O monitoramento de integridade de arquivos, ou do inglês File Integrity Monitoring (FIM), é uma tecnologia e processo de segurança que testa e verifica os arquivos do sistema operacional, do banco de dados e das aplicações para determinar se eles foram corrompidos ou alterados. O FIM, que é um tipo de auditoria de alterações, verifica e valida esses arquivos comparando as versões mais recentes deles com uma referência conhecida e confiável.
O software de monitoramento de integridade de arquivos varre, analisa e relata alterações inesperadas em arquivos importantes em um ambiente de TI. Ao fazer isso, o FIM fornece uma camada crítica de segurança de arquivos, dados e aplicações, além de ajudar na aceleração da resposta e correção de incidentes.
O monitoramento de integridade dos arquivos abrange tanto a auditoria reativa (forense) como o monitoramento ativo proativo baseado em regras.
Neste blog, abordarei as noções básicas do FIM, incluindo sua importância, casos de uso, arquivos que ele protege e recursos obrigatórios de FIM.
Casos de uso de monitoramento de integridade de arquivos
Os casos de uso de FIM mais comuns são quatro:
1) Detecção de atividade ilícita: Se um ator de ameaça cibernética violar seu ambiente de TI, você precisará saber (para fins de auditoria, reporte e segurança) se alterou ou não os arquivos, especialmente os que são críticos para suas aplicações ou sistemas operacionais. Mesmo se os arquivos de log e outros sistemas de detecção forem evitados ou adulterados para tentar cobrir as trilhas do invasor, o FIM ainda poderá identificar alterações em partes importantes do ecossistema de TI. Com o FIM em vigor, você pode garantir uma medida extra de proteção que monitora e protege a integridade de seus arquivos, aplicações, sistemas operacionais e dados.
2) Diagnosticando alterações indesejadas: Às vezes, alterações de arquivo são feitas inadvertidamente por um administrador ou outro funcionário. As conseqüências dessas alterações podem ser insignificantes e, portanto, negligenciadas. No entanto, em muitos outros casos, essas alterações acidentais de arquivos podem abrir backdoors de segurança perigosos ou causar grandes estragos, compromentendo a continuidade dos negócios. Com o FIM em vigor, você pode identificar facilmente a alteração errônea responsável pelas disfunções. Algumas ferramentas de FIM permitirão até mesmo reverter as alterações diretamente.
3) Confirmando o status de atualização e a saúde do sistema de monitoramento: Você pode aplicar o FIM para verificar se os arquivos foram ou não corrigidos para a versão mais recente, verificando versões instaladas em vários locais e máquinas com a soma de verificação pós-patch.
4) Atendendo aos requisitos de conformidade: Os principais recursos do FIM para a auditoria de alterações de arquivos, e para o monitoramento e geração de relatórios sobre são necessários para conformidade com exigências regulatórias como GLBA, SOX, HIPAA e PCI DSS.
Monitoramento de integridade de arquivos em Windows, Unix e Linux
O monitoramento de integridade de arquivos é um recurso importante em ambientes Windows, Linux e Unix. O Windows aproveita o registro para a maior parte de sua configuração, combinado com a API do Win32, que é uma área restrita e rigidamente controlada.
Idealmente, o FIM deve rastrear as alterações no sistema operacional, no banco de dados, no diretório, nas aplicações e nos arquivos críticos de negócios, podedo alertá-lo sobre alterações sensíveis ou suspeitas. As principais áreas para auditar o controle de mudanças incluem:
- Windows – SO, inicialização, senha, Active Directory, Exchange SQL, etc. (Saiba mais sobre o Windows Auditing)
- Linux / Unix - carregador de boot, parâmetros do kernel, daemons e serviços, comandos de execução, cron jobs, perfis, hosts, etc.
Ferramentas de Auditoria Nativa ou Soluções FIM?
O monitoramento da integridade dos arquivos analisa as características do arquivo para criar uma “impressão digital”, que pode então ser comparada considerando uma base boa e conhecida.
As ferramentas de auditoria nativas fornecem algumas funcionalidades básicas, mas todas sofrem com deficiências significativas, como armazenamento descentralizado dos logs de segurança de vários controladores de domínio, falta de informações no login em relação às configurações antigas e incapacidade de recuperar o objeto/configuração do log de auditoria, entre muitos outros.
Assim, mesmo as empresas pouco complexas em relação à TI exigem soluções corporativas que têm recursos de FIM.
As soluções FIM devem examinar muitos aspectos dos arquivos, incluindo:
- Configurações e permissões criadas, modificadas e acessadas
- Configurações de segurança e privilégio
- Conteúdo do arquivo
- Principais atributos e tamanho
- Valores de hash, com base no conteúdo do arquivo
- Valores de configuração
- Credenciais
O monitoramento da integridade de arquivos pode ser executado como uma base contínua, instantânea ou regular.
A ferramenta deve monitorar todos os componentes do ecossistema de TI, incluindo:
- Servidores e dispositivos de rede
- Estações de trabalho e dispositivos remotos
- Bancos de dados, diretórios, SO e middleware
- Serviços baseados em nuvem
- Configuração do Hypervision e o Active Directory
No mínimo, uma solução corporativa deve fornecer gerenciamento de alterações, registro em tempo real, registros e relatórios centralizados e alertas. Geralmente, o monitoramento da integridade de arquivos faz parte de uma plataforma de auditoria e segurança mais ampla que incluirá outros recursos, como a reversão automatizada de alterações para um estado confiável anterior.
Por fim, uma boa solução FIM deve ajudá-lo a diagnosticar rápida e claramente quem, o quê, onde e quando para cada evento importante de acesso e mudança.
A BeyondTrust fornece recursos de monitoramento de integridade de arquivos em todos os principais sistemas operacionais, como parte de nossa plataforma de gerenciamento de acessos privilegiados. Entre em contato para saber mais.
Outras fontes de informação:
- Linux Security: Top Files and Directories to Monitor in Linux to Catch Attackers (webcast)
- BeyondTrust Auditor (Windows change auditing solution page)
- BeyondTrust Adds File Integrity Monitoring for Unix and Linux Systems (press release)
Matt Miller, Content Marketing Manager, BeyondTrust
Matt Miller is a Content Marketing Manager at BeyondTrust. Prior to BeyondTrust, he developed and executed marketing strategies on cyber security and cloud technologies in roles at Accelerite (a business unit of Persistent Systems), WatchGuard Technologies, and Microsoft. Earlier in his career Matt held various roles in IR, marketing, and corporate communications in the biotech / biopharmaceutical industry. His experience and interests traverse cyber security, cloud / virtualization, IoT, economics, information governance, and risk management. He is also an avid homebrewer (working toward his Black Belt in beer) and writer.