7 parasta tiedostojen eheyden seurantaohjelmistoa (katsaus 2020)

IT-turvallisuus on kuuma aihe. Uutiset ovat täynnä tarinoita tietoturvaloukkauksista, tietovarkauksista tai lunastusohjelmista. Jotkut väittävät, että nämä kaikki ovat vain merkkejä aikamme, mutta se ei muuta sitä tosiasiaa, että kun olet minkä tahansa IT - ympäristön ylläpitäminen, suojaaminen tällaisilta uhilta on tärkeä osa Job.

Tästä syystä tiedostojen eheyden seurannasta (FIM) on tullut melkein välttämätön työkalu kaikille organisaatioille. Sen päätarkoitus on varmistaa, että kaikki luvattomat tai odottamattomat tiedostojen muutokset tunnistetaan nopeasti. Se voi auttaa parantamaan yleistä tietoturvaa, mikä on tärkeä kaikille yrityksille ja jota ei pidä sivuuttaa.

Tänään aloitamme tutkimalla lyhyesti tiedostojen eheyden seurantaa. Teemme parhaamme selittääksemme yksinkertaisesti, mikä se on ja miten se toimii. Katsotaan myös, kenen pitäisi käyttää sitä. Ei todennäköisesti tule suurena yllätyksenä saadaksesi selville, että kuka tahansa voi hyötyä siitä, ja näemme miten ja miksi. Ja kun olemme kaikki samalla sivulla tiedostojen eheyden seurannasta, olemme valmiita hyppäämään tämän viestin ytimeen ja tarkastelemaan lyhyesti joitain markkinoiden parhaimmista työkaluista.

Mikä on tiedostojen eheyden seuranta?

Tiedostojen eheyden seuranta on ytimessä IT-tietoturvan hallintaprosessin avaintekijä. Sen taustalla oleva pääkonsepti on varmistaa, että tiedostojärjestelmään tehdyt muutokset otetaan huomioon ja että odottamattomat muutokset tunnistetaan nopeasti.

Vaikka jotkut järjestelmät tarjoavat tiedostojen eheyden seurannan reaaliajassa, niillä on taipumus olla suurempi vaikutus suorituskykyyn. Tästä syystä tilannekuviin perustuva järjestelmä on usein parempi. Se toimii ottamalla tilannekuvan tiedostojärjestelmästä säännöllisin väliajoin ja vertaamalla sitä edelliseen tai aiemmin vahvistettuun perustasoon. Riippumatta siitä, miten tunnistus toimii (reaaliaikainen tai ei), havaitut muutokset, jotka viittaavat jonkinlaiseen luvattomaan pääsyyn tai haitallisiin toimintoihin (kuten tietyn käyttäjän tai käyttäjäryhmän äkillinen muutos tiedostokoko tai käyttöoikeus) ja hälytys otetaan käyttöön ja / tai jokin muoto tai korjausprosessi on käynnistetty. Se voi vaihdella varoitusikkunan aukeamisesta alkuperäisen tiedoston palauttamiseen varmuuskopiosta tai uhanalaisen tiedoston pääsyn estämiseen.

Kuka on tiedostojen eheyden seuranta?

Nopea vastaus tähän kysymykseen on kenelle tahansa. Todellakin mikä tahansa organisaatio voi hyötyä tiedostojen eheyden valvontaohjelmiston käytöstä. Monet kuitenkin haluavat käyttää sitä, koska he ovat tilanteessa, jossa se on valtuutettu. Esimerkiksi tiedostojen eheyden valvontaohjelmisto on joko vaadittava tai osoitettu voimakkaasti tietyissä sääntelykehyksissä, kuten PCI DSS, Sarbanes-Oxley tai HIPAA. Tarkemmin sanottuna, jos olet finanssi- tai terveydenhuoltoalalla tai käsittelet maksukortteja, tiedostojen eheyden seuranta on enemmän vaatimus kuin vaihtoehto.

Samoin, vaikka se ei välttämättä ole pakollista, kaikkien arkaluontoisia tietoja käsittelevien organisaatioiden on syytä harkita voimakkaasti tiedostojen eheyden valvontaohjelmistoa. Tallennatko asiakastietoja tai liikesalaisuuksia, tämäntyyppisten työkalujen käytöllä on selvä etu. Se voisi pelastaa sinut kaikenlaisilta väärinkäytöksiltä.

Mutta tiedostojen eheyden seuranta ei ole vain suurille organisaatioille. Vaikka sekä suuret että keskisuuret yritykset ovat yleensä tietoisia tiedostojen eheyden valvontaohjelmiston tärkeydestä, myös pienten yritysten on varmasti otettava se huomioon. Tämä on erityisen totta, kun otat huomioon, että on olemassa tiedostojen eheyden seurannan työkaluja, jotka sopivat jokaiseen tarpeeseen ja budjettiin. Itse asiassa monet luettelossamme olevat työkalut ovat ilmaisia ​​ja avoimen lähdekoodin ohjelmia.

Paras tiedoston eheyden seurantaohjelmisto

On olemassa lukemattomia työkaluja, jotka tarjoavat tiedostojen eheyden seurannan. Jotkut heistä ovat omistettuja työkaluja, jotka periaatteessa eivät tee mitään muuta. Jotkut taas ovat laaja tietoturvaratkaisu, joka integroi tiedostojen eheyden seurannan muiden tietoturvaan liittyvien toimintojen kanssa. Olemme yrittäneet sisällyttää molempia työkaluja luetteloomme. Loppujen lopuksi tiedostojen eheyden seuranta on usein osa tietoturvan hallintaa, joka sisältää muita toimintoja. Miksi et siis hakeisi integroitua työkalua.

Monet verkko- ja järjestelmänvalvojat tuntevat sen SolarWinds. Loppujen lopuksi yritys on valmistanut joitain parhaista työkaluista noin kahdenkymmenen vuoden ajan. Sen lippulaiva, nimeltään SolarWinds-verkon suorituskyvyn näyttö pidetään yhtenä markkinoiden parhaista työkaluista. Ja jotta asiat olisivat vielä parempia, SolarWinds julkaisee myös ilmaisia ​​työkaluja, jotka kohdistuvat tiettyihin verkonhallintatehtäviin.

Sillä aikaa SolarWinds ei tee erityistä tiedostojen eheyden seurantatyökalua, sen tietoturvatietojen ja tapahtumien hallintaa (SIEM), SolarWinds-tietoturvatapahtumien hallintaohjelma, sisältää erittäin hyvän tiedostojen eheyden valvontamoduulin. Tämä tuote on ehdottomasti yksi markkinoiden parhaista lähtötason SIEM-järjestelmistä. Työkalussa on melkein kaikki mitä voitaisiin odottaa SIEM-työkalulta. Tähän sisältyy erinomainen lokinhallinta- ja korrelaatioominaisuudet, vaikuttava raportointimoottori ja tietysti tiedostojen eheyden seuranta.

ILMAINEN KOKEILU:SolarWinds-tietoturvatapahtumien hallintaohjelma

Virallinen latauslinkki:https://www.solarwinds.com/security-event-manager/registration

Kun kyse on tiedostojen eheyden seurannasta, SolarWinds-tietoturvatapahtumien hallintaohjelma voi näyttää, mitkä käyttäjät ovat vastuussa mistä tiedoston muutoksista. Se voi myös seurata käyttäjän lisätoimintoja, antamalla sinun luoda erilaisia ​​hälytyksiä ja raportteja. Työkalun kotisivun sivupalkki voi näyttää, kuinka monta muutostapahtumaa on tapahtunut Muutosten hallinta -otsikon alla. Aina kun jokin näyttää epäilyttävältä ja haluat kaivaa syvemmälle, sinulla on mahdollisuus suodattaa tapahtumia avainsanan perusteella.

Työkalulla on myös erinomaiset tapahtumavastausominaisuudet, jotka eivät jätä mitään toivomisen varaa. Esimerkiksi yksityiskohtainen reaaliaikainen reagointijärjestelmä reagoi aktiivisesti kaikkiin uhkiin. Ja koska se perustuu käyttäytymiseen kuin allekirjoitukseen, olet suojattu tuntemattomilta tai tulevaisuuden uhilta ja nollapäivän hyökkäyksiltä.

Vaikuttavan ominaisuusjoukon lisäksi SolarWinds-tietoturvatapahtumien hallintaohjelmaKojelauta on ehdottomasti keskustelun arvoinen. Yksinkertaisen suunnittelunsa ansiosta sinulla ei ole vaikeuksia löytää työkalu ympäri ja tunnistaa poikkeavuudet nopeasti. Alkaen noin 4 500 dollarista, työkalu on enemmän kuin edullinen. Ja jos haluat kokeilla sitä ja nähdä miten se toimii ympäristössäsi, ilmainen täysin toimiva 30 päivän kokeiluversio on ladattavissa.

Virallinen latauslinkki:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, joka on Open Source Security, yksi tunnetuimmista avoimen lähdekoodin isäntäpohjaisista tunkeutumisen havaitsemisjärjestelmistä. Tuotteen omistaa Trend Micro, yksi IT-tietoturvan johtavista nimistä ja yhden parhaimmista virussuojaussovellusten valmistaja. Ja jos tuote on tässä luettelossa, voit olla varma, että sillä on myös erittäin kunnollinen tiedostojen eheyden valvontatoiminto.

Asennettuna Linux- tai Mac OS -käyttöjärjestelmiin ohjelmisto keskittyy ensisijaisesti loki- ja määritystiedostoihin. Se luo tarkistussummia tärkeistä tiedostoista ja vahvistaa ne säännöllisin väliajoin, varoittaen sinua, kun tapahtuu jotain outoa. Se myös tarkkailee ja hälyttää kaikista epänormaalista yrityksestä päästä juureen. Windows-isäntälaitteissa järjestelmä pitää myös silmällä luvattomia rekisterimuutoksia, jotka voivat olla ilmaisun merkki haitallisesta toiminnasta.

Kun kyse on tiedostojen eheyden seurannasta, OSSEC on erityinen toiminnallisuus nimeltään Syscheck. Työkalu toimii oletuksena joka kuusi tuntia ja se tarkistaa muutokset avaintiedostojen tarkistussummiin. Moduuli on suunniteltu vähentämään prosessorin käyttöä, mikä tekee siitä potentiaalisesti hyvän vaihtoehdon organisaatioille, jotka tarvitsevat tiedostojen eheyden hallintaratkaisun, jolla on pieni jalanjälki.

Koska se on isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä, OSSEC on asennettava jokaiseen suojattavaan tietokoneeseen (tai palvelimeen). Tämä on tällaisten järjestelmien päähaitta. Käytettävissä on kuitenkin keskitetty konsoli, joka yhdistää tiedot jokaisesta suojatusta tietokoneesta hallinnan helpottamiseksi. Että OSSEC konsoli toimii vain Linux- tai Mac OS -käyttöjärjestelmissä. Agentti on kuitenkin saatavana Windows-koneiden suojaamiseksi. Mahdolliset havainnot laukaisevat hälytyksen, joka näkyy keskitetyssä konsolissa, kun taas ilmoitukset lähetetään myös sähköpostitse.

3. Samhain-tiedostojen eheys

Samhain on ilmainen isäntien tunkeutumisen tunnistusjärjestelmä, joka tarjoaa tiedostojen eheyden tarkistamisen ja lokitiedostojen seurannan / analyysin. Lisäksi tuote suorittaa myös rootkit-tunnistuksen, porttiseurannan, epärehellisten SUID-suoritettavien tiedostojen havaitsemisen ja piilotetut prosessit. Tämä työkalu on suunniteltu tarkkailemaan useita järjestelmiä, joissa on erilaisia ​​käyttöjärjestelmiä keskitetyllä lokitiedolla ja ylläpidolla. Kuitenkin, Samhain voidaan käyttää myös erillisenä sovelluksena yhdessä tietokoneessa. Työkalu voi toimia POSIX-järjestelmissä kuten unix, Linux tai mac OS. Se voi myös ajaa Windows alla cygwin vaikka vain seuranta-agentti eikä palvelin on testattu siinä kokoonpanossa.

Linux-koneissa, Samhain voi hyödyntää inotify-mekanismia tiedostojärjestelmän tapahtumien seuraamiseen. Reaaliaikainen Tämän avulla voit vastaanottaa välittömiä ilmoituksia muutoksista ja poistaa tarpeen toistuvista tiedostojärjestelmätarkistuksista, jotka voivat aiheuttaa suuren I / O-kuormituksen. Lisäksi voidaan tarkistaa erilaisia ​​tarkistussummia, kuten TIGER192, SHA-256, SHA-1 tai MD5. Tiedoston koko, tila / lupa, omistaja, ryhmä, aikaleima (luominen / muokkaaminen / käyttö), inode, kovien linkkien lukumäärä ja symbolisten linkkien linkitetty polku voidaan myös tarkistaa. Työkalu voi jopa tarkistaa "eksoottisempia" ominaisuuksia, kuten SELinux-määrite, POSIX ACL (järjestelmissä niitä tukemalla), Linux ext2-tiedostomääritteet (kuten chattr asettaa, kuten muuttumattoman lipun), ja BSD tiedostojen liput.

Yksi SamhainAinutlaatuinen ominaisuus on sen varkaustila, jonka avulla se voidaan ajaa ilman, että mahdolliset hyökkääjät havaitsevat sitä. Liian usein tunkeilijat tappavat tunnistamansa havaitsemisprosessit, jolloin he voivat jäädä huomaamatta. Tämä työkalu käyttää steganografiatekniikoita piilottaakseen prosessinsa muilta. Se suojaa myös keskuslokitiedostot ja kokoonpanovarmuuskopiot PGP-avaimella peukaloinnin estämiseksi. Kaiken kaikkiaan tämä on erittäin kattava työkalu, joka tarjoaa paljon muutakin kuin vain tiedostojen eheyden seurannan.

4. Tripwire-tiedoston eheydenhallinta

Seuraava on ratkaisu Ansalanka, yritys, jolla on vankka maine IT-tietoturvassa. Ja kun kyse on tiedostojen eheyden seurannasta, Tripwire-tiedoston eheys MANAGER (FIM) on ainutlaatuinen kyky vähentää melua tarjoamalla useita tapoja kitkeä alhaisen riskin muutokset korkean riskin muutoksista arvioitaessa, priorisoimalla ja sovittamalla havaitut muutokset. Mainostamalla useita tavalliseen tapaan tapahtuvia muutoksia työkalu vähentää melua, joten sinulla on enemmän aikaa tutkia muutoksia, jotka voivat todella vaikuttaa turvallisuuteen ja aiheuttaa riskejä. Ansalanka FIM käyttää agentteja jatkuvasti kaappaamaan kokonaista ketä, mitä ja milloin yksityiskohdat reaaliajassa. Tämä auttaa varmistamaan, että havaitset kaikki muutokset, sieppaat kunkin tiedot ja käytät näitä tietoja turvallisuusriskin tai noudattamatta jättämisen määrittämiseen.

Ansalanka antaa sinulle kyvyn integroitua Tiedostojen eheyden hallinta monilla tietoturvakontrolleilla: suojauskonfiguraation hallinta (SCM), lokin hallinta ja SIEM-työkalut. Tripwire FIM lisää komponentit, jotka merkitsevät ja hallitsevat näiden hallintalaitteiden tietoja intuitiivisemmin ja tavalla, joka suojaa tietoja paremmin. Esimerkiksi Tapahtumien integrointikehys (EIF) lisää arvokkaita muutostietoja verkkotunnuksesta Tiedostojen eheyden hallinta että Tripwire-lokikeskus tai melkein mikä tahansa muu SIEM. Kanssa EIF ja muut perustavat Ansalanka tietoturvaohjeet, voit hallita IT-infrastruktuurin turvallisuutta helposti ja tehokkaasti.

Ansalanka Tiedostojen eheyden hallinta käyttää automaatiota havaitsemaan kaikki muutokset ja korjaamaan muutokset, jotka poistavat kokoonpanon käytännöstä. Se voi integroitua olemassa oleviin muutoslippuihin, kuten BMC-hoito, HP: n huoltokeskus tai Palvella nyt, joka mahdollistaa nopean tarkastuksen. Tämä varmistaa myös jäljitettävyyden. Lisäksi automatisoidut hälytykset laukaisevat käyttäjän mukauttamat vastaukset, kun yksi tai useampi muutos saavuttaa vakavuusrajan, jota yksi muutos yksinään ei aiheuta. Esimerkiksi pieni sisältömuutos, johon liittyy luvanmuutos, joka tehtiin suunnitellun muutosikkunan ulkopuolella.

5. AFICK (toinen tiedoston eheyden tarkistus)

Seuraava on kehittäjän Eric Gerbierin avoimen lähdekoodin työkalu nimeltään AFICK (toinen tiedoston eheyden tarkistus). Vaikka työkalu väittää tarjoavansa samanlaisia ​​toimintoja kuin Tripwire, se on paljon raakatuotetta, paljon perinteisten avoimen lähdekoodin ohjelmistojen rinnalla. Työkalu voi tarkkailla mitä tahansa muutoksia katselemissa tiedostojärjestelmissä. Se tukee useita alustoja, kuten Linux (SUSE, Redhat, Debian ja muut), Windows, HP Tru64 Unix, HP-UX ja AIX. Ohjelmisto on suunniteltu nopeaksi ja kannettavaksi ja se voi toimia missä tahansa tietokoneessa, joka tukee Perlia ja sen vakiomoduuleja.

Mitä tulee AFICKToiminnallisuus, tässä on yleiskatsaus sen pääominaisuuksista. Työkalu on helppo asentaa, eikä se vaadi kokoamista tai monien riippuvuuksien asentamista. Se on myös nopea työkalu, osittain pienen koon takia. Pienestä koostaan ​​huolimatta se näyttää uusia, poistettuja ja muokattuja tiedostoja samoin kuin kaikki roikkuvat linkit. Se käyttää yksinkertaista tekstipohjaista määritystiedostoa, joka tukee poikkeuksia ja jokereita, ja käyttää syntaksia, joka on hyvin samanlainen kuin Tripwiren tai Aiden. Sekä Tk-pohjainen graafinen käyttöliittymä että webmin-pohjainen verkkokäyttöliittymä ovat käytettävissä, jos haluat mieluummin olla poissa komentorivityökalusta.

AFICK (toinen tiedoston eheyden tarkistus) on kirjoitettu kokonaan Perlissä siirrettävyyttä ja lähdeoikeuksia varten. Ja koska se on avoimen lähdekoodin julkaisu (julkaistu GNU General Public License -lisenssillä), voit lisätä siihen toiminnallisuutta haluamallasi tavalla. Työkalu käyttää MD5: tä tarkistussummatarpeisiinsa, koska se on nopea ja se on rakennettu kaikkiin Perl-jakeluihin, ja selkeän tekstitietokannan sijaan käytetään dbm: tä.

6. AIDE (kehittynyt tunkeutumisen havaitsemisympäristö)

Huolimatta melko harhaanjohtavasta nimestä AIDE (kehittynyt tunkeutumisen havaitsemisympäristö) on oikeastaan ​​tiedostojen ja hakemistojen eheyden tarkistaja. Se toimii luomalla tietokannan säännöllisistä lausekkeen säännöistä, jotka se löytää määritystiedostosta. Kun tietokanta on alustettu, se käyttää sitä tiedostojen eheyden tarkistamiseen. Työkalu käyttää useita sanomaleikkausalgoritmeja, joita voidaan käyttää tiedostojen eheyden tarkistamiseen. Lisäksi kaikki tavalliset tiedostoominaisuudet voidaan tarkistaa epäjohdonmukaisuuksien varalta. Se voi myös lukea vanhojen tai uudempien versioiden tietokantoja.

Feature-viisasta, AVUSTAJA on arvioija valmis. Se tukee useita viestihakemistoalgoritmeja, kuten md5, sha1, rmd160, tiikeri, crc32, sha256, sha512 ja poreallas. Työkalu voi tarkistaa useita tiedostoominaisuuksia, kuten tiedostotyyppi, käyttöoikeudet, sisääntulo, käyttökerta, kansiot, linkin nimi, koko, lohkojen lukumäärä, linkkien lukumäärä, Mtime, Ctime ja Atime. Se voi myös tukea Posix ACL-, SELinux-, XAttrs- ja Extended File System -määritteitä. Yksinkertaisuuden vuoksi työkalu käyttää tavallisen tekstin määritystiedostoja sekä pelkkää tekstiä sisältävää tietokantaa. Yksi mielenkiintoisimmista ominaisuuksista on sen tukeminen tehokkaalla säännöllisellä ilmaisulla, jonka avulla voit valinnaisesti sisällyttää tai sulkea pois tarkkailtavia tiedostoja ja hakemistoja. Pelkästään tämä ominaisuus tekee siitä erittäin monipuolisen ja joustavan työkalun.

Vuodesta 1999 lähtien ollut tuote on edelleen aktiivisesti kehitetty ja uusin versio (0.16.2) on vain muutaman kuukauden vanha. Se on saatavana GNU: n yleisölisenssillä ja se toimii uusimmissa Linux-versioissa.

7. Qualys-tiedoston eheyden seuranta

Qualys-tiedoston eheyden seuranta turvallisuusjättilältä Qualys on pilviratkaisu normaalien ja haitallisten tapahtumien aiheuttamien kriittisten muutosten, tapahtumien ja riskien havaitsemiseksi ja tunnistamiseksi. " Se tulee mukana out-of-the-box-profiilit, jotka perustuvat alan parhaisiin käytäntöihin ja myyjän suosittelemiin suuntaviivoihin yhteisiä vaatimustenmukaisuus- ja tarkastusvaatimuksia varten, mukaan lukien PCI DSS.

Qualys-tiedoston eheyden seuranta havaitsee muutokset tehokkaasti reaaliajassa käyttämällä virustorjuntateknologioissa käytettyjä samanlaisia ​​lähestymistapoja. Muutosilmoitukset voidaan luoda koko hakemistorakenteelle tai tiedostotasolle. Työkalu käyttää olemassa olevia käyttöjärjestelmän ytimen signaaleja tunnistettujen tiedostojen tunnistamiseen sen sijaan, että luottaisi laskentaintensiivisiin lähestymistapoihin. Tuote voi havaita tiedostojen tai hakemistojen luomisen tai poistamisen, tiedostojen tai hakemistojen uudelleennimeämisen, muutokset tiedostoominaisuuksissa, muutokset tiedostojen tai hakemistojen suojausasetuksiin, kuten käyttöoikeudet, omistajuus, perintö ja tarkastus tai muutokset tiedostoihin, jotka on tallennettu levy.

Se on monitasoinen tuote. Qualys Cloud Agent tarkkailee jatkuvasti seurantaprofiilissasi määritettyjä tiedostoja ja hakemistoja ja sieppaa kriittiset tiedot auttaa tunnistamaan, mikä muuttui ympäristötietojen mukana, kuten mikä käyttäjä ja mikä prosessi oli mukana muuttaa. Sitten se lähettää tiedot Qualys Cloud Platform analysointia ja raportointia varten. Yksi tämän lähestymistavan eduista on, että se toimii samalla tavalla, ovatko järjestelmät paikan päällä, pilvissä tai kauko-ohjauksessa.

Tiedostojen eheyden seuranta voidaan helposti aktivoida olemassa olevassa Qualys Amiestenhuone, ja aloita muutosten seuranta paikallisesti niin, että vaikutus loppupisteeseen on vähäinen. Qualys Cloud Platform antaa sinun skaalata helposti suuriin ympäristöihin. Suorituskyvyn vaikutus valvottuihin päätepisteisiin minimoidaan seuraamalla tehokkaasti tiedostojen muutoksia paikallisesti ja lähettämällä tiedot Qualys Cloud Platform missä tapahtuu kaikki raskas analysointi ja korrelaatio. Mitä tulee Qualys Cloud Agent, se on itsensä päivittäminen ja itsensä parantaminen, pitäen itsensä ajan tasalla ilman tarvetta käynnistää uudelleen.