7 Software Pemantauan Integritas File Terbaik (Ulasan 2021)

Keamanan TI adalah topik hangat. Berita itu penuh dengan cerita tentang pelanggaran keamanan, pencurian data, atau ransomware. Beberapa orang akan berpendapat bahwa semua ini hanyalah tanda zaman kita, tetapi itu tidak mengubah fakta bahwa ketika Anda ditugaskan untuk memelihara segala jenis lingkungan TI, melindungi dari ancaman semacam itu adalah bagian penting dari pekerjaan.

Karena alasan itu, perangkat lunak File Integrity Monitoring (FIM) hampir menjadi alat yang sangat diperlukan untuk organisasi mana pun. Tujuan utamanya adalah untuk memastikan bahwa setiap perubahan file yang tidak sah atau tidak terduga dapat diidentifikasi dengan cepat. Ini dapat membantu meningkatkan keamanan data secara keseluruhan, yang penting bagi perusahaan mana pun dan tidak boleh diabaikan.

Hari ini, kita akan memulai dengan melihat sekilas Pemantauan Integritas File. Kami akan melakukan yang terbaik untuk menjelaskan secara sederhana apa itu dan bagaimana cara kerjanya. Kami juga akan melihat siapa yang harus menggunakannya. Kemungkinan besar tidak akan mengejutkan untuk mengetahui bahwa siapa pun dapat memperoleh manfaat darinya dan kita akan melihat bagaimana dan mengapa. Dan begitu kita semua berada di halaman yang sama tentang Pemantauan Integritas File, kita akan siap untuk masuk ke inti posting ini dan meninjau secara singkat beberapa alat terbaik yang ditawarkan pasar.

Apa itu Pemantauan Integritas File?

Pada intinya, pemantauan integritas file adalah elemen kunci dari proses manajemen keamanan TI. Konsep utama di baliknya adalah untuk memastikan bahwa modifikasi apa pun pada sistem file diperhitungkan dan bahwa setiap modifikasi yang tidak terduga dengan cepat diidentifikasi.

Sementara beberapa sistem menawarkan pemantauan integritas file secara real-time, itu cenderung memiliki dampak yang lebih tinggi pada kinerja, Oleh karena itu, sistem berbasis snapshot sering lebih disukai. Ia bekerja dengan mengambil snapshot dari sistem file secara berkala dan membandingkannya dengan yang sebelumnya atau dengan baseline yang ditetapkan sebelumnya. Tidak peduli bagaimana fungsi deteksi (waktu nyata atau tidak), setiap perubahan yang terdeteksi yang menunjukkan semacam akses tidak sah atau aktivitas berbahaya (seperti perubahan tiba-tiba dalam ukuran file atau akses oleh pengguna atau grup pengguna tertentu) dan peringatan adalah diangkat dan/atau beberapa bentuk atau proses remediasi diluncurkan. Itu bisa berkisar dari memunculkan jendela peringatan hingga memulihkan file asli dari cadangan atau memblokir akses ke file yang terancam punah.

Untuk Siapa Pemantauan Integritas File?

Jawaban cepat untuk pertanyaan ini adalah siapa saja. Sungguh, organisasi mana pun dapat memperoleh manfaat dari menggunakan perangkat lunak Pemantauan Integritas File. Namun, banyak yang akan memilih untuk menggunakannya karena mereka berada dalam situasi di mana diamanatkan. Misalnya, perangkat lunak Pemantauan Integritas File diperlukan atau sangat diindikasikan oleh kerangka peraturan tertentu seperti PCI DSS, Sarbanes-Oxley, atau HIPAA. Secara konkret, jika Anda berada di sektor keuangan atau perawatan kesehatan, atau jika Anda memproses kartu pembayaran, Pemantauan Integritas File lebih merupakan persyaratan daripada opsi.

Demikian juga, meskipun mungkin tidak wajib, organisasi mana pun yang berurusan dengan informasi sensitif harus sangat mempertimbangkan perangkat lunak Pemantauan Integritas File. Apakah Anda menyimpan data klien atau rahasia dagang, ada keuntungan yang jelas dalam menggunakan jenis alat ini. Itu bisa menyelamatkan Anda dari segala macam kecelakaan.

Tetapi Pemantauan Integritas File tidak hanya untuk organisasi besar. Meskipun perusahaan besar dan bisnis menengah cenderung menyadari pentingnya perangkat lunak Pemantauan Integritas File, usaha kecil tentu harus mempertimbangkannya juga. Ini terutama benar ketika Anda memperhitungkan bahwa ada alat Pemantauan Integritas File yang sesuai dengan setiap kebutuhan dan anggaran. Faktanya, beberapa alat dalam daftar kami gratis dan sumber terbuka.

Perangkat Lunak Pemantauan Integritas File terbaik

Ada banyak alat yang menawarkan fungsionalitas Pemantauan Integritas File. Beberapa dari mereka adalah alat khusus yang pada dasarnya tidak melakukan hal lain. Beberapa, di sisi lain, adalah solusi keamanan TI yang luas yang mengintegrasikan Pemantauan Integritas File bersama dengan fungsionalitas terkait keamanan lainnya. Kami telah mencoba memasukkan kedua jenis alat tersebut ke dalam daftar kami. Bagaimanapun, Pemantauan Integritas File sering kali merupakan bagian dari upaya manajemen keamanan TI yang mencakup fungsi-fungsi lain. Mengapa tidak menggunakan alat yang terintegrasi.

1. Manajer Acara Keamanan SolarWinds (UJI COBA GRATIS)

Banyak administrator jaringan dan sistem yang akrab dengan SolarWinds . Bagaimanapun, perusahaan telah membuat beberapa alat terbaik selama sekitar dua puluh tahun. Produk andalannya, yang disebut Monitor Kinerja Jaringan SolarWinds dianggap sebagai salah satu alat terbaik di pasar. Dan untuk membuat segalanya lebih baik, SolarWinds juga menerbitkan alat gratis yang menangani beberapa tugas administrasi jaringan tertentu.

Meskipun SolarWinds tidak membuat alat pemantauan integritas file khusus, alat Informasi Keamanan dan Manajemen Peristiwa (SIEM), SolarWinds Security Event Manager , menyertakan modul pemantauan integritas file yang sangat baik. Produk ini jelas merupakan salah satu sistem SIEM entry-level terbaik di pasar. Alat ini memiliki hampir semua yang diharapkan dari alat SIEM. Ini termasuk manajemen log yang sangat baik dan fitur korelasi serta mesin pelaporan yang mengesankan dan, tentu saja, pemantauan integritas file.

UJI COBA GRATIS: Manajer Acara Keamanan SolarWinds

Tautan Unduhan Resmi: https://www.solarwinds.com/security-event-manager/registration

Dalam hal pemantauan integritas file, SolarWinds Security Event Manager dapat menunjukkan pengguna mana yang bertanggung jawab atas perubahan file mana. Itu juga dapat melacak aktivitas pengguna tambahan, memungkinkan Anda membuat berbagai peringatan dan laporan. Bilah sisi beranda alat dapat menampilkan berapa banyak peristiwa perubahan yang terjadi di bawah tajuk Manajemen Perubahan. Setiap kali sesuatu terlihat mencurigakan dan Anda ingin menggali lebih dalam, Anda memiliki opsi untuk memfilter peristiwa menurut kata kunci.

Alat ini juga menawarkan fitur respons peristiwa luar biasa yang tidak meninggalkan apa pun yang diinginkan. Misalnya, sistem respons waktu nyata yang terperinci akan secara aktif bereaksi terhadap setiap ancaman. Dan karena ini didasarkan pada perilaku daripada tanda tangan, Anda terlindungi dari ancaman yang tidak diketahui atau di masa depan dan serangan zero-day.

Selain rangkaian fitur yang mengesankan, dasbor SolarWinds Security Event Manager tentu saja layak untuk didiskusikan. Dengan desainnya yang sederhana, Anda tidak akan kesulitan menemukan jalan di sekitar alat dan mengidentifikasi anomali dengan cepat. Mulai dari sekitar $ 4 500, alat ini lebih dari terjangkau. Dan jika Anda ingin mencobanya dan melihat cara kerjanya di lingkungan Anda, versi uji coba gratis yang berfungsi penuh selama 30 hari tersedia untuk diunduh.

Tautan Unduhan Resmi: https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC , yang merupakan singkatan dari Open Source Security, salah satu sistem deteksi intrusi berbasis host open-source yang paling terkenal. Produk ini dimiliki oleh Trend Micro , salah satu nama terkemuka dalam keamanan TI dan pembuat salah satu rangkaian perlindungan virus terbaik. Dan jika produk ada dalam daftar ini, yakinlah bahwa ia juga memiliki fungsi pemantauan integritas file yang sangat baik.

Ketika diinstal pada sistem operasi Linux atau Mac OS, perangkat lunak ini terutama berfokus pada file log dan konfigurasi. Ini membuat checksum dari file penting dan secara berkala memvalidasinya, mengingatkan Anda setiap kali sesuatu yang aneh terjadi. Ini juga akan memantau dan memperingatkan setiap upaya abnormal untuk mendapatkan akses root. Pada host Windows, sistem juga mengawasi modifikasi registri yang tidak sah yang bisa menjadi tanda aktivitas jahat.

Dalam hal pemantauan integritas file, OSSEC memiliki fungsi khusus yang disebut Syscheck . Alat ini berjalan setiap enam jam secara default dan memeriksa perubahan pada checksum file kunci. Modul ini dirancang untuk mengurangi penggunaan CPU, menjadikannya pilihan yang berpotensi baik untuk organisasi yang membutuhkan solusi manajemen integritas file dengan footprint kecil.

Berdasarkan sistem deteksi intrusi berbasis host, OSSEC perlu diinstal pada setiap komputer (atau server) yang ingin Anda lindungi. Ini adalah kelemahan utama dari sistem tersebut. Namun, konsol terpusat tersedia yang mengkonsolidasikan informasi dari setiap komputer yang dilindungi untuk manajemen yang lebih mudah. Itu OSSEC konsol hanya berjalan pada sistem operasi Linux atau Mac OS. Namun, agen tersedia untuk melindungi host Windows. Deteksi apa pun akan memicu peringatan yang akan ditampilkan di konsol terpusat sementara pemberitahuan juga akan dikirim melalui email.

3. Integritas File Samhain

Samhain adalah sistem deteksi intrusi host gratis yang menyediakan pemeriksaan integritas file dan pemantauan/analisis file log. Selain itu, produk juga melakukan deteksi rootkit, pemantauan port, deteksi executable SUID nakal, dan proses tersembunyi. Alat ini telah dirancang untuk memantau beberapa sistem dengan berbagai sistem operasi dengan pencatatan dan pemeliharaan terpusat. Namun, Samhain juga dapat digunakan sebagai aplikasi yang berdiri sendiri di satu komputer. Alat ini dapat berjalan pada sistem POSIX seperti Unix , Linux atau Mac OS . Itu juga dapat berjalan di Windows di bawah Cygwin meskipun hanya agen pemantauan dan bukan server yang telah diuji dalam konfigurasi itu.

Pada host Linux, S amhain dapat memanfaatkan mekanisme inotify untuk memantau kejadian sistem file. Secara real-time Ini memungkinkan Anda menerima pemberitahuan segera tentang perubahan, dan menghilangkan kebutuhan untuk pemindaian sistem file yang sering yang dapat menyebabkan beban I/O yang tinggi. Selain itu, berbagai checksum dapat diperiksa seperti TIGER192, SHA-256, SHA-1 atau MD5. Ukuran file, mode/izin, pemilik, grup, stempel waktu (pembuatan/modifikasi/akses), inode, jumlah tautan keras dan jalur tautan simbolik juga dapat diperiksa. Alat ini bahkan dapat memeriksa lebih banyak properti "eksotis" seperti atribut SELinux, POSIX ACL (pada sistem yang mendukungnya), atribut file Linux ext2 (seperti yang ditetapkan oleh chattr seperti flag yang tidak dapat diubah), dan flag file BSD.

Salah satu fitur unik Samhain adalah mode siluman yang memungkinkannya berjalan tanpa terdeteksi oleh penyerang. Terlalu sering penyusup membunuh proses deteksi yang mereka kenali, sehingga mereka tidak diperhatikan. Alat ini menggunakan teknik steganografi untuk menyembunyikan prosesnya dari orang lain. Ini juga melindungi file log pusat dan cadangan konfigurasi dengan kunci PGP untuk mencegah gangguan. Secara keseluruhan, ini adalah alat yang sangat lengkap yang menawarkan lebih dari sekadar pemantauan integritas file.

4. Manajer Integritas File Tripwire

Berikutnya adalah solusi dari Tripwire , sebuah perusahaan yang menikmati reputasi yang solid dalam keamanan TI. Dan ketika datang ke pemantauan integritas berkas, Tripwire Berkas Integritas M anajer ( FIM ) memiliki kemampuan yang unik untuk mengurangi kebisingan dengan memberikan beberapa cara menyiangi perubahan berisiko rendah dari yang berisiko tinggi sementara menilai, memprioritaskan dan mendamaikan terdeteksi perubahan. Dengan secara otomatis mempromosikan berbagai perubahan bisnis seperti biasa, alat ini mengurangi kebisingan sehingga Anda memiliki lebih banyak waktu untuk menyelidiki perubahan yang benar-benar dapat memengaruhi keamanan dan menimbulkan risiko. Tripwire FIMmenggunakan agen untuk terus-menerus menangkap siapa, apa, dan kapan detail lengkap secara real-time. Ini membantu memastikan bahwa Anda mendeteksi semua perubahan, menangkap detail tentang setiap perubahan, dan menggunakan detail tersebut untuk menentukan risiko keamanan atau ketidakpatuhan.

Tripwire memberi Anda kemampuan untuk mengintegrasikan File Integrity Manager dengan banyak kontrol keamanan Anda: manajemen konfigurasi keamanan (SCM), manajemen log, dan alat SIEM. Tripwire FIM menambahkan komponen yang menandai dan mengelola data dari kontrol ini secara lebih intuitif dan dengan cara yang melindungi data dengan lebih baik. Misalnya, Kerangka Integrasi Peristiwa ( EIF ) menambahkan data perubahan yang berharga dari Manajer Integritas File ke Pusat Log Tripwire atau hampir semua SIEM lainnya. Dengan EIF dan kontrol keamanan Tripwire dasar lainnya , Anda dapat dengan mudah dan efektif mengelola keamanan infrastruktur TI Anda.

Manajer Integritas File Tripwire menggunakan otomatisasi untuk mendeteksi semua perubahan dan untuk memulihkan perubahan yang mengeluarkan konfigurasi dari kebijakan. Itu dapat berintegrasi dengan sistem tiket perubahan yang ada seperti BMC Remedy , HP Service Center atau Service Now , memungkinkan audit cepat. Ini juga memastikan keterlacakan. Selain itu, lansiran otomatis memicu respons yang disesuaikan pengguna ketika satu atau beberapa perubahan spesifik mencapai ambang tingkat keparahan yang tidak akan disebabkan oleh satu perubahan saja. Misalnya, perubahan konten kecil disertai dengan perubahan izin yang dilakukan di luar jendela perubahan yang direncanakan.

5. AFICK (Pemeriksa Integritas File Lain)

Berikutnya adalah alat sumber terbuka dari pengembang Eric Gerbier yang disebut AFICK (Pemeriksa Integritas File Lain) . Meskipun alat ini mengklaim menawarkan fungsionalitas yang mirip dengan Tripwire, ini adalah produk yang jauh lebih kasar, banyak di jajaran perangkat lunak sumber terbuka tradisional. Alat ini dapat memantau setiap perubahan dalam sistem file yang diawasinya. Mendukung berbagai platform seperti Linux (SUSE, Redhat, Debian dan banyak lagi), Windows, HP Tru64 Unix, HP-UX, dan AIX. Perangkat lunak ini dirancang agar cepat dan portabel dan dapat bekerja di komputer mana pun yang mendukung Perl dan modul standarnya.

Adapun fungsi AFICK , berikut adalah ikhtisar fitur utamanya. Alat ini mudah dipasang dan tidak memerlukan kompilasi atau pemasangan banyak dependensi. Ini juga merupakan alat yang cepat, sebagian karena ukurannya yang kecil. Meskipun ukurannya kecil, itu akan menampilkan file baru, yang dihapus, dan dimodifikasi serta tautan yang menggantung. Ini menggunakan file konfigurasi berbasis teks sederhana yang mendukung pengecualian dan pelawak dan menggunakan sintaks yang sangat mirip dengan Tripwire atau Aide. Baik antarmuka pengguna grafis berbasis Tk dan antarmuka web berbasis webmin tersedia jika Anda lebih suka menjauh dari alat baris perintah.

AFICK (Pemeriksa Integritas File Lain) seluruhnya ditulis dalam Perl untuk portabilitas, dan akses sumber. Dan karena ini adalah open-source (dirilis di bawah GNU General Public License), Anda bebas menambahkan fungsionalitas ke dalamnya sesuai keinginan Anda. Alat ini menggunakan MD5 untuk kebutuhan checksumnya karena cepat dan dibangun ke dalam semua distribusi Perl dan alih-alih menggunakan database teks yang jelas, dbm digunakan.

6. AIDE (Lingkungan Deteksi Intrusi Tingkat Lanjut)

Meskipun namanya agak menyesatkan, AIDE (Advanced Intrusion Detection Environment) sebenarnya adalah pemeriksa integritas file dan direktori. Ia bekerja dengan membuat database dari aturan ekspresi reguler yang ditemukan dari file konfigurasinya. Setelah database diinisialisasi menggunakannya untuk memverifikasi integritas file. Alat ini menggunakan beberapa algoritma intisari pesan yang dapat digunakan untuk memeriksa integritas file. Selanjutnya, semua atribut file biasa dapat diperiksa untuk inkonsistensi. Itu juga dapat membaca database dari versi yang lebih lama atau lebih baru.

Dari segi fitur, AIDE adalah penilai yang lengkap. Ini mendukung beberapa algoritma intisari pesan seperti md5, sha1, rmd160, tiger, crc32, sha256, sha512, dan whirlpool. Alat ini dapat memeriksa beberapa atribut file termasuk Jenis file, Izin, Inode, Uid, Gid, Nama tautan, Ukuran, Jumlah blok, Jumlah tautan, Mtime, Ctime, dan Atime. Itu juga dapat mendukung atribut sistem file Posix ACL, SELinux, XAttrs dan Extended. Demi kesederhanaan, alat ini menggunakan file konfigurasi teks biasa serta database teks biasa. Salah satu fitur yang paling menarik adalah dukungan ekspresi reguler yang kuat yang memungkinkan Anda untuk secara selektif memasukkan atau mengecualikan file dan direktori untuk dipantau. Fitur ini saja membuatnya menjadi alat yang sangat serbaguna dan fleksibel.

Produk yang sudah ada sejak tahun 1999 ini masih aktif dikembangkan dan versi terbaru (0.16.2) baru berumur beberapa bulan. Ini tersedia di bawah lisensi publik umum GNU dan akan berjalan di sebagian besar varian Linux modern.

7. Pemantauan Integritas File Qualys

Pemantauan Integritas File Qualys dari raksasa keamanan Qualys adalah "solusi cloud untuk mendeteksi dan mengidentifikasi perubahan penting, insiden, dan risiko yang dihasilkan dari peristiwa normal dan berbahaya." Muncul dengan profil out-of-the-box yang didasarkan pada praktik terbaik industri dan pedoman yang direkomendasikan vendor untuk kepatuhan umum dan persyaratan audit, termasuk PCI DSS.

Pemantauan Integritas File Qualys mendeteksi perubahan secara efisien dalam waktu nyata, menggunakan pendekatan serupa yang digunakan dalam teknologi anti-virus. Pemberitahuan perubahan dapat dibuat untuk seluruh struktur direktori atau pada tingkat file. Alat ini menggunakan sinyal kernel OS yang ada untuk mengidentifikasi file yang diakses, alih-alih mengandalkan pendekatan komputasi intensif. Produk dapat mendeteksi pembuatan atau penghapusan file atau direktori, penggantian nama file atau direktori, perubahan atribut file, perubahan pengaturan keamanan file atau direktori seperti izin, kepemilikan, pewarisan, dan audit atau perubahan data file yang disimpan di disk.

Ini adalah produk multi-tier. The Qualys Cloud Agen terus menerus memonitor file dan direktori yang ditentukan dalam profil memantau dan menangkap data penting untuk membantu mengidentifikasi apa yang berubah seiring dengan rincian lingkungan seperti yang pengguna dan yang proses terlibat dalam perubahan. Kemudian mengirimkan data ke Qualys Cloud Platform untuk analisis dan pelaporan. Salah satu keuntungan dari pendekatan ini adalah cara kerjanya sama baik sistem di tempat, di cloud, atau jarak jauh.

Pemantauan Integritas File dapat dengan mudah diaktifkan pada pria Qualys A Anda yang ada , dan mulai memantau perubahan secara lokal dengan dampak minimal ke titik akhir. The Qualys Cloud Platform memungkinkan Anda untuk dengan mudah skala untuk lingkungan terbesar. Dampak kinerja pada titik akhir yang dipantau diminimalkan dengan memantau perubahan file secara lokal secara efisien dan mengirimkan data ke Qualys Cloud Platform tempat semua pekerjaan analisis dan korelasi yang berat terjadi. Adapun Qualys Cloud Agent , itu memperbarui diri dan menyembuhkan diri sendiri, menjaga dirinya tetap up to date tanpa perlu reboot.