7 най-добър софтуер за мониторинг на целостта на файловете (преглед 2020 г.)

ИТ сигурността е гореща тема. Новината е затрупана с истории за нарушения на сигурността, кражба на данни или откуп. Някои ще твърдят, че всичко това е просто знак на нашето време, но това не променя факта, че когато си задача за поддържане на всякакъв вид ИТ среда, защита от подобни заплахи е важна част от на работни места.

Поради тази причина софтуерът за контрол на интегритета на файловете (FIM) почти се превърна в незаменим инструмент за всяка организация. Основната му цел е да гарантира бързо идентифициране на всяка неоторизирана или неочаквана промяна на файла. Това може да помогне за подобряване на цялостната сигурност на данните, което е важно за всяка компания и не трябва да се игнорира.

Днес ще започнем с кратък преглед на File Integrity Monitoring. Ще направим всичко възможно да обясним с прости думи какво е и как работи. Ще разгледаме и кой трябва да го използва. Най-вероятно няма да е голяма изненада, когато разберете, че всеки може да се възползва от това и ще видим как и защо. И след като всички сме на една и съща страница за File Integrity Monitoring, ще сме готови да влезем в основата на тази публикация и да прегледаме накратко някои от най-добрите инструменти, които предлага пазара.

Какво е мониторинг на целостта на файловете?

В основата си мониторингът на целостта на файловете е ключов елемент от процеса на управление на ИТ сигурността. Основната концепция, която стои зад него, е да се гарантира, че всяка промяна на файлова система се отчита и че всяка неочаквана промяна бързо се идентифицира.

Докато някои системи предлагат мониторинг на целостта на файловете в реално време, той има тенденция да има по-голямо влияние върху производителността, поради тази причина често се предпочита система на базата на моментни снимки. Той работи, като прави правилни снимки на файлова система на равни интервали и сравнява с предходната или с предварително установена базова линия. Без значение как функциите за откриване (в реално време или не), всяка открита промяна, която предполага някакъв неправомерен достъп или злонамерена дейност (като внезапна промяна в размера на файла или достъпа от конкретен потребител или група потребители) и сигналът се повдига и / или някаква форма или процес на корекция е стартира. Може да варира от изскачане на прозорец за предупреждение до възстановяване на оригиналния файл от резервно копие или блокиране на достъпа до застрашения файл.

За кого се следи целостта на файловете?

Бързият отговор на този въпрос е всеки. Наистина, всяка организация може да се възползва от използването на софтуер за наблюдение на интегритета на файловете. Мнозина обаче ще изберат да го използват, защото се намират в ситуация, в която това е назначено. Например, софтуерът за мониторинг на интегритета на файловете се изисква или е силно обозначен от определени регулаторни рамки като PCI DSS, Sarbanes-Oxley или HIPAA. По-конкретно, ако сте във финансовия или здравния сектор или ако обработвате разплащателни карти, мониторингът на интегритета на файловете е повече изискване, отколкото възможност.

По същия начин, въпреки че може да не е задължително, всяка организация, занимаваща се с чувствителна информация, трябва да обмисля сериозно софтуера за контрол на интегритета на файловете. Независимо дали съхранявате клиентски данни или търговски тайни, има очевидно предимство при използването на тези видове инструменти. Това би могло да ви спести от всякакви злополуки.

Но Мониторингът на целостта на файловете не е само за големи организации. Въпреки че големите предприятия и средният бизнес също си дават сметка за важността на софтуера за наблюдение на интегритета на файловете, малките фирми със сигурност трябва да го обмислят и. Това е особено вярно, когато вземете предвид, че има инструменти за мониторинг на целостта на файловете, които ще отговарят на всяка нужда и бюджет. Всъщност няколко инструмента в нашия списък са безплатни и с отворен код.

Най-добрият софтуер за мониторинг на целостта на файловете

Има безброй инструменти, които предлагат функционалност за наблюдение на интегритета на файловете. Някои от тях са специализирани инструменти, които по принцип не правят нищо друго. Някои от друга страна са широко решение за ИТ сигурност, което интегрира мониторинга на интегритета на файловете, заедно с други функции, свързани със сигурността. Опитахме да включим и двата вида инструменти в нашия списък. В крайна сметка, Мониторингът на целостта на файловете често е част от усилията за управление на ИТ сигурността, които включват и други функции. Защо тогава не потърсите интегриран инструмент.

Много мрежови и системни администратори са запознати SolarWinds. В края на краищата компанията прави едни от най-добрите инструменти от около двадесет години. Нейният водещ продукт, наречен the SolarWinds Network Monitor Monitor се счита за един от най-добрите подобни инструменти на пазара. И за да направим нещата още по-добри, SolarWinds също така публикува безплатни инструменти, които адресират някои конкретни задачи за мрежови администрации.

Докато SolarWinds не прави специален инструмент за наблюдение на целостта на файловете, неговия инструмент за сигурност и управление на събития (SIEM), SolarWinds Security Event Manager, включва много добър модул за наблюдение на целостта на файловете. Този продукт определено е една от най-добрите SIEM системи за входно ниво на пазара. Инструментът има почти всичко, което човек би могъл да очаква от SIEM инструмент. Това включва отлични функции за управление и корелация на лога, както и впечатляващ механизъм за отчитане и, разбира се, мониторинг на целостта на файловете.

БЕЗПЛАТЕН ПРОБЕН ПЕРИОД:SolarWinds Security Event Manager

Официална връзка за изтегляне:https://www.solarwinds.com/security-event-manager/registration

Когато става въпрос за мониторинг на целостта на файловете, SolarWinds Security Event Manager може да покаже кои потребители са отговорни за кои промени на файла. Той може също да проследява допълнителни потребителски дейности, като ви позволява да създавате различни сигнали и отчети. Страничната лента на началната страница на инструмента може да показва колко събития на промяна са настъпили под заглавката на Управление на промените. Всеки път, когато нещо изглежда подозрително и искате да копаете по-дълбоко, имате възможност да филтрирате събитията по ключова дума.

Инструментът може да се похвали и с отлични функции за реакция на събитията, които не оставят нищо за желание. Например, подробната система за реагиране в реално време ще реагира активно на всяка заплаха. И тъй като се основава на поведение, а не на подпис, вие сте защитени от неизвестни или бъдещи заплахи и атаки с нулев ден.

В допълнение към впечатляващия набор от функции, the SolarWinds Security Event ManagerТаблото за управление със сигурност си струва да бъде обсъдено. С простия си дизайн няма да имате проблеми с намирането на инструмента и бързото идентифициране на аномалии. Започвайки от около $ 4 500, инструментът е повече от достъпен. И ако искате да го изпробвате и да видите как работи във вашата среда, за изтегляне е достъпна безплатна напълно функционална 30-дневна пробна версия.

Официална връзка за изтегляне:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, което означава Open Source Security, една от най-известните системи за откриване на проникване, базирана на отворен код. Продуктът е собственост на Trend Micro, едно от водещите имена в ИТ сигурността и производител на един от най-добрите пакети за защита от вируси. И ако продуктът е в този списък, бъдете сигурни, че той също има много прилична функционалност за наблюдение на целостта на файловете.

Когато се инсталира на операционни системи Linux или Mac OS, софтуерът се фокусира основно върху файлове за регистрация и конфигурация. Той създава контролни суми от важни файлове и периодично ги валидира, като ви предупреждава винаги, когато се случи нещо странно. Той също така ще следи и сигнализира за всеки необичаен опит за получаване на root достъп. На хостовете на Windows системата също следи за неоторизирани модификации на системния регистър, които биха могли да бъдат показател за злонамерена активност.

Когато става въпрос за мониторинг на целостта на файловете, OSSEC има специфична функционалност, наречена Syscheck. Инструментът работи на всеки шест часа по подразбиране и проверява за промени в контролните суми на ключовите файлове. Модулът е проектиран да намали използването на процесора, което го прави потенциално добра опция за организации, изискващи решение за управление на целостта на файловете с малък отпечатък.

Благодарение на системата за откриване на проникване, базирана на хост, OSSEC трябва да бъде инсталиран на всеки компютър (или сървър), който искате да защитите. Това е основният недостатък на такива системи. Налична е обаче централизирана конзола, която консолидира информация от всеки защитен компютър за по-лесно управление. Че OSSEC конзолата работи само на операционни системи Linux или Mac OS. Въпреки това е наличен агент за защита на хостовете на Windows. Всяко откриване ще задейства сигнал, който ще бъде показан на централизираната конзола, докато известията ще бъдат изпращани и по имейл.

3. Целостност на файла на Samhain

Samhain е безплатна система за откриване на проникване на проникване, която осигурява проверка на целостта на файловете и наблюдение / анализ на файловете в журнала. В допълнение, продуктът също така извършва откриване на rootkit, мониторинг на пристанища, откриване на измамни изпълними SUID изпълнения и скрити процеси. Този инструмент е създаден за наблюдение на множество системи с различни операционни системи с централизирана сеч и поддръжка. Въпреки това, Samhain може да се използва и като самостоятелно приложение на един компютър. Инструментът може да работи на POSIX системи като Unix, Linux или Mac операционна система. Може да работи и на Windows при Cygwin въпреки че в тази конфигурация е тестван само агентът за наблюдение, а не сървърът.

В Linux хостове, Сamhain може да използва механизма за задействане за наблюдение на събитията на файловата система. В реално време Това ви позволява да получавате незабавни известия за промените и елиминира необходимостта от чести сканирания на файловата система, които могат да причинят високо натоварване на I / O. Освен това могат да се проверяват различни контролни суми като TIGER192, SHA-256, SHA-1 или MD5. Размер на файла, режим / разрешение, собственик, група, времева марка (създаване / модификация / достъп), inode, брой твърди връзки и свързан път на символни връзки също могат да бъдат проверени. Инструментът може дори да провери повече „екзотични“ свойства като SELinux атрибути, POSIX ACL (в системи поддържаща ги), Linux ext2 файлови атрибути (зададени от chattr като неизменния флаг) и BSD файлови знамена.

Един от SamhainУникална особеност е неговият стелт режим, който му позволява да работи без да бъде открит от евентуални нападатели. Твърде често натрапниците убиват процесите на откриване, които разпознават, което им позволява да останат незабелязани. Този инструмент използва стеганографски техники, за да скрие процесите си от другите. Той също така защитава своите централни лог файлове и архивиране на конфигурация с PGP ключ, за да предотврати подправяне. Като цяло това е много завършен инструмент, предлагащ много повече от просто наблюдение на целостта на файловете.

4. Мениджър за цялостност на файловете на Tripwire

Следва решение от Tripwire, компания, която се радва на солидна репутация в ИТ сигурността. А що се отнася до мониторинга на целостта на файловете, Целост на файла на Tripwire Manager (FIM) има уникална способност за намаляване на шума чрез предоставяне на множество начини за премахване на нискорисковите промени от високорисковите, като същевременно се оценява, приоритизира и съгласува откритите промени. Чрез автоматично насърчаване на многобройни бизнес промени, както обикновено, инструментът намалява шума, така че имате повече време да проучите промените, които наистина могат да повлияят на сигурността и да въведат риск. Tripwire FIM използва агенти за непрекъснато улавяне на пълни кой, какво и кога подробности в реално време. Това помага да се гарантира, че откриете всички промени, заснемете подробности за всяка една от тях и ги използвате, за да определите риска или неспазването на сигурността.

Tripwire ви дава възможност да се интегрирате File Integrity Manager с много от вашите контроли за сигурност: управление на конфигурацията на защитата (SCM), управление на журнала и инструменти SIEM. Tripwire FIM добавя компоненти, които маркират и управляват данните от тези контроли по-интуитивно и по начин, който по-добре защитава данните. Например, the Рамка за интеграция на събитията (ЕИФ) добавя ценни данни за промяна от File Integrity Manager да се Регистрационен център на Tripwire или почти всеки друг SIEM. с ЕИФ и други основополагащи Tripwire контрол на сигурността, можете лесно и ефективно да управлявате сигурността на вашата ИТ инфраструктура.

Tripwire File Integrity Manager използва автоматизация, за да открие всички промени и да пренасочи тези, които изваждат конфигурация от политиката. Той може да се интегрира със съществуващи системи за издаване на билети като промяна BMC Remedy, Център за обслужване на HP или Обслужване сега, което позволява бърз одит. Това също гарантира проследяване. Освен това автоматизираните сигнали задействат потребителски отговори, когато една или повече конкретни промени достигнат прага на тежест, който една промяна сама по себе си не би причинила. Например, незначителна промяна на съдържанието, придружена от промяна в разрешение, извършена извън планирания прозорец за промяна.

5. AFICK (друг файл за проверка на почтеността)

Следва инструмент с отворен код от разработчика Ерик Гербиер, наречен AFICK (друг файл за проверка на почтеността). Въпреки че инструментът твърди, че предлага подобна функционалност на Tripwire, той е много по-суров продукт, много в редицата на традиционния софтуер с отворен код. Инструментът може да наблюдава всички промени във файловите системи, които наблюдава. Той поддържа множество платформи като Linux (SUSE, Redhat, Debian и други), Windows, HP Tru64 Unix, HP-UX и AIX. Софтуерът е проектиран да бъде бърз и преносим и може да работи на всеки компютър, поддържащ Perl и неговите стандартни модули.

Колкото до AFICKФункционалност, ето преглед на основните му характеристики. Инструментът е лесен за инсталиране и не изисква компилация или инсталиране на много зависимости. Освен това е бързо средство, което се дължи отчасти на малкия му размер. Въпреки малкия си размер, той ще показва нови, изтрити и модифицирани файлове, както и всички висящи връзки. Той използва прост текстово конфигуриран файл, който поддържа изключения и шегаджии и използва синтаксис, който е много подобен на този на Tripwire или Aide. Предлагат се както графичен потребителски интерфейс, базиран на Tk, така и уеб-базиран уеб-интерфейс, ако предпочитате да не сте далеч от инструмента за команден ред.

AFICK (друг файл за проверка на почтеността) е изцяло написан на Perl за преносимост и достъп до източник. И тъй като е с отворен код (пуснат под GNU General Public License), вие можете да добавите функционалност към него, както сметнете за добре. Инструментът използва MD5 за своите нужди от контролна сума, тъй като е бърз и е вграден във всички Perl дистрибуции и вместо да използва ясна текстова база данни, се използва dbm.

6. AIDE (Разширена среда за откриване на проникване)

Въпреки доста подвеждащо име, AIDE (Разширена среда за откриване на проникване) всъщност е проверка за цялост на файлове и директории. Той работи, като създава база данни от правилата за регулярни изрази, които намира от своя конфигурационен файл. След като инициализира базата данни, тя я използва за проверка на целостта на файловете. Инструментът използва няколко алгоритми за усвояване на съобщения, които могат да се използват за проверка на целостта на файловете. Освен това, всички обичайни атрибути на файла могат да бъдат проверени за несъответствия. Той може също да чете бази данни от по-стари или по-нови версии.

Feature-мъдър, AIDE е ратер завършен. Той поддържа множество алгоритми за усвояване на съобщения като md5, sha1, rmd160, tiger, crc32, sha256, sha512 и whirlpool. Инструментът може да провери няколко файлови атрибута, включително тип на файла, разрешения, Inode, Uid, Gid, име на връзката, размер, брой на блока, брой връзки, време, време и време. Той може също да поддържа атрибути на Posix ACL, SELinux, XAttrs и Extended file system. За простота, инструментът използва обикновени текстови конфигурационни файлове, както и обикновена текстова база данни. Една от най-интересните му характеристики е поддръжката на мощен редовен израз, който ви позволява избирателно да включвате или изключвате файлове и директории, които да бъдат наблюдавани. Само тази функция го прави много универсален и гъвкав инструмент.

Продуктът, който съществува от 1999 г., все още се развива активно, а най-новата версия (0.16.2) е само на няколко месеца. Той е достъпен под лиценза на GNU за обществено ползване и ще работи на повечето съвременни варианти на Linux.

7. Мониторинг на целостта на файловете Qualys

Мониторинг на целостта на файловете Qualys от гигант за сигурност Qualys е „облачно решение за откриване и идентифициране на критични промени, инциденти и рискове в резултат на нормални и злонамерени събития.“ Той идва с профили извън кутията, които се основават на най-добрите практики в отрасъла и на препоръчаните от доставчиците насоки за общи изисквания за съответствие и одит, включително PCI DSS.

Мониторинг на целостта на файловете Qualys открива промените ефективно в реално време, използвайки подобни подходи, използвани в антивирусните технологии. Известията за промяна могат да бъдат създадени за цели структури на директория или на ниво файл. Инструментът използва съществуващи сигнали на ядрото на ОС, за да идентифицира достъпа до файлове, вместо да разчита на изчисляващи интензивно подходи. Продуктът може да открие създаването или премахването на файлове или директории, преименуването на файлове или директории, промените във файловите атрибути, промени в настройките за защита на файл или директория като разрешения, собственост, наследяване и одит или промени в файлови данни, съхранени на диск.

Това е многостепенен продукт. Най- Облачен агент Qualys непрекъснато следи файловете и директории, посочени във вашия мониторинг профил и заснема критични данни към помогнете да идентифицирате какво се промени заедно с подробности за околната среда, като например кой потребител и кой процес е участвал в да се промени. След това изпраща данните до Облачна платформа Qualys за анализ и отчитане. Едно от предимствата на този подход е, че той работи същото независимо дали системите са локални, в облака или отдалечени.

Мониторингът на целостта на файловете може лесно да се активира на съществуващите Qualys Aмъжка тоалетнаи започнете да наблюдавате промените на местно ниво с минимално въздействие върху крайната точка. Най- Облачна платформа Qualys ви позволява лесно да мащабирате до най-големите среди. Въздействието върху производителността върху контролираните крайни точки е сведено до минимум чрез ефективно наблюдение за промените на файла на местно ниво и изпращане на данните до Облачна платформа Qualys където се извършва цялата тежка работа на анализа и корелацията. Колкото до Облачен агент Qualys, тя се самоосъвременява и самолекува, като се актуализира без нужда от рестартиране.