Hvad er Filintegritet?

hvis du er fortrolig med IT-sikkerhed, skal du have hørt CIA triad: en sikkerhedsmodel, der dækker forskellige dele af IT-sikkerhed. At være medlem af CIA triad, filintegritet henviser til de processer og implementeringer, der sigter mod at beskytte data mod uautoriserede ændringer såsom cyberangreb. En fils integritet fortæller, om filen er blevet ændret af uautoriserede brugere, efter at den er oprettet, mens den gemmes eller hentes. Filintegritetsovervågning (FIM) er en kontrolmekanisme, der undersøger filerne og kontrollerer, om deres integritet er intakt og advarer relevante sikkerhedsprocesser og/eller fagfolk, hvis filer har gennemgået nogen ændring. Denne type program anser enhver ændring som et mistænkeligt integritetsproblem, hvis det ikke er defineret som en undtagelse. Efterhånden som netværk og konfigurationer bliver mere og mere komplekse over tid, er overvågning af filintegritet et must. Derudover er det et af de mest foretrukne værktøjer til afsløring af brud og ondsindet program, og det er en forudsætning for mange overholdelsesregler. PCI DSS henviser til FMI i to sektioner af sin politik. Som et værktøj mod ondsindet program beviser FMI sine styrker. En angribers første træk, da de fik adgang til et system, er at foretage ændringer i vigtige filer, så de går ubemærket hen. Ved at anvende en filintegritetsmonitor fanger du en ubuden gæst i det øjeblik, de forsøger at ændre filer og konfigurationer. Desuden giver FMI-værktøjer dig mulighed for at se, hvad der nøjagtigt ændrede sig, hvornår. På denne måde fanger du et databrud et øjeblik, før et rigtigt, skadeligt angreb sker.

men hvordan virker FIM?

i dynamiske miljøer ændres filer og konfigurationer hurtigt og uden stop. Det vigtigste træk ved FIM er at skelne den autoriserede ændring fra uautoriseret selv i de mest smidige systemer. For at gøre det kan FIMs anvende en af de to metoder: checksum og hashing. For checksummetoden registreres en pålidelig, god baseline, og den aktuelle filtilstand sammenlignes med baseline. Denne sammenligning inkluderer normalt beregning af et kendt kryptografisk kontrolsum for basislinjen og den aktuelle tilstand. Hashing eller hashbaseret verifikation inkluderer sammenligning af filens hashværdi med en tidligere beregnet værdi. Hvis de to Matcher, er filens integritet intakt. Ud over hash-værdier; konfigurationsværdier, indhold, legitimationsoplysninger, kerneattributter og størrelse, privilegier og sikkerhedsindstillinger kan overvåges for uventet ændring. FIM-handlinger automatiseres ganske ofte ved hjælp af applikationer eller processer. Sådanne FIM-handlinger kan udføres i realtid, med foruddefinerede intervaller eller tilfældigt i overensstemmelse med forretnings-og systemets behov. For at imødekomme din virksomheds behov skal FIM integreres med andre områder af dine sikkerhedsforanstaltninger, såsom SIEM-system. Hvis du f.eks. sammenligner dine ændringsdata med andre hændelses-og logdata, kan du hurtigere identificere årsager og korrelation.