Securitatea IT este un subiect fierbinte. Știrile sunt pline de povești despre încălcări de securitate, furt de date sau ransomware. Unii vor argumenta că toate acestea sunt pur și simplu un semn al vremurilor noastre, dar asta nu schimbă faptul că atunci când ești însărcinat cu menținerea oricărui tip de mediu IT, protecția împotriva unor astfel de amenințări este o parte importantă a muncii.
Din acest motiv, software-ul de monitorizare a integrității fișierelor (FIM) a devenit aproape un instrument indispensabil pentru orice organizație. Scopul său principal este de a se asigura că orice modificare neautorizată sau neașteptată a fișierului este identificată rapid. Poate ajuta la îmbunătățirea securității generale a datelor, ceea ce este important pentru orice companie și nu trebuie ignorat.
Astăzi, vom începe cu o scurtă privire la Monitorizarea integrității fișierelor. Vom face tot posibilul pentru a explica în termeni simpli ce este și cum funcționează. Ne vom uita și la cine ar trebui să-l folosească. Cel mai probabil nu va fi o mare surpriză să afli că oricine poate beneficia de ea și vom vedea cum și de ce. Și odată ce suntem cu toții pe aceeași pagină despre monitorizarea integrității fișierelor, vom fi gata să intrăm în miezul acestei postări și să trecem în revistă pe scurt unele dintre cele mai bune instrumente pe care piața le are de oferit.
Ce este monitorizarea integrității fișierelor?
În esență, monitorizarea integrității fișierelor este un element cheie al unui proces de management al securității IT. Conceptul principal din spatele acestuia este de a se asigura că orice modificare adusă unui sistem de fișiere este luată în considerare și că orice modificare neașteptată este identificată rapid.
În timp ce unele sisteme oferă monitorizarea integrității fișierelor în timp real, aceasta tinde să aibă un impact mai mare asupra performanței, din acest motiv, un sistem bazat pe instantanee este adesea preferat. Funcționează prin luarea unui instantaneu al unui sistem de fișiere la intervale regulate și comparându-l cu cel anterior sau cu o linie de bază stabilită anterior. Indiferent de modul în care funcționează detectarea (în timp real sau nu), orice modificare detectată care sugerează un fel de acces neautorizat sau activitate rău intenționată (cum ar fi o schimbare bruscă a dimensiunii fișierului sau accesul de către un anumit utilizator sau grup de utilizatori) și alerta este ridicată și/sau este lansată o formă sau un proces de remediere. Poate varia de la deschiderea unei ferestre de alertă până la restaurarea fișierului original dintr-o copie de rezervă sau blocarea accesului la fișierul pe cale de dispariție.
Pentru cine este monitorizarea integrității fișierelor?
Răspunsul rapid la această întrebare este oricine. Într-adevăr, orice organizație poate beneficia de pe urma utilizării software-ului de monitorizare a integrității fișierelor. Cu toate acestea, mulți vor alege să-l folosească pentru că se află într-o situație în care este obligatoriu. De exemplu, software-ul de monitorizare a integrității fișierelor este fie necesar, fie indicat puternic de anumite cadre de reglementare, cum ar fi PCI DSS, Sarbanes-Oxley sau HIPAA. Concret, dacă vă aflați în sectorul financiar sau al asistenței medicale sau dacă procesați carduri de plată, monitorizarea integrității fișierelor este mai mult o cerință decât o opțiune.
De asemenea, deși s-ar putea să nu fie obligatoriu, orice organizație care se ocupă de informații sensibile ar trebui să ia în considerare cu tărie software-ul de monitorizare a integrității fișierelor. Indiferent dacă stocați date despre clienți sau secrete comerciale, există un avantaj evident în utilizarea acestor tipuri de instrumente. Te-ar putea salva de tot felul de accidente.
Dar monitorizarea integrității fișierelor nu este doar pentru organizațiile mari. Deși întreprinderile mari și întreprinderile mijlocii tind să fie conștiente de importanța software-ului de monitorizare a integrității fișierelor, întreprinderile mici ar trebui să ia în considerare acest lucru. Acest lucru este valabil mai ales atunci când țineți cont de faptul că există instrumente de monitorizare a integrității fișierelor care se vor potrivi fiecărei nevoi și buget. De fapt, mai multe instrumente de pe lista noastră sunt gratuite și open-source.
Cel mai bun software de monitorizare a integrității fișierelor
Există nenumărate instrumente care oferă funcționalitatea de monitorizare a integrității fișierelor. Unele dintre ele sunt instrumente dedicate care practic nu fac altceva. Unele, pe de altă parte, sunt soluții extinse de securitate IT care integrează monitorizarea integrității fișierelor împreună cu alte funcționalități legate de securitate. Am încercat să încorporăm ambele tipuri de instrumente pe lista noastră. La urma urmei, monitorizarea integrității fișierelor este adesea parte a unui efort de management al securității IT care include și alte funcții. Atunci de ce să nu optați pentru un instrument integrat.
1. Manager de evenimente de securitate SolarWinds ( PROCĂ GRATUITĂ)
Mulți administratori de rețea și de sistem sunt familiarizați cu SolarWinds . La urma urmei, compania produce unele dintre cele mai bune instrumente de aproximativ douăzeci de ani. Produsul său emblematic, numit SolarWinds Network Performance Monitor, este considerat unul dintre cele mai bune astfel de instrumente de pe piață. Și pentru a face lucrurile și mai bune, SolarWinds publică, de asemenea, instrumente gratuite care se adresează unor sarcini specifice de administrare a rețelei.
În timp ce SolarWinds nu face un instrument dedicat de monitorizare a integrității fișierelor, instrumentul său SIEM (Security Information and Event Management), SolarWinds Security Event Manager , include un modul foarte bun de monitorizare a integrității fișierelor. Acest produs este cu siguranță unul dintre cele mai bune sisteme SIEM entry-level de pe piață. Instrumentul are aproape tot ce ne-ați aștepta de la un instrument SIEM. Aceasta include funcții excelente de gestionare a jurnalelor și corelare, precum și un motor de raportare impresionant și, desigur, monitorizarea integrității fișierelor.
ÎNCERCARE GRATUITĂ: Manager de evenimente de securitate SolarWinds
Link oficial de descărcare: https://www.solarwinds.com/security-event-manager/registration
Când vine vorba de monitorizarea integrității fișierelor, Managerul de evenimente de securitate SolarWinds poate arăta care utilizatori sunt responsabili pentru modificările de fișier. De asemenea, poate urmări activități suplimentare ale utilizatorilor, permițându-vă să creați diverse alerte și rapoarte. Bara laterală a paginii de pornire a instrumentului poate afișa câte evenimente de modificare au avut loc sub antetul Gestionare modificări. Ori de câte ori ceva pare suspect și doriți să cercetați mai profund, aveți opțiunea de a filtra evenimentele după cuvinte cheie.
Instrumentul are, de asemenea, funcții excelente de răspuns la eveniment, care nu lasă nimic de dorit. De exemplu, sistemul detaliat de răspuns în timp real va reacționa activ la fiecare amenințare. Și, deoarece se bazează mai degrabă pe comportament decât pe semnătură, sunteți protejat împotriva amenințărilor necunoscute sau viitoare și a atacurilor zero-day.
Pe lângă un set de caracteristici impresionant, tabloul de bord al SolarWinds Security Event Manager merită cu siguranță discutat. Cu designul său simplu, nu veți avea probleme în a vă găsi drumul în jurul instrumentului și a identifica rapid anomaliile. Începând de la aproximativ 4 500 USD, instrumentul este mai mult decât accesibil. Și dacă doriți să îl încercați și să vedeți cum funcționează în mediul dvs., o versiune de probă complet funcțională de 30 de zile este disponibilă pentru descărcare.
Link oficial de descărcare: https://www.solarwinds.com/security-event-manager/registration
2. OSSEC
OSSEC , care înseamnă Open Source Security, unul dintre cele mai cunoscute sisteme open-source de detectare a intruziunilor bazate pe gazdă. Produsul este deținut de Trend Micro , unul dintre cele mai importante nume în domeniul securității IT și producător al uneia dintre cele mai bune suite de protecție împotriva virușilor. Și dacă produsul se află pe această listă, fiți siguri că are și o funcționalitate de monitorizare a integrității fișierelor foarte decentă.
Când este instalat pe sistemele de operare Linux sau Mac OS, software-ul se concentrează în primul rând pe fișierele de jurnal și de configurare. Acesta creează sume de control ale fișierelor importante și le validează periodic, avertizându-vă ori de câte ori se întâmplă ceva ciudat. De asemenea, va monitoriza și va alerta cu privire la orice încercare anormală de a obține acces root. Pe gazdele Windows, sistemul ține, de asemenea, un ochi pentru modificările neautorizate ale registrului, care ar putea fi un semn al activității rău intenționate.
Când vine vorba de monitorizarea integrității fișierelor, OSSEC are o funcționalitate specifică numită Syscheck . Instrumentul rulează la fiecare șase ore în mod implicit și verifică modificările aduse sumelor de control ale fișierelor cheie. Modulul este conceput pentru a reduce utilizarea procesorului, ceea ce îl face o opțiune potențial bună pentru organizațiile care necesită o soluție de gestionare a integrității fișierelor cu o amprentă mică.
În virtutea faptului că este un sistem de detectare a intruziunilor bazat pe gazdă, OSSEC trebuie să fie instalat pe fiecare computer (sau server) pe care doriți să îl protejați. Acesta este principalul dezavantaj al unor astfel de sisteme. Cu toate acestea, este disponibilă o consolă centralizată care consolidează informațiile de la fiecare computer protejat pentru o gestionare mai ușoară. Acea consolă OSSEC rulează numai pe sistemele de operare Linux sau Mac OS. Cu toate acestea, este disponibil un agent pentru a proteja gazdele Windows. Orice detectare va declanșa o alertă care va fi afișată pe consola centralizată, în timp ce notificările vor fi trimise și prin e-mail.
3. Integritatea fișierului Samhain
Samhain este un sistem gratuit de detectare a intruziunilor gazdă, care oferă verificarea integrității fișierelor și monitorizarea/analiza fișierelor jurnal. În plus, produsul efectuează, de asemenea, detectarea rootkit-urilor, monitorizarea portului, detectarea executabilelor SUID necinstite și procese ascunse. Acest instrument a fost conceput pentru a monitoriza mai multe sisteme cu diverse sisteme de operare cu înregistrare și întreținere centralizate. Cu toate acestea, Samhain poate fi folosit și ca aplicație autonomă pe un singur computer. Instrumentul poate rula pe sisteme POSIX precum Unix , Linux sau Mac OS . Poate rula și pe Windows sub Cygwin, deși numai agentul de monitorizare și nu serverul a fost testat în acea configurație.
Pe gazdele Linux, S amhain poate folosi mecanismul de notificare pentru a monitoriza evenimentele sistemului de fișiere. În timp real Acest lucru vă permite să primiți notificări imediate despre modificări și elimină nevoia de scanări frecvente ale sistemului de fișiere, care pot cauza o încărcare mare de I/O. În plus, pot fi verificate diverse sume de control, cum ar fi TIGER192, SHA-256, SHA-1 sau MD5. Mărimea fișierului, modul/permisiunea, proprietarul, grupul, marcajul de timp (creare/modificare/acces), inodul, numărul de legături hard și calea legată a legăturilor simbolice pot fi, de asemenea, verificate. Instrumentul poate verifica chiar mai multe proprietăți „exotice”, cum ar fi atributele SELinux, ACL-urile POSIX (pe sistemele care le acceptă), atributele fișierelor ext2 Linux (așa cum se stabilesc de chattr, cum ar fi steag-ul imuabil) și steagurile fișierului BSD.
Una dintre caracteristicile unice ale lui Samhain este modul său stealth, care îi permite să ruleze fără a fi detectat de eventualii atacatori. Prea des intrușii ucid procesele de detectare pe care le recunosc, permițându-le să treacă neobservați. Acest instrument folosește tehnici de steganografie pentru a-și ascunde procesele de alții. De asemenea, își protejează fișierele jurnal centrale și backup-urile de configurare cu o cheie PGP pentru a preveni manipularea. În general, acesta este un instrument foarte complet care oferă mult mai mult decât monitorizarea integrității fișierelor.
4. Tripwire File Integrity Manager
Urmează o soluție de la Tripwire , o companie care se bucură de o reputație solidă în domeniul securității IT. Și atunci când vine vorba de monitorizare a integrității fișierului, Tripwire fișier Integritate M anager ( FIM ) are o capacitate unică de a reduce zgomotul prin furnizarea de mai multe moduri de plivire modificări cu risc scăzut de la cele cu risc ridicat în timp ce evaluarea, prioritizarea și reconciliază detectate modificări. Prin promovarea automată a numeroaselor schimbări de tip business ca de obicei, instrumentul reduce zgomotul, astfel încât aveți mai mult timp pentru a investiga modificările care pot afecta cu adevărat securitatea și pot introduce riscuri. Tripwire FIMfolosește agenți pentru a capta continuu detalii complete despre cine, ce și când, în timp real. Acest lucru vă ajută să vă asigurați că detectați toate modificările, capturați detalii despre fiecare și folosiți aceste detalii pentru a determina riscul de securitate sau neconformitatea.
Tripwire vă oferă posibilitatea de a integra File Integrity Manager cu multe dintre controalele dvs. de securitate: managementul configurației de securitate (SCM), managementul jurnalelor și instrumentele SIEM. Tripwire FIM adaugă componente care etichetează și gestionează datele de la aceste comenzi mai intuitiv și în moduri care protejează mai bine datele. De exemplu, Event Integration Framework ( EIF ) adaugă date valoroase de modificare de la File Integrity Manager la Tripwire Log Center sau aproape orice alt SIEM. Cu EIF și alte controale de securitate fundamentale Tripwire , puteți gestiona ușor și eficient securitatea infrastructurii dvs. IT.
Tripwire File Integrity Manager folosește automatizarea pentru a detecta toate modificările și pentru a le remedia pe cele care scot o configurație din politică. Se poate integra cu sistemele existente de bilete de modificare, cum ar fi BMC Remedy , HP Service Center sau Service Now , permițând un audit rapid. Acest lucru asigură, de asemenea, trasabilitatea. În plus, alertele automate declanșează răspunsuri personalizate de utilizator atunci când una sau mai multe modificări specifice ating un prag de severitate pe care o singură modificare nu l-ar provoca. De exemplu, o modificare minoră de conținut însoțită de o modificare a permisiunii care a fost făcută în afara unei ferestre de modificare planificată.
5. AFICK (un alt instrument de verificare a integrității fișierelor)
Urmează un instrument open-source de la dezvoltatorul Eric Gerbier numit AFICK (Another File Integrity Checker) . Deși instrumentul pretinde că oferă funcționalități similare cu Tripwire, este un produs mult mai brut, mult în linia software-ului tradițional open-source. Instrumentul poate monitoriza orice modificare în sistemele de fișiere pe care le urmărește. Suportă mai multe platforme, cum ar fi Linux (SUSE, Redhat, Debian și altele), Windows, HP Tru64 Unix, HP-UX și AIX. Software-ul este conceput pentru a fi rapid și portabil și poate funcționa pe orice computer care acceptă Perl și modulele sale standard.
În ceea ce privește funcționalitatea lui AFICK , iată o prezentare generală a principalelor sale caracteristici. Instrumentul este ușor de instalat și nu necesită nicio compilare sau instalarea multor dependențe. Este, de asemenea, un instrument rapid, în parte datorită dimensiunilor sale mici. În ciuda dimensiunilor sale mici, va afișa fișiere noi, șterse și modificate, precum și orice linkuri suspendate. Folosește un fișier de configurare simplu bazat pe text, care acceptă excepții și glumeți și folosește o sintaxă care este foarte asemănătoare cu cea a lui Tripwire sau Aide. Atât o interfață grafică de utilizator bazată pe Tk, cât și o interfață web bazată pe webmin sunt disponibile dacă preferați să stați departe de un instrument de linie de comandă.
AFICK (Another File Integrity Checker) este scris în întregime în Perl pentru portabilitate și acces la sursă. Și, deoarece este open-source (lansat sub Licența publică generală GNU), sunteți liber să îi adăugați funcționalități după cum credeți de cuviință. Instrumentul folosește MD5 pentru nevoile sale de sumă de control, deoarece este rapid și este încorporat în toate distribuțiile Perl și în loc să folosească o bază de date cu text clar, se folosește dbm.
6. AIDE (Mediu avansat de detectare a intruziunilor)
În ciuda unui nume destul de înșelător, AIDE (Advanced Intrusion Detection Environment) este de fapt un verificator de integritate a fișierelor și a directoarelor. Funcționează prin crearea unei baze de date din regulile expresiilor regulate pe care le găsește din fișierul său de configurare. Odată ce baza de date este inițializată, o folosește pentru a verifica integritatea fișierelor. Instrumentul folosește mai mulți algoritmi de rezumare a mesajelor care pot fi utilizați pentru a verifica integritatea fișierelor. În plus, toate atributele obișnuite ale fișierului pot fi verificate pentru inconsecvențe. De asemenea, poate citi baze de date din versiuni mai vechi sau mai noi.
Din punct de vedere al caracteristicilor, AIDE este complet evaluator. Acceptă mai mulți algoritmi de rezumare a mesajelor, cum ar fi md5, sha1, rmd160, tiger, crc32, sha256, sha512 și whirlpool. Instrumentul poate verifica mai multe atribute ale fișierului, inclusiv Tipul fișierului, Permisiuni, Inode, Uid, Gid, Nume link, Dimensiune, Număr de blocuri, Număr de linkuri, Mtime, Ctime și Atime. De asemenea, poate suporta ACL Posix, SELinux, XAttrs și atributele sistemului de fișiere extins. Din motive de simplitate, instrumentul folosește fișiere de configurare cu text simplu, precum și o bază de date cu text simplu. Una dintre cele mai interesante caracteristici ale sale este suportul pentru expresia regulată puternică, care vă permite să includeți sau să excludeți în mod selectiv fișiere și directoare care trebuie monitorizate. Numai această caracteristică îl face un instrument foarte versatil și flexibil.
Produsul, care există din 1999, este încă dezvoltat activ, iar cea mai recentă versiune (0.16.2) are doar câteva luni. Este disponibil sub licența publică generală GNU și va rula pe majoritatea variantelor moderne de Linux.
7. Monitorizarea integrității fișierelor Qualys
Qualys File Integrity Monitoring de la gigantul de securitate Qualys este o „soluție în cloud pentru detectarea și identificarea modificărilor critice, incidentelor și riscurilor rezultate din evenimente normale și rău intenționate”. Vine cu profiluri gata de fabricație, care se bazează pe cele mai bune practici din industrie și pe liniile directoare recomandate de furnizor pentru cerințele comune de conformitate și audit, inclusiv PCI DSS.
Qualys File Integrity Monitoring detectează eficient schimbările în timp real, folosind abordări similare utilizate în tehnologiile antivirus. Notificările de modificare pot fi create pentru structuri întregi de directoare sau la nivel de fișier. Instrumentul folosește semnalele existente ale nucleului sistemului de operare pentru a identifica fișierele accesate, în loc să se bazeze pe abordări intensive de calcul. Produsul poate detecta crearea sau eliminarea fișierelor sau directoarelor, redenumirea fișierelor sau directoarelor, modificări ale atributelor fișierelor, modificări ale setărilor de securitate ale fișierelor sau directorului, cum ar fi permisiunile, proprietatea, moștenirea și auditarea sau modificările datelor fișierelor stocate pe disc.
Este un produs cu mai multe niveluri. Agentul Qualys Cloud monitorizează continuu fișierele și directoarele specificate în profilul dvs. de monitorizare și captează date critice pentru a ajuta la identificarea a ceea ce s-a schimbat împreună cu detaliile mediului, cum ar fi ce utilizator și ce proces a fost implicat în schimbare. Apoi trimite datele către platforma Qualys Cloud pentru analiză și raportare. Unul dintre avantajele acestei abordări este că funcționează la fel, indiferent dacă sistemele sunt on-premise, în cloud sau la distanță.
Fișier de Integritate Monitorizarea poate fi ușor de activat pe dvs. existente Qualys A gents și începe monitorizarea modificărilor la nivel local , cu impact minim la punctul final. Cloud Platform Qualys vă permite să scară cu ușurință la cele mai mari medii. Impactul asupra performanței asupra punctelor finale monitorizate este minimizat prin monitorizarea eficientă a modificărilor fișierelor la nivel local și prin trimiterea datelor către Platforma Qualys Cloud, unde au loc toată munca grea de analiză și corelare. În ceea ce privește Qualys Cloud Agent , acesta se autoactualizează și se autovindecă, menținându-se la zi, fără a fi nevoie să reporniți.
IIS, prescurtare pentru Internet Information Services, este un server web de la Microsoft, utilizat frecvent în gestionarea site-urilor web și aplicațiilor.
Piața software-ului de management al rețelei este foarte aglomerată. Scurtă-ți căutarea urmând recomandările noastre cu privire la cele mai bune instrumente de gestionare a rețelei.
Măsurile de ping pot fi folosite în beneficiul dumneavoastră în multe moduri. Citiți mai departe în timp ce discutăm despre cum și vă prezentăm cele mai bune 10 instrumente de scanare Ping pe care le puteți găsi.
Site-urile web sunt importante și trebuie monitorizate îndeaproape în mod constant pentru performanță adecvată. Iată câteva dintre cele mai bune instrumente pentru monitorizarea site-urilor web.
Iată o privire la unele dintre cele mai bune instrumente de implementare a software-ului pentru a ușura durerea de a gestiona orice număr de mașini
sFlow este un protocol de analiză a fluxului care este încorporat în numeroase dispozitive de rețea. Analizăm primii cinci cei mai buni colectori și analizoare sFlow gratuite.
Pentru a vă ajuta să alegeți cel potrivit, am introdus cele mai bune instrumente de monitorizare a infrastructurii fără agent și vă oferim o revizuire rapidă a fiecăruia.
Cu Linux devenind din ce în ce mai popular în centrele de date, am analizat monitorizarea lățimii de bandă pe Linux și, de asemenea, revizuim cele mai bune instrumente.
Securitatea e-mailului este o sarcină importantă a furnizorilor de servicii gestionate. Am analizat SolarWinds Mail Assure, unul dintre cele mai bune instrumente în acest scop.
Dacă sunteți un utilizator avansat de Windows, probabil că știți și înțelegeți cum efectuarea diferitelor operațiuni pe computerul dvs. poate avea mai mult decât o singură abordare și
