如果您还没有部署FIM,现在也许是一个问“为什么不”的好时机。
如果您的组织正在通过最小化恶意代码的破坏风险和强制执行严格的访问控制以减少未经授权的访问来解决数据丢失预防(DLP)问题,那么您可能还需要考虑FIM。
FIM主要监视关键文件更改的所有方面,以快速检测任何尝试或成功的未授权更改,以便采取快速缓解步骤。
在本博客的参考条款中,部署FIM所要解决的主要问题是确保恶意代码不会嵌入到关键的应用程序和操作系统文件中。目前的担忧是僵尸网络或其他大规模入侵企图安装木马包括rootkit。
彻底地说,文件完整性破坏可能是由文件管理生命周期中的各种问题造成的,比如传输错误、软件错误、存储错误、编写错误,以及不正确的变更管理程序。
完整性监视应该发现的重要变化涉及:
•文件大小
•版本
•创建时
•当它被修改时
•修改文件的用户的登录名
•其属性(如只读、隐藏、系统等)
•当文件的组所有权发生变化时。
•不正确的用户访问或试图访问机密文件
•文件的安全访问权限的更改,包括新的权限,删除的权限,以及权限的更改。
•更改目录
•重新移动和添加关注文件类型的文件和文件夹包括:
•关键数据文件(通常存储为字母数字和特殊符号作为ASCII文件)
•数据库文件。
•网络文件。
•视频和音频文件。
•系统二进制文件(通常是程序的可执行版本,以机器可读格式存储,由“0”和“1”组成。
•配置文件(当一个程序执行时,它指的是配置文件的设置是有效的。这些文件有时存储在系统注册表中,它是操作系统的一部分。注册表本质上是操作系统用来存储配置细节的数据库。
深入到注册表主题的更多技术细节,以下其他类型的变更可以/应该被监控与注册表值、键和子键有关:
移除注册表项和子项
•更改注册表值。
•这种检测能力包括改变通常隐藏的注册表键,如SAM和安全键。
FIM符合IT安全标准
一些安全标准还需要文件完整性监视和管理程序,以实现遵从性。其中一些标准是:
表R15 15。限制恶意代码的传播
表R15 15.2检测并响应引入的恶意代码
表R15 15.3实现测试和更新恶意代码保护的过程。
SI-4信息系统监控
si -7软件和信息完整性
10.5.5使用文件完整性监视
11.5部署文件完整性监控软件
3.5完整性检查工具和变更管理
3.7完整性检查工具
因此FIM的底线是确保在包括文件更改的常规业务过程中,文件始终保持已知和可信的状态。我今天没地方写了。下一篇博客,我将介绍FIM是如何工作的,以及在哪里搜索提供相关工具的供应商。
有一个安全的星期。莱波夫斯基,CISM,理学学士(机械工程学)): www.ere-security.ca