文件完整性監(jiān)測的5個(gè)階段
文件完整性監(jiān)測(FIM)解決方案如果部署得好���,益處是很大的:
如果看到非預(yù)期或無法解釋的文件修改,可以立即展開調(diào)查:若調(diào)查發(fā)現(xiàn)系統(tǒng)被入侵�,可以快速解決問題��。
可根據(jù)文本或電子表格中列出的核準(zhǔn)變更來協(xié)調(diào)這些修改�。
可判定這些修改是否動(dòng)到了策略配置(影響固化標(biāo)準(zhǔn))。
可自動(dòng)化特定類型修改的響應(yīng)動(dòng)作——比如:標(biāo)記DLL文件的出現(xiàn)(高風(fēng)險(xiǎn))��,但自動(dòng)推進(jìn)對DLL文件的簡單修改(低風(fēng)險(xiǎn))�。
但我們不能低估FIM的重要性。別忘了互聯(lián)網(wǎng)安全中心在《關(guān)鍵安全控制 3.5》中說的:
使用文件完整性檢查工具確保關(guān)鍵系統(tǒng)文件(包括敏感系統(tǒng)和應(yīng)用程序��、二進(jìn)制文件以及配置文件)不被篡改���。 |
該報(bào)告系統(tǒng)應(yīng)達(dá)到:
具備識(shí)別常規(guī)和預(yù)期修改的能力;
標(biāo)記并報(bào)警不正?;蚍穷A(yù)期修改;
顯示配置變更歷史及變更人(包括用戶ID切換時(shí)的原始登錄賬戶,比如執(zhí)行“su”或“sudo”指令時(shí))�。
這些完整性檢查應(yīng)識(shí)別出可疑系統(tǒng)修改,比如:
不過����,如果控制不好,F(xiàn)IM也可能很“煩人”��,還會(huì)耗用大量時(shí)間和精力�����。只有精挑細(xì)選解決方案���,精心維護(hù)���,恰當(dāng)饋送,根據(jù)環(huán)境變化進(jìn)行微調(diào)�,才可以避免FIM的5個(gè)階段不至于讓你的安全團(tuán)隊(duì)不堪重負(fù)。
簡單講���,F(xiàn)IM的5個(gè)階段是:
發(fā)現(xiàn)被監(jiān)測環(huán)境中出現(xiàn)了變化;
有變化���,而且是非預(yù)期的;
有變化�,非預(yù)期��,而且是不好的改變;
有變化�,非預(yù)期,有不良后果�����,但有辦法恢復(fù)到已知可信狀態(tài);
有變化���,非預(yù)期����,會(huì)造成不良后果���,有辦法修復(fù),調(diào)整解決方案以最小化將來的噪音���。
如果尚未部署解決方案�����,或者已有解決方案不能快速搞定此類變化����,那就容易產(chǎn)生FIM“沒什么用”的認(rèn)知。
提升FIM功效的最佳辦法��,是將其監(jiān)測范圍縮小到針對能解決合規(guī)����、安全和運(yùn)營問題的用例上,而且最好就是按這個(gè)順序確定優(yōu)先級(jí)�����。上述5個(gè)階段的復(fù)雜度也是順序遞進(jìn)的���。
SOX(《塞班斯法案》)合規(guī)就是企業(yè)FIM的一個(gè)很好案例�����,企業(yè)產(chǎn)出SOX相關(guān)內(nèi)容時(shí)需有“位置”信息�,比如文件����、目錄��、應(yīng)用�����,甚至數(shù)據(jù)庫字段����。但不是全部文件����、目錄或應(yīng)用。
FIM運(yùn)用上更為成熟的企業(yè)可能會(huì)說:“我們的SOX數(shù)據(jù)關(guān)聯(lián)有135個(gè)可作為審計(jì)點(diǎn)的位置��。我們需要知道發(fā)生了什么改變��,包括基線改變�����,以確保生成這些關(guān)鍵點(diǎn)的財(cái)務(wù)報(bào)告時(shí)不出錯(cuò)�?����!?/span>
企業(yè)購買FIM的原因多種多樣。有些是想要個(gè)便宜的“勾選式”解決方案以顯示依法進(jìn)行了盡職審查��,另一些則更關(guān)注環(huán)境中出現(xiàn)的修改對正常運(yùn)營造成的影響����。
只要認(rèn)識(shí)到FIM的價(jià)值,將不得不做的盡職審查轉(zhuǎn)變?yōu)橹鲃?dòng)去做的安全合規(guī)�,并將防線縮小到關(guān)鍵節(jié)點(diǎn)上,收獲更多FIM帶來的價(jià)值和優(yōu)勢就不是空談���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)��、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案���,業(yè)務(wù)涵蓋咨詢���、評估、規(guī)劃���、管控�����、建設(shè)�、培訓(xùn)等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商 ���。
