Wat is bestandsintegriteit?

als u bekend bent met IT-beveiliging, moet u CIA triad hebben gehoord: een beveiligingsmodel dat verschillende delen van IT-beveiliging bestrijkt. Als een lid van CIA triad, file integrity verwijst naar de processen en implementaties gericht op gegevens te beschermen tegen ongeautoriseerde wijzigingen, zoals cyberaanvallen. De integriteit van een bestand vertelt of het bestand is gewijzigd door onbevoegde gebruikers nadat het is gemaakt, terwijl het wordt opgeslagen of opgehaald. File Integrity Monitoring (fim) is een controlemechanisme dat de bestanden onderzoekt en controleert of hun integriteit intact is en waarschuwt relevante beveiligingsprocessen en/of professionals als bestanden zijn gegaan door een wijziging. Dit soort software beschouwt elke wijziging als een verdacht integriteitsprobleem als het niet wordt gedefinieerd als een uitzondering. Naarmate netwerken en configuraties in de loop van de tijd steeds complexer worden, is het monitoren van de bestandsintegriteit een must. Daarnaast is het een van de meest geprefereerde tools voor het detecteren van inbreuken en malware, en is het een perquisite voor veel compliance regelgeving. PCI DSS verwijst naar FMI in twee delen van haar beleid. Als een hulpmiddel tegen malware, FMI bewijst zijn sterke punten. De eerste stap van een aanvaller wanneer ze toegang kregen tot een systeem is om wijzigingen aan te brengen in belangrijke bestanden, zodat ze onopgemerkt blijven. Door het gebruik van een file integrity monitor, je vangt een indringer op het moment dat ze proberen om bestanden en configuraties te wijzigen. Bovendien, FMI tools kunt u zien wat er precies veranderd wanneer. Op deze manier vang je een datalek tijdelijk, voordat een echte, schadelijke aanval gebeurt.

maar hoe werkt FIM?

in dynamische omgevingen veranderen bestanden en configuraties snel en non-stop. Het belangrijkste kenmerk van FIM is het onderscheiden van de geautoriseerde wijziging van ongeautoriseerde zelfs in de meest wendbare systemen. Om dit te doen, kan FIMs een van de twee methoden gebruiken: checksum en hashing. Voor de controlesommethode wordt een vertrouwde, goede basislijn gedetecteerd en wordt de huidige status van het bestand vergeleken met de basislijn. Deze vergelijking omvat meestal het berekenen van een bekende cryptografische checksum van de basislijn en de huidige toestand. Hashing of hash-gebaseerde verificatie omvat het vergelijken van de hashwaarde van het bestand met een eerder berekende waarde. Als de twee overeenkomen, is de integriteit van het bestand intact. Naast hash-waarden kunnen configuratiewaarden, inhoud, referenties, kernkenmerken en grootte, privileges en beveiligingsinstellingen worden gecontroleerd op onverwachte wijzigingen. FIM acts worden vaak geautomatiseerd met behulp van toepassingen of processen. Dergelijke FIM-handelingen kunnen real-time worden uitgevoerd, met vooraf gedefinieerde intervallen of willekeurig in overeenstemming met de behoeften van het bedrijfsleven en het systeem. Om aan de behoeften van uw bedrijf te voldoen, moet FIM integreren met andere onderdelen van uw beveiligingsmaatregelen, zoals het Siem-systeem. Door bijvoorbeeld uw wijzigingsgegevens te vergelijken met andere gebeurtenisgegevens en logboekgegevens, kunt u sneller oorzaken en correlatie identificeren.