La sécurité informatique est un sujet brûlant. L'actualité regorge d'histoires de failles de sécurité, de vol de données ou de ransomware. Certains diront que tout cela est simplement un signe de notre temps, mais cela ne change rien au fait que lorsque vous êtes chargé de maintenir tout type d'environnement informatique, la protection contre de telles menaces est une partie importante du travail.
Pour cette raison, le logiciel de surveillance de l'intégrité des fichiers (FIM) est presque devenu un outil indispensable pour toute organisation. Son objectif principal est de garantir que toute modification de fichier non autorisée ou inattendue est rapidement identifiée. Cela peut aider à améliorer la sécurité globale des données, ce qui est important pour toute entreprise et ne doit pas être ignoré.
Aujourd'hui, nous allons commencer par un bref aperçu de la surveillance de l'intégrité des fichiers. Nous ferons de notre mieux pour expliquer en termes simples ce que c'est et comment cela fonctionne. Nous verrons également qui devrait l'utiliser. Ce ne sera probablement pas une grande surprise de découvrir que tout le monde peut en bénéficier et nous verrons comment et pourquoi. Et une fois que nous serons tous sur la même longueur d'onde à propos de la surveillance de l'intégrité des fichiers, nous serons prêts à plonger dans le cœur de cet article et à passer brièvement en revue certains des meilleurs outils que le marché a à offrir.
Qu'est-ce que la surveillance de l'intégrité des fichiers ?
Fondamentalement, la surveillance de l'intégrité des fichiers est un élément clé d'un processus de gestion de la sécurité informatique. Le concept principal sous-jacent est de s'assurer que toute modification apportée à un système de fichiers est prise en compte et que toute modification inattendue est rapidement identifiée.
Alors que certains systèmes offrent une surveillance de l'intégrité des fichiers en temps réel, cela a tendance à avoir un impact plus important sur les performances. Pour cette raison, un système basé sur des instantanés est souvent préféré. Il fonctionne en prenant un instantané d'un système de fichiers à intervalles réguliers et en le comparant au précédent ou à une ligne de base préalablement établie. Quel que soit le fonctionnement de la détection (en temps réel ou non), tout changement détecté suggérant une sorte d'accès non autorisé ou d'activité malveillante (comme un changement soudain de la taille du fichier ou l'accès d'un utilisateur ou d'un groupe d'utilisateurs spécifique) et une alerte sont soulevée et/ou une forme ou un processus de remédiation est lancé. Cela peut aller de l'ouverture d'une fenêtre d'alerte à la restauration du fichier d'origine à partir d'une sauvegarde ou au blocage de l'accès au fichier en danger.
À qui s'adresse la surveillance de l'intégrité des fichiers ?
La réponse rapide à cette question est n'importe qui. Vraiment, toute organisation peut bénéficier de l'utilisation du logiciel de surveillance de l'intégrité des fichiers. Cependant, beaucoup choisiront de l'utiliser parce qu'ils sont dans une situation où il est obligatoire. Par exemple, le logiciel de surveillance de l'intégrité des fichiers est soit requis, soit fortement indiqué par certains cadres réglementaires tels que PCI DSS, Sarbanes-Oxley ou HIPAA. Concrètement, si vous êtes dans les secteurs de la finance ou de la santé, ou si vous traitez des cartes de paiement, le File Integrity Monitoring est plus une exigence qu'une option.
De même, bien que cela ne soit pas obligatoire, toute organisation traitant des informations sensibles devrait fortement envisager un logiciel de surveillance de l'intégrité des fichiers. Que vous stockiez des données client ou des secrets commerciaux, l'utilisation de ces types d'outils présente un avantage évident. Cela pourrait vous éviter toutes sortes de mésaventures.
Mais la surveillance de l'intégrité des fichiers n'est pas réservée aux grandes organisations. Bien que les grandes et moyennes entreprises aient tendance à être conscientes de l'importance du logiciel de surveillance de l'intégrité des fichiers, les petites entreprises devraient certainement l'envisager également. Cela est particulièrement vrai lorsque vous tenez compte du fait qu'il existe des outils de surveillance de l'intégrité des fichiers qui conviendront à tous les besoins et à tous les budgets. En fait, plusieurs outils de notre liste sont gratuits et open source.
Le meilleur logiciel de surveillance de l'intégrité des fichiers
Il existe d'innombrables outils qui offrent la fonctionnalité de surveillance de l'intégrité des fichiers. Certains d'entre eux sont des outils dédiés qui ne font fondamentalement rien d'autre. Certains, en revanche, sont une solution de sécurité informatique étendue qui intègre la surveillance de l'intégrité des fichiers ainsi que d'autres fonctionnalités liées à la sécurité. Nous avons essayé d'incorporer les deux types d'outils sur notre liste. Après tout, la surveillance de l'intégrité des fichiers fait souvent partie d'un effort de gestion de la sécurité informatique qui inclut d'autres fonctions. Pourquoi ne pas opter pour un outil intégré, alors.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
De nombreux administrateurs réseau et système connaissent bien SolarWinds . Après tout, l'entreprise fabrique certains des meilleurs outils depuis une vingtaine d'années. Son produit phare, appelé SolarWinds Network Performance Monitor, est considéré comme l'un des meilleurs outils de ce type sur le marché. Et pour rendre les choses encore meilleures, SolarWinds publie également des outils gratuits qui répondent à certaines tâches spécifiques d'administration de réseau.
Bien que SolarWinds ne crée pas d'outil de surveillance de l'intégrité des fichiers dédié, son outil de gestion des informations et des événements de sécurité (SIEM), le gestionnaire d'événements de sécurité SolarWinds , comprend un très bon module de surveillance de l'intégrité des fichiers. Ce produit est certainement l'un des meilleurs systèmes SIEM d'entrée de gamme sur le marché. L'outil a presque tout ce que l'on attend d'un outil SIEM. Cela inclut d'excellentes fonctionnalités de gestion des journaux et de corrélation ainsi qu'un moteur de rapport impressionnant et, bien sûr, une surveillance de l'intégrité des fichiers.
ESSAI GRATUIT : Gestionnaire d'événements de sécurité SolarWinds
Lien de téléchargement officiel : https://www.solarwinds.com/security-event-manager/registration
Lorsqu'il s'agit de surveiller l'intégrité des fichiers, le gestionnaire d'événements de sécurité SolarWinds peut indiquer quels utilisateurs sont responsables des modifications apportées aux fichiers. Il peut également suivre les activités supplémentaires des utilisateurs, vous permettant de créer diverses alertes et rapports. La barre latérale de la page d'accueil de l'outil peut afficher le nombre d'événements de modification survenus sous l'en-tête Gestion des modifications. Chaque fois que quelque chose semble suspect et que vous souhaitez approfondir, vous avez la possibilité de filtrer les événements par mot-clé.
L'outil dispose également d'excellentes fonctionnalités de réponse aux événements qui ne laissent rien à désirer. Par exemple, le système de réponse détaillé en temps réel réagira activement à chaque menace. Et comme il est basé sur le comportement plutôt que sur la signature, vous êtes protégé contre les menaces inconnues ou futures et les attaques zero-day.
En plus d'un ensemble de fonctionnalités impressionnant, le tableau de bord de SolarWinds Security Event Manager vaut certainement la peine d'être discuté. Grâce à sa conception simple, vous n'aurez aucun mal à vous repérer dans l'outil et à identifier rapidement les anomalies. À partir d'environ 4 500 $, l'outil est plus qu'abordable. Et si vous voulez l'essayer et voir comment il fonctionne dans votre environnement, une version d'essai gratuite de 30 jours entièrement fonctionnelle est disponible en téléchargement.
Lien de téléchargement officiel : https://www.solarwinds.com/security-event-manager/registration
2. OSSEC
OSSEC , qui signifie Open Source Security, l'un des systèmes de détection d'intrusion basés sur l'hôte open source les plus connus. Le produit appartient à Trend Micro , l'un des principaux noms de la sécurité informatique et fabricant de l'une des meilleures suites de protection antivirus. Et si le produit figure sur cette liste, soyez assuré qu'il dispose également d'une fonctionnalité de surveillance de l'intégrité des fichiers très décente.
Lorsqu'il est installé sur des systèmes d'exploitation Linux ou Mac OS, le logiciel se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant chaque fois que quelque chose d'étrange se produit. Il surveillera et alertera également en cas de tentative anormale d'accès root. Sur les hôtes Windows, le système surveille également les modifications de registre non autorisées qui pourraient être un signe révélateur d'activité malveillante.
Lorsqu'il s'agit de surveiller l'intégrité des fichiers, OSSEC dispose d'une fonctionnalité spécifique appelée Syscheck . L'outil s'exécute toutes les six heures par défaut et vérifie les modifications apportées aux sommes de contrôle des fichiers clés. Le module est conçu pour réduire l'utilisation du processeur, ce qui en fait une option potentiellement intéressante pour les organisations nécessitant une solution de gestion de l'intégrité des fichiers avec un faible encombrement.
En tant que système de détection d'intrusion basé sur l'hôte, OSSEC doit être installé sur chaque ordinateur (ou serveur) que vous souhaitez protéger. C'est le principal inconvénient de tels systèmes. Cependant, une console centralisée est disponible qui consolide les informations de chaque ordinateur protégé pour une gestion plus facile. Cette console OSSEC ne fonctionne que sur les systèmes d'exploitation Linux ou Mac OS. Cependant, un agent est disponible pour protéger les hôtes Windows. Toute détection déclenchera une alerte qui s'affichera sur la console centralisée tandis que des notifications seront également envoyées par email.
3. Intégrité du fichier Samhain
Samhain est un système de détection d'intrusion hôte gratuit qui fournit une vérification de l'intégrité des fichiers et une surveillance/analyse des fichiers journaux. En outre, le produit effectue également la détection des rootkits, la surveillance des ports, la détection des exécutables SUID malveillants et des processus cachés. Cet outil a été conçu pour surveiller plusieurs systèmes avec divers systèmes d'exploitation avec une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé comme une application autonome sur un seul ordinateur. L'outil peut fonctionner sur des systèmes POSIX comme Unix , Linux ou Mac OS . Il peut également fonctionner sous Windows sous Cygwin bien que seul l'agent de surveillance et non le serveur ait été testé dans cette configuration.
Sur les hôtes Linux, S amhain peut tirer parti du mécanisme inotify pour surveiller les événements du système de fichiers. En temps réel Cela vous permet de recevoir des notifications immédiates sur les modifications et élimine le besoin d'analyses fréquentes du système de fichiers qui peuvent entraîner une charge d'E/S élevée. De plus, diverses sommes de contrôle peuvent être vérifiées telles que TIGER192, SHA-256, SHA-1 ou MD5. La taille du fichier, le mode/l'autorisation, le propriétaire, le groupe, l'horodatage (création/modification/accès), l'inode, le nombre de liens physiques et le chemin lié aux liens symboliques peuvent également être vérifiés. L'outil peut même vérifier des propriétés plus « exotiques » telles que les attributs SELinux, les ACL POSIX (sur les systèmes les prenant en charge), les attributs de fichier Linux ext2 (tels que définis par chattr tels que l'indicateur immuable) et les indicateurs de fichier BSD.
L'une des caractéristiques uniques de Samhain est son mode furtif qui lui permet de fonctionner sans être détecté par d'éventuels attaquants. Trop souvent, les intrus tuent les processus de détection qu'ils reconnaissent, leur permettant de passer inaperçus. Cet outil utilise des techniques de stéganographie pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP pour empêcher toute falsification. Dans l'ensemble, il s'agit d'un outil très complet offrant bien plus qu'une simple surveillance de l'intégrité des fichiers.
4. Gestionnaire d'intégrité des fichiers Tripwire
Vient ensuite une solution de Tripwire , une entreprise qui jouit d'une solide réputation dans le domaine de la sécurité informatique. Et lorsqu'il s'agit de surveiller l'intégrité des fichiers, Tripwire File Integrity Manager ( FIM ) a la capacité unique de réduire le bruit en offrant plusieurs façons d'éliminer les changements à faible risque des changements à haut risque tout en évaluant, hiérarchisant et conciliant les changements détectés. En promouvant automatiquement de nombreuses modifications du statu quo, l'outil réduit le bruit afin que vous disposiez de plus de temps pour enquêter sur les modifications susceptibles d'avoir un impact réel sur la sécurité et d'introduire des risques. Fil de déclenchement FIMutilise des agents pour capturer en continu les détails complets qui, quoi et quand en temps réel. Cela permet de garantir que vous détectez toutes les modifications, capturez des détails sur chacune et utilisez ces détails pour déterminer le risque de sécurité ou la non-conformité.
Tripwire vous donne la possibilité d'intégrer File Integrity Manager à bon nombre de vos contrôles de sécurité : gestion de la configuration de la sécurité (SCM), gestion des journaux et outils SIEM. Tripwire FIM ajoute des composants qui balisent et gèrent les données de ces commandes de manière plus intuitive et de manière à mieux protéger les données. Par exemple, Event Integration Framework ( EIF ) ajoute des données de modification précieuses de File Integrity Manager à Tripwire Log Center ou à presque tout autre SIEM. Avec EIF et d'autres contrôles de sécurité fondamentaux de Tripwire , vous pouvez facilement et efficacement gérer la sécurité de votre infrastructure informatique.
Tripwire File Integrity Manager utilise l'automatisation pour détecter tous les changements et corriger ceux qui retirent une configuration de la politique. Il peut s'intégrer aux systèmes de tickets de modification existants tels que BMC Remedy , HP Service Center ou Service Now , permettant un audit rapide. Cela garantit également la traçabilité. De plus, les alertes automatisées déclenchent des réponses personnalisées par l'utilisateur lorsqu'un ou plusieurs changements spécifiques atteignent un seuil de gravité qu'un seul changement ne provoquerait pas. Par exemple, une modification mineure du contenu accompagnée d'une modification d'autorisation effectuée en dehors d'une fenêtre de modification planifiée.
5. AFICK (un autre vérificateur d'intégrité de fichier)
Ensuite, un outil open source du développeur Eric Gerbier appelé AFICK (Another File Integrity Checker) . Bien que l'outil prétend offrir des fonctionnalités similaires à Tripwire, il s'agit d'un produit beaucoup plus grossier, dans la lignée des logiciels open source traditionnels. L'outil peut surveiller tout changement dans les systèmes de fichiers qu'il surveille. Il prend en charge plusieurs plates-formes telles que Linux (SUSE, Redhat, Debian et plus), Windows, HP Tru64 Unix, HP-UX et AIX. Le logiciel est conçu pour être rapide et portable et il peut fonctionner sur n'importe quel ordinateur prenant en charge Perl et ses modules standard.
Quant aux fonctionnalités de l' AFICK , voici un aperçu de ses principales caractéristiques. L'outil est facile à installer et ne nécessite aucune compilation ni l'installation de nombreuses dépendances. C'est aussi un outil rapide, en partie à cause de sa petite taille. Malgré sa petite taille, il affichera les fichiers nouveaux, supprimés et modifiés ainsi que tous les liens suspendus. Il utilise un simple fichier de configuration textuel qui prend en charge les exceptions et les jokers et utilise une syntaxe très similaire à celle de Tripwire ou d'Aide. Une interface utilisateur graphique basée sur Tk et une interface Web basée sur Webmin sont disponibles si vous préférez rester à l'écart d'un outil de ligne de commande.
AFICK (Another File Integrity Checker) est entièrement écrit en Perl pour la portabilité et l'accès aux sources. Et comme il est open-source (publié sous licence publique générale GNU), vous êtes libre d'y ajouter des fonctionnalités comme bon vous semble. L'outil utilise MD5 pour ses besoins de somme de contrôle car il est rapide et il est intégré à toutes les distributions Perl et au lieu d'utiliser une base de données en texte clair, dbm est utilisé.
6. AIDE (environnement avancé de détection d'intrusion)
Malgré un nom plutôt trompeur, AIDE (Advanced Intrusion Detection Environment) est en fait un vérificateur d'intégrité de fichiers et de répertoires. Il fonctionne en créant une base de données à partir des règles d'expressions régulières qu'il trouve dans son fichier de configuration. Une fois la base de données initialisée, elle l'utilise pour vérifier l'intégrité des fichiers. L'outil utilise plusieurs algorithmes de résumé de message qui peuvent être utilisés pour vérifier l'intégrité des fichiers. De plus, tous les attributs de fichier habituels peuvent être vérifiés pour les incohérences. Il peut également lire des bases de données de versions plus anciennes ou plus récentes.
En termes de fonctionnalités, AIDE est complet. Il prend en charge plusieurs algorithmes de résumé de message tels que md5, sha1, rmd160, tiger, crc32, sha256, sha512 et whirlpool. L'outil peut vérifier plusieurs attributs de fichier, notamment le type de fichier, les autorisations, l'inode, l'UID, le Gid, le nom du lien, la taille, le nombre de blocs, le nombre de liens, Mtime, Ctime et Atime. Il peut également prendre en charge les attributs de système de fichiers Posix ACL, SELinux, XAttrs et Extended. Par souci de simplicité, l'outil utilise des fichiers de configuration en texte brut ainsi qu'une base de données en texte brut. L'une de ses fonctionnalités les plus intéressantes est sa prise en charge d'expressions régulières puissantes vous permettant d'inclure ou d'exclure de manière sélective des fichiers et des répertoires à surveiller. Cette caractéristique à elle seule en fait un outil très polyvalent et flexible.
Le produit, qui existe depuis 1999 est toujours activement développé et la dernière version (0.16.2) n'a que quelques mois. Il est disponible sous la licence publique générale GNU et il fonctionnera sur la plupart des variantes modernes de Linux.
7. Surveillance de l'intégrité des fichiers Qualys
Qualys File Integrity Monitoring du géant de la sécurité Qualys est une "solution cloud pour détecter et identifier les changements critiques, les incidents et les risques résultant d'événements normaux et malveillants". Il est livré avec des profils prêts à l'emploi qui sont basés sur les meilleures pratiques de l'industrie et sur les directives recommandées par les fournisseurs pour les exigences communes de conformité et d'audit, y compris PCI DSS.
Qualys File Integrity Monitoring détecte efficacement les changements en temps réel, en utilisant des approches similaires à celles utilisées dans les technologies antivirus. Les notifications de modification peuvent être créées pour des structures de répertoires entières ou au niveau du fichier. L'outil utilise les signaux existants du noyau du système d'exploitation pour identifier les fichiers accédés, au lieu de s'appuyer sur des approches gourmandes en calcul. Le produit peut détecter la création ou la suppression de fichiers ou de répertoires, le changement de nom de fichiers ou de répertoires, les modifications apportées aux attributs de fichiers, les modifications apportées aux paramètres de sécurité des fichiers ou des répertoires tels que les autorisations, la propriété, l'héritage et l'audit ou les modifications apportées aux données de fichiers stockées sur le disque.
C'est un produit à plusieurs niveaux. L' agent Qualys Cloud surveille en permanence les fichiers et les répertoires spécifiés dans votre profil de surveillance et il capture les données critiques pour aider à identifier ce qui a changé ainsi que les détails de l'environnement tels que l'utilisateur et le processus impliqués dans le changement. Il envoie ensuite les données à Qualys Cloud Platform pour analyse et reporting. L'un des avantages de cette approche est qu'elle fonctionne de la même manière, que les systèmes soient sur site, dans le cloud ou à distance.
Surveillance de l' intégrité du fichier peut être facilement activé sur votre existants Qualys A gents , et commencer la surveillance des changements au niveau local avec un impact minimal sur le point de terminaison. La Qualys Cloud Platform vous permet d' évoluer facilement vers les environnements les plus vastes. L'impact sur les performances sur les points de terminaison surveillés est minimisé en surveillant efficacement les modifications de fichiers localement et en envoyant les données à la plate-forme Qualys Cloud où se déroulent tous les gros travaux d'analyse et de corrélation. Quant à Qualys Cloud Agent , il se met à jour et s'auto-répare, se gardant à jour sans avoir à redémarrer.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
