文件完整性监测的5个阶段

安全
文件完整性监测(FIM)解决方案如果部署得好,益处是很大的,不过,如果控制不好,FIM也可能很“烦人”,只有精挑细选解决方案,精心维护,恰当馈送,根据环境变化进行微调,才可以避免FIM的5个阶段不至于让你的安全团队不堪重负。

文件完整性监测(FIM)解决方案如果部署得好,益处是很大的:

  • 如果看到非预期或无法解释的文件修改,可以立即展开调查:若调查发现系统被入侵,可以快速解决问题。
  • 可根据文本或电子表格中列出的核准变更来协调这些修改。
  • 可判定这些修改是否动到了策略配置(影响固化标准)。
  • 可自动化特定类型修改的响应动作——比如:标记DLL文件的出现(高风险),但自动推进对DLL文件的简单修改(低风险)。

文件完整性监测

但我们不能低估FIM的重要性。别忘了互联网安全中心在《关键安全控制 3.5》中说的:

使用文件完整性检查工具确保关键系统文件(包括敏感系统和应用程序、二进制文件以及配置文件)不被篡改。

该报告系统应达到:

  • 具备识别常规和预期修改的能力;
  • 标记并报警不正常或非预期修改;
  • 显示配置变更历史及变更人(包括用户ID切换时的原始登录账户,比如执行“su”或“sudo”指令时)。

这些完整性检查应识别出可疑系统修改,比如:

  • 对文件或目录的拥有者及权限的修改;
  • 使用可隐藏恶意活动的备用数据流;
  • 在系统关键位置增加文件(可能是攻击者留下的恶意攻击载荷,或批处理过程中不当引入的文件)。

不过,如果控制不好,FIM也可能很“烦人”,还会耗用大量时间和精力。只有精挑细选解决方案,精心维护,恰当馈送,根据环境变化进行微调,才可以避免FIM的5个阶段不至于让你的安全团队不堪重负。

简单讲,FIM的5个阶段是:

  1. 发现被监测环境中出现了变化;
  2. 有变化,而且是非预期的;
  3. 有变化,非预期,而且是不好的改变;
  4. 有变化,非预期,有不良后果,但有办法恢复到已知可信状态;
  5. 有变化,非预期,会造成不良后果,有办法修复,调整解决方案以最小化将来的噪音。

如果尚未部署解决方案,或者已有解决方案不能快速搞定此类变化,那就容易产生FIM“没什么用”的认知。

提升FIM功效的最佳办法,是将其监测范围缩小到针对能解决合规、安全和运营问题的用例上,而且最好就是按这个顺序确定优先级。上述5个阶段的复杂度也是顺序递进的。

SOX(《塞班斯法案》)合规就是企业FIM的一个很好案例,企业产出SOX相关内容时需有“位置”信息,比如文件、目录、应用,甚至数据库字段。但不是全部文件、目录或应用。

FIM运用上更为成熟的企业可能会说:“我们的SOX数据关联有135个可作为审计点的位置。我们需要知道发生了什么改变,包括基线改变,以确保生成这些关键点的财务报告时不出错。”

企业购买FIM的原因多种多样。有些是想要个便宜的“勾选式”解决方案以显示依法进行了尽职审查,另一些则更关注环境中出现的修改对正常运营造成的影响。

只要认识到FIM的价值,将不得不做的尽职审查转变为主动去做的安全合规,并将防线缩小到关键节点上,收获更多FIM带来的价值和优势就不是空谈。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2018-06-22 23:14:19

完整性监测FIM信息安全

2015-03-12 15:44:59

2013-12-05 13:11:33

2010-04-14 09:28:44

Unix操作系统

2010-12-14 14:36:57

Tripwire

2018-07-19 06:17:09

数据完整性数据安全网络安全

2020-01-13 09:00:00

OsqueryLinux监控文件

2010-02-26 15:41:16

WCF分布事务

2023-03-17 16:32:51

测试软件开发

2021-10-29 19:22:16

可观察性IT基础设施监控

2022-03-22 12:56:53

垃圾数据数据完整性

2009-09-25 11:03:35

PCI DSS数据完整数据安全

2015-06-08 13:48:15

数据库数据完整性约束表现

2010-06-10 15:52:04

MySQL参照完整性

2014-11-05 11:08:55

2020-09-14 09:39:22

信号

2010-06-01 18:11:25

Rsync 使用

2016-12-08 09:03:07

大数据证据标准

2022-03-14 22:55:54

人工智能数据机器学习

2010-11-22 10:18:43

MySQL外键
点赞
收藏

51CTO技术栈公众号