Hva Er Filintegritet?

HVIS DU er kjent MED IT-sikkerhet, må DU ha hørt CIA triad: en sikkerhetsmodell som dekker ulike DELER AV IT-sikkerhet. Å være MEDLEM AV CIA triad, refererer file integrity til prosesser og implementeringer som tar sikte på å beskytte data mot uautoriserte endringer som cyberangrep. En fils integritet forteller om filen har blitt endret av uautoriserte brukere etter å ha blitt opprettet, mens den lagres eller hentes. File Integrity Monitoring (FIM) er en kontrollmekanisme som undersøker filene og kontrollerer om deres integritet er intakt og varsler relevante sikkerhetsprosesser og / eller fagfolk hvis filene har gått gjennom noen endring. Denne typen programvare anser hver endring som et mistenkelig integritetsproblem hvis det ikke er definert som et unntak. Etter hvert som nettverk og konfigurasjoner blir mer og mer komplekse over tid, er overvåking av filintegritet et must. I tillegg er det en av de mest foretrukne verktøy for brudd og malware deteksjon, og er en perquisite for mange compliance forskrifter. PCI DSS refererer TIL FMI i to deler av sin policy. SOM et verktøy mot malware, VISER FMI sine styrker. En angriperens første trekk når de fikk tilgang til et system, er å gjøre endringer i viktige filer slik at de går ubemerket. Ved å bruke en fil integritet skjerm, du fange en inntrenger øyeblikket de prøver å endre filer og konfigurasjoner. Videre LAR FMI tools deg se hva som akkurat endret når. På denne måten fanger du et datainnbrudd øyeblikkelig, før et ekte, skadelig angrep skjer.

men hvordan FUNGERER FIM?

i dynamiske miljøer endres filer og konfigurasjoner raskt og kontinuerlig. DET viktigste ved FIM er å skille den autoriserte endringen fra uautorisert selv i de mest smidige systemene. For å gjøre Dette kan FIMs benytte en av de to metodene: checksum og hashing. For checksum-metoden oppdages en klarert, god grunnlinje, og den nåværende tilstanden til filen sammenlignes med grunnlinjen. Denne sammenligningen inkluderer vanligvis beregning av et kjent kryptografisk sjekksum av baseline og nåværende tilstand. Hashing eller hash-basert verifisering inkluderer sammenligning av filens hash-verdi til en tidligere beregnet verdi. Hvis de to samsvarer, er filens integritet intakt. I tillegg til hash-verdier kan konfigurasjonsverdier, innhold, legitimasjon, kjerneattributter og størrelse, privilegier og sikkerhetsinnstillinger overvåkes for uventede endringer. FIM handlinger er ganske ofte automatisert ved hjelp av programmer eller prosesser. SLIKE FIM-handlinger kan utføres i sanntid, med forhåndsdefinerte intervaller eller tilfeldig i samsvar med behovene til virksomheten og systemet. FOR å tilfredsstille behovene til din bedrift, MÅ FIM integrere med andre områder av sikkerhetsforanstaltninger som SIEM system. Hvis du for eksempel sammenligner endringsdataene dine med andre hendelses-og loggdata, kan du identifisere årsaker og korrelasjon raskere.