Vad är filintegritet?

om du är bekant med IT-säkerhet måste du ha hört CIA triad: en säkerhetsmodell som täcker olika delar av IT-säkerhet. Som medlem i CIA triad hänvisar filintegritet till processer och implementeringar som syftar till att skydda data från obehöriga förändringar som cyberattacker. En fils integritet berättar om filen har ändrats av obehöriga användare efter att ha skapats, medan den lagras eller hämtas. Filintegritetsövervakning (FIM) är en kontrollmekanism som undersöker filerna och kontrollerar om deras integritet är intakt och varnar relevanta säkerhetsprocesser och/eller proffs om filer har genomgått någon förändring. Denna typ av programvara anser varje förändring som en misstänkt integritetsfråga om den inte definieras som ett undantag. Eftersom nätverk och konfigurationer blir mer och mer komplexa med tiden är filintegritetsövervakning ett måste. Dessutom är det en av de mest föredragna verktyg för brott och malware upptäckt, och är en förutsättning för många regler efterlevnad. PCI DSS hänvisar till FMI i två delar av sin policy. Som ett verktyg mot skadlig kod bevisar FMI sina styrkor. En angripares första drag när de fick tillgång till ett system är att göra ändringar i viktiga filer så att de går obemärkt förbi. Genom att använda en filintegritetsmonitor fångar du en inkräktare när de försöker ändra filer och konfigurationer. Dessutom låter FMI-Verktyg dig se vad som exakt förändrats när. På så sätt fångar du en dataintrång tillfälligt, innan en verklig, skadlig attack händer.

men hur fungerar FIM?

i dynamiska miljöer ändras filer och konfigurationer snabbt och utan stopp. Det viktigaste inslaget i FIM är att skilja den auktoriserade ändringen från obehörig även i de mest smidiga systemen. För att göra det kan FIMs använda en av de två metoderna: kontrollsumma och hashing. För kontrollsummemetod detekteras en betrodd, bra baslinje och det aktuella filtillståndet jämförs med baslinjen. Denna jämförelse inkluderar vanligtvis beräkning av en känd kryptografisk kontrollsumma för baslinjen och nuvarande tillstånd. Hashing eller hashbaserad verifiering inkluderar att jämföra filens hashvärde med ett tidigare beräknat värde. Om de två matchar är filens integritet intakt. Förutom hash-värden; konfigurationsvärden, innehåll, referenser, kärnattribut och storlek, privilegier och säkerhetsinställningar kan övervakas för oväntad förändring. FIM-handlingar automatiseras ganska ofta med applikationer eller processer. Sådana fim-handlingar kan utföras i realtid, med fördefinierade intervaller eller slumpmässigt i enlighet med företagens och systemets behov. För att tillgodose ditt företags behov måste FIM integreras med andra delar av dina säkerhetsåtgärder som SIEM-system. Om du till exempel jämför dina ändringsdata med andra händelse-och loggdata kan du identifiera orsaker och korrelation snabbare.