mi a fájl integritása?

ha ismeri az informatikai biztonságot, akkor biztosan hallotta a CIA triad-ot: egy biztonsági modellt, amely az informatikai biztonság különböző részeit lefedi. Mivel a CIA triad tagja, a fájlintegritás olyan folyamatokra és implementációkra utal, amelyek célja az adatok védelme az illetéktelen változásoktól, például a számítógépes támadásoktól. A fájl integritása megmondja, hogy a fájlt jogosulatlan felhasználók megváltoztatták-e a létrehozás után, miközben tárolták vagy letöltötték. A File Integrity Monitoring (fim) egy olyan ellenőrzési mechanizmus, amely megvizsgálja a fájlokat, és ellenőrzi, hogy sértetlenek-e, és figyelmezteti a releváns biztonsági folyamatokat és/vagy szakembereket, ha a fájlok bármilyen változáson mentek keresztül. Ez a fajta szoftver minden változást gyanús integritási problémának tekint, ha nem definiálják kivételként. Ahogy a hálózatok és konfigurációk egyre összetettebbé válnak az idő múlásával, a fájlintegritás figyelése elengedhetetlen. Ezenkívül ez az egyik legelőnyösebb eszköz a jogsértések és a rosszindulatú programok észlelésére, és számos megfelelőségi szabályozás előfeltétele. A PCI DSS az FMI-re utal politikájának két szakaszában. A rosszindulatú programok elleni eszközként az FMI bizonyítja erősségeit. A támadó első lépése, amikor hozzáférést kapott egy rendszerhez, a fontos fájlok módosítása, hogy észrevétlenek maradjanak. A file integrity monitor használatával elkaphat egy betolakodót abban a pillanatban, amikor megpróbálja megváltoztatni a fájlokat és a konfigurációkat. Sőt, az FMI eszközök segítségével láthatja, hogy mi változott pontosan mikor. Így egy pillanatra elkaphat egy adatsértést, mielőtt valódi, káros támadás történne.

de hogyan működik a FIM?

dinamikus környezetben a fájlok és konfigurációk gyorsan és megállás nélkül változnak. A FIM legfontosabb jellemzője az engedélyezett változás megkülönböztetése az illetéktelenektől még a leg agilisabb rendszerekben is. Ehhez a fim-ek a két módszer egyikét alkalmazhatják: checksum és hash. Az ellenőrzőösszeg-módszer esetében megbízható, jó alapvonalat észlel a rendszer, és összehasonlítja a fájl aktuális állapotát az alapvonallal. Ez az összehasonlítás általában magában foglalja a kiindulási és az aktuális állapot ismert kriptográfiai ellenőrző összegének kiszámítását. Hash, vagy hash-alapú ellenőrzés magában foglalja a fájl hash értékének összehasonlítását egy korábban kiszámított értékkel. Ha a kettő egyezik, a fájl integritása sértetlen. A hash értékeken kívül a konfigurációs értékek, A tartalom, a hitelesítő adatok, az alapvető attribútumok és méret, a jogosultságok és a biztonsági beállítások figyelhetők a váratlan változásokra. A FIM-cselekedeteket gyakran automatizálják alkalmazások vagy folyamatok segítségével. Az ilyen FIM cselekmények valós időben, előre meghatározott időközönként vagy véletlenszerűen hajthatók végre az üzlet és a rendszer igényeinek megfelelően. A vállalkozás igényeinek kielégítése érdekében a FIM-nek integrálnia kell a biztonsági intézkedések más területeivel, például a SIEM rendszerrel. Például a változási adatok összehasonlítása más esemény – és naplóadatokkal lehetővé teszi az okok és a korreláció gyorsabb azonosítását.