Che cos’è l’integrità del file?

Se si ha familiarità con la sicurezza IT, è necessario aver sentito CIA triad: un modello di sicurezza che copre diverse parti della sicurezza IT. Essendo un membro della CIA triad, l’integrità dei file si riferisce ai processi e alle implementazioni che mirano a proteggere i dati da modifiche non autorizzate come attacchi informatici. L’integrità di un file indica se il file è stato alterato da utenti non autorizzati dopo essere stato creato, durante l’archiviazione o il recupero. File Integrity Monitoring (FIM) è un meccanismo di controllo che esamina i file e controlla se la loro integrità è intatta e avvisa i processi di sicurezza pertinenti e/o professionisti se i file sono passati attraverso qualsiasi cambiamento. Questo tipo di software considera ogni modifica come un problema di integrità sospetto se non è definito come un’eccezione. Poiché le reti e le configurazioni diventano sempre più complesse nel tempo, il monitoraggio dell’integrità dei file è un must. Inoltre, è uno degli strumenti più preferiti per il rilevamento di violazioni e malware ed è un requisito per molte normative di conformità. PCI DSS si riferisce a FMI in due sezioni della sua politica. Come strumento contro il malware, FMI dimostra i suoi punti di forza. La prima mossa di un utente malintenzionato quando ha ottenuto l’accesso a un sistema è apportare modifiche ai file importanti in modo che passino inosservati. Utilizzando un monitor di integrità dei file, si cattura un intruso nel momento in cui cercano di modificare i file e le configurazioni. Inoltre, strumenti FMI consentono di vedere che cosa esattamente cambiato quando. In questo modo si cattura una violazione dei dati momentaneamente, prima di un vero e proprio, attacco dannoso accade.

Ma come funziona FIM?

In ambienti dinamici, file e configurazioni cambiano rapidamente e senza sosta. La caratteristica più importante di FIM è distinguere il cambiamento autorizzato da quello non autorizzato anche nei sistemi più agili. Per fare ciò, FIMS può impiegare uno dei due metodi: checksum e hashing. Per il metodo checksum, viene rilevata una linea di base attendibile e buona e lo stato corrente del file viene confrontato con la linea di base. Questo confronto di solito include il calcolo di un checksum crittografico noto della linea di base e dello stato corrente. L’hashing o la verifica basata su hash include il confronto del valore hash del file con un valore calcolato in precedenza. Se i due corrispondono, l’integrità del file è intatta. Oltre ai valori hash; i valori di configurazione, il contenuto, le credenziali, gli attributi principali e le dimensioni, i privilegi e le impostazioni di sicurezza possono essere monitorati per modifiche impreviste. Gli atti FIM sono spesso automatizzati utilizzando applicazioni o processi. Tali atti FIM possono essere eseguiti in tempo reale, a intervalli predefiniti o in modo casuale in base alle esigenze del business e del sistema. Per soddisfare le esigenze della tua azienda, FIM deve integrarsi con altre aree delle tue misure di sicurezza come il sistema SIEM. Ad esempio, il confronto dei dati di modifica con altri dati di eventi e log consente di identificare le cause e la correlazione più rapidamente.