Linux ext2 (كما تم تعيينها بواسطة chattr مثل العلامة الثابتة) وعلامات ملف BSD.

إحدى ميزات Samhain الفريدة هي وضع التخفي الذي يسمح له بالعمل دون أن يكتشفه المهاجمون في نهاية المطاف. غالبًا ما يقتل المتسللون عمليات الكشف التي يتعرفون عليها ، مما يسمح لهم بالمرور دون أن يلاحظها أحد. تستخدم هذه الأداة تقنيات إخفاء المعلومات لإخفاء عملياتها عن الآخرين. كما أنه يحمي ملفات السجل المركزية ونسخ التكوين الاحتياطية باستخدام مفتاح PGP لمنع العبث. بشكل عام ، هذه أداة كاملة للغاية تقدم أكثر بكثير من مجرد مراقبة سلامة الملفات.

4. مدير سلامة ملف Tripwire

Next هو حل من شركة Tripwire ، وهي شركة تتمتع بسمعة طيبة في مجال أمن تكنولوجيا المعلومات. وعندما يتعلق الأمر بمراقبة سلامة الملفات ، فإن برنامج Tripwire File Integrity M anager ( FIM ) لديه قدرة فريدة على تقليل الضوضاء من خلال توفير طرق متعددة للتخلص من التغييرات منخفضة المخاطر من التغييرات عالية المخاطر أثناء تقييم التغييرات المكتشفة وتحديد أولوياتها والتوفيق بينها. من خلال الترويج التلقائي للعديد من تغييرات العمل كالمعتاد ، تعمل الأداة على تقليل الضوضاء بحيث يكون لديك المزيد من الوقت للتحقيق في التغييرات التي قد تؤثر حقًا على الأمان وتعرض للخطر. جهاز Tripwire FIMيستخدم الوكلاء لالتقاط التفاصيل الكاملة لمن وماذا ومتى بشكل مستمر في الوقت الفعلي. يساعد هذا في التأكد من اكتشاف كل التغييرات والتقاط تفاصيل حول كل منها واستخدام هذه التفاصيل لتحديد المخاطر الأمنية أو عدم الامتثال.

يمنحك Tripwire القدرة على دمج File Integrity Manager مع العديد من عناصر التحكم في الأمان: إدارة تكوين الأمان (SCM) وإدارة السجلات وأدوات SIEM. يضيف Tripwire FIM المكونات التي تحدد البيانات وتديرها من عناصر التحكم هذه بشكل حدسي وبطرق تحمي البيانات بشكل أفضل. على سبيل المثال ، يضيف Event Integration Framework ( EIF ) بيانات تغيير قيمة من File Integrity Manager إلى Tripwire Log Center أو تقريبًا أي SIEM آخر. باستخدام EIF وعناصر تحكم أمان Tripwire التأسيسية الأخرى ، يمكنك بسهولة وفعالية إدارة أمان البنية التحتية لتكنولوجيا المعلومات لديك.

يستخدم Tripwire File Integrity Manager الأتمتة لاكتشاف جميع التغييرات ومعالجة تلك التي تخرج التكوين من السياسة. يمكن أن يتكامل مع أنظمة تذاكر التغيير الحالية مثل BMC Remedy أو HP Service Center أو Service Now ، مما يسمح بإجراء تدقيق سريع. هذا يضمن أيضا إمكانية التتبع. علاوة على ذلك ، تؤدي التنبيهات الآلية إلى استجابات مخصصة للمستخدم عندما يصل تغيير واحد أو أكثر إلى حد الخطورة الذي لن يسببه تغيير واحد بمفرده. على سبيل المثال ، تغيير طفيف في المحتوى مصحوبًا بتغيير إذن تم إجراؤه خارج نافذة التغيير المخطط لها.

5. AFICK (مدقق سلامة ملف آخر)

Next هي أداة مفتوحة المصدر من المطور Eric Gerbier تسمى AFICK (مدقق تكامل ملف آخر) . على الرغم من أن الأداة تدعي أنها تقدم وظائف مماثلة لـ Tripwire ، إلا أنها منتج أكثر فظاظة ، إلى حد كبير في خط البرامج التقليدية مفتوحة المصدر. يمكن للأداة مراقبة أي تغييرات في أنظمة الملفات التي تشاهدها. وهو يدعم أنظمة أساسية متعددة مثل Linux (SUSE و Redhat و Debian والمزيد) و Windows و HP Tru64 Unix و HP-UX و AIX. تم تصميم البرنامج ليكون سريعًا وقابل للنقل ويمكنه العمل على أي كمبيوتر يدعم لغة Perl ووحداتها القياسية.

بالنسبة لوظيفة AFICK ، فإليك نظرة عامة على ميزاتها الرئيسية. الأداة سهلة التثبيت ولا تتطلب أي تجميع أو تثبيت العديد من التبعيات. إنها أيضًا أداة سريعة ، ويرجع ذلك جزئيًا إلى صغر حجمها. على الرغم من صغر حجمه ، إلا أنه سيعرض الملفات الجديدة والمحذوفة والمعدلة بالإضافة إلى أي روابط معلقة. يستخدم ملف تكوين بسيط يعتمد على النص الذي يدعم الاستثناءات والمخترعين ويستخدم صيغة مشابهة جدًا لـ Tripwire أو Aide. تتوفر كل من واجهة المستخدم الرسومية المستندة إلى Tk وواجهة الويب المستندة إلى webmin إذا كنت تفضل الابتعاد عن أداة سطر الأوامر.

تمت كتابة AFICK (مدقق سلامة ملف آخر) بالكامل بلغة Perl من أجل قابلية النقل والوصول إلى المصدر. ونظرًا لأنه مفتوح المصدر (تم إصداره بموجب رخصة جنو العمومية العامة) ، فأنت حر في إضافة وظائف إليه على النحو الذي تراه مناسبًا. تستخدم الأداة MD5 لاحتياجات المجموع الاختباري لأنها سريعة ومدمجة في جميع توزيعات Perl وبدلاً من استخدام قاعدة بيانات نصية واضحة ، يتم استخدام dbm.

6. AIDE (بيئة كشف التسلل المتقدمة)

على الرغم من الاسم المضلل إلى حد ما ، فإن AIDE (بيئة الكشف عن التطفل المتقدمة) هي في الواقع مدقق سلامة الملفات والدليل. وهي تعمل عن طريق إنشاء قاعدة بيانات من قواعد التعبير العادي التي تجدها من ملف التكوين الخاص بها. بمجرد تهيئة قاعدة البيانات ، فإنها تستخدمها للتحقق من سلامة الملفات. تستخدم الأداة العديد من خوارزميات ملخص الرسائل التي يمكن استخدامها للتحقق من سلامة الملفات. علاوة على ذلك ، يمكن التحقق من جميع سمات الملفات المعتادة بحثًا عن التناقضات. يمكنه أيضًا قراءة قواعد البيانات من الإصدارات الأقدم أو الأحدث.

الميزة الحكيمة ، AIDE هو التقييم كاملة. وهو يدعم خوارزميات متعددة لهضم الرسائل مثل md5 و sha1 و rmd160 و tiger و crc32 و sha256 و sha512 و whirlpool. يمكن للأداة التحقق من العديد من سمات الملفات بما في ذلك نوع الملف والأذونات و Inode و Uid و Gid واسم الرابط والحجم وعدد الكتل وعدد الروابط و Mtime و Ctime و Atime. يمكنه أيضًا دعم سمات Posix ACL و SELinux و XAttrs ونظام الملفات الموسعة. من أجل البساطة ، تستخدم الأداة ملفات تكوين نص عادي بالإضافة إلى قاعدة بيانات نص عادي. واحدة من أكثر ميزاته إثارة للاهتمام هي دعمه للتعبير العادي القوي الذي يسمح لك بتضمين أو استبعاد الملفات والدلائل بشكل انتقائي لتتم مراقبتها. هذه الميزة وحدها تجعلها أداة مرنة ومتعددة الاستخدامات.

المنتج ، الذي كان موجودًا منذ عام 1999 ، لا يزال قيد التطوير بنشاط وأحدث إصدار (0.16.2) لا يتجاوز عمره بضعة أشهر. إنه متاح بموجب ترخيص GNU العام وسيعمل على معظم المتغيرات الحديثة من Linux.

7. مراقبة سلامة ملف Qualys

مراقبة سلامة ملفات Qualys من شركة الأمان العملاقة Qualys هي "حل سحابي لاكتشاف وتحديد التغييرات والحوادث والمخاطر الحرجة الناتجة عن الأحداث العادية والخبيثة." يأتي مزودًا بملفات تعريف جاهزة تستند إلى أفضل ممارسات الصناعة وإرشادات موصى بها من قبل البائع لمتطلبات الامتثال والتدقيق المشتركة ، بما في ذلك PCI DSS.

تكتشف Qualys File Integrity Monitoring التغييرات بكفاءة في الوقت الفعلي ، باستخدام أساليب مماثلة مستخدمة في تقنيات مكافحة الفيروسات. يمكن إنشاء إشعارات التغيير لهياكل الدليل بأكملها أو على مستوى الملف. تستخدم الأداة إشارات نواة نظام التشغيل الحالية لتحديد الملفات التي تم الوصول إليها ، بدلاً من الاعتماد على أساليب الحوسبة المكثفة. يمكن للمنتج اكتشاف إنشاء أو إزالة الملفات أو الدلائل ، وإعادة تسمية الملفات أو الدلائل ، والتغييرات في سمات الملف ، والتغييرات في إعدادات أمان الملف أو الدليل مثل الأذونات ، والملكية ، والوراثة ، والتدقيق أو التغييرات على بيانات الملف المخزنة على القرص.

إنه منتج متعدد المستويات. و الغيمة وكيل Qualys تراقب باستمرار الملفات والدلائل المحددة في الملف الشخصي الخاص بك مراقبة وتلتقط البيانات الهامة للمساعدة في تحديد ما تغير جنبا إلى جنب مع تفاصيل البيئة مثل التي المستخدم والذي كان متورطا في عملية التغيير. ثم يرسل البيانات إلى Qualys Cloud Platform للتحليل وإعداد التقارير. تتمثل إحدى مزايا هذا الأسلوب في أنه يعمل بنفس الطريقة سواء كانت الأنظمة محلية أو في السحابة أو بعيدة.

النزاهة رصد ملف يمكن تفعيلها بسهولة على القائمة الخاصة بك Qualys و السادة ، والبدء في رصد التغيرات محليا مع تأثير ضئيل إلى نقطة النهاية. في سحابة منصة Qualys يسمح لك لتوسيع نطاق بسهولة أكبر البيئات. يتم تقليل تأثير الأداء على نقاط النهاية المراقبة عن طريق المراقبة الفعالة لتغييرات الملفات محليًا وإرسال البيانات إلى Qualys Cloud Platform حيث تحدث كل الأعمال الشاقة للتحليل والارتباط. أما بالنسبة إلى Qualys Cloud Agent ، فهو تحديث ذاتي وشفاء ذاتي ، ويحافظ على تحديثه دون الحاجة إلى إعادة التشغيل.