ファイルの整合性とは何ですか？

ITセキュリティに精通している場合は、cia triad：ITセキュリティのさまざまな部分をカバーするセキュリティモデルを聞いたことがあるはずです。 Cia triadのメンバーの1人であるfile integrityは、サイバー攻撃などの不正な変更からデータを保護することを目的としたプロセスと実装を指します。 ファイルの整合性は、ファイルが作成された後、保存または取得されている間に、権限のないユーザーによって変更されたかどうかを示します。 ファイル整合性監視（FIM）は、ファイルを検査し、ファイルの整合性が損なわれていないかどうかを確認し、ファイルが変更された場合に関連するセキ この種のソフトウェアは、例外として定義されていない場合、すべての変更を疑わしい整合性の問題とみなします。 ネットワークと構成が時間の経過とともにますます複雑になるにつれて、ファイルの整合性の監視が必要になります。 さらに、これは違反やマルウェアの検出に最も適したツールの1つであり、多くのコンプライアンス規制の特典です。 PCI DSSは、そのポリシーの二つのセクションでFMIを指します。 マルウェアに対するツールとして、FMIはその強みを証明しています。 攻撃者がシステムにアクセスしたときの最初の動きは、重要なファイルを変更して気付かれないようにすることです。 ファイル整合性モニタを使用することで、侵入者がファイルと構成を変更しようとした瞬間に侵入者を捕まえます。 さらに、FMIツールを使用すると、正確に何がいつ変更されたかを確認できます。 このようにして、実際の有害な攻撃が発生する前に、データ侵害を瞬間的にキャッチします。

しかし、FIMはどのように機能しますか？

動的環境では、ファイルと構成が急速に変化し、ノンストップで変化します。 FIMの最も重要な特徴は、最も機敏なシステムであっても、許可された変更と許可されていない変更を区別することです。 これを行うために、FIMsはチェックサムとハッシュのいずれかの方法を採用することができます。 チェックサム法では、信頼できる良好なベースラインが検出され、ファイルの現在の状態がベースラインと比較されます。 この比較には、通常、ベースラインと現在の状態の既知の暗号チェックサムの計算が含まれます。 ハッシュ、またはハッシュベースの検証には、ファイルのハッシュ値を以前に計算された値と比較することが含まれます。 この2つが一致する場合、ファイルの整合性はそのままです。 ハッシュ値に加えて、構成値、コンテンツ、資格情報、コア属性とサイズ、特権、セキュリティ設定を監視して、予期しない変更を監視できます。 FIMの行為は頻繁に適用かプロセスを使用して自動化される。 このようなFIM行為は、ビジネスやシステムのニーズに応じて、事前に定義された間隔で、またはランダムに、リアルタイムで実行することができます。 ビジネスのニーズを満たすために、FIMはSIEMシステムなどのセキュリティ対策の他の領域と統合する必要があります。 たとえば、変更データを他のイベントデータやログデータと比較すると、原因と相関関係をより迅速に特定できます。