La seguridad informática es un tema candente. Las noticias están repletas de historias de violaciones de seguridad, robo de datos o ransomware. Algunos argumentarán que todos estos son simplemente una señal de nuestro tiempo, pero eso no cambia el hecho de que cuando se le asigna la tarea de mantener cualquier tipo de entorno de TI, la protección contra tales amenazas es una parte importante del trabajo.
Por esa razón, el software File Integrity Monitoring (FIM) se ha convertido casi en una herramienta indispensable para cualquier organización. Su propósito principal es garantizar que cualquier cambio de archivo no autorizado o inesperado se identifique rápidamente. Puede ayudar a mejorar la seguridad general de los datos, lo cual es importante para cualquier empresa y no debe ignorarse.
Hoy, comenzaremos con un breve vistazo a la supervisión de la integridad de los archivos. Haremos todo lo posible para explicar en términos simples qué es y cómo funciona. También veremos quién debería usarlo. Lo más probable es que no sea una gran sorpresa descubrir que cualquiera puede beneficiarse de él y veremos cómo y por qué. Y una vez que estemos todos en la misma página sobre el monitoreo de integridad de archivos, estaremos listos para saltar al núcleo de esta publicación y revisar brevemente algunas de las mejores herramientas que el mercado tiene para ofrecer.
¿Qué es la supervisión de la integridad de los archivos?
En esencia, la supervisión de la integridad de los archivos es un elemento clave de un proceso de gestión de la seguridad de TI. El concepto principal detrás de esto es garantizar que se contabilice cualquier modificación en un sistema de archivos y que cualquier modificación inesperada se identifique rápidamente.
Si bien algunos sistemas ofrecen monitoreo de la integridad de los archivos en tiempo real, tiende a tener un mayor impacto en el rendimiento. Por esa razón, a menudo se prefiere un sistema basado en instantáneas. Funciona tomando una instantánea de un sistema de archivos a intervalos regulares y comparándolo con el anterior o con una línea de base previamente establecida. Independientemente de cómo funcione la detección (en tiempo real o no), cualquier cambio detectado que sugiera algún tipo de acceso no autorizado o actividad maliciosa (como un cambio repentino en el tamaño del archivo o el acceso de un usuario específico o grupo de usuarios) y la alerta es planteado y / o se inicia alguna forma o proceso de remediación. Puede ir desde abrir una ventana de alerta hasta restaurar el archivo original desde una copia de seguridad o bloquear el acceso al archivo en peligro.
¿Para quién es la supervisión de la integridad de los archivos?
La respuesta rápida a esta pregunta es cualquiera. Realmente, cualquier organización puede beneficiarse del uso del software File Integrity Monitoring. Sin embargo, muchos optarán por usarlo porque se encuentran en una situación en la que es obligatorio. Por ejemplo, el software de Monitoreo de Integridad de Archivos es requerido o fuertemente indicado por ciertos marcos regulatorios como PCI DSS, Sarbanes-Oxley o HIPAA. Concretamente, si está en los sectores financiero o de atención médica, o si procesa tarjetas de pago, File Integrity Monitoring es más un requisito que una opción.
Asimismo, aunque puede que no sea obligatorio, cualquier organización que se ocupe de información confidencial debería considerar seriamente el software File Integrity Monitoring. Ya sea que esté almacenando datos de clientes o secretos comerciales, existe una ventaja obvia en el uso de este tipo de herramientas. Podría salvarlo de todo tipo de contratiempos.
Pero File Integrity Monitoring no es solo para grandes organizaciones. Aunque las empresas grandes y medianas tienden a ser conscientes de la importancia del software de monitoreo de integridad de archivos, las pequeñas empresas también deberían considerarlo. Esto es particularmente cierto si se tiene en cuenta que existen herramientas de supervisión de la integridad de los archivos que se adaptan a todas las necesidades y presupuestos. De hecho, varias herramientas de nuestra lista son gratuitas y de código abierto.
El mejor software de monitoreo de integridad de archivos
Existen innumerables herramientas que ofrecen la funcionalidad de monitoreo de integridad de archivos. Algunas de ellas son herramientas dedicadas que básicamente no hacen nada más. Algunas, por otro lado, son una amplia solución de seguridad de TI que integra la supervisión de la integridad de los archivos junto con otras funciones relacionadas con la seguridad. Intentamos incorporar ambos tipos de herramientas en nuestra lista. Después de todo, la supervisión de la integridad de los archivos suele formar parte de un esfuerzo de gestión de la seguridad de TI que incluye otras funciones. Entonces, ¿por qué no optar por una herramienta integrada?
1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)
Muchos administradores de redes y sistemas están familiarizados con SolarWinds . Después de todo, la compañía ha estado fabricando algunas de las mejores herramientas durante unos veinte años. Su producto estrella, llamado SolarWinds Network Performance Monitor, se considera una de las mejores herramientas de este tipo en el mercado. Y para mejorar aún más las cosas, SolarWinds también publica herramientas gratuitas que abordan algunas tareas específicas de administración de redes.
Si bien SolarWinds no es una herramienta dedicada a la supervisión de la integridad de los archivos, su herramienta de gestión de eventos e información de seguridad (SIEM), SolarWinds Security Event Manager , incluye un módulo de supervisión de la integridad de los archivos muy bueno. Este producto es definitivamente uno de los mejores sistemas SIEM de nivel de entrada del mercado. La herramienta tiene casi todo lo que uno esperaría de una herramienta SIEM. Esto incluye una excelente gestión de registros y funciones de correlación, así como un motor de informes impresionante y, por supuesto, un control de la integridad de los archivos.
PRUEBA GRATUITA: SolarWinds Security Event Manager
Enlace de descarga oficial: https://www.solarwinds.com/security-event-manager/registration
Cuando se trata de la supervisión de la integridad de los archivos, SolarWinds Security Event Manager puede mostrar qué usuarios son responsables de qué archivos cambian. También puede realizar un seguimiento de las actividades de los usuarios adicionales, lo que le permite crear varias alertas e informes. La barra lateral de la página de inicio de la herramienta puede mostrar cuántos eventos de cambio se han producido bajo el encabezado Gestión de cambios. Siempre que algo parezca sospechoso y desee profundizar, tiene la opción de filtrar eventos por palabra clave.
La herramienta también cuenta con excelentes funciones de respuesta a eventos que no dejan nada que desear. Por ejemplo, el detallado sistema de respuesta en tiempo real reaccionará activamente a cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras y ataques de día cero.
Además de un impresionante conjunto de características, el panel de control de SolarWinds Security Event Manager ciertamente vale la pena discutirlo. Con su diseño simple, no tendrá problemas para orientarse en la herramienta e identificar rápidamente las anomalías. A partir de alrededor de $ 4 500, la herramienta es más que asequible. Y si desea probarlo y ver cómo funciona en su entorno, una versión de prueba gratuita de 30 días completamente funcional está disponible para descargar.
Enlace de descarga oficial: https://www.solarwinds.com/security-event-manager/registration
2. OSSEC
OSSEC , que significa Open Source Security, uno de los sistemas de detección de intrusos basados en host de código abierto más conocidos. El producto es propiedad de Trend Micro , uno de los nombres líderes en seguridad de TI y fabricante de una de las mejores suites de protección antivirus. Y si el producto está en esta lista, tenga la seguridad de que también tiene una funcionalidad de monitoreo de integridad de archivos muy decente.
Cuando se instala en sistemas operativos Linux o Mac OS, el software se centra principalmente en los archivos de registro y configuración. Crea sumas de verificación de archivos importantes y los valida periódicamente, alertándote cada vez que sucede algo extraño. También monitoreará y alertará sobre cualquier intento anormal de obtener acceso de root. En los hosts de Windows, el sistema también está atento a las modificaciones de registro no autorizadas que podrían ser un signo revelador de actividad maliciosa.
Cuando se trata de monitoreo de integridad de archivos, OSSEC tiene una funcionalidad específica llamada Syscheck . La herramienta se ejecuta cada seis horas de forma predeterminada y busca cambios en las sumas de verificación de los archivos clave. El módulo está diseñado para reducir el uso de la CPU, lo que lo convierte en una opción potencialmente buena para las organizaciones que requieren una solución de administración de integridad de archivos con un tamaño reducido.
Debido a que es un sistema de detección de intrusos basado en host, OSSEC debe instalarse en cada computadora (o servidor) que desee proteger. Este es el principal inconveniente de tales sistemas. Sin embargo, se encuentra disponible una consola centralizada que consolida la información de cada computadora protegida para facilitar la administración. Esa consola OSSEC solo se ejecuta en sistemas operativos Linux o Mac OS. Sin embargo, hay un agente disponible para proteger los hosts de Windows. Cualquier detección activará una alerta que se mostrará en la consola centralizada, mientras que las notificaciones también se enviarán por correo electrónico.
3. Integridad del archivo Samhain
Samhain es un sistema de detección de intrusiones de host gratuito que proporciona verificación de integridad de archivos y monitoreo / análisis de archivos de registro. Además, el producto también realiza detección de rootkits, monitoreo de puertos, detección de ejecutables SUID no autorizados y procesos ocultos. Esta herramienta ha sido diseñada para monitorear múltiples sistemas con varios sistemas operativos con registro y mantenimiento centralizados. Sin embargo, Samhain también se puede utilizar como una aplicación independiente en una sola computadora. La herramienta puede ejecutarse en sistemas POSIX como Unix , Linux o Mac OS . También se puede ejecutar en Windows bajo Cygwin, aunque solo se ha probado el agente de supervisión y no el servidor en esa configuración.
En los hosts de Linux, S amhain puede aprovechar el mecanismo de notificación para monitorear los eventos del sistema de archivos. En tiempo real Esto le permite recibir notificaciones inmediatas sobre cambios y elimina la necesidad de realizar análisis frecuentes del sistema de archivos que pueden causar una alta carga de E / S. Además, se pueden verificar varias sumas de verificación, como TIGER192, SHA-256, SHA-1 o MD5. También se puede comprobar el tamaño del archivo, el modo / permiso, el propietario, el grupo, la marca de tiempo (creación / modificación / acceso), el inodo, el número de enlaces físicos y la ruta de enlace de los enlaces simbólicos. La herramienta puede incluso comprobar propiedades más "exóticas" como atributos SELinux, ACL POSIX (en sistemas que las soportan), atributos de archivo Linux ext2 (según lo establecido por chattr, como el indicador inmutable) y los indicadores de archivo BSD.
Una de las características únicas de Samhain es su modo sigiloso que le permite funcionar sin ser detectado por posibles atacantes. Con demasiada frecuencia, los intrusos matan los procesos de detección que reconocen, lo que les permite pasar desapercibidos. Esta herramienta utiliza técnicas de esteganografía para ocultar sus procesos a los demás. También protege sus archivos de registro central y las copias de seguridad de la configuración con una clave PGP para evitar alteraciones. En general, esta es una herramienta muy completa que ofrece mucho más que un simple monitoreo de la integridad de los archivos.
4. Administrador de integridad de archivos Tripwire
Next es una solución de Tripwire , una empresa que goza de una sólida reputación en seguridad informática. Y cuando se trata de monitoreo de integridad de archivos, Tripwire File Integrity Manager ( FIM ) tiene una capacidad única para reducir el ruido al proporcionar múltiples formas de eliminar los cambios de bajo riesgo de los de alto riesgo mientras evalúa, prioriza y concilia los cambios detectados. Al promover automáticamente numerosos cambios habituales, la herramienta reduce el ruido para que tenga más tiempo para investigar los cambios que realmente pueden afectar la seguridad e introducir riesgos. Tripwire FIMutiliza agentes para capturar continuamente detalles completos de quién, qué y cuándo en tiempo real. Esto ayuda a garantizar que detecte todos los cambios, capture los detalles de cada uno y utilice esos detalles para determinar el riesgo de seguridad o el incumplimiento.
Tripwire le brinda la capacidad de integrar File Integrity Manager con muchos de sus controles de seguridad: administración de configuración de seguridad (SCM), administración de registros y herramientas SIEM. Tripwire FIM agrega componentes que etiquetan y administran los datos de estos controles de manera más intuitiva y de manera que protegen mejor los datos. Por ejemplo, Event Integration Framework ( EIF ) agrega datos de cambio valiosos desde File Integrity Manager a Tripwire Log Center o casi cualquier otro SIEM. Con EIF y otros controles de seguridad fundamentales de Tripwire , puede administrar fácil y eficazmente la seguridad de su infraestructura de TI.
Tripwire File Integrity Manager utiliza la automatización para detectar todos los cambios y remediar aquellos que eliminan una configuración de la política. Puede integrarse con sistemas de tickets de cambio existentes como BMC Remedy , HP Service Center o Service Now , lo que permite una auditoría rápida. Esto también asegura la trazabilidad. Además, las alertas automáticas desencadenan respuestas personalizadas por el usuario cuando uno o más cambios específicos alcanzan un umbral de gravedad que un solo cambio no causaría. Por ejemplo, un cambio de contenido menor acompañado de un cambio de permiso que se realizó fuera de una ventana de cambio planificada.
5. AFICK (otro verificador de integridad de archivos)
La siguiente es una herramienta de código abierto del desarrollador Eric Gerbier llamada AFICK (otro verificador de integridad de archivos) . Aunque la herramienta afirma ofrecer una funcionalidad similar a Tripwire, es un producto mucho más tosco, muy en la línea del software tradicional de código abierto. La herramienta puede monitorear cualquier cambio en los sistemas de archivos que observa. Es compatible con múltiples plataformas como Linux (SUSE, Redhat, Debian y más), Windows, HP Tru64 Unix, HP-UX y AIX. El software está diseñado para ser rápido y portátil y puede funcionar en cualquier computadora compatible con Perl y sus módulos estándar.
En cuanto a la funcionalidad de AFICK , aquí hay una descripción general de sus características principales. La herramienta es fácil de instalar y no requiere ninguna compilación o la instalación de muchas dependencias. También es una herramienta rápida, debido en parte a su pequeño tamaño. A pesar de su pequeño tamaño, mostrará archivos nuevos, eliminados y modificados, así como cualquier enlace pendiente. Utiliza un archivo de configuración simple basado en texto que admite excepciones y comodines y utiliza una sintaxis muy similar a la de Tripwire o Aide. Tanto una interfaz gráfica de usuario basada en Tk como una interfaz web basada en webmin están disponibles si prefiere mantenerse alejado de una herramienta de línea de comandos.
AFICK (otro comprobador de integridad de archivos) está escrito íntegramente en Perl para su portabilidad y acceso a las fuentes. Y dado que es de código abierto (publicado bajo la Licencia Pública General GNU), puede agregarle funcionalidad como mejor le parezca. La herramienta usa MD5 para sus necesidades de suma de comprobación, ya que es rápida y está integrada en todas las distribuciones de Perl y, en lugar de usar una base de datos de texto sin cifrar, se usa dbm.
6. AIDE (entorno avanzado de detección de intrusiones)
A pesar de un nombre bastante engañoso, AIDE (Entorno de detección de intrusiones avanzado) es en realidad un verificador de integridad de archivos y directorios. Funciona creando una base de datos a partir de las reglas de expresión regular que encuentra en su archivo de configuración. Una vez que se inicializa la base de datos, la usa para verificar la integridad de los archivos. La herramienta utiliza varios algoritmos de resumen de mensajes que se pueden utilizar para comprobar la integridad de los archivos. Además, todos los atributos de archivo habituales pueden comprobarse en busca de inconsistencias. También puede leer bases de datos de versiones anteriores o más recientes.
En cuanto a características, AIDE es un evaluador completo. Admite múltiples algoritmos de resumen de mensajes como md5, sha1, rmd160, tiger, crc32, sha256, sha512 e whirlpool. La herramienta puede verificar varios atributos de archivo, incluidos Tipo de archivo, Permisos, Inode, Uid, Gid, Nombre del enlace, Tamaño, Número de bloques, Número de enlaces, Mtime, Ctime y Atime. También puede admitir atributos Posix ACL, SELinux, XAttrs y Extended File System. En aras de la simplicidad, la herramienta utiliza archivos de configuración de texto sin formato, así como una base de datos de texto sin formato. Una de sus características más interesantes es su soporte de poderosas expresiones regulares que le permiten incluir o excluir de forma selectiva archivos y directorios para monitorear. Esta característica por sí sola la convierte en una herramienta muy versátil y flexible.
El producto, que existe desde 1999, todavía se desarrolla activamente y la última versión (0.16.2) tiene solo unos meses de antigüedad. Está disponible bajo la licencia pública general GNU y se ejecutará en la mayoría de las variantes modernas de Linux.
7. Supervisión de la integridad de los archivos de Qualys
Qualys File Integrity Monitoring del gigante de la seguridad Qualys es una "solución en la nube para detectar e identificar cambios críticos, incidentes y riesgos resultantes de eventos normales y maliciosos". Viene con perfiles listos para usar que se basan en las mejores prácticas de la industria y en las pautas recomendadas por los proveedores para los requisitos comunes de cumplimiento y auditoría, incluido PCI DSS.
Qualys File Integrity Monitoring detecta cambios de manera eficiente en tiempo real, utilizando enfoques similares utilizados en tecnologías antivirus. Se pueden crear notificaciones de cambios para estructuras de directorio completas o a nivel de archivo. La herramienta utiliza las señales del kernel del sistema operativo existente para identificar los archivos a los que se accede, en lugar de depender de enfoques de cálculo intensivo. El producto puede detectar la creación o eliminación de archivos o directorios, el cambio de nombre de archivos o directorios, cambios en los atributos del archivo, cambios en la configuración de seguridad del archivo o directorio, como permisos, propiedad, herencia y auditoría o cambios en los datos del archivo almacenados en el disco.
Es un producto de varios niveles. La nube Agente Qualys monitorea continuamente los archivos y directorios especificados en su perfil de monitoreo y captura de datos críticos para ayudar a identificar lo que ha cambiado, junto con detalles del entorno, como el que al usuario y que el proceso estuvo involucrado en el cambio. Luego envía los datos a Qualys Cloud Platform para su análisis y generación de informes. Una de las ventajas de este enfoque es que funciona igual ya sea que los sistemas sean locales, en la nube o remotos.
Archivo de monitorización de integridad se puede activar fácilmente en sus actuales Qualys A caballeros , y empezar el seguimiento de los cambios a nivel local con un impacto mínimo en el punto final. El Cloud Platform Qualys le permite escalar fácilmente a los entornos más grandes. El impacto del rendimiento en los puntos finales monitoreados se minimiza al monitorear de manera eficiente los cambios de archivos localmente y enviar los datos a Qualys Cloud Platform, donde ocurre todo el trabajo pesado de análisis y correlación. En cuanto al Qualys Cloud Agent , se actualiza y repara automáticamente, manteniéndose actualizado sin necesidad de reiniciar.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
