¿Qué es la integridad de los archivos?

Si está familiarizado con la seguridad de TI, debe haber escuchado CIA triad: un modelo de seguridad que cubre diferentes partes de la seguridad de TI. Al ser un miembro de CIA triad, la integridad de archivos se refiere a los procesos e implementaciones que tienen como objetivo proteger los datos de cambios no autorizados, como ataques cibernéticos. La integridad de un archivo indica si el archivo ha sido alterado por usuarios no autorizados después de ser creado, mientras se almacena o recupera. El Monitoreo de Integridad de Archivos (FIM) es un mecanismo de control que examina los archivos y comprueba si su integridad está intacta y alerta a los procesos de seguridad y/o profesionales relevantes si los archivos han sufrido algún cambio. Este tipo de software considera cada cambio como un problema de integridad sospechoso si no se define como una excepción. A medida que las redes y las configuraciones se vuelven cada vez más complejas con el tiempo, la supervisión de la integridad de los archivos es una necesidad. Además, es una de las herramientas más preferidas para la detección de brechas y malware, y es un requisito previo para muchas regulaciones de cumplimiento. PCI DSS se refiere al FMI en dos secciones de su política. Como herramienta contra el malware, FMI demuestra sus puntos fuertes. El primer paso de un atacante cuando obtiene acceso a un sistema es realizar cambios en archivos importantes para que pasen desapercibidos. Al emplear un monitor de integridad de archivos, se detecta a un intruso en el momento en que intenta alterar archivos y configuraciones. Además, las herramientas FMI le permiten ver qué cambió exactamente y cuándo. De esta manera, se detecta una filtración de datos momentáneamente, antes de que ocurra un ataque real y dañino.

¿Pero cómo funciona el FIM?

En entornos dinámicos, los archivos y las configuraciones cambian rápidamente y sin parar. La característica más importante de FIM es distinguir el cambio autorizado de no autorizado, incluso en los sistemas más ágiles. Para ello, los FIMS pueden emplear uno de los dos métodos: suma de comprobación y hash. Para el método de suma de comprobación, se detecta una buena línea de base de confianza y se compara el estado actual del archivo con la línea de base. Esta comparación generalmente incluye el cálculo de una suma de comprobación criptográfica conocida de la línea de base y el estado actual. El hash o verificación basada en hash incluye comparar el valor hash del archivo con un valor calculado previamente. Si los dos coinciden, la integridad del archivo está intacta. Además de los valores hash, se pueden supervisar los valores de configuración, el contenido, las credenciales, los atributos principales y el tamaño, los privilegios y la configuración de seguridad para detectar cambios inesperados. Los actos FIM a menudo se automatizan mediante aplicaciones o procesos. Estos actos FIM se pueden realizar en tiempo real, a intervalos predefinidos o aleatoriamente de acuerdo con las necesidades del negocio y del sistema. Para satisfacer las necesidades de su negocio, FIM debe integrarse con otras áreas de sus medidas de seguridad, como el sistema SIEM. Por ejemplo, comparar los datos de cambio con otros datos de eventos y registros le permite identificar las causas y la correlación con mayor rapidez.