Was ist Dateiintegrität?

Wenn Sie mit IT-Sicherheit vertraut sind, müssen Sie CIA Triad gehört haben: ein Sicherheitsmodell, das verschiedene Teile der IT-Sicherheit abdeckt. Als ein Mitglied dieser Triade bezieht sich Dateiintegrität auf die Prozesse und Implementierungen, die darauf abzielen, Daten vor unbefugten Änderungen wie Cyberangriffen zu schützen. Die Integrität einer Datei gibt an, ob die Datei nach dem Erstellen, Speichern oder Abrufen von nicht autorisierten Benutzern geändert wurde. File Integrity Monitoring (FIM) ist ein Kontrollmechanismus, der die Dateien untersucht und überprüft, ob ihre Integrität intakt ist, und relevante Sicherheitsprozesse und / oder Fachleute benachrichtigt, wenn sich Dateien geändert haben. Diese Art von Software betrachtet jede Änderung als verdächtiges Integritätsproblem, wenn sie nicht als Ausnahme definiert ist. Da Netzwerke und Konfigurationen im Laufe der Zeit immer komplexer werden, ist die Überwachung der Dateiintegrität ein Muss. Darüber hinaus ist es eines der am meisten bevorzugten Tools für die Erkennung von Verstößen und Malware und eine Voraussetzung für viele Compliance-Vorschriften. PCI DSS bezieht sich in zwei Abschnitten seiner Richtlinie auf FMI. Als Tool gegen Malware beweist FMI seine Stärken. Der erste Schritt eines Angreifers, wenn er Zugriff auf ein System erhält, besteht darin, Änderungen an wichtigen Dateien vorzunehmen, damit diese unbemerkt bleiben. Durch den Einsatz eines Dateiintegritätsmonitors fangen Sie einen Eindringling, sobald er versucht, Dateien und Konfigurationen zu ändern. Darüber hinaus können Sie mit den FMI-Tools sehen, was sich wann genau geändert hat. Auf diese Weise fangen Sie einen Datenverstoß vorübergehend auf, bevor ein echter, schädlicher Angriff stattfindet.

Aber wie funktioniert FIM?

In dynamischen Umgebungen ändern sich Dateien und Konfigurationen schnell und ohne Unterbrechung. Das wichtigste Merkmal von FIM ist die Unterscheidung der autorisierten Änderung von nicht autorisierten Änderungen selbst in den agilsten Systemen. Dazu kann FIMs eine der beiden Methoden verwenden: Prüfsumme und Hashing. Bei der Prüfsummenmethode wird eine vertrauenswürdige, gute Baseline erkannt und der aktuelle Status der Datei mit der Baseline verglichen. Dieser Vergleich umfasst normalerweise die Berechnung einer bekannten kryptografischen Prüfsumme der Basislinie und des aktuellen Zustands. Hashing oder Hash-basierte Verifizierung umfasst den Vergleich des Hash-Werts der Datei mit einem zuvor berechneten Wert. Wenn die beiden übereinstimmen, ist die Integrität der Datei intakt. Zusätzlich zu den Hash-Werten können Konfigurationswerte, Inhalt, Anmeldeinformationen, Kernattribute und Größe, Berechtigungen und Sicherheitseinstellungen auf unerwartete Änderungen überwacht werden. FIM-Handlungen werden häufig mithilfe von Anwendungen oder Prozessen automatisiert. Solche FIM-Aktionen können in Echtzeit, in vordefinierten Intervallen oder nach dem Zufallsprinzip entsprechend den Anforderungen von Unternehmen und System ausgeführt werden. Um die Anforderungen Ihres Unternehmens zu erfüllen, muss FIM in andere Bereiche Ihrer Sicherheitsmaßnahmen wie das SIEM-System integriert werden. Wenn Sie beispielsweise Ihre Änderungsdaten mit anderen Ereignis- und Protokolldaten vergleichen, können Sie Ursachen und Korrelationen schneller identifizieren.