一个商业组织的IT环境是一个不断变化的地方,软件程序和硬件资产都在变化,配置文件和其他重要资产也是如此。这些变化大多是经过授权的–例如,当文件被打上补丁时,它们就会发生。但是意外的变化是值得关注的。这就是文件完整性监控的作用。
文件完整性监控,或称FIM,不仅仅是为了了解你的系统正在发生什么。它是关于保持个人数据安全和避免攻击,同时也遵守法规。搬主题就介绍一下什么是FIM,为什么你需要它以及它是如何工作的。
什么是文件完整性监控?
文件完整性监控让你在文件层面上看到对你的组织来说重要的东西。这包括:
- 配置文件
- 客户数据
- 健康信息
- 密钥和凭证文件
- 系统应用程序文件
然后,FIM让你知道谁在编辑、删除或移动这些文件,以及谁对这些文件有未经授权的访问。
有一些监管标准要求公司知道谁可以访问关键文件以及发生了哪些变化。FIM对于那些必须遵守NERC CIP、NIST CSF和PCI DSS等合规法规的公司来说是必须的。虽然FIM不是GDPR和HIPAA的具体要求,但它在审计中是有帮助的。这种对资产的可见性对这两个法规很重要–所以在这些情况下,FIM肯定不会有什么影响。
它能保护你免受什么威胁?
当一个未经授权或有害的用户访问你的网络时,他们可以改变任何他们想要的东西。他们还可以删除事件日志以避免被发现。下面是最坏的情况。FIM警报响起,因为有人获得了对你的网络的内部访问,并且正在篡改你的文件。攻击者可以扫描你的网络,找到其他资产并破坏它们,冒充雇员,窃取凭证等。如果有人获得了对你的系统的访问权,他们可以做任何他们想做的事情–至少在他们被抓住之前。
FIM是如何工作的?
无论你选择哪种软件,FIM基本上是这样工作的:
- 你设定要监控哪些系统文件和注册表。理想情况下,你会缩小范围,这样你就不会被不必要的警报所渗透。
- 你建立一个基线,以便FIM工具有一个参考点来检查文件。
- FIM工具昼夜监控预定的文件和注册表。
- 当一个关键事件发生时(例如,一个被编辑或删除的文件),FIM工具会捕获数据。这些数据包括发生了什么事件、受影响的资产、进行更改的用户和时间戳。
- 对事件数据和其他数据进行分析,可以更全面地了解发生了什么,以及它是否超出了常规。
- 如果该事件是恶意的或可疑的,将发出警报。(好的变化,如补丁和安全更新,会被列入白名单,这样你就不会收到警报)。
- FIM工具将(希望)提供围绕该事件的其他数据,以便你的IT团队能够弄清到底发生了什么。
如何用WordPress实现FIM文件完整性监控
在WordPress中实施FIM,不仅仅是找到一个能在有文件变化时提醒你的工具。FIM最好与其他安全措施一起使用,如审计记录和用户监控。你的安全工具应该有分层检测,包括合规条例和主动检测。你需要在攻击的早期检测其他行动,以便你能尽快阻止他们。
Rapid7是一个基于云的文件事件跟踪系统。你选择要监控的资产,然后软件会观察文件的修改和谁做的修改。如果一个重要的文件或文件夹被删除、编辑或移动,你会得到一个警报。如果你想密切关注当下的活动,你还可以查看实时指标。在FIM警报的基础上,你将能够看到围绕它发生的所有其他运动,以便你能够调查和应对攻击,你可以将修改活动导出为仪表盘图表。在这里了解更多关于Rapid7 WordPress扩展的信息。
Qualys是另一个FIM工具,你可以在WordPress使用。在你确定要监控的范围时,Qualys的开箱即用的配置文件意味着你可以立即启动并运行,然后在你了解更多需求时调整范围。云平台还具有实时变化检测功能。当一个文件发生变化时,收集的数据包括用户、文件名、资产细节和时间戳。此外,你可以扩大规模而无需购买更多的软件或存储。
其他评价很高的FIM工具包括OSSEC和Tripwire。如何防护我们的WordPress网站,可以参考【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程】
关于文件完整性监控的最终想法
如果你的公司必须遵守像FISMA、SOX或其他一系列要求FIM的法规,那么你肯定需要一个文件完整性监控工具。它不仅能保证你的客户、数据、文件和系统的安全,而且还能在审计时使你的公司保持良好状态。
主要要避免的是许多公司陷入的一个误区:警报文件太大。如果被监视的文件太多,这将导致FIM警报过多。如果警报在没有任何背景的情况下出现,就不可能确定什么是和什么不是威胁。一个有效的FIM解决方案将只监控必要的文件和文件夹,然后提供带有有益见解的警报。
最后,记住这两个FIM技巧。准确了解哪些文件将被监控,如果监控的范围太广,当任何东西被修改时,你会被警报和活动淹没。然后,通过调查一个FIM警报来采取操作。了解其他用户或资产是否受到影响是很重要的。一些独立的工具并不能提供这么多的七七八八的内容,因此你需要一个可以帮助你调查的日志管理工具或调查平台。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容