co je integrita souboru?

pokud jste obeznámeni s bezpečností IT, musíte slyšet CIA triad: bezpečnostní model, který pokrývá různé části zabezpečení IT. Být jedním členem triády CIA, integrita souborů odkazuje na procesy a implementace zaměřené na ochranu dat před neoprávněnými změnami, jako jsou kybernetické útoky. Integrita souboru říká, zda byl soubor změněn neoprávněnými uživateli poté, co byl vytvořen, zatímco je uložen nebo načten. Monitorování integrity souborů (fim) je kontrolní mechanismus, který zkoumá soubory a kontroluje, zda je jejich integrita neporušená, a upozorňuje příslušné bezpečnostní procesy a / nebo profesionály, Pokud soubory prošly jakoukoli změnou. Tento druh softwaru považuje každou změnu za podezřelý problém integrity, pokud není definován jako výjimka. Vzhledem k tomu, že sítě a konfigurace se v průběhu času stávají stále složitějšími, monitorování integrity souborů je nutností. Kromě toho je to jeden z nejvýhodnějších nástrojů pro detekci porušení a malwaru a je předpokladem mnoha předpisů o dodržování předpisů. PCI DSS odkazuje na FMI ve dvou částech své politiky. Jako nástroj proti malwaru prokazuje FMI své silné stránky. Prvním krokem útočníka, když získal přístup k systému, je provést změny důležitých souborů tak, aby zůstaly bez povšimnutí. Použitím monitoru integrity souborů zachytíte vetřelce v okamžiku, kdy se pokusí změnit soubory a konfigurace. Nástroje FMI vám navíc umožní zjistit, co se přesně změnilo. Tímto způsobem zachytíte narušení dat na okamžik, než dojde ke skutečnému škodlivému útoku.

ale jak funguje FIM?

v dynamických prostředích se soubory a konfigurace mění rychle a nepřetržitě. Nejdůležitějším rysem FIM je rozlišení autorizované změny od neoprávněné i v těch agilních systémech. Za tímto účelem mohou fim použít jednu ze dvou metod: kontrolní součet a hashování. Pro metodu kontrolního součtu je zjištěna důvěryhodná, dobrá základní linie a současný stav souboru je porovnán se základní linií. Toto srovnání obvykle zahrnuje výpočet známého kryptografického kontrolního součtu základní linie a aktuálního stavu. Hashování nebo ověření založené na hash zahrnuje porovnání hodnoty hash souboru s dříve vypočtenou hodnotou. Pokud se oba shodují, integrita souboru je neporušená. Kromě hodnot hash; konfigurační hodnoty, obsah, pověření, základní atributy a velikost, oprávnění a nastavení zabezpečení lze sledovat pro neočekávané změny. Fim akty jsou poměrně často automatizované pomocí aplikací nebo procesů. Takové úkony FIM lze provádět v reálném čase, v předem definovaných intervalech nebo náhodně v souladu s potřebami podnikání a systému. Pro uspokojení potřeb vašeho podnikání se FIM musí integrovat s dalšími oblastmi vašich bezpečnostních opatření, jako je systém SIEM. Například porovnání údajů o změnách s jinými údaji o událostech a protokolech vám umožní rychleji identifikovat příčiny a korelaci.