dark

什麼是文件完整性監控? 你需要它嗎?

2022年1月2日

什麼是文件完整性監控並且您需要它什麼是文件完整性監控? 你需要它嗎?

組織的 IT 環境是一個不斷變化的地方。 軟體程序和硬體資產都會發生變化。 配置文件和其他重要資產也是如此。 其中大部分都是經過授權的更改——例如,它們會在修補文件時發生。 但意想不到的變化令人擔憂。 這就是文件完整性監控的用武之地。

文件完整性監控或 FIM,不僅僅是了解您的系統發生了什麼。 這是關於在遵守法規的同時保持個人數據安全和避免攻擊。 讓我們討論 FIM 是什麼、為什麼需要它以及它是如何工作的。

什麼是文件完整性監控?

文件完整性監控使您可以在文件級別了解對您的組織而言重要的內容。 那包括:

  • 配置文件
  • 客戶資料
  • 健康信息
  • 密鑰和憑證文件
  • 系統應用文件

然後,FIM 讓您知道誰在編輯、刪除或移動文件,以及誰對這些文件進行了未經授權的訪問。

有一些監管標準要求公司知道誰可以訪問關鍵文件以及發生了哪些更改。 對於必須遵守 NERC CIP、NIST CSF 和 PCI DSS 等合規性法規的公司,FIM 是強制性的。 儘管 GDPR 和 HIPAA 沒有特別要求 FIM,但它在審計期間可能會有所幫助。 這種對資產的可見性對於這兩項法規很重要——因此在這些情況下,FIM 絕對不會受到傷害。

它可以保護您免受哪些威脅?

當未經授權或有害的用戶可以訪問您的網路時,他們可以隨意更改任何內容。 他們還可以刪除事件日誌以避免檢測。 這是最壞的情況:由於有人獲得了對您的網路的內部訪問許可權並篡改了您的文件,因此 FIM 警報發出。 攻擊者可以掃描您的網路以查找其他資產並破壞它們、偽裝成員工、竊取憑據等。如果有人獲得了對您系統的訪問許可權,他們可以為所欲為——至少直到他們被抓住為止。

FIM 如何運作?

無論您選擇哪種軟體,FIM 基本上都是這樣工作的:

  • 您可以設置要監視的系統文件和註冊表。 理想情況下,您將縮小範圍,以免被不必要的警報滲透。
  • 您建立一個基線,以便 FIM 工具有一個參考點來檢查文件。
  • FIM 工具全天候監視預定文件和註冊表。
  • 當發生關鍵事件(例如,文件被編輯或刪除)時,FIM 工具會捕獲數據。 該數據包括發生了什麼事件、受影響的資產、進行更改的用戶和時間戳。
  • 對事件數據和其他數據的分析可以更全面地了解所發生的情況以及是否超出正常範圍。
  • 如果事件是惡意的或可疑的,則會發出警報。 (好的更改,例如補丁和安全更新,會列入白名單,這樣您就不會收到警報。)
  • FIM 工具將(希望如此)提供與事件相關的其他數據,以便您的 IT 團隊能夠準確了解發生了什麼。

如何使用 WordPress 實施文件完整性監控

使用 WordPress 實施 FIM 不僅僅是找到一個工具,當文件發生更改時會提醒您。 FIM 最好與其他安全措施一起使用,例如審計日誌記錄和用戶監控。 您的安全工具應該具有分層檢測功能,包括合規性法規和主動檢測。 您需要在攻擊早期檢測到其他操作,以便儘快阻止它們。

Rapid7 是一個基於雲的文件事件跟蹤系統。 您選擇要監視的資產,然後軟體會監視文件修改以及修改者。 如果刪除、編輯或移動關鍵文件或文件夾,您會收到警報。 如果您想隨時關注活動,您還可以查看實時指標。 在 FIM 警報之上,您將能夠看到發生在它周圍的所有其他移動,以便您可以調查和響應攻擊,並且您可以將修改活動導出為儀錶板圖表。 了解有關 Rapid7 WordPress 擴展的更多信息 這裡.

質量 是另一個可用於 WordPress 的 FIM 工具。 當您確定要監控的範圍時,Qualys 開箱即用的配置文件意味著您可以立即啟動並運行,然後在了解更多您的需求時調整範圍。 雲平台還具有實時變化檢測。 當文件更改時,收集的數據包括用戶、文件名、資產詳細信息和時間戳。 此外,您無需購買更多軟體或存儲設備即可進行擴展。

其他高度評價的 FIM 工具包括 歐安會絆線. 我們還有一份清單 六個最好的 WordPress 安全插件 如果您想將其中一個與您的 FIM 解決方案配對,您可以立即安裝。

關於文件完整性監控的最終想法

如果您的公司必須遵守 FISMA、SOX 或許多其他需要 FIM 的法規,那麼您肯定需要一個文件完整性監控工具。 它不僅可以確保您的客戶、數據、文件和系統安全,而且還可以讓您的公司在審計期間保持良好的信譽。

要避免的主要事情是許多公司陷入的陷阱:噪音太大。 如果監視的文件過多,則會導致 FIM 警報過多。 如果在沒有任何上下文的情況下發出警報,就不可能確定什麼是威脅,什麼不是威脅。 高效的 FIM 解決方案將僅監控必要的文件和文件夾,然後提供具有有用洞察力的警報。

最後,請記住這兩個 FIM 最佳實踐。 準確說明將要監視的文件。 如果監控範圍太廣,您可能會在修改任何內容時被警報和活動淹沒。 然後,通過調查 FIM 警報採取行動。 了解其他用戶或資產是否受到影響很重要。 一些獨立工具不提供這麼多上下文。 您需要一個日誌管理工具或調查平台來幫助您進行調查。

您是否使用您建議的 FIM 解決方案? 告訴我們吧!

來源

相關文章