La sicurezza informatica è un argomento scottante. Le notizie sono piene di storie di violazioni della sicurezza, furto di dati o ransomware. Alcuni sosterranno che tutto questo è semplicemente un segno dei nostri tempi, ma ciò non cambia il fatto che quando si ha il compito di mantenere qualsiasi tipo di ambiente IT, la protezione da tali minacce è una parte importante del lavoro.
Per questo motivo, il software File Integrity Monitoring (FIM) è diventato quasi uno strumento indispensabile per qualsiasi organizzazione. Il suo scopo principale è garantire che qualsiasi modifica di file non autorizzata o imprevista venga rapidamente identificata. Può aiutare a migliorare la sicurezza complessiva dei dati, che è importante per qualsiasi azienda e non dovrebbe essere ignorata.
Oggi inizieremo dando una breve occhiata al monitoraggio dell'integrità dei file. Faremo del nostro meglio per spiegare in termini semplici che cos'è e come funziona. Daremo anche un'occhiata a chi dovrebbe usarlo. Molto probabilmente non sarà una grande sorpresa scoprire che chiunque può trarne beneficio e vedremo come e perché. E una volta che saremo tutti sulla stessa pagina sul monitoraggio dell'integrità dei file, saremo pronti per entrare nel vivo di questo post e rivedere brevemente alcuni dei migliori strumenti che il mercato ha da offrire.
Che cos'è il monitoraggio dell'integrità dei file?
Fondamentalmente, il monitoraggio dell'integrità dei file è un elemento chiave di un processo di gestione della sicurezza IT. Il concetto principale alla base è garantire che qualsiasi modifica a un file system sia tenuta in considerazione e che qualsiasi modifica imprevista venga rapidamente identificata.
Sebbene alcuni sistemi offrano il monitoraggio dell'integrità dei file in tempo reale, tende ad avere un impatto maggiore sulle prestazioni. Per questo motivo, spesso si preferisce un sistema basato su snapshot. Funziona prendendo un'istantanea di un file system a intervalli regolari e confrontandolo con quello precedente o con una linea di base precedentemente stabilita. Indipendentemente dal funzionamento del rilevamento (in tempo reale o meno), qualsiasi modifica rilevata che suggerisce una sorta di accesso non autorizzato o attività dannosa (come un improvviso cambiamento nella dimensione del file o l'accesso da parte di un utente o gruppo di utenti specifico) e l'avviso è sollevata e/o avviata una forma o un processo di riparazione. Potrebbe variare dall'apertura di una finestra di avviso al ripristino del file originale da un backup o al blocco dell'accesso al file in pericolo.
A chi è rivolto il monitoraggio dell'integrità dei file?
La risposta rapida a questa domanda è chiunque. In realtà, qualsiasi organizzazione può trarre vantaggio dall'utilizzo del software di monitoraggio dell'integrità dei file. Tuttavia, molti sceglieranno di usarlo perché si trovano in una situazione in cui è obbligatorio. Ad esempio, il software di monitoraggio dell'integrità dei file è richiesto o fortemente indicato da alcuni quadri normativi come PCI DSS, Sarbanes-Oxley o HIPAA. Concretamente, se operi nel settore finanziario o sanitario, o se elabori carte di pagamento, il monitoraggio dell'integrità dei file è più un requisito che un'opzione.
Allo stesso modo, anche se potrebbe non essere obbligatorio, qualsiasi organizzazione che si occupa di informazioni sensibili dovrebbe prendere in seria considerazione il software di monitoraggio dell'integrità dei file. Che tu stia archiviando i dati dei clienti o i segreti commerciali, c'è un ovvio vantaggio nell'utilizzo di questi tipi di strumenti. Potrebbe salvarti da ogni tipo di contrattempo.
Ma il monitoraggio dell'integrità dei file non è solo per le grandi organizzazioni. Sebbene le grandi imprese e le medie imprese allo stesso modo tendano a essere consapevoli dell'importanza del software di monitoraggio dell'integrità dei file, anche le piccole imprese dovrebbero prenderlo in considerazione. Ciò è particolarmente vero se si tiene conto del fatto che esistono strumenti di monitoraggio dell'integrità dei file che si adattano a ogni esigenza e budget. In effetti, diversi strumenti nel nostro elenco sono gratuiti e open-source.
Il miglior software di monitoraggio dell'integrità dei file
Esistono innumerevoli strumenti che offrono funzionalità di monitoraggio dell'integrità dei file. Alcuni di questi sono strumenti dedicati che sostanzialmente non fanno altro. Alcuni, d'altra parte, sono un'ampia soluzione di sicurezza IT che integra il monitoraggio dell'integrità dei file insieme ad altre funzionalità relative alla sicurezza. Abbiamo cercato di incorporare entrambi i tipi di strumenti nella nostra lista. Dopotutto, il monitoraggio dell'integrità dei file fa spesso parte di uno sforzo di gestione della sicurezza IT che include altre funzioni. Perché non scegliere uno strumento integrato, allora.
1. SolarWinds Security Event Manager (PROVA GRATUITA)
Molti amministratori di rete e di sistema hanno familiarità con SolarWinds . Dopotutto, l'azienda produce alcuni dei migliori strumenti da circa vent'anni. Il suo prodotto di punta, chiamato SolarWinds Network Performance Monitor, è considerato uno dei migliori strumenti di questo tipo sul mercato. E per rendere le cose ancora migliori, SolarWinds pubblica anche strumenti gratuiti che affrontano alcune attività specifiche di amministrazione della rete.
Sebbene SolarWinds non crei uno strumento di monitoraggio dell'integrità dei file dedicato, il suo strumento SIEM (Security Information and Event Management), SolarWinds Security Event Manager , include un ottimo modulo di monitoraggio dell'integrità dei file. Questo prodotto è sicuramente uno dei migliori sistemi SIEM entry-level sul mercato. Lo strumento ha quasi tutto ciò che ci si aspetterebbe da uno strumento SIEM. Ciò include un'eccellente gestione dei registri e funzionalità di correlazione, nonché un impressionante motore di reporting e, naturalmente, il monitoraggio dell'integrità dei file.
PROVA GRATUITA: SolarWinds Security Event Manager
Link ufficiale per il download: https://www.solarwinds.com/security-event-manager/registration
Quando si tratta di monitorare l'integrità dei file, SolarWinds Security Event Manager può mostrare quali utenti sono responsabili di quali modifiche ai file. Può anche tenere traccia delle attività degli utenti aggiuntive, consentendo di creare vari avvisi e report. La barra laterale della home page dello strumento può visualizzare quanti eventi di modifica si sono verificati sotto l'intestazione Gestione modifiche. Ogni volta che qualcosa sembra sospetto e vuoi approfondire, hai la possibilità di filtrare gli eventi per parola chiave.
Lo strumento vanta anche eccellenti funzionalità di risposta agli eventi che non lasciano nulla a desiderare. Ad esempio, il dettagliato sistema di risposta in tempo reale reagirà attivamente a ogni minaccia. E poiché si basa sul comportamento piuttosto che sulla firma, sei protetto da minacce sconosciute o future e attacchi zero-day.
Oltre a un impressionante set di funzionalità, vale sicuramente la pena discutere la dashboard di SolarWinds Security Event Manager . Con il suo design semplice, non avrai problemi a orientarti nello strumento e a identificare rapidamente le anomalie. A partire da circa $ 4 500, lo strumento è più che conveniente. E se vuoi provarlo e vedere come funziona nel tuo ambiente, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale.
Link ufficiale per il download: https://www.solarwinds.com/security-event-manager/registration
2. OSSEC
OSSEC , che sta per Open Source Security, uno dei più noti sistemi di rilevamento delle intrusioni basati su host open source. Il prodotto è di proprietà di Trend Micro , uno dei nomi leader nella sicurezza informatica e produttore di una delle migliori suite di protezione antivirus. E se il prodotto è in questo elenco, ti assicuriamo che ha anche una funzionalità di monitoraggio dell'integrità dei file molto decente.
Se installato su sistemi operativi Linux o Mac OS, il software si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li convalida periodicamente, avvisandoti ogni volta che accade qualcosa di strano. Inoltre monitorerà e avviserà su qualsiasi tentativo anomalo di ottenere l'accesso come root. Sugli host Windows, il sistema tiene d'occhio anche le modifiche al registro non autorizzate che potrebbero essere un segno rivelatore di attività dannose.
Quando si tratta di monitoraggio dell'integrità dei file, OSSEC ha una funzionalità specifica chiamata Syscheck . Lo strumento viene eseguito ogni sei ore per impostazione predefinita e verifica le modifiche ai checksum dei file chiave. Il modulo è progettato per ridurre l'utilizzo della CPU, rendendolo un'opzione potenzialmente buona per le organizzazioni che richiedono una soluzione di gestione dell'integrità dei file con un ingombro ridotto.
Essendo un sistema di rilevamento delle intrusioni basato su host, OSSEC deve essere installato su ogni computer (o server) che si desidera proteggere. Questo è il principale svantaggio di tali sistemi. Tuttavia, è disponibile una console centralizzata che consolida le informazioni da ciascun computer protetto per una gestione più semplice. Quella console OSSEC funziona solo su sistemi operativi Linux o Mac OS. Tuttavia, è disponibile un agente per proteggere gli host Windows. Qualsiasi rilevamento attiverà un avviso che verrà visualizzato sulla console centralizzata mentre le notifiche verranno inviate anche via e-mail.
3. Integrità del file Samhain
Samhain è un sistema di rilevamento delle intrusioni host gratuito che fornisce il controllo dell'integrità dei file e il monitoraggio/analisi dei file di registro. Inoltre, il prodotto esegue anche il rilevamento dei rootkit, il monitoraggio delle porte, il rilevamento di eseguibili SUID non autorizzati e processi nascosti. Questo strumento è stato progettato per monitorare più sistemi con vari sistemi operativi con registrazione e manutenzione centralizzate. Tuttavia, Samhain può essere utilizzato anche come applicazione autonoma su un singolo computer. Lo strumento può essere eseguito su sistemi POSIX come Unix , Linux o Mac OS . Può anche essere eseguito su Windows sotto Cygwin sebbene solo l'agente di monitoraggio e non il server sia stato testato in quella configurazione.
Su host Linux, S amhain può sfruttare il meccanismo inotify per monitorare gli eventi del file system. In tempo reale Ciò consente di ricevere notifiche immediate sulle modifiche ed elimina la necessità di scansioni frequenti del file system che possono causare un elevato carico di I/O. Inoltre, è possibile controllare vari checksum come TIGER192, SHA-256, SHA-1 o MD5. È inoltre possibile controllare la dimensione del file, la modalità/autorizzazione, il proprietario, il gruppo, il timestamp (creazione/modifica/accesso), l'inode, il numero di collegamenti fisici e il percorso collegato dei collegamenti simbolici. Lo strumento può anche controllare proprietà più "esotiche" come attributi SELinux, ACL POSIX (sui sistemi che li supportano), attributi del file Linux ext2 (come impostato da chattr come il flag immutabile) e i flag del file BSD.
Una delle caratteristiche uniche di Samhain è la sua modalità invisibile che gli consente di funzionare senza essere rilevato da eventuali aggressori. Troppo spesso gli intrusi uccidono i processi di rilevamento che riconoscono, permettendo loro di passare inosservati. Questo strumento utilizza tecniche di steganografia per nascondere i suoi processi agli altri. Protegge anche i suoi file di registro centrali e i backup di configurazione con una chiave PGP per evitare manomissioni. Nel complesso, questo è uno strumento molto completo che offre molto di più del semplice monitoraggio dell'integrità dei file.
4. Gestore dell'integrità dei file di Tripwire
Next è una soluzione di Tripwire , un'azienda che gode di una solida reputazione nella sicurezza informatica. E quando si tratta di monitoraggio dell'integrità dei file, Tripwire File Integrity Manager ( FIM ) ha una capacità unica di ridurre il rumore fornendo diversi modi per eliminare le modifiche a basso rischio da quelle ad alto rischio valutando, dando priorità e riconciliando le modifiche rilevate. Promuovendo automaticamente numerose modifiche ordinarie, lo strumento riduce il rumore in modo da avere più tempo per esaminare le modifiche che possono realmente avere un impatto sulla sicurezza e introdurre rischi. Tripwire FIMutilizza gli agenti per acquisire continuamente dettagli completi su chi, cosa e quando in tempo reale. Ciò consente di rilevare tutte le modifiche, acquisire i dettagli su ciascuna di esse e utilizzare tali dettagli per determinare il rischio per la sicurezza o la non conformità.
Tripwire ti dà la possibilità di integrare File Integrity Manager con molti dei tuoi controlli di sicurezza: gestione della configurazione della sicurezza (SCM), gestione dei log e strumenti SIEM. Tripwire FIM aggiunge componenti che etichettano e gestiscono i dati da questi controlli in modo più intuitivo e in modi che proteggono meglio i dati. Ad esempio, l' Event Integration Framework ( EIF ) aggiunge preziosi dati di modifica da File Integrity Manager a Tripwire Log Center oa quasi tutti gli altri SIEM. Con EIF e altri controlli di sicurezza fondamentali di Tripwire , puoi gestire in modo semplice ed efficace la sicurezza della tua infrastruttura IT.
Tripwire File Integrity Manager utilizza l'automazione per rilevare tutte le modifiche e correggere quelle che escludono una configurazione dal criterio. Può integrarsi con i sistemi di modifica ticket esistenti come BMC Remedy , HP Service Center o Service Now , consentendo una rapida verifica. Ciò garantisce anche la tracciabilità. Inoltre, gli avvisi automatici attivano risposte personalizzate dall'utente quando una o più modifiche specifiche raggiungono una soglia di gravità che una sola modifica non causerebbe. Ad esempio, una modifica minore del contenuto accompagnata da una modifica dell'autorizzazione eseguita al di fuori di una finestra di modifica pianificata.
5. AFICK (un altro controllo dell'integrità dei file)
Il prossimo è uno strumento open source dello sviluppatore Eric Gerbier chiamato AFICK (Another File Integrity Checker) . Sebbene lo strumento affermi di offrire funzionalità simili a Tripwire, è un prodotto molto più grezzo, molto simile al tradizionale software open source. Lo strumento può monitorare eventuali modifiche nei file system che controlla. Supporta più piattaforme come Linux (SUSE, Redhat, Debian e altre), Windows, HP Tru64 Unix, HP-UX e AIX. Il software è progettato per essere veloce e portatile e può funzionare su qualsiasi computer che supporti Perl e i suoi moduli standard.
Per quanto riguarda le funzionalità di AFICK , ecco una panoramica delle sue caratteristiche principali. Lo strumento è facile da installare e non richiede alcuna compilazione o l'installazione di molte dipendenze. È anche uno strumento veloce, in parte grazie alle sue piccole dimensioni. Nonostante le sue piccole dimensioni, visualizzerà file nuovi, eliminati e modificati, nonché eventuali collegamenti penzolanti. Utilizza un semplice file di configurazione basato su testo che supporta eccezioni e jolly e utilizza una sintassi molto simile a quella di Tripwire o Aide. Se preferisci stare lontano da uno strumento da riga di comando, sono disponibili sia un'interfaccia utente grafica basata su Tk che un'interfaccia web basata su webmin.
AFICK (Another File Integrity Checker) è interamente scritto in Perl per la portabilità e l'accesso ai sorgenti. E poiché è open-source (rilasciato sotto GNU General Public License), sei libero di aggiungere funzionalità come meglio credi. Lo strumento utilizza MD5 per le sue esigenze di checksum in quanto è veloce ed è integrato in tutte le distribuzioni Perl e invece di utilizzare un database di testo in chiaro, viene utilizzato dbm.
6. AIDE (Ambiente di rilevamento delle intrusioni avanzato)
Nonostante un nome piuttosto fuorviante, AIDE (Advanced Intrusion Detection Environment) è in realtà un controllo dell'integrità di file e directory. Funziona creando un database dalle regole delle espressioni regolari che trova dal suo file di configurazione. Una volta inizializzato il database, lo utilizza per verificare l'integrità dei file. Lo strumento utilizza diversi algoritmi di digest dei messaggi che possono essere utilizzati per verificare l'integrità dei file. Inoltre, tutti i normali attributi di file possono essere controllati per incongruenze. Può anche leggere database da versioni precedenti o più recenti.
Per quanto riguarda le funzionalità, AIDE è valutatore completo. Supporta più algoritmi di digest dei messaggi come md5, sha1, rmd160, tiger, crc32, sha256, sha512 e whirlpool. Lo strumento può controllare diversi attributi di file tra cui Tipo di file, Permessi, Inode, Uid, Gid, Nome collegamento, Dimensioni, Conteggio blocchi, Numero di collegamenti, Mtime, Ctime e Atime. Può anche supportare Posix ACL, SELinux, XAttrs e gli attributi del file system esteso. Per semplicità, lo strumento utilizza file di configurazione di testo semplice e un database di testo normale. Una delle sue caratteristiche più interessanti è il supporto di potenti espressioni regolari che consentono di includere o escludere selettivamente file e directory da monitorare. Questa caratteristica da sola lo rende uno strumento molto versatile e flessibile.
Il prodotto, che esiste dal 1999, è ancora attivamente sviluppato e l'ultima versione (0.16.2) ha solo pochi mesi. È disponibile sotto la licenza pubblica generale GNU e funzionerà sulla maggior parte delle varianti moderne di Linux.
7. Monitoraggio dell'integrità dei file Qualys
Qualys File Integrity Monitoring del gigante della sicurezza Qualys è una "soluzione cloud per rilevare e identificare cambiamenti critici, incidenti e rischi derivanti da eventi normali e dannosi". Viene fornito con profili pronti all'uso che si basano sulle migliori pratiche del settore e sulle linee guida consigliate dai fornitori per i requisiti di conformità e audit comuni, incluso PCI DSS.
Qualys File Integrity Monitoring rileva le modifiche in modo efficiente in tempo reale, utilizzando approcci simili utilizzati nelle tecnologie antivirus. Le notifiche di modifica possono essere create per intere strutture di directory oa livello di file. Lo strumento utilizza i segnali del kernel del sistema operativo esistenti per identificare i file a cui si accede, invece di fare affidamento su approcci ad alta intensità di calcolo. Il prodotto è in grado di rilevare la creazione o la rimozione di file o directory, la ridenominazione di file o directory, modifiche agli attributi di file, modifiche alle impostazioni di sicurezza di file o directory come autorizzazioni, proprietà, ereditarietà e controllo o modifiche ai dati dei file archiviati sul disco.
È un prodotto a più livelli. Il Qualys nube agente controlla continuamente i file e le directory specificate nel profilo di monitoraggio e cattura i dati critici per aiutare a identificare cosa è cambiato con i dettagli d'ambiente come ad esempio quali utenti e quale processo è stato coinvolto nel cambiamento. Quindi invia i dati alla Qualys Cloud Platform per l'analisi e il reporting. Uno dei vantaggi di questo approccio è che funziona allo stesso modo indipendentemente dal fatto che i sistemi siano in sede, nel cloud o remoti.
File Integrity Monitoring può essere facilmente attivato sul esistenti Qualys A signori , e avviare il monitoraggio di modifiche a livello locale con un impatto minimo per l'endpoint. La Qualys Cloud Platform ti consente di scalare facilmente agli ambienti più grandi. L'impatto sulle prestazioni sugli endpoint monitorati è ridotto al minimo monitorando in modo efficiente le modifiche ai file localmente e inviando i dati alla Qualys Cloud Platform dove si svolge tutto il pesante lavoro di analisi e correlazione. Per quanto riguarda il Qualys Cloud Agent , è autoaggiornante e autoriparante, mantenendosi aggiornato senza bisogno di riavviare.
Il mercato del software per la gestione della rete è molto affollato. Scorcia la tua ricerca seguendo i nostri consigli sui migliori strumenti di gestione della rete.
I ping sweep possono essere usati a tuo vantaggio in molti modi. Continua a leggere mentre discutiamo di come e introduciamo i 10 migliori strumenti di sweep Ping che puoi trovare.
I siti Web sono importanti e devono essere costantemente monitorati attentamente per prestazioni adeguate. Ecco alcuni dei migliori strumenti per il monitoraggio dei siti web.
Ecco uno sguardo ad alcuni dei migliori strumenti di distribuzione del software per alleviare il dolore di gestire un numero qualsiasi di macchine
sFlow è un protocollo di analisi del flusso integrato in numerosi dispositivi di rete. Esaminiamo i primi cinque migliori raccoglitori e analizzatori sFlow gratuiti.
Per aiutarti a scegliere quello giusto, abbiamo introdotto i migliori strumenti di monitoraggio dell'infrastruttura agentless e ti abbiamo fornito una rapida revisione di ciascuno di essi.
Con Linux che sta diventando sempre più popolare nei data center, stavamo dando un'occhiata al monitoraggio della larghezza di banda su Linux e stiamo anche esaminando i migliori strumenti.
La sicurezza della posta elettronica è un compito importante dei provider di servizi gestiti. Stavamo recensendo SolarWinds Mail Assure, uno dei migliori strumenti per questo scopo.
Se sei un utente esperto di Windows, probabilmente sai e capisci come eseguire varie operazioni sul tuo PC può avere più di un solo approccio e
La latenza sembra essere il nemico numero uno delle reti. Questi strumenti di misurazione della latenza insegneranno come testare la latenza per rilevare, individuare e risolvere i problemi.
