Что такое мониторинг целостности файлов? Какие инструменты используются сегодня?
Два вопроса, которые требуют внимания в каждой компании или организации, в которой данные и, в более широком смысле, ее информационные активы являются основой бизнеса или жизненно важных внутренних процессов, практически во всех из них.
Когда-то хранение документов было поручено ныне исчезнувшему лицу - архивариусу. Затем (дикая) оцифровка означала, что эта цифра была заменена или чаще всего устранена, предоставив каждому возможность «хранить» свои данные на более или менее регламентированных и структурированных файловых серверах, создавая иллюзию, что таким образом можно воссоздать архив, который когда-то был бумажным.
Однако многие не осознавали, что архивариус также является хранителем, хранителем целостности документов и, следовательно, данных организации. Он отвечал за проверку того, чтобы папки были на своих местах, чтобы плесень не поражала старые документы, и мог, как библиотекарь, находить документы, необходимые на более высоких уровнях для принятия решений.
Но кто теперь делает все это вместо него?
Кто-то может возразить, что во всем этом больше нет необходимости, и я с ними отчасти согласен, но есть равноценные занятия, которыми никто не занимается.
Базы данных и файловые серверы, эквивалентные бумажным архивам, подвержены изменениям, обновлениям, удалениям и дополнениям как в данных, так и в структуре и, прежде всего, в программном обеспечении, без осознания ущерба, который может быть нанесен даже просто из-за ошибки или отвлечение. И все это без учета злонамеренных действий конкурентов, хакеров, недовольных сотрудников и так далее и тому подобное.
Вот как Мониторинг целостности файлов (ФИМ). Теперь мы можем увидеть, что это такое.
FIM относится к механизмам контроля безопасности, используемым в ИТ-организациях. FIM отвечает за проверку целостности наиболее конфиденциальных и важных файлов, данных, содержащихся в реестрах и папках операционных систем (и не только), проверку того, были ли они изменены или скомпрометированы, путем отслеживания всех действий. осуществляется по тому же (журналу). Периодически выполняется проверка сохраненных данных, чтобы увидеть, что изменилось, как это изменилось, кто это изменил и было ли это изменение разрешено. Для этого, конечно же, используются автоматические инструменты.
Если вы хотите узнать больше о любом из этих FIM, вы можете использовать TrustRadius (https://solutions.trustradius.com/), на котором представлено сравнение технологических продуктов, или на другом сайте по вашему выбору, их несколько. В списке продуктов для мониторинга файлов на веб-сайте TrustRadius первым идет AlienVault® Unified Security Management® (USM) от AT&T, за ним следуют Falcon Endpoint Protection от CrowdStrike и SolarWinds Security Event Manager (который на самом деле является SIEM, чем-то большим, чем FIM). ).
В целом эти продукты основаны на современных криптографических методах, применяемых для управления безопасностью файлов и их анализа.
Последнее возражение, которое кто-то может выдвинуть, заключается в следующем: но какой во всем этом смысл? Эти FIM представляют собой дополнительную сложность.
Я не могу отрицать, что это возражение имеет смысл, но это не означает, что FIM бесполезны. Представьте себе, что могло бы произойти, если бы группы крови жителей больницы были отменены или, что еще хуже, произвольно изменены!
Как всегда, спасибо нашим друзьям из SICYNT за стимулы и постоянные дискуссии.
Для углубления:
- https://www.trustradius.com/file-integrity-monitoring
- https://www.solarwinds.com/resources/it-glossary/file-integrity
- https://www.crowdstrike.com/cybersecurity-101/file-integrity-monitoring/
- https://kinsta.com/blog/file-integrity-monitoring/
- https://www.tripwire.com/state-of-security/file-integrity-monitoring
- https://www.comparitech.com/net-admin/file-integrity-monitoring-tools/
