7 Melhor Software de Monitoramento de Integridade de Arquivos (Revisão de 2021)

A segurança de TI é um tema quente. As notícias estão repletas de histórias de violações de segurança, roubo de dados ou ransomware. Alguns argumentarão que tudo isso é apenas um sinal dos nossos tempos, mas isso não muda o fato de que, quando você tem a tarefa de manter qualquer tipo de ambiente de TI, a proteção contra essas ameaças é uma parte importante do trabalho.

Por esse motivo, o software File Integrity Monitoring (FIM) quase se tornou uma ferramenta indispensável para qualquer organização. Seu objetivo principal é garantir que qualquer alteração não autorizada ou inesperada de arquivo seja rapidamente identificada. Pode ajudar a melhorar a segurança geral dos dados, o que é importante para qualquer empresa e não deve ser ignorado.

Hoje, começaremos dando uma breve olhada no Monitoramento de integridade de arquivos. Faremos o nosso melhor para explicar em termos simples o que é e como funciona. Também veremos quem deve usá-lo. Provavelmente não será uma grande surpresa descobrir que qualquer pessoa pode se beneficiar com isso e veremos como e por quê. E quando estivermos todos na mesma página sobre o Monitoramento de integridade de arquivos, estaremos prontos para pular para o centro desta postagem e revisar brevemente algumas das melhores ferramentas que o mercado tem a oferecer.

O que é monitoramento de integridade de arquivo?

Em sua essência, o monitoramento da integridade do arquivo é um elemento-chave de um processo de gerenciamento de segurança de TI. O principal conceito por trás disso é garantir que qualquer modificação em um sistema de arquivos seja considerada e que qualquer modificação inesperada seja rapidamente identificada.

Embora alguns sistemas ofereçam monitoramento de integridade de arquivo em tempo real, isso tende a ter um impacto maior no desempenho. Por esse motivo, um sistema baseado em instantâneo geralmente é preferido. Ele funciona tirando um instantâneo de um sistema de arquivos em intervalos regulares e comparando-o ao anterior ou a uma linha de base previamente estabelecida. Não importa como a detecção funciona (em tempo real ou não), qualquer mudança detectada que sugira algum tipo de acesso não autorizado ou atividade maliciosa (como uma mudança repentina no tamanho do arquivo ou acesso por um usuário ou grupo de usuários específico) e alerta é levantada e / ou alguma forma ou processo de remediação é lançado. Isso pode variar desde abrir uma janela de alerta até restaurar o arquivo original de um backup ou bloquear o acesso ao arquivo em perigo.

Para quem é o monitoramento de integridade de arquivos?

A resposta rápida para essa pergunta é qualquer pessoa. Na verdade, qualquer organização pode se beneficiar do uso do software File Integrity Monitoring. No entanto, muitos escolherão usá-lo porque estão em uma situação em que é obrigatório. Por exemplo, o software File Integrity Monitoring é obrigatório ou fortemente indicado por certas estruturas regulatórias, como PCI DSS, Sarbanes-Oxley ou HIPAA. Concretamente, se você estiver no setor financeiro ou de saúde, ou se processar cartões de pagamento, o Monitoramento de integridade de arquivo é mais um requisito do que uma opção.

Da mesma forma, embora possa não ser obrigatório, qualquer organização que lida com informações confidenciais deve considerar fortemente o software File Integrity Monitoring. Esteja você armazenando dados de clientes ou segredos comerciais, há uma vantagem óbvia em usar esses tipos de ferramentas. Isso pode salvá-lo de todos os tipos de contratempos.

Mas o File Integrity Monitoring não se destina apenas a grandes organizações. Embora grandes e médias empresas tendam a estar cientes da importância do software File Integrity Monitoring, as pequenas empresas também devem considerá-lo. Isso é particularmente verdadeiro quando você leva em consideração que existem ferramentas de monitoramento de integridade de arquivos que se ajustam a todas as necessidades e orçamentos. Na verdade, várias ferramentas em nossa lista são gratuitas e de código aberto.

O melhor software de monitoramento de integridade de arquivos

Existem inúmeras ferramentas que oferecem a funcionalidade de monitoramento de integridade de arquivo. Alguns deles são ferramentas dedicadas que basicamente não fazem mais nada. Alguns, por outro lado, são uma ampla solução de segurança de TI que integra o Monitoramento de integridade de arquivos junto com outras funcionalidades relacionadas à segurança. Tentamos incorporar os dois tipos de ferramentas em nossa lista. Afinal, o monitoramento de integridade de arquivos costuma fazer parte de um esforço de gerenciamento de segurança de TI que inclui outras funções. Por que não ir para uma ferramenta integrada, então.

1. SolarWinds Security Event Manager (AVALIAÇÃO GRATUITA)

Muitos administradores de rede e sistema estão familiarizados com o SolarWinds . Afinal, a empresa fabrica algumas das melhores ferramentas há cerca de vinte anos. Seu principal produto, denominado SolarWinds Network Performance Monitor, é considerado uma das melhores ferramentas desse tipo no mercado. E para tornar as coisas ainda melhores, a SolarWinds também publica ferramentas gratuitas que tratam de algumas tarefas específicas de administração de rede.

Embora a SolarWinds não faça uma ferramenta de monitoramento de integridade de arquivo dedicada, sua ferramenta de gerenciamento de informações e eventos de segurança (SIEM), o SolarWinds Security Event Manager , inclui um módulo de monitoramento de integridade de arquivo muito bom. Este produto é definitivamente um dos melhores sistemas SIEM básicos do mercado. A ferramenta tem quase tudo que se espera de uma ferramenta SIEM. Isso inclui excelente gerenciamento de log e recursos de correlação, bem como um mecanismo de relatório impressionante e, é claro, monitoramento de integridade de arquivo.

AVALIAÇÃO GRATUITA: SolarWinds Security Event Manager

Link oficial para download: https://www.solarwinds.com/security-event-manager/registration

Quando se trata de monitoramento de integridade de arquivo, o SolarWinds Security Event Manager pode mostrar quais usuários são responsáveis ​​por quais alterações de arquivo. Ele também pode rastrear atividades adicionais do usuário, permitindo a criação de vários alertas e relatórios. A barra lateral da página inicial da ferramenta pode exibir quantos eventos de mudança ocorreram sob o cabeçalho Gerenciamento de Mudanças. Sempre que algo parecer suspeito e você quiser se aprofundar, terá a opção de filtrar eventos por palavra-chave.

A ferramenta também possui excelentes recursos de resposta a eventos que não deixam nada a desejar. Por exemplo, o sistema de resposta detalhado em tempo real reagirá ativamente a todas as ameaças. E como é baseado no comportamento e não na assinatura, você está protegido contra ameaças desconhecidas ou futuras e ataques de dia zero.

Além de um conjunto impressionante de recursos, certamente vale a pena discutir o painel do SolarWinds Security Event Manager . Com seu design simples, você não terá problemas para orientar-se na ferramenta e identificar anomalias rapidamente. A partir de cerca de US $ 4.500, a ferramenta é mais do que acessível. E se você quiser experimentar e ver como funciona em seu ambiente, uma versão de avaliação gratuita e totalmente funcional por 30 dias está disponível para download.

Link oficial para download: https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC , que significa Open Source Security, um dos mais conhecidos sistemas de detecção de intrusão baseados em host de código aberto. O produto é propriedade da Trend Micro , um dos principais nomes em segurança de TI e criador de um dos melhores pacotes de proteção contra vírus. E se o produto estiver nesta lista, tenha certeza de que ele também possui uma funcionalidade de monitoramento de integridade de arquivo muito decente.

Quando instalado em sistemas operacionais Linux ou Mac OS, o software concentra-se principalmente em arquivos de registro e configuração. Ele cria checksums de arquivos importantes e os valida periodicamente, alertando você sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. Em hosts Windows, o sistema também fica de olho em modificações de registro não autorizadas, que podem ser um sinal revelador de atividade maliciosa.

Quando se trata de monitoramento de integridade de arquivos, o OSSEC tem uma funcionalidade específica chamada Syscheck . A ferramenta é executada a cada seis horas por padrão e verifica se há alterações nas somas de verificação dos arquivos principais. O módulo foi projetado para reduzir o uso da CPU, tornando-o uma opção potencialmente boa para organizações que exigem uma solução de gerenciamento de integridade de arquivo com uma pegada pequena.

Por ser um sistema de detecção de intrusão baseado em host, o OSSEC precisa ser instalado em cada computador (ou servidor) que você deseja proteger. Esta é a principal desvantagem de tais sistemas. No entanto, está disponível um console centralizado que consolida as informações de cada computador protegido para facilitar o gerenciamento. Esse console OSSEC só funciona em sistemas operacionais Linux ou Mac OS. No entanto, um agente está disponível para proteger os hosts Windows. Qualquer detecção acionará um alerta que será exibido no console centralizado enquanto as notificações também serão enviadas por e-mail.

3. Integridade do arquivo Samhain

Samhain é um sistema gratuito de detecção de intrusão de host que fornece verificação de integridade de arquivos e monitoramento / análise de arquivos de log. Além disso, o produto também realiza detecção de rootkit, monitoramento de porta, detecção de executáveis ​​SUID desonestos e processos ocultos. Esta ferramenta foi projetada para monitorar vários sistemas com vários sistemas operacionais com registro e manutenção centralizados. No entanto, o Samhain também pode ser usado como um aplicativo independente em um único computador. A ferramenta pode ser executada em sistemas POSIX como Unix , Linux ou Mac OS . Ele também pode ser executado no Windows no Cygwin, embora apenas o agente de monitoramento e não o servidor tenha sido testado nessa configuração.

Em hosts Linux, S amhain pode alavancar o mecanismo inotify a eventos do sistema de arquivos monitor. Em tempo real Isso permite que você receba notificações imediatas sobre alterações e elimina a necessidade de varreduras frequentes do sistema de arquivos, que podem causar uma alta carga de E / S. Além disso, várias somas de verificação podem ser verificadas, como TIGER192, SHA-256, SHA-1 ou MD5. O tamanho do arquivo, modo / permissão, proprietário, grupo, carimbo de data / hora (criação / modificação / acesso), inode, número de links físicos e caminho vinculado de links simbólicos também podem ser verificados. A ferramenta pode ainda verificar propriedades mais “exóticas”, como atributos SELinux, ACLs POSIX (em sistemas que os suportam), atributos de arquivo ext2 do Linux (conforme definido pelo chattr como o flag imutável) e os sinalizadores de arquivo BSD.

Um dos recursos exclusivos do Samhain é seu modo furtivo, que permite que ele seja executado sem ser detectado por eventuais invasores. Freqüentemente, os invasores eliminam os processos de detecção que reconhecem, permitindo que eles passem despercebidos. Esta ferramenta usa técnicas de esteganografia para ocultar seus processos de outras pessoas. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar adulteração. No geral, esta é uma ferramenta muito completa que oferece muito mais do que apenas monitoramento de integridade de arquivos.

4. Tripwire File Integrity Manager

O Next é uma solução da Tripwire , uma empresa com sólida reputação em segurança de TI. E quando se trata de monitoramento de integridade de arquivo, Tripwire File Integrity M anager ( FIM ) tem uma capacidade única de reduzir o ruído, fornecendo várias maneiras de eliminar as alterações de baixo risco das de alto risco enquanto avalia, prioriza e reconcilia as alterações detectadas. Ao promover automaticamente várias alterações de business-as-usual, a ferramenta reduz o ruído para que você tenha mais tempo para investigar as alterações que podem realmente impactar a segurança e apresentar riscos. Tripwire FIMusa agentes para capturar continuamente os detalhes completos de quem, o quê e quando em tempo real. Isso ajuda a garantir que você detecte todas as alterações, capture detalhes sobre cada uma e use esses detalhes para determinar o risco de segurança ou não conformidade.

O Tripwire oferece a capacidade de integrar o File Integrity Manager com muitos de seus controles de segurança: gerenciamento de configuração de segurança (SCM), gerenciamento de log e ferramentas SIEM. O Tripwire FIM adiciona componentes que identificam e gerenciam os dados desses controles de forma mais intuitiva e de maneiras que protegem melhor os dados. Por exemplo, o Event Integration Framework ( EIF ) adiciona valiosos dados de alteração do File Integrity Manager para Tripwire Log Center ou quase qualquer outro SIEM. Com o EIF e outros controles de segurança Tripwire básicos , você pode gerenciar de maneira fácil e eficaz a segurança de sua infraestrutura de TI.

O Tripwire File Integrity Manager usa automação para detectar todas as alterações e corrigir aquelas que retiram uma configuração da política. Ele pode se integrar a sistemas de tíquetes de mudança existentes, como BMC Remedy , HP Service Center ou Service Now , permitindo uma auditoria rápida. Isso também garante rastreabilidade. Além disso, os alertas automatizados acionam respostas personalizadas pelo usuário quando uma ou mais alterações específicas atingem um limite de gravidade que uma alteração sozinha não causaria. Por exemplo, uma pequena mudança de conteúdo acompanhada por uma mudança de permissão que foi feita fora de uma janela de mudança planejada.

5. AFICK (outro verificador de integridade de arquivo)

A seguir está uma ferramenta de código aberto do desenvolvedor Eric Gerbier chamada AFICK (Another File Integrity Checker) . Embora a ferramenta afirme oferecer funcionalidade semelhante ao Tripwire, é um produto muito mais rudimentar, muito na linha do software de código aberto tradicional. A ferramenta pode monitorar qualquer mudança nos sistemas de arquivos que observa. Ele oferece suporte a várias plataformas, como Linux (SUSE, Redhat, Debian e mais), Windows, HP Tru64 Unix, HP-UX e AIX. O software foi projetado para ser rápido e portátil e pode funcionar em qualquer computador com suporte a Perl e seus módulos padrão.

Quanto à funcionalidade do AFICK , aqui está uma visão geral de seus principais recursos. A ferramenta é fácil de instalar e não requer nenhuma compilação ou a instalação de muitas dependências. Também é uma ferramenta rápida, em parte devido ao seu tamanho pequeno. Apesar de seu pequeno tamanho, ele exibirá arquivos novos, excluídos e modificados, bem como quaisquer links pendentes. Ele usa um arquivo de configuração baseado em texto simples que oferece suporte a exceções e jokers e usa uma sintaxe muito semelhante à do Tripwire ou do Aide. Tanto uma interface gráfica de usuário baseada em Tk quanto uma interface web baseada em webmin estão disponíveis se você preferir ficar longe de uma ferramenta de linha de comando.

AFICK (outro verificador de integridade de arquivo) é inteiramente escrito em Perl para portabilidade e acesso à fonte. E uma vez que é de código aberto (lançado sob a GNU General Public License), você está livre para adicionar funcionalidades a ele conforme achar necessário. A ferramenta usa MD5 para suas necessidades de soma de verificação, pois é rápida e está embutida em todas as distribuições Perl e em vez de usar um banco de dados de texto não criptografado, dbm é usado.

6. AIDE (ambiente avançado de detecção de intrusão)

Apesar de um nome um tanto enganoso, AIDE (Advanced Intrusion Detection Environment) é na verdade um verificador de integridade de arquivos e diretórios. Ele funciona criando um banco de dados a partir das regras de expressão regular que encontra em seu arquivo de configuração. Depois que o banco de dados é inicializado, ele o usa para verificar a integridade dos arquivos. A ferramenta usa vários algoritmos de resumo de mensagem que podem ser usados ​​para verificar a integridade dos arquivos. Além disso, todos os atributos de arquivo usuais podem ser verificados quanto a inconsistências. Ele também pode ler bancos de dados de versões mais antigas ou mais recentes.

Em termos de recursos, o AIDE é um avaliador completo. Ele oferece suporte a vários algoritmos de resumo de mensagem, como md5, sha1, rmd160, tiger, crc32, sha256, sha512 e whirlpool. A ferramenta pode verificar vários atributos de arquivo, incluindo tipo de arquivo, permissões, Inode, Uid, Gid, nome do link, tamanho, contagem de blocos, número de links, Mtime, Ctime e Atime. Ele também pode oferecer suporte a Posix ACL, SELinux, XAttrs e atributos de sistema de arquivo estendido. Para simplificar, a ferramenta usa arquivos de configuração de texto simples, bem como um banco de dados de texto simples. Um de seus recursos mais interessantes é o suporte a expressões regulares poderosas, permitindo que você inclua ou exclua seletivamente arquivos e diretórios a serem monitorados. Esse recurso por si só o torna uma ferramenta muito versátil e flexível.

O produto, que existe desde 1999, ainda está ativamente desenvolvido e a versão mais recente (0.16.2) tem apenas alguns meses. Ele está disponível sob a licença pública geral GNU e será executado na maioria das variantes modernas do Linux.

7. Monitoramento de integridade de arquivos Qualys

O Monitoramento de integridade de arquivos Qualys da gigante da segurança Qualys é uma “solução em nuvem para detectar e identificar alterações críticas, incidentes e riscos resultantes de eventos normais e maliciosos”. Ele vem com perfis prontos para uso que se baseiam nas melhores práticas do setor e nas diretrizes recomendadas pelo fornecedor para conformidade comum e requisitos de auditoria, incluindo PCI DSS.

O Monitoramento de integridade de arquivos Qualys detecta mudanças com eficiência em tempo real, usando abordagens semelhantes usadas em tecnologias antivírus. As notificações de alteração podem ser criadas para estruturas de diretório inteiras ou no nível do arquivo. A ferramenta usa sinais de kernel do sistema operacional existentes para identificar arquivos acessados, em vez de depender de abordagens de computação intensiva. O produto pode detectar a criação ou remoção de arquivos ou diretórios, a renomeação de arquivos ou diretórios, alterações nos atributos do arquivo, alterações nas configurações de segurança do arquivo ou diretório, como permissões, propriedade, herança e auditoria ou alterações nos dados do arquivo armazenados no disco.

É um produto de várias camadas. O Qualys Cloud Agent monitora continuamente os arquivos e diretórios especificados em seu perfil de monitoramento e captura dados críticos para ajudar a identificar o que mudou, juntamente com os detalhes do ambiente, como qual usuário e processo estava envolvido na mudança. Em seguida, ele envia os dados para a Qualys Cloud Platform para análise e relatórios. Uma das vantagens dessa abordagem é que ela funciona da mesma forma, quer os sistemas sejam locais, na nuvem ou remotos.

O File Integrity Monitoring pode ser facilmente ativado em seus Qualys A gents existentes e começar a monitorar as alterações localmente com o mínimo de impacto no endpoint. A Qualys Cloud Platform permite escalar facilmente para os maiores ambientes. O impacto no desempenho nos endpoints monitorados é minimizado pelo monitoramento eficiente de alterações de arquivos localmente e envio de dados para a Qualys Cloud Platform, onde ocorre todo o trabalho pesado de análise e correlação. Já o Qualys Cloud Agent é autoatualizável e autorrecuperável, mantendo-se atualizado sem a necessidade de reinicialização.