组织的 IT 环境是一个不断变化的地方.软件程序和硬件资产都会发生变化。配置文件和其他重要资产也是如此。其中大部分是授权更改 - 例如,它们在修补文件时发生。但意想不到的变化令人担忧。这就是文件完整性监控的用武之地。

文件完整性监控或 FIM 不仅仅是了解系统上发生的事情。这是关于在遵守法规的同时保护个人数据安全和避免攻击。让我们讨论一下 FIM 是什么、为什么需要它以及它是如何工作的。

什么是文件完整性监控?

文件完整性监控可让您在文件级别深入了解什么对您的组织很重要。其中包括:

  • 配置文件
  • 客户资料
  • 健康信息
  • 密钥和凭证文件
  • 系统应用程序文件

然后,FIM 让您知道谁在编辑、删除或移动文件以及谁获得了对这些文件的未授权访问权。

有一些监管标准要求公司知道谁有权访问关键文件以及发生了哪些更改。 FIM 对于必须遵守 NERC CIP、NIST CSF 和 PCI DSS 等合规性法规的公司来说是强制性的。尽管 GDPR 和 HIPAA 没有特别要求 FIM,但它在审计期间很有用。这种对资产的可见性对这两项法规都很重要——因此在这些情况下,FIM 绝对不会受到伤害。

它保护您免受哪些威胁?

当未经授权或不需要的用户访问您的网络时,他们可以随意更改任何内容。他们还可以删除事件日志以避免被发现。这是最坏的情况:FIM 警报关闭是因为有人获得了对您网络的内部访问权限并篡改了您的文件。攻击者可以扫描您的网络以查找其他资产并破坏它们、伪装成员工、窃取凭据等等。如果有人获得了对您系统的访问权,他们可以为所欲为——至少在他们被抓到之前是这样。

FIM 是如何工作的?

不管你选择什么软件,FIM基本上都是这样工作的:

  • 你可以设置监控哪些系统文件和注册表。理想情况下,您会缩小范围,以免被不需要的警报渗透。
  • 您建立基线,以便 FIM 工具有一个参考点来检查文件。
  • FIM 工具全天候 24/7 监控计划的文件和注册表。
  • FIM 工具在发生关键事件(例如,文件被编辑或删除)时捕获数据。此数据包括发生了什么事件、受影响的资产、进行更改的用户和时间戳。
  • 分析事件数据和其他数据可以更全面地了解发生的情况以及是否超出正常范围。
  • 如果事件是恶意的或可疑的,将发出警报。 (好的更改,例如补丁和安全更新,已列入白名单,因此您不会收到警报。)
  • FIM 工具将(希望)提供与事件相关的其他数据,以便您的 IT 团队可以看到究竟是怎么回事。

如何使用 WordPress 实施文件完整性监控

使用 WordPress 实施 FIM 不仅仅是找到一个可以在文件更改时提醒您的工具。 FIM 最好与其他安全措施结合使用,例如审计日志记录和用户监控。您的安全工具应具有分层检测功能,包括合规性法规和主动检测。您需要在攻击早期检测到其他操作,以便尽快停止它们。

Rapid7 是一个基于云的文件事件跟踪系统。您选择要监控的资产,软件会监控文件修改以及修改者。如果重要文件或文件夹被删除、编辑或移动,您将收到警报。如果您想关注活动,您还可以查看实时指标。在 FIM 警报之上,您将能够看到它周围发生的所有其他运动,以便您可以调查和响应攻击,并且您可以将修改活动导出为仪表板图表。在此处了解有关 Rapid7 WordPress 扩展的更多信息。

Quality 是另一个适用于 WordPress 的 FIM 工具。当您确定要监控的范围时,Qualys 的开箱即用配置文件意味着您可以立即启动并运行,然后根据您对需求的更多了解来调整范围。云平台也有实时变化检测。当文件更改时,收集的数据包括用户、文件名、资产详细信息和时间戳。此外,您无需购买更多软件或存储空间即可扩展。

其他高度评价的 FIM 工具包括 OSCE 和 Tripwire。我们还列出了六个最好的 WordPress 安全插件,如果您想将其中一个与您的 FIM 解决方案配对,您现在可以安装。

关于文件完整性监控的最终想法

如果您的公司必须遵守 FISMA、SOX 或许多其他需要 FIM 的法规,那么您肯定需要一个文件完整性监控工具。它不仅可以保护您的客户、数据、文件和系统的安全,还可以让您的公司在审计期间保持良好的信誉。

主要要避免的是许多公司掉入的陷阱:噪音太大。如果监视的文件过多,可能会导致出现过多的 FIM 警报。当在没有任何上下文的情况下发出警报时,就无法确定什么是威胁,什么不是威胁。高效的 FIM 解决方案将仅监控必要的文件和文件夹,然后提供具有有用见解的警报。

最后,牢记这两个 FIM 最佳实践。准确指定将监视哪些文件。如果监控范围太广,只要有任何修改,您就会被警报和活动淹没。然后,通过调查 FIM 警报采取措施。了解其他用户或资产是否受到影响很重要。一些独立的工具不提供尽可能多的上下文。您需要一个日志管理工具或调查平台来帮助您进行调查。

您是否在使用建议的 FIM 解决方案?让我们知道!

出处