7 Bedste software til overvågning af filintegritet (gennemgang af 2020)

IT-sikkerhed er et varmt emne. Nyheden er spækket med historier om sikkerhedsbrud, tyveri af data eller ransomware. Nogle vil hævde, at alle disse blot er et tegn på vores tid, men det ændrer ikke det faktum, at når du er har til opgave at opretholde enhver form for it-miljø, beskytte mod sådanne trusler er en vigtig del af job.

Af den grund er FIM (Software Integrity Monitoring) software næsten blevet et uundværligt værktøj for enhver organisation. Dets primære formål er at sikre, at enhver uautoriseret eller uventet filændring hurtigt identificeres. Det kan hjælpe med at forbedre den generelle datasikkerhed, som er vigtig for enhver virksomhed og ikke bør ignoreres.

I dag starter vi med at kigge kort på File Integrity Monitoring. Vi gør vores bedste for at forklare enkle ord, hvad det er, og hvordan det fungerer. Vi skal også se, hvem der skal bruge det. Det vil sandsynligvis ikke komme som en stor overraskelse at finde ud af, at nogen kan drage fordel af det, og vi får se, hvordan og hvorfor. Og når vi alle sammen er på den samme side om overvågning af filintegritet, er vi klar til at hoppe ind i kernen i dette indlæg og kort gennemgå nogle af de bedste værktøjer, som markedet har at tilbyde.

Hvad er filintegritetsovervågning?

I sin kerne er overvågning af filintegritet et nøgleelement i en IT-sikkerhedsadministrationsproces. Hovedkonceptet bag det er at sikre, at der redegøres for enhver ændring af et filsystem, og at enhver uventet ændring hurtigt identificeres.

Mens nogle systemer tilbyder filintegritetsovervågning i realtid, har det en tendens til at have en større indflydelse på ydeevnen. Af den grund foretrækkes ofte et snapshot-baseret system. Det fungerer ved at tage et snapshot af et filsystem med regelmæssige intervaller og sammenligne det med det forrige eller med en tidligere etableret baseline. Ligegyldigt hvordan opdagelsen fungerer (realtid eller ej), en detekteret ændring, der antyder en slags uautoriseret adgang eller ondsindet aktivitet (såsom en pludselig ændring i filstørrelse eller adgang fra en bestemt bruger eller gruppe af brugere) og alarmer hæves, og / eller en eller anden form eller afhjælpningsproces er lanceret. Det kan variere fra at åbne et alarmvindue til at gendanne den originale fil fra en sikkerhedskopi eller blokere adgangen til den truede fil.

Hvem er filintegritetsovervågning til?

Det hurtige svar på dette spørgsmål er nogen. Virkelig, enhver organisation kan drage fordel af at bruge File Integrity Monitoring-software. Mange vil imidlertid vælge at bruge det, fordi de er i en situation, hvor det er mandat. F.eks. Er filintegritetsovervågningssoftware enten påkrævet eller stærkt angivet af visse regulatoriske rammer, såsom PCI DSS, Sarbanes-Oxley eller HIPAA. Konkret, hvis du er inden for finans- eller sundhedsområdet, eller hvis du behandler betalingskort, er filintegritetsovervågning mere et krav end en mulighed.

Ligeledes, selvom det måske ikke er obligatorisk, bør enhver organisation, der beskæftiger sig med følsomme oplysninger, overveje File Integrity Monitoring-software stærkt. Uanset om du gemmer klientdata eller forretningshemmeligheder, er der en åbenlys fordel ved at bruge disse typer værktøjer. Det kan spare dig for alle slags uheld.

Men overvågning af filintegritet er ikke kun for store organisationer. Selvom både store virksomheder og mellemstore virksomheder har en tendens til at være opmærksomme på vigtigheden af ​​File Integrity Monitoring-software, bør små virksomheder bestemt overveje det også. Dette gælder især, når du tager højde for, at der er filintegritetsovervågningsværktøjer, der passer til ethvert behov og ethvert budget. Faktisk er flere værktøjer på vores liste gratis og open source.

Den bedste filintegritetsovervågningssoftware

Der er utallige værktøjer, der tilbyder File Integrity Monitoring-funktionalitet. Nogle af dem er dedikerede værktøjer, der dybest set ikke gør andet. Nogle på den anden side er en bred IT-sikkerhedsløsning, der integrerer File Integrity Monitoring sammen med anden sikkerhedsrelateret funktionalitet. Vi har forsøgt at indarbejde begge slags værktøjer på vores liste. Når alt kommer til alt er overvågning af filintegritet ofte en del af en IT-sikkerhedsadministrationsindsats, der inkluderer andre funktioner. Hvorfor ikke gå efter et integreret værktøj, da.

Mange netværks- og systemadministratorer er bekendt med SolarWinds. Når alt kommer til alt har virksomheden lavet nogle af de bedste værktøjer i cirka tyve år. Dets flagskibsprodukt, kaldet SolarWinds Network Performance Monitor betragtes som et af de bedste sådanne værktøjer på markedet. Og for at gøre tingene endnu bedre, SolarWinds udgiver også gratis værktøjer, der adresserer nogle specifikke netværksadministrationsopgaver.

Mens SolarWinds laver ikke et dedikeret værktøj til overvågning af filintegritet, dets SIEM-værktøj (Security Information and Event Management), the SolarWinds Security Event Manager, inkluderer et meget godt overvågningsmodul for filintegritet. Dette produkt er bestemt et af de bedste entry-level SIEM-systemer på markedet. Værktøjet har næsten alt, hvad man kunne forvente af et SIEM-værktøj. Dette inkluderer fremragende loghåndtering og korrelationsfunktioner såvel som en imponerende rapporteringsmotor og selvfølgelig filintegritetsovervågning.

GRATIS PRØVEVERSION:SolarWinds Security Event Manager

Officielt downloadlink:https://www.solarwinds.com/security-event-manager/registration

Når det kommer til overvågning af filintegritet, SolarWinds Security Event Manager kan vise, hvilke brugere der er ansvarlige for hvilke filændringer. Det kan også spore yderligere brugeraktiviteter, så du kan oprette forskellige advarsler og rapporter. Værktøjets sidepanel på hjemmesiden kan vise, hvor mange ændringshændelser der har fundet sted under overskriften Management management. Hver gang noget ser mistænksom ud, og du vil grave dybere, har du muligheden for at filtrere begivenheder efter nøgleord.

Værktøjet kan også prale af fremragende begivenhedsresponsfunktioner, som ikke efterlader noget at ønske. For eksempel vil det detaljerede reaktionssystem i realtid reagere aktivt på enhver trussel. Og da det er baseret på opførsel snarere end underskrift, er du beskyttet mod ukendte eller fremtidige trusler og angreb på nul dage.

Foruden et imponerende featuresæt, SolarWinds Security Event Manager'S instrumentbræt er bestemt værd at diskutere. Med det enkle design har du ingen problemer med at finde dig rundt i værktøjet og hurtigt identificere afvigelser. Fra ca. $ 50000, er værktøjet mere end overkommelig. Og hvis du vil prøve det og se, hvordan det fungerer i dit miljø, er en gratis fuldt funktionel 30-dages prøveversion tilgængelig til download.

Officielt downloadlink:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, der står for Open Source Security, et af de bedst kendte open source host-baserede intrusionsdetekteringssystem. Produktet ejes af Trend Micro, et af de førende navne inden for IT-sikkerhed og producent af en af ​​de bedste virusbeskyttelses suiter. Og hvis produktet er på denne liste, kan du være sikker på, at det også har en meget anstændig overvågningsfunktion for filintegritet.

Når den er installeret på Linux- eller Mac OS-operativsystemer, fokuserer softwaren primært på log- og konfigurationsfiler. Det opretter kontrolsummer af vigtige filer og validerer dem med jævne mellemrum og advarer dig, når der sker noget underligt. Det vil også overvåge og advare om ethvert unormalt forsøg på at få rodadgang. På Windows-værter holder systemet også øje med uautoriserede registreringsdatabaseændringer, der kan være et fortællende tegn på ondsindet aktivitet.

Når det kommer til overvågning af filintegritet, OSSEC har en bestemt funktionalitet kaldet Syscheck. Værktøjet kører hver sjette time som standard, og det tjekker for ændringer i kontrolsummen for nøglefiler. Modulet er designet til at reducere CPU-brug, hvilket gør det til en potentielt god mulighed for organisationer, der kræver en filintegritetstyringsløsning med et lille fodaftryk.

I kraft af at være et værtsbaseret system til detektion af indtrængen, OSSEC skal installeres på hver computer (eller server), du vil beskytte. Dette er den største ulempe ved sådanne systemer. En centraliseret konsol er imidlertid tilgængelig, som konsoliderer information fra hver beskyttet computer for lettere administration. At OSSEC konsol kører kun på Linux- eller Mac OS-operativsystemer. En agent er dog tilgængelig til at beskytte Windows-værter. Enhver detektion udløser en alarm, der vises på den centraliserede konsol, mens underretninger også sendes via e-mail.

3. Samhain filintegritet

Samhain er et gratis host-intrusionsdetekteringssystem, der giver filintegritetskontrol og logfilovervågning / -analyse. Derudover udfører produktet også rootkit-detektion, portovervågning, detektion af slyngelige SUID-eksekverbare computere og skjulte processer. Dette værktøj er designet til at overvåge flere systemer med forskellige operativsystemer med centraliseret logning og vedligeholdelse. Imidlertid, Samhain kan også bruges som et selvstændigt program på en enkelt computer. Værktøjet kan køre på POSIX-systemer som Unix, Linux eller Mac OS. Det kan også køre på vinduer under Cygwin skønt kun overvågningsagenten og ikke serveren er testet i denne konfiguration.

På Linux-værter, Samhain kan udnytte inotify-mekanismen til at overvåge hændelser i filsystemet. I realtid Dette giver dig mulighed for at modtage øjeblikkelige underretninger om ændringer og fjerner behovet for hyppige filsystem scanninger, der kan forårsage en høj I / O-belastning. Derudover kan forskellige kontrolsum kontrolleres, såsom TIGER192, SHA-256, SHA-1 eller MD5. Filstørrelse, tilstand / tilladelse, ejer, gruppe, tidsstempel (oprettelse / ændring / adgang), inode, antal hårde links og linkede sti af symboliske links kan også kontrolleres. Værktøjet kan endda kontrollere flere "eksotiske" egenskaber, såsom SELinux-attributter, POSIX ACL'er (på systemer) understøtter dem), Linux ext2-filattributter (som indstillet af chattr såsom det uforanderlige flag) og BSD arkivflager.

En af SamhainDen unikke egenskab er dens stealth-tilstand, der giver den mulighed for at køre uden at blive opdaget af eventuelle angribere. Alt for ofte dræber indtrængende detektionsprocesser, de genkender, hvilket tillader dem at gå ubemærket hen. Dette værktøj bruger steganografiteknikker til at skjule dets processer for andre. Det beskytter også sine centrale logfiler og konfigurationssikkerhedskopier med en PGP-nøgle for at forhindre manipulation. Alt i alt er dette et meget komplet værktøj, der tilbyder meget mere end blot overvågning af filintegritet.

4. Tripwire File Integrity Manager

Næste er en løsning fra Tripwire, et firma, der har et solidt omdømme inden for it-sikkerhed. Og når det kommer til overvågning af filintegritet, Tripwire filintegritet Manager (FIM) har en unik evne til at reducere støj ved at tilvejebringe flere måder til at udslette ændringer med lav risiko fra ændringer med høj risiko, mens de vurderer, prioriterer og afstemmer detekterede ændringer. Ved automatisk at promovere adskillige forretningsændringer som sædvanligt ændrer værktøjet støj, så du har mere tid til at undersøge ændringer, der virkelig kan påvirke sikkerheden og indføre risiko. Tripwire FIM bruger agenter til løbende at fange komplette hvem, hvad og hvornår detaljer i realtid. Dette hjælper med at sikre, at du registrerer alle ændringer, fanger detaljer om hver enkelt og bruger disse detaljer til at bestemme sikkerhedsrisikoen eller manglende overholdelse.

Tripwire giver dig muligheden for at integrere File Integrity Manager med mange af dine sikkerhedskontroller: sikkerhedskonfigurationsstyring (SCM), logstyring og SIEM-værktøjer. Tripwire FIM tilføjer komponenter, der mærker og administrerer dataene fra disse kontroller mere intuitivt og på måder, der bedre beskytter data. F.eks Begivenhedsintegrationsramme (EIF) tilføjer værdifulde ændringsdata fra File Integrity Manager til Tripwire Log Center eller næsten ethvert andet SIEM. Med EIF og andre grundlæggende Tripwire sikkerhedskontroller, kan du nemt og effektivt administrere sikkerheden i din IT-infrastruktur.

Tripwire File Integrity Manager bruger automatisering til at registrere alle ændringer og til at afhjælpe dem, der tager en konfiguration ud af politikken. Det kan integreres med eksisterende skiftetilmeldingssystemer som BMC-afhjælpning, HP Servicecenter eller Service nu, der giver mulighed for hurtig revision. Dette sikrer også sporbarhed. Derudover udløser automatiske alarmer brugertilpassede svar, når en eller flere specifikke ændringer når en sværhedsgrænse, som en ændring alene ikke ville medføre. F.eks. En mindre indholdsændring ledsaget af en tilladelsesændring, der blev udført uden for et planlagt ændringsvindue.

5. AFICK (En anden filintegritetschecker)

Dernæst kaldes et open source-værktøj fra udvikler Eric Gerbier AFICK (En anden filintegritetschecker). Selvom værktøjet hævder at tilbyde en lignende funktionalitet som Tripwire, er det et meget kortere produkt, meget inden for traditionel open source-software. Værktøjet kan overvåge ændringer i filsystemerne, det ser på. Det understøtter flere platforme som Linux (SUSE, Redhat, Debian og mere), Windows, HP Tru64 Unix, HP-UX og AIX. Softwaren er designet til at være hurtig og bærbar, og den kan arbejde på enhver computer, der understøtter Perl og dens standardmoduler.

hvad angår AFICKFunktionalitet, her er en oversigt over dens vigtigste funktioner. Værktøjet er let at installere og kræver ingen kompilering eller installation af mange afhængigheder. Det er også et hurtigt værktøj, delvis på grund af dets lille størrelse. På trods af sin lille størrelse vil det vise nye, slettede og ændrede filer samt eventuelle dinglende links. Den bruger en simpel tekstbaseret konfigurationsfil, der understøtter undtagelser og jokere og bruger en syntaks, der ligner meget Tripwires eller Aide's. Både en Tk-baseret grafisk brugergrænseflade og en webmin-baseret webgrænseflade er tilgængelige, hvis du hellere vil holde dig væk fra et kommandolinjeværktøj.

AFICK (En anden filintegritetschecker) er helt skrevet i Perl til portabilitet og kildeadgang. Og da det er open source (frigivet under GNU General Public License), er du fri til at tilføje funktionalitet til den, som du finder passende. Værktøjet bruger MD5 til dets kontrolsumbehov, da det er hurtigt, og det er indbygget i alle Perl-distributioner og i stedet for at bruge en klar tekstdatabase, anvendes dbm.

6. AIDE (Avanceret indtrædelsesdetektionsmiljø)

På trods af et ret vildledende navn, AIDE (Avanceret indtrædelsesdetektionsmiljø) er faktisk en fil- og katalogintegritetschecker. Det fungerer ved at oprette en database fra de regulære ekspressionsregler, den finder fra dens konfigurationsfil. Når databasen er initialiseret, bruger den den til at verificere filernes integritet. Værktøjet bruger adskillige fordøjelsesalgoritmer, der kan bruges til at kontrollere filernes integritet. Desuden kan alle de sædvanlige filattributter kontrolleres for uoverensstemmelser. Det kan også læse databaser fra ældre eller nyere versioner.

Feature-kloge, AIDE er rater komplet. Det understøtter algoritmer til fordøjelse af flere meddelelser, såsom md5, sha1, rmd160, tiger, crc32, sha256, sha512 og whirlpool. Værktøjet kan kontrollere flere filattributter inklusive Filtype, Tilladelser, Inode, Uid, Gid, Linknavn, Størrelse, Blokertælling, Antal links, Mtime, Ctime og Atime. Det kan også understøtte Posix ACL-, SELinux-, XAttr- og Extensions-filsystemattributter. Af enkeltheds skyld bruger værktøjet almindelige tekstkonfigurationsfiler samt en almindelig tekstdatabase. En af dens mest interessante funktioner er dens understøttelse af magtfulde regelmæssige udtryk, der giver dig mulighed for selektivt at inkludere eller ekskludere filer og mapper, der skal overvåges. Denne funktion alene gør det til et meget alsidigt og fleksibelt værktøj.

Produktet, der har eksisteret siden 1999, er stadig aktivt udviklet, og den seneste version (0.16.2) er kun et par måneder gammel. Det er tilgængeligt under GNUs generelle offentlige licens, og det kører på de fleste moderne varianter af Linux.

7. Qualys File Integrity Monitoring

Qualys File Integrity Monitoring fra sikkerhedsgigant Qualys er en "cloud-løsning til at opdage og identificere kritiske ændringer, hændelser og risici som følge af normale og ondsindede begivenheder." Det kommer med out-the-box profiler, der er baseret på branchens bedste praksis og på leverandør anbefalede retningslinjer for fælles overholdelses- og revisionskrav, inklusive PCI DSS.

Qualys File Integrity Monitoring registrerer ændringer effektivt i realtid ved hjælp af lignende fremgangsmåder, der bruges i antivirus-teknologier. Ændringsmeddelelser kan oprettes for hele katalogstrukturer eller på filniveau. Værktøjet bruger eksisterende OS-kernelsignaler til at identificere tilgængelige filer i stedet for at stole på computerintensive tilgange. Produktet kan registrere oprettelse eller fjernelse af filer eller mapper, omdøbning af filer eller mapper, ændringer til filattributter, ændringer i fil- eller katalogsikkerhedsindstillinger såsom tilladelser, ejerskab, arv og revision eller ændringer til fildata, der er gemt på disk.

Det er et flerlags produkt. Det Qualys Cloud Agent overvåger kontinuerligt de filer og mapper, der er angivet i din overvågningsprofil, og den indfanger kritiske data til hjælpe med at identificere, hvad der ændrede sig sammen med miljøoplysninger, som hvilken bruger og hvilken proces der var involveret i lave om. Den sender derefter dataene til Qualys Cloud Platform til analyse og rapportering. En af fordelene ved denne fremgangsmåde er, at den fungerer ens, uanset om systemerne er lokale, i skyen eller fjerntliggende.

Filintegritetsovervågning kan let aktiveres på din eksisterende Qualys Aherretoilettet, og start overvågning for ændringer lokalt med minimal påvirkning af slutpunktet. Det Qualys Cloud Platform giver dig mulighed for nemt at skalere til de største miljøer. Effektpåvirkning på de overvågede slutpunkter minimeres ved effektiv overvågning af filændringer lokalt og sender dataene til Qualys Cloud Platform hvor alt det tunge arbejde med analyse og korrelation forekommer. hvad angår Qualys Cloud Agent, det er selvopdaterende og selvhelende, og holder sig ajour uden behov for at genstarte.