ce este integritatea fișierului?

dacă sunteți familiarizați cu securitatea IT, trebuie să fi auzit CIA triad: un model de securitate care acoperă diferite părți ale securității IT. Fiind membru al triadei CIA, integritatea fișierelor se referă la procesele și implementările care vizează protejarea datelor împotriva modificărilor neautorizate, cum ar fi atacurile cibernetice. Integritatea unui fișier indică dacă fișierul a fost modificat de utilizatori neautorizați după ce a fost creat, în timp ce a fost stocat sau recuperat. Monitorizarea integrității fișierelor (FIM) este un mecanism de control care examinează fișierele și verifică dacă integritatea lor este intactă și alertează procesele de securitate relevante și/sau profesioniștii dacă fișierele au trecut prin orice modificare. Acest tip de software consideră fiecare modificare ca o problemă de integritate suspectă dacă nu este definită ca o excepție. Pe măsură ce rețelele și configurațiile devin din ce în ce mai complexe în timp, monitorizarea integrității fișierelor este o necesitate. În plus, este unul dintre instrumentele cele mai preferate pentru detectarea încălcărilor și a malware-ului și este o condiție esențială pentru multe reglementări de conformitate. PCI DSS se referă la FMI în două secțiuni ale politicii sale. Ca instrument împotriva malware-ului, FMI își dovedește punctele forte. Prima mișcare a unui atacator atunci când a obținut acces la un sistem este de a face modificări la fișierele importante, astfel încât acestea să treacă neobservate. Folosind un monitor de integritate a fișierelor, prindeți un intrus în momentul în care încearcă să modifice fișierele și configurațiile. Mai mult, instrumentele FMI vă permit să vedeți ce s-a schimbat exact când. În acest fel, veți prinde o încălcare a datelor momentan, înainte de a se produce un atac real, dăunător.

dar cum acționează FIM?

în medii dinamice, fișierele și configurațiile se schimbă rapid și non-stop. Cea mai importantă caracteristică a FIM este distingerea schimbării autorizate de neautorizate chiar și în cele mai agile sisteme. Pentru a face acest lucru, FIMs poate folosi una dintre cele două metode: suma de control și hashing. Pentru metoda checksum, este detectată o linie de bază de încredere, bună, iar starea curentă a fișierului este comparată cu linia de bază. Această comparație include de obicei calcularea unei sume de control criptografice cunoscute a stării de bază și a stării actuale. Hash-ul sau verificarea bazată pe hash include compararea valorii hash a fișierului cu o valoare calculată anterior. Dacă cele două se potrivesc, integritatea fișierului este intactă. În plus față de valorile hash; valorile de configurare, conținutul, acreditările, atributele de bază și dimensiunea, privilegiile și setările de securitate pot fi monitorizate pentru schimbări neașteptate. Actele FIM sunt destul de des automatizate folosind aplicații sau procese. Astfel de acte FIM pot fi efectuate în timp real, la intervale predefinite sau aleatoriu, în conformitate cu nevoile afacerii și ale sistemului. Pentru a satisface nevoile afacerii dvs., FIM trebuie să se integreze cu alte domenii ale măsurilor dvs. de securitate, cum ar fi sistemul Siem. De exemplu, compararea datelor de modificare cu alte date despre evenimente și jurnale vă permite să identificați mai rapid cauzele și corelația.