7 лучших программ для мониторинга целостности файлов (обзор 2021 года)

ИТ-безопасность - горячая тема. Новости полны историй о нарушениях безопасности, краже данных или программах-вымогателях. Некоторые будут утверждать, что все это просто знак нашего времени, но это не меняет того факта, что, когда вам поручено поддерживать любую ИТ-среду, защита от таких угроз является важной частью работы.

По этой причине программное обеспечение для мониторинга целостности файлов (FIM) стало практически незаменимым инструментом для любой организации. Его основная цель - обеспечить быстрое обнаружение любого несанкционированного или неожиданного изменения файла. Это может помочь улучшить общую безопасность данных, что важно для любой компании, и игнорировать его нельзя.

Сегодня мы начнем с краткого обзора мониторинга целостности файлов. Мы постараемся объяснить простым языком, что это такое и как работает. Мы также посмотрим, кому следует его использовать. Скорее всего, не станет большим сюрпризом узнать, что любой может извлечь из этого выгоду, и мы увидим, как и почему. И как только мы все на одной странице о мониторинге целостности файлов, мы будем готовы перейти к сути этого сообщения и кратко рассмотреть некоторые из лучших инструментов, которые может предложить рынок.

Что такое мониторинг целостности файлов?

По своей сути, мониторинг целостности файлов является ключевым элементом процесса управления ИТ-безопасностью. Основная концепция, лежащая в основе этого, заключается в том, чтобы гарантировать учет любых изменений файловой системы и быстрое выявление любых неожиданных изменений.

Хотя некоторые системы предлагают мониторинг целостности файлов в реальном времени, это, как правило, оказывает большее влияние на производительность. По этой причине часто предпочтительнее использовать систему на основе моментальных снимков. Он работает, делая снимок файловой системы через регулярные промежутки времени и сравнивая его с предыдущим или с ранее установленной базовой линией. Независимо от того, как работает функция обнаружения (в реальном времени или нет), любое обнаруженное изменение, которое предполагает какой-либо несанкционированный доступ или вредоносную активность (например, внезапное изменение размера файла или доступ конкретного пользователя или группы пользователей) и предупреждение поднят и / или запущена какая-либо форма или процесс исправления. Это может быть как всплывающее окно с предупреждением, так и восстановление исходного файла из резервной копии или блокировка доступа к файлу, находящемуся под угрозой.

Для кого предназначен мониторинг целостности файлов?

Быстрый ответ на этот вопрос - любой. Действительно, любая организация может получить выгоду от использования программного обеспечения для мониторинга целостности файлов. Однако многие предпочтут его использовать, потому что они находятся в ситуации, когда это требуется. Например, программное обеспечение для мониторинга целостности файлов либо требуется, либо строго указывается в определенных нормативных документах, таких как PCI DSS, Sarbanes-Oxley или HIPAA. Конкретно, если вы работаете в финансовом секторе или секторе здравоохранения или обрабатываете платежные карты, мониторинг целостности файлов является скорее требованием, чем вариантом.

Точно так же, хотя это может и не быть обязательным, любая организация, имеющая дело с конфиденциальной информацией, должна серьезно рассмотреть программное обеспечение для мониторинга целостности файлов. Независимо от того, храните ли вы данные клиентов или коммерческую тайну, использование этих инструментов дает очевидные преимущества. Это могло спасти вас от всяких неудач.

Но мониторинг целостности файлов предназначен не только для крупных организаций. Хотя крупные и средние предприятия склонны осознавать важность программного обеспечения для контроля целостности файлов, малым предприятиям, безусловно, следует учитывать и его. Это особенно верно, если принять во внимание, что существуют инструменты мониторинга целостности файлов, которые подходят для любых потребностей и бюджетов. Фактически, некоторые инструменты из нашего списка бесплатны и имеют открытый исходный код.

Лучшее программное обеспечение для мониторинга целостности файлов

Существует бесчисленное множество инструментов, предлагающих функцию мониторинга целостности файлов. Некоторые из них представляют собой специализированные инструменты, которые в основном больше ничего не делают. Некоторые, с другой стороны, представляют собой широкое решение для ИТ-безопасности, которое объединяет мониторинг целостности файлов вместе с другими функциями, связанными с безопасностью. Мы постарались включить в наш список оба вида инструментов. В конце концов, мониторинг целостности файлов часто является частью усилий по управлению ИТ-безопасностью, которые включают в себя другие функции. Тогда почему бы не выбрать интегрированный инструмент.

1. Менеджер событий безопасности SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД )

Многие сетевые и системные администраторы знакомы с SolarWinds . В конце концов, компания производит одни из лучших инструментов около двадцати лет. Его флагманский продукт под названием SolarWinds Network Performance Monitor считается одним из лучших подобных инструментов на рынке. И чтобы сделать ситуацию еще лучше, SolarWinds также издает бесплатные инструменты, которые решают некоторые конкретные задачи сетевого администрирования.

Хотя SolarWinds не создает специального инструмента для мониторинга целостности файлов, его инструмент управления информацией и событиями безопасности (SIEM), SolarWinds Security Event Manager , включает очень хороший модуль мониторинга целостности файлов. Этот продукт определенно является одной из лучших SIEM-систем начального уровня на рынке. В этом инструменте есть почти все, что можно ожидать от инструмента SIEM. Это включает в себя превосходные функции управления журналами и корреляции, а также впечатляющий механизм отчетности и, конечно же, мониторинг целостности файлов.

БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Security Event Manager

Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

Когда дело доходит до мониторинга целостности файлов, SolarWinds Security Event Manager может показать, какие пользователи ответственны за какие изменения файлов. Он также может отслеживать дополнительные действия пользователей, позволяя создавать различные предупреждения и отчеты. Боковая панель домашней страницы инструмента может отображать количество событий изменений под заголовком «Управление изменениями». Каждый раз, когда что-то выглядит подозрительно и вы хотите копнуть глубже, у вас есть возможность фильтровать события по ключевому слову.

Инструмент также может похвастаться отличными функциями реагирования на события, которые не оставляют желать ничего лучшего. Например, подробная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. А поскольку он основан на поведении, а не на сигнатуре, вы защищены от неизвестных или будущих угроз и атак нулевого дня.

Помимо впечатляющего набора функций, безусловно, стоит обсудить панель управления SolarWinds Security Event Manager . Благодаря простому дизайну у вас не будет проблем со знакомством с инструментом и быстрым обнаружением аномалий. Инструмент более чем доступен по цене от 4 500 долларов. А если вы хотите попробовать его и посмотреть, как он работает в вашей среде, вы можете загрузить бесплатную полнофункциональную 30-дневную пробную версию.

Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC , что расшифровывается как Open Source Security, одна из самых известных систем обнаружения вторжений на основе хоста с открытым исходным кодом. Продукт принадлежит компании Trend Micro , одной из ведущих компаний в области ИТ-безопасности и разработчику одного из лучших пакетов для защиты от вирусов. И если продукт находится в этом списке, будьте уверены, что он также имеет очень приличную функцию мониторинга целостности файлов.

При установке в операционных системах Linux или Mac OS, программное обеспечение в первую очередь ориентировано на файлы журнала и конфигурации. Он создает контрольные суммы важных файлов и периодически проверяет их, предупреждая вас, когда происходит что-то странное. Он также будет отслеживать и предупреждать о любой ненормальной попытке получить root-доступ. На хостах Windows система также отслеживает несанкционированные изменения реестра, которые могут быть контрольным признаком злонамеренной активности.

Когда дело доходит до мониторинга целостности файлов, OSSEC имеет особую функцию под названием Syscheck . По умолчанию инструмент запускается каждые шесть часов и проверяет наличие изменений контрольных сумм файлов ключей. Модуль предназначен для уменьшения использования ЦП, что делает его потенциально хорошим вариантом для организаций, которым требуется решение для управления целостностью файлов с небольшими размерами.

Поскольку OSSEC является системой обнаружения вторжений на основе хоста, его необходимо устанавливать на каждый компьютер (или сервер), который вы хотите защитить. Это главный недостаток таких систем. Однако доступна централизованная консоль, которая объединяет информацию с каждого защищенного компьютера для упрощения управления. Эта консоль OSSEC работает только в операционных системах Linux или Mac OS. Однако доступен агент для защиты хостов Windows. Любое обнаружение вызовет предупреждение, которое будет отображаться на централизованной консоли, а уведомления также будут отправляться по электронной почте.

3. Целостность файлов Samhain

Samhain - это бесплатная система обнаружения вторжений на хост, которая обеспечивает проверку целостности файлов и мониторинг / анализ файлов журналов. Кроме того, продукт также выполняет обнаружение руткитов, мониторинг портов, обнаружение ложных исполняемых файлов SUID и скрытых процессов. Этот инструмент был разработан для мониторинга нескольких систем с различными операционными системами с централизованной регистрацией и обслуживанием. Однако Samhain также можно использовать как отдельное приложение на одном компьютере. Инструмент может работать в системах POSIX, таких как Unix , Linux или Mac OS . Он также может работать в Windows под Cygwin, хотя в этой конфигурации был протестирован только агент мониторинга, а не сервер.

На хостах Linux S amhain может использовать механизм inotify для отслеживания событий файловой системы. В режиме реального времени. Это позволяет получать немедленные уведомления об изменениях и устраняет необходимость в частом сканировании файловой системы, которое может вызвать высокую нагрузку ввода-вывода. Кроме того, можно проверить различные контрольные суммы, такие как TIGER192, SHA-256, SHA-1 или MD5. Также можно проверить размер файла, режим / разрешение, владельца, группу, метку времени (создание / изменение / доступ), индексный дескриптор, количество жестких ссылок и связанный путь символьных ссылок. Инструмент может даже проверять более «экзотические» свойства, такие как атрибуты SELinux, списки ACL POSIX (в поддерживающих их системах), атрибуты файлов Linux ext2 (установленные chattr, такие как неизменяемый флаг) и флаги файлов BSD.

Одной из уникальных особенностей Samhain является его скрытый режим, который позволяет ему работать, не будучи обнаруженным возможными злоумышленниками. Слишком часто злоумышленники уничтожают распознаваемые ими процессы обнаружения, что позволяет им оставаться незамеченными. Этот инструмент использует методы стеганографии, чтобы скрыть свои процессы от других. Он также защищает свои центральные файлы журналов и резервные копии конфигурации с помощью ключа PGP для предотвращения взлома. В целом, это очень полный инструмент, предлагающий гораздо больше, чем просто мониторинг целостности файлов.

4. Менеджер целостности файлов Tripwire

Далее следует решение от Tripwire , компании, пользующейся солидной репутацией в области ИТ-безопасности. А когда дело доходит до мониторинга целостности файлов, Tripwire File Integrity M anager ( FIM ) обладает уникальной способностью снижать уровень шума, предоставляя несколько способов отсеивания изменений с низким уровнем риска от изменений с высоким риском при оценке, назначении приоритетов и согласовании обнаруженных изменений. Автоматически продвигая многочисленные обычные изменения, инструмент снижает уровень шума, поэтому у вас будет больше времени для изучен��я изменений, которые могут действительно повлиять на безопасность и создать риск. Tripwire FIMиспользует агентов для непрерывного сбора полной информации о том, кто, что и когда в режиме реального времени. Это помогает убедиться, что вы обнаруживаете все изменения, фиксируете подробности каждого из них и используете эти данные для определения риска безопасности или несоответствия.

Tripwire дает вам возможность интегрировать File Integrity Manager со многими вашими средствами контроля безопасности: управление конфигурацией безопасности (SCM), управление журналами и инструменты SIEM. Tripwire FIM добавляет компоненты, которые помечают и управляют данными с помощью этих элементов управления более интуитивно и таким образом, чтобы лучше защищать данные. Например, платформа интеграции событий ( EIF ) добавляет ценные данные об изменениях из диспетчера целостности файлов в Центр журналов Tripwire или почти в любой другой SIEM. С помощью EIF и других основных средств управления безопасностью Tripwire вы можете легко и эффективно управлять безопасностью своей ИТ-инфраструктуры.

Tripwire File Integrity Manager использует автоматизацию для обнаружения всех изменений и исправления тех, которые исключают конфигурацию из политики. Его можно интегрировать с существующими системами регистрации изменений, такими как BMC Remedy , HP Service Center или Service Now , что позволяет проводить быстрый аудит. Это также обеспечивает прослеживаемость. Кроме того, автоматические оповещения вызывают настраиваемые пользователем ответы, когда одно или несколько конкретных изменений достигают порога серьезности, которого одно изменение не вызовет. Например, незначительное изменение содержимого, сопровождаемое изменением разрешений, которое было выполнено вне окна запланированного изменения.

5. AFICK (еще одна программа проверки целостности файлов)

Далее идет инструмент с открытым исходным кодом от разработчика Эрика Гербье под названием AFICK (Another File Integrity Checker) . Хотя инструмент утверждает, что предлагает функции, аналогичные Tripwire, это гораздо более грубый продукт, во многом напоминающий традиционное программное обеспечение с открытым исходным кодом. Инструмент может отслеживать любые изменения в файловых системах, которые он отслеживает. Он поддерживает несколько платформ, таких как Linux (SUSE, Redhat, Debian и другие), Windows, HP Tru64 Unix, HP-UX и AIX. Программное обеспечение разработано, чтобы быть быстрым и портативным, и оно может работать на любом компьютере, поддерживающем Perl и его стандартные модули.

Что касается функциональности AFICK , вот обзор его основных функций. Инструмент прост в установке и не требует компиляции или установки многих зависимостей. Это также быстрый инструмент, отчасти из-за своего небольшого размера. Несмотря на свой небольшой размер, он будет отображать новые, удаленные и измененные файлы, а также любые оборванные ссылки. Он использует простой текстовый файл конфигурации, который поддерживает исключения и джокеры, и использует синтаксис, очень похожий на синтаксис Tripwire или Aide. И графический пользовательский интерфейс на основе Tk, и веб-интерфейс на основе webmin доступны, если вы предпочитаете держаться подальше от инструмента командной строки.

AFICK (еще одна программа проверки целостности файлов) полностью написана на Perl для обеспечения переносимости и доступа к исходным текстам. А поскольку он имеет открытый исходный код (выпущен под лицензией GNU General Public License), вы можете добавлять в него функциональные возможности по своему усмотрению. Инструмент использует MD5 для своей контрольной суммы, поскольку он быстрый и встроен во все дистрибутивы Perl, и вместо использования базы данных с открытым текстом используется dbm.

6. AIDE (Расширенная среда обнаружения вторжений)

Несмотря на довольно вводящее в заблуждение название, AIDE (Advanced Intrusion Detection Environment) на самом деле является средством проверки целостности файлов и каталогов. Он работает, создавая базу данных из правил регулярных выражений, которые он находит в своем файле конфигурации. После инициализации базы данных она использует ее для проверки целостности файлов. Инструмент использует несколько алгоритмов дайджеста сообщений, которые можно использовать для проверки целостности файлов. Кроме того, все обычные атрибуты файлов могут быть проверены на несоответствия. Он также может читать базы данных из более старых или новых версий.

Что касается функций, AIDE является полноценным оценщиком. Он поддерживает несколько алгоритмов дайджеста сообщений, таких как md5, sha1, rmd160, tiger, crc32, sha256, sha512 и whirlpool. Инструмент может проверять несколько атрибутов файла, включая тип файла, разрешения, индексный дескриптор, Uid, Gid, имя ссылки, размер, количество блоков, количество ссылок, Mtime, Ctime и Atime. Он также может поддерживать атрибуты Posix ACL, SELinux, XAttrs и Extended файловой системы. Для простоты инструмент использует файлы конфигурации в виде простого текста, а также базу данных в виде обычного текста. Одной из наиболее интересных функций является поддержка мощных регулярных выражений, позволяющих выборочно включать или исключать файлы и каталоги, подлежащие мониторингу. Одна только эта функция делает его очень универсальным и гибким инструментом.

Продукт, который существует с 1999 года, все еще активно развивается, и его последней версии (0.16.2) всего несколько месяцев. Он доступен под общедоступной лицензией GNU и будет работать в большинстве современных вариантов Linux.

7. Мониторинг целостности файлов Qualys

Qualys File Integrity Monitoring от гиганта безопасности Qualys - это «облачное решение для обнаружения и идентификации критических изменений, инцидентов и рисков, возникающих в результате обычных и злонамеренных событий». Он поставляется с готовыми профилями, основанными на лучших отраслевых практиках и рекомендациях поставщиков по общим требованиям соответствия и аудита, включая PCI DSS.

Qualys File Integrity Monitoring эффективно обнаруживает изменения в режиме реального времени, используя аналогичные подходы, используемые в антивирусных технологиях. Уведомления об изменениях могут быть созданы для всей структуры каталогов или на уровне файлов. Инструмент использует существующие сигналы ядра ОС для идентификации файлов, к которым осуществляется доступ, вместо того, чтобы полагаться на ресурсоемкие подходы. Продукт может обнаруживать создание или удаление файлов или каталогов, переименование файлов или каталогов, изменения атрибутов файлов, изменения параметров безопасности файлов или каталогов, таких как разрешения, владение, наследование и аудит, или изменения файловых данных, хранящихся на диск.

Это многоярусный продукт. Qualys Cloud Agent непрерывно отслеживает файлы и каталоги , указанные в вашем профиле мониторинга и захватывает важные данные , чтобы помочь определить , что изменилось вместе с деталями окружающей среды , такие как , какой пользователь и какой процесс был вовлечен в изменения. Затем он отправляет данные в облачную платформу Qualys для анализа и составления отчетов. Одним из преимуществ этого подхода является то, что он работает одинаково независимо от того, находятся ли системы локально, в облаке или удаленно.

Мониторинг целостности файлов можно легко активировать на существующих агентах Qualys и начать мониторинг изменений локально с минимальным влиянием на конечную точку. Qualys Cloud Platform позволяет легко масштабировать до крупных сред. Влияние на производительность отслеживаемых конечных точек сводится к минимуму за счет эффективного локального мониторинга изменений файлов и отправки данных на облачную платформу Qualys, где выполняется вся тяжелая работа по анализу и корреляции. Что касается облачного агента Qualys , он самообновляется и самовосстанавливается, поддерживая себя в актуальном состоянии без необходимости перезагрузки.