dark

什么是文件完整性监控? 你需要它吗?

2022年1月2日

什么是文件完整性监控并且您需要它什么是文件完整性监控? 你需要它吗?

组织的 IT 环境是一个不断变化的地方。 软件程序和硬件资产都会发生变化。 配置文件和其他重要资产也是如此。 其中大部分都是经过授权的更改——例如,它们会在修补文件时发生。 但意想不到的变化令人担忧。 这就是文件完整性监控的用武之地。

文件完整性监控或 FIM,不仅仅是了解您的系统发生了什么。 这是关于在遵守法规的同时保持个人数据安全和避免攻击。 让我们讨论 FIM 是什么、为什么需要它以及它是如何工作的。

什么是文件完整性监控?

文件完整性监控使您可以在文件级别了解对您的组织而言重要的内容。 那包括:

  • 配置文件
  • 客户资料
  • 健康信息
  • 密钥和凭证文件
  • 系统应用文件

然后,FIM 让您知道谁在编辑、删除或移动文件,以及谁对这些文件进行了未经授权的访问。

有一些监管标准要求公司知道谁可以访问关键文件以及发生了哪些更改。 对于必须遵守 NERC CIP、NIST CSF 和 PCI DSS 等合规性法规的公司,FIM 是强制性的。 尽管 GDPR 和 HIPAA 没有特别要求 FIM,但它在审计期间可能会有所帮助。 这种对资产的可见性对于这两项法规很重要——因此在这些情况下,FIM 绝对不会受到伤害。

它可以保护您免受哪些威胁?

当未经授权或有害的用户可以访问您的网络时,他们可以随意更改任何内容。 他们还可以删除事件日志以避免检测。 这是最坏的情况:由于有人获得了对您的网络的内部访问权限并篡改了您的文件,因此 FIM 警报发出。 攻击者可以扫描您的网络以查找其他资产并破坏它们、伪装成员工、窃取凭据等。如果有人获得了对您系统的访问权限,他们可以为所欲为——至少直到他们被抓住为止。

FIM 如何运作?

无论您选择哪种软件,FIM 基本上都是这样工作的:

  • 您可以设置要监视的系统文件和注册表。 理想情况下,您将缩小范围,以免被不必要的警报渗透。
  • 您建立一个基线,以便 FIM 工具有一个参考点来检查文件。
  • FIM 工具全天候监视预定文件和注册表。
  • 当发生关键事件(例如,文件被编辑或删除)时,FIM 工具会捕获数据。 该数据包括发生了什么事件、受影响的资产、进行更改的用户和时间戳。
  • 对事件数据和其他数据的分析可以更全面地了解所发生的情况以及是否超出正常范围。
  • 如果事件是恶意的或可疑的,则会发出警报。 (好的更改,例如补丁和安全更新,会列入白名单,这样您就不会收到警报。)
  • FIM 工具将(希望如此)提供与事件相关的其他数据,以便您的 IT 团队能够准确了解发生了什么。

如何使用 WordPress 实施文件完整性监控

使用 WordPress 实施 FIM 不仅仅是找到一个工具,当文件发生更改时会提醒您。 FIM 最好与其他安全措施一起使用,例如审计日志记录和用户监控。 您的安全工具应该具有分层检测功能,包括合规性法规和主动检测。 您需要在攻击早期检测到其他操作,以便尽快阻止它们。

Rapid7 是一个基于云的文件事件跟踪系统。 您选择要监视的资产,然后软件会监视文件修改以及修改者。 如果删除、编辑或移动关键文件或文件夹,您会收到警报。 如果您想随时关注活动,您还可以查看实时指标。 在 FIM 警报之上,您将能够看到发生在它周围的所有其他移动,以便您可以调查和响应攻击,并且您可以将修改活动导出为仪表板图表。 了解有关 Rapid7 WordPress 扩展的更多信息 这里.

质量 是另一个可用于 WordPress 的 FIM 工具。 当您确定要监控的范围时,Qualys 开箱即用的配置文件意味着您可以立即启动并运行,然后在了解更多您的需求时调整范围。 云平台还具有实时变化检测。 当文件更改时,收集的数据包括用户、文件名、资产详细信息和时间戳。 此外,您无需购买更多软件或存储设备即可进行扩展。

其他高度评价的 FIM 工具包括 欧安会绊线. 我们还有一份清单 六个最好的 WordPress 安全插件 如果您想将其中一个与您的 FIM 解决方案配对,您可以立即安装。

关于文件完整性监控的最终想法

如果您的公司必须遵守 FISMA、SOX 或许多其他需要 FIM 的法规,那么您肯定需要一个文件完整性监控工具。 它不仅可以确保您的客户、数据、文件和系统安全,而且还可以让您的公司在审计期间保持良好的信誉。

要避免的主要事情是许多公司陷入的陷阱:噪音太大。 如果监视的文件过多,则会导致 FIM 警报过多。 如果在没有任何上下文的情况下发出警报,就不可能确定什么是威胁,什么不是威胁。 高效的 FIM 解决方案将仅监控必要的文件和文件夹,然后提供具有有用洞察力的警报。

最后,请记住这两个 FIM 最佳实践。 准确说明将要监视的文件。 如果监控范围太广,您可能会在修改任何内容时被警报和活动淹没。 然后,通过调查 FIM 警报采取行动。 了解其他用户或资产是否受到影响很重要。 一些独立工具不提供这么多上下文。 您需要一个日志管理工具或调查平台来帮助您进行调查。

您是否使用您建议的 FIM 解决方案? 告诉我们吧!

来源

相关文章