7 أفضل برامج مراقبة سلامة الملفات (مراجعة 2020)

أمن تكنولوجيا المعلومات موضوع ساخن. الأخبار مليئة بقصص خروقات أمنية وسرقة البيانات أو برامج الفدية. سيجادل البعض في أن كل هذه هي ببساطة علامة على عصرنا ولكنها لا تغير حقيقة أنك عندما تكون مهمتها الحفاظ على أي نوع من بيئة تكنولوجيا المعلومات ، الحماية من مثل هذه التهديدات جزء مهم من مهنة.

لهذا السبب ، أصبح برنامج مراقبة سلامة الملفات (FIM) تقريبًا أداة لا غنى عنها لأي مؤسسة. الغرض الأساسي منه هو التأكد من تحديد أي تغيير غير مصرح به أو غير متوقع للملف بسرعة. يمكن أن يساعد في تحسين أمان البيانات بشكل عام ، وهو أمر مهم لأي شركة ويجب عدم تجاهله.

سنبدأ اليوم بإلقاء نظرة سريعة على مراقبة سلامة الملفات. سنبذل قصارى جهدنا لشرح ما هو وكيف يعمل بعبارات بسيطة. سنلقي نظرة أيضًا على من يجب استخدامه. لن تكون مفاجأة كبيرة على الأرجح لمعرفة أن أي شخص يمكنه الاستفادة منها وسنرى كيف ولماذا. وبمجرد أن نكون جميعًا في نفس الصفحة حول مراقبة تكامل الملفات ، سنكون مستعدين للقفز إلى جوهر هذه المشاركة ومراجعة بعض أفضل الأدوات المتوفرة في السوق بإيجاز.

ما هو مراقبة سلامة الملفات؟

في جوهره ، تعد مراقبة تكامل الملفات عنصرًا رئيسيًا في عملية إدارة أمن تكنولوجيا المعلومات. المفهوم الرئيسي وراء ذلك هو التأكد من أن أي تعديل على نظام الملفات يتم حسابه وأن أي تعديل غير متوقع يتم تحديده بسرعة.

بينما توفر بعض الأنظمة مراقبة تكامل الملفات في الوقت الفعلي ، إلا أنها تميل إلى التأثير بشكل أكبر على الأداء ، ولهذا السبب ، غالبًا ما يفضل نظام قائم على اللقطات. يعمل عن طريق أخذ لقطة لنظام الملفات على فترات منتظمة ومقارنته مع النظام السابق أو مع خط الأساس المحدد مسبقًا. بغض النظر عن وظائف الكشف (في الوقت الحقيقي أم لا) ، أي تغيير تم اكتشافه يشير إلى نوع من الوصول غير المصرح به أو النشاط الضار (مثل التغيير المفاجئ في حجم الملف أو الوصول من قبل مستخدم معين أو مجموعة من المستخدمين) ويتم رفع التنبيه و / أو يكون هناك شكل أو عملية معالجة أطلقت. يمكن أن تتراوح من ظهور نافذة تنبيه إلى استعادة الملف الأصلي من نسخة احتياطية أو حظر الوصول إلى الملف المهددة بالانقراض.

من الذي يرصد تكامل الملف؟

الجواب السريع على هذا السؤال هو أي شخص. حقًا ، يمكن لأي مؤسسة الاستفادة من استخدام برنامج مراقبة سلامة الملفات. ومع ذلك ، سيختار الكثيرون استخدامه لأنه في وضع يكون فيه مفوضًا. على سبيل المثال ، يعد برنامج File Integrity Monitoring مطلوبًا أو يُشار إليه بقوة من خلال أطر تنظيمية معينة مثل PCI DSS أو Sarbanes-Oxley أو HIPAA. بشكل ملموس ، إذا كنت تعمل في قطاعي الرعاية المالية أو الصحية ، أو إذا كنت تعالج بطاقات الدفع ، فإن مراقبة سلامة الملفات هي أكثر من شرط.

وبالمثل ، على الرغم من أنها قد لا تكون إلزامية ، يجب على أي منظمة تتعامل مع المعلومات الحساسة أن تفكر بشدة في برنامج مراقبة سلامة الملفات. سواء كنت تقوم بتخزين بيانات العميل أو الأسرار التجارية ، هناك ميزة واضحة في استخدام هذه الأنواع من الأدوات. يمكن أن ينقذك من جميع أنواع الحوادث.

لكن مراقبة سلامة الملفات ليست للمؤسسات الكبيرة فقط. على الرغم من أن الشركات الكبيرة والشركات المتوسطة الحجم على حد سواء تميل إلى إدراك أهمية برامج مراقبة سلامة الملفات ، يجب على الشركات الصغيرة أن تأخذها في الاعتبار أيضًا. هذا صحيح بشكل خاص عندما تأخذ في الاعتبار أن هناك أدوات مراقبة سلامة الملفات التي تناسب كل الاحتياجات والميزانية. في الواقع ، العديد من الأدوات في قائمتنا مجانية ومفتوحة المصدر.

أفضل برنامج لرصد سلامة الملفات

هناك عدد لا يحصى من الأدوات التي توفر وظيفة مراقبة تكامل الملفات. بعضها أدوات مخصصة لا تفعل شيئًا آخر. بعضها ، من ناحية أخرى ، هو حل واسع لأمن تكنولوجيا المعلومات يدمج مراقبة سلامة الملفات جنبًا إلى جنب مع الوظائف الأخرى المتعلقة بالأمان. لقد حاولنا دمج كلا النوعين من الأدوات في قائمتنا. بعد كل شيء ، غالبًا ما تكون مراقبة سلامة الملفات جزءًا من جهد إدارة أمن تكنولوجيا المعلومات الذي يتضمن وظائف أخرى. لماذا لا تذهب لأداة متكاملة ، إذن.

العديد من مسؤولي الشبكة والنظام على دراية الرياح الشمسية. بعد كل شيء ، كانت الشركة تصنع بعضًا من أفضل الأدوات منذ عشرين عامًا. منتجها الرئيسي ، ودعا مراقب أداء الشبكة SolarWinds تعتبر واحدة من أفضل هذه الأدوات في السوق. ولجعل الأمور أفضل ، الرياح الشمسية تنشر أيضًا أدوات مجانية تتناول بعض مهام إدارات الشبكة المحددة.

في حين الرياح الشمسية لا يجعل أداة رصد تكامل ملف مخصصة ، أداة معلومات الأمان وإدارة الأحداث (SIEM) الخاصة به ، مدير الأحداث الشمسية SolarWinds، يتضمن وحدة مراقبة سلامة الملفات جيدة جدًا. هذا المنتج هو بالتأكيد أحد أفضل أنظمة SIEM للمبتدئين في السوق. تحتوي الأداة تقريبًا على كل شيء يتوقعه المرء من أداة SIEM. وهذا يشمل ميزات إدارة السجلات والارتباط الممتازة بالإضافة إلى محرك تقارير مثير للإعجاب ، وبالطبع ، مراقبة سلامة الملف.

تجربة مجانية:مدير الأحداث الشمسية SolarWinds

رابط التنزيل الرسمي:https://www.solarwinds.com/security-event-manager/registration

عندما يتعلق الأمر بمراقبة سلامة الملف ، فإن مدير الأحداث الشمسية SolarWinds يمكن أن تظهر المستخدمين المسؤولين عن أي تغييرات الملف. يمكنه أيضًا تتبع أنشطة المستخدم الإضافية ، مما يتيح لك إنشاء تنبيهات وتقارير مختلفة. يمكن أن يعرض الشريط الجانبي للصفحة الرئيسية للأداة عدد أحداث التغيير التي حدثت تحت عنوان Change Management. عندما يبدو شيء ما مريبًا وترغب في التعمق أكثر ، لديك خيار تصفية الأحداث حسب الكلمة الرئيسية.

تفتخر الأداة أيضًا بميزات استجابة الحدث الممتازة التي لا تترك أي شيء مرغوب فيه. على سبيل المثال ، سيستجيب نظام الاستجابة التفصيلية في الوقت الفعلي بكل تهديد. ونظرًا لأنه يقوم على السلوك بدلاً من التوقيع ، فأنت محمي ضد التهديدات غير المعروفة أو المستقبلية وهجمات يوم الصفر.

بالإضافة إلى مجموعة ميزات رائعة ، فإن مدير الأحداث الشمسية SolarWindsلوحة القيادة الخاصة بنا تستحق المناقشة بالتأكيد. مع تصميمه البسيط ، لن تواجه مشكلة في العثور على طريقك حول الأداة والتعرف بسرعة على الحالات الشاذة. بدءًا من حوالي 500 4 دولار ، فإن الأداة أكثر من معقولة. وإذا كنت ترغب في تجربته ومعرفة كيفية عمله في بيئتك ، يتوفر إصدار تجريبي مجاني كامل الوظائف لمدة 30 يومًا للتنزيل.

رابط التنزيل الرسمي:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC، وهو اختصار لـ Open Source Security ، وهو أحد أشهر أنظمة اكتشاف الاختراق القائمة على المضيف مفتوحة المصدر. المنتج مملوك من قبل تريند مايكرو، أحد الأسماء الرائدة في أمن تكنولوجيا المعلومات وصانع واحد من أفضل أجنحة الحماية من الفيروسات. وإذا كان المنتج مدرجًا في هذه القائمة ، فتأكد من أن لديه أيضًا وظيفة مراقبة تكامل الملف اللائق جدًا.

عند التثبيت على أنظمة تشغيل Linux أو Mac OS ، يركز البرنامج بشكل أساسي على ملفات التسجيل والتكوين. يخلق المجموع الاختباري للملفات المهمة ويصادق عليها بشكل دوري ، وينبهك كلما حدث شيء غريب. سيراقب أيضًا وينبه في أي محاولة غير طبيعية للوصول إلى الجذر. على مضيفي Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي يمكن أن تكون علامة على قصة نشاط ضار.

عندما يتعلق الأمر بمراقبة سلامة الملفات ، OSSEC لديه وظيفة محددة تسمى فحص مرضي. يتم تشغيل الأداة كل ست ساعات بشكل افتراضي وتتحقق من التغييرات في المجموع الاختباري للملفات الرئيسية. تم تصميم الوحدة لتقليل استخدام وحدة المعالجة المركزية ، مما يجعلها خيارًا جيدًا للمؤسسات التي تتطلب حلًا لإدارة تكامل الملفات بحجم صغير.

بحكم كونها نظام كشف التسلل القائم على المضيف ، OSSEC يجب تثبيته على كل كمبيوتر (أو خادم) تريد حمايته. هذا هو العيب الرئيسي لهذه الأنظمة. ومع ذلك ، تتوفر وحدة تحكم مركزية تقوم بدمج المعلومات من كل كمبيوتر محمي لتسهيل إدارتها. ذلك OSSEC تعمل وحدة التحكم فقط على أنظمة تشغيل Linux أو Mac OS. ومع ذلك ، يتوفر وكيل لحماية مضيفي Windows. سيؤدي أي اكتشاف إلى تشغيل تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

3. سلامة ملف Samhain

Samhain هو نظام مجاني لكشف تسلل المضيف الذي يوفر فحص تكامل الملف ومراقبة / تحليل ملف السجل. بالإضافة إلى ذلك ، يقوم المنتج أيضًا بإجراء الكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات المخفية. تم تصميم هذه الأداة لمراقبة أنظمة متعددة مع أنظمة تشغيل مختلفة مع تسجيل مركزي وصيانة. ومع ذلك، Samhain يمكن استخدامه كتطبيق مستقل على جهاز كمبيوتر واحد. يمكن تشغيل الأداة على أنظمة POSIX مثل يونكس, لينكس أو ماك نظام التشغيل. يمكن أن تعمل أيضًا شبابيك تحت سيجوين على الرغم من أنه تم اختبار وكيل المراقبة فقط وليس الخادم في هذا التكوين.

على مضيفي Linux ، سامهاين يمكن الاستفادة من آلية inotify لمراقبة أحداث نظام الملفات. في الوقت الفعلي ، يتيح لك هذا تلقي إشعارات فورية حول التغييرات ، ويلغي الحاجة إلى عمليات مسح نظام الملفات المتكررة التي قد تتسبب في ارتفاع حمل الإدخال / الإخراج. بالإضافة إلى ذلك ، يمكن التحقق من الاختبارية المختلفة مثل TIGER192 أو SHA-256 أو SHA-1 أو MD5. يمكن أيضًا التحقق من حجم الملف ، والوضع / الإذن ، والمالك ، والمجموعة ، والطابع الزمني (الإنشاء / التعديل / الوصول) ، inode ، عدد الروابط الثابتة والمسار المرتبط للروابط الرمزية. يمكن للأداة حتى التحقق من المزيد من الخصائص "الغريبة" مثل سمات SELinux ، POSIX ACLs (على الأنظمة دعمها) ، وسمات ملف Linux ext2 (كما هو محدد بواسطة chattr مثل العلامة الثابتة) و BSD أعلام الملف.

واحد من Samhainالميزة الفريدة هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون المحتملون. في كثير من الأحيان يقتل المتسللون عمليات الكشف التي يتعرفون عليها ، مما يسمح لهم بالمرور دون أن يلاحظها أحد. تستخدم هذه الأداة تقنيات إخفاء المعلومات لإخفاء عملياتها عن غيرها. كما أنه يحمي ملفات السجل المركزية والنسخ الاحتياطي للتكوين باستخدام مفتاح PGP لمنع التلاعب. بشكل عام ، هذه أداة كاملة جدًا تقدم أكثر بكثير من مجرد مراقبة تكامل الملف.

4. مدير تكامل ملف Tripwire

التالي هو حل من تريبواير، وهي شركة تتمتع بسمعة راسخة في مجال أمن تكنولوجيا المعلومات. وعندما يتعلق الأمر بمراقبة سلامة الملفات ، تكامل ملف Tripwire Mشواء (FIM) لديها قدرة فريدة على الحد من الضوضاء من خلال توفير طرق متعددة للتخلص من التغييرات منخفضة المخاطر من تلك عالية المخاطر أثناء تقييم وتحديد الأولويات والتوفيق بين التغييرات المكتشفة. من خلال الترويج للعديد من التغييرات في العمل كالمعتاد ، تقلل الأداة الضجيج بحيث يكون لديك المزيد من الوقت للتحقيق في التغييرات التي قد تؤثر حقًا على الأمان وتعرض المخاطر. تريبواير FIM يستخدم الوكلاء لالتقاط التفاصيل الكاملة لمن وماذا ومتى يتم ذلك في الوقت الفعلي. يساعد هذا على ضمان اكتشاف كل التغييرات ، والتقاط التفاصيل حول كل تغيير ، واستخدام هذه التفاصيل لتحديد المخاطر الأمنية أو عدم الامتثال.

تريبواير يمنحك القدرة على الاندماج مدير تكامل الملفات مع العديد من عناصر التحكم في الأمان: إدارة تكوين الأمان (SCM) وإدارة السجلات وأدوات SIEM. تريبواير فيم يضيف المكونات التي تضع علامات على البيانات من عناصر التحكم هذه وتديرها بشكل أكثر سهولة وبطرق تحمي البيانات بشكل أفضل. على سبيل المثال ، إطار تكامل الأحداث (EIF) يضيف بيانات تغيير قيمة من مدير تكامل الملفات إلى مركز سجل Tripwire أو أي SIEM أخرى تقريبًا. مع EIF وتأسيسية أخرى تريبواير ضوابط الأمان ، يمكنك إدارة أمن البنية التحتية لتكنولوجيا المعلومات بسهولة وفعالية.

تريبواير مدير تكامل الملفات يستخدم الأتمتة للكشف عن جميع التغييرات ومعالجة تلك التي تخرج التكوين من السياسة. يمكن أن يتكامل مع أنظمة التذاكر الحالية مثل علاج BMC, مركز خدمة HP أو الخدمة الآنمما يسمح بمراجعة سريعة. وهذا يضمن أيضًا إمكانية التتبع. علاوة على ذلك ، تشغل التنبيهات التلقائية استجابات مخصصة من قِبل المستخدم عندما يصل تغيير واحد أو أكثر إلى حد خطورة لن يتسبب تغيير واحد بمفرده. على سبيل المثال ، تغيير طفيف في المحتوى مصحوبًا بتغيير إذن تم إجراؤه خارج نافذة تغيير مخطط لها.

5. AFICK (مدقق تكامل ملف آخر)

التالي هو أداة مفتوحة المصدر من المطور Eric Gerbier تسمى AFICK (مدقق تكامل ملف آخر). على الرغم من أن الأداة تدعي أنها تقدم وظائف مماثلة لـ Tripwire ، إلا أنها منتج أكثر تشويشًا ، كثيرًا في خط برامج مفتوحة المصدر التقليدية. يمكن للأداة مراقبة أي تغييرات في أنظمة الملفات التي تشاهدها. وهو يدعم منصات متعددة مثل Linux (SUSE و Redhat و Debian والمزيد) و Windows و HP Tru64 Unix و HP-UX و AIX. تم تصميم البرنامج ليكون سريعًا ومحمولًا ويمكنه العمل على أي كمبيوتر يدعم Perl ووحداته القياسية.

أما بالنسبة لل AFICKوظائف ، إليك نظرة عامة على ميزاته الرئيسية. الأداة سهلة التثبيت ولا تتطلب أي تجميع أو تثبيت العديد من التبعيات. إنها أيضًا أداة سريعة ، ويرجع ذلك جزئيًا إلى حجمها الصغير. على الرغم من صغر حجمه ، فإنه سيعرض الملفات الجديدة والمحذوفة والمعدلة بالإضافة إلى أي روابط متدلية. يستخدم ملف تهيئة نصي بسيط يدعم الاستثناءات والمهرجين ويستخدم بناء جملة يشبه إلى حد كبير تطبيق Tripwire أو Aide. تتوفر كل من واجهة المستخدم الرسومية المستندة إلى Tk وواجهة الويب المستندة إلى webmin إذا كنت تفضل الابتعاد عن أداة سطر الأوامر.

AFICK (مدقق تكامل ملف آخر) مكتوب بالكامل في Perl لسهولة الحمل والوصول إلى المصدر. وبما أنه مفتوح المصدر (تم إصداره بموجب رخصة جنو العمومية العامة) ، فأنت حر في إضافة وظائف إليه كما تراه مناسبًا. تستخدم الأداة MD5 لاحتياجات المجموع الاختباري لأنها سريعة ومدمجة في جميع توزيعات Perl وبدلاً من استخدام قاعدة بيانات نصية واضحة ، يتم استخدام dbm.

6. AIDE (بيئة متقدمة لكشف التسلل)

على الرغم من اسم مضلل إلى حد ما ، AIDE (بيئة متقدمة لكشف التسلل) هو في الواقع مدقق تكامل الملف والدليل. يعمل عن طريق إنشاء قاعدة بيانات من قواعد التعبير العادية التي يجدها من ملف التكوين الخاص به. بمجرد تهيئة قاعدة البيانات ، فإنها تستخدمها للتحقق من سلامة الملفات. تستخدم الأداة العديد من خوارزميات ملخص الرسائل التي يمكن استخدامها للتحقق من سلامة الملفات. علاوة على ذلك ، يمكن التحقق من عدم تناسق جميع سمات الملف المعتادة. يمكنه أيضًا قراءة قواعد البيانات من الإصدارات الأقدم أو الأحدث.

ميزة الحكمة ، مساعد اكتمال التقييم. وهو يدعم خوارزميات متعددة لتلخيص الرسائل مثل md5 و sha1 و rmd160 و tiger و crc32 و sha256 و sha512 و الدوامة. يمكن للأداة التحقق من العديد من سمات الملف بما في ذلك نوع الملف والأذونات و Inode و Uid و Gid واسم الارتباط والحجم وعدد الكتل وعدد الارتباطات و Mtime و Ctime و Atime. ويمكنه أيضًا دعم سمات نظام الملفات Posix ACL و SELinux و XAttrs و Extended. من أجل البساطة ، تستخدم الأداة ملفات تكوين النص العادي بالإضافة إلى قاعدة بيانات النص العادي. واحدة من أكثر ميزاته إثارة للاهتمام هي دعمه للتعبير العادي القوي الذي يسمح لك بتضمين أو استبعاد الملفات والأدلة المراد مراقبتها بشكل انتقائي. هذه الميزة وحدها تجعلها أداة مرنة للغاية ومتعددة الاستخدامات.

المنتج ، الذي كان موجودًا منذ عام 1999 ، لا يزال قيد التطوير بنشاط وأحدث إصدار (0.16.2) عمره بضعة أشهر فقط. إنه متاح بموجب ترخيص GNU العام وسيعمل على معظم إصدارات لينكس الحديثة.

7. مراقبة سلامة ملف Qualys

مراقبة سلامة ملف Qualys من عملاق الأمن كواليس هو "حل سحابي لاكتشاف وتحديد التغييرات والحوادث والمخاطر الحرجة الناتجة عن الأحداث العادية والضارة." لأنه يأتي مع ملفات تعريف جاهزة تعتمد على أفضل الممارسات في الصناعة وعلى إرشادات يوصي بها البائع للامتثال العام ومتطلبات المراجعة ، بما في ذلك PCI DSS.

مراقبة سلامة ملف Qualys يكتشف التغييرات بكفاءة في الوقت الفعلي ، باستخدام أساليب مماثلة تستخدم في تقنيات مكافحة الفيروسات. يمكن إنشاء إعلامات التغيير لهياكل الدليل بأكملها أو على مستوى الملف. تستخدم الأداة إشارات نواة نظام التشغيل الموجودة لتحديد الملفات التي تم الوصول إليها ، بدلاً من الاعتماد على الأساليب كثيفة الحوسبة. يمكن للمنتج الكشف عن إنشاء أو إزالة الملفات أو الدلائل ، وإعادة تسمية الملفات أو الدلائل ، والتغييرات في سمات الملف ، تغييرات على إعدادات أمان الملف أو الدليل مثل الأذونات والملكية والميراث والتدقيق أو التغييرات على بيانات الملف المخزنة على القرص.

منتج متعدد المستويات. ال وكيل Qualys Cloud يراقب باستمرار الملفات والأدلة المحددة في ملف تعريف المراقبة الخاص بك ويقوم بالتقاط البيانات الهامة إلى يساعد في تحديد ما تغير مع تفاصيل البيئة مثل المستخدم والعمليات التي شاركت في يتغيرون. ثم يرسل البيانات إلى منصة Qualys Cloud للتحليل والإبلاغ. تتمثل إحدى مزايا هذا النهج في أنه يعمل بنفس الطريقة سواء كانت الأنظمة في الموقع أو في السحابة أو بعيدة.

يمكن تنشيط مراقبة تكامل الملفات بسهولة على الموجودة لديك Qualys أرجال، وابدأ في مراقبة التغييرات محليًا بأقل تأثير على نقطة النهاية. ال منصة Qualys Cloud يسمح لك بالتوسع بسهولة إلى أكبر البيئات. يتم تقليل تأثير الأداء على نقاط النهاية المراقبة من خلال المراقبة الفعالة لتغييرات الملفات محليًا وإرسال البيانات إلى منصة Qualys Cloud حيث يتم كل عمل التحليل والارتباط الثقيل. أما بالنسبة لل وكيل Qualys Cloud، إنه تحديث ذاتي وشفاء ذاتي ، يبقي نفسه محدثًا دون الحاجة إلى إعادة التشغيل.