7 legjobb fájl integritásfigyelő szoftver (2020-as áttekintés)

Az informatikai biztonság forró téma. A hír tele van történetekkel a biztonsági megsértésekről, adatlopásokról vagy ransomware-ről. Néhányan azt állítják, hogy mindez egyszerűen a korunk jele, de ez nem változtatja meg azt a tényt, hogy amikor bármilyen informatikai környezet fenntartásával, az ilyen fenyegetésekkel szembeni védelem fontos része a munka.

Ezért a File Integrity Monitoring (FIM) szoftver szinte nélkülözhetetlen eszközzé vált minden szervezet számára. Elsődleges célja annak biztosítása, hogy a jogosulatlan vagy váratlan fájlváltozás gyorsan azonosításra kerüljön. Ez hozzájárulhat az általános adatbiztonság javításához, ami minden vállalkozás számára fontos, és ezt nem szabad figyelmen kívül hagyni.

Ma kezdjük azzal, hogy röviden áttekintjük a fájl integritásának figyelését. Mindent megteszünk annak érdekében, hogy egyszerűen megmagyarázza, mi ez és hogyan működik. Megvizsgáljuk azt is, hogy ki használja ezt. Valószínűleg nem lesz nagy meglepetés, ha megtudja, hogy bárki profitálhat belőle, és meglátjuk, hogyan és miért. És ha egyszer ugyanazon az oldalon dolgozunk a fájl integritásának megfigyeléséről, készen állunk arra, hogy bemegyünk a bejegyzés középpontjába, és röviden áttekintjük a piac által kínált legjobb eszközöket.

Mi a fájl integritásának figyelése?

A magjában a fájl integritásának figyelése az informatikai biztonságkezelési folyamat kulcsfontosságú eleme. A fő koncepció annak biztosítása, hogy a fájlrendszer bármilyen módosítását figyelembe vegyék, és hogy a váratlan módosításokat gyorsan azonosítsák.

Míg egyes rendszerek a fájlok integritásának megfigyelését valós időben kínálják, általában nagyobb hatással vannak a teljesítményre, ezért gyakran a pillanatfelvétel-alapú rendszert részesítik előnyben. Úgy működik, ha pillanatfelvételt készít egy fájlrendszerről rendszeres időközönként, és összehasonlítja azt az előzővel vagy egy korábban létrehozott alapvonallal. Nem számít, hogy az észlelés hogyan működik (valósidejű vagy sem), bármilyen észlelt változás, amely valamilyen jogosulatlan hozzáférésre vagy rosszindulatú tevékenységre utal (például a fájlméret vagy a hozzáférés hirtelen megváltozása egy adott felhasználó vagy felhasználói csoport által) és felhívják a figyelmeztetést, és / vagy valamilyen formában vagy helyreállítási folyamatban van indított. A figyelmeztető ablak felbukkanásától az eredeti fájl biztonsági másolatból történő visszaállításáig vagy a veszélyeztetett fájlhoz való hozzáférés blokkolásáig terjedhet.

Kinek a fájl integritásának figyelése?

Erre a kérdésre bárki gyorsan válaszolhat. Valójában bármely szervezet profitálhat a File Integrity Monitoring szoftver használatából. Sokan azonban úgy fogják használni, mert olyan helyzetben vannak, ahol kötelező. Például, a fájl integritásának figyelő szoftverét vagy előírják, vagy bizonyos szabályozási keretek, például PCI DSS, Sarbanes-Oxley vagy HIPAA, erősen jelzik. Konkrétan, ha pénzügyi vagy egészségügyi ágazatban dolgozik, vagy fizetési kártyákat dolgoz fel, a fájl integritásának figyelése inkább követelmény, mint opció.

Hasonlóképpen, bár ez nem feltétlenül kötelező, minden érzékeny információkkal foglalkozó szervezetnek határozottan mérlegelnie kell a File Integritás Megfigyelő szoftvert. Akár ügyféladatokat, akár üzleti titkokat tárol, nyilvánvaló előnye van az ilyen típusú eszközök használatának. Ez megmenthet mindenféle bajtól.

A fájl integritásának figyelése azonban nem csak a nagy szervezeteket érinti. Bár a nagyvállalatok és a középvállalkozások egyaránt hajlamosak tisztában lenni a fájl integritásának figyelő szoftverének fontosságával, a kisvállalkozásoknak ezt is biztosan figyelembe kell venniük. Ez különösen igaz, ha figyelembe veszi, hogy vannak olyan fájl-integritás-figyelő eszközök, amelyek minden igényt és költségvetést kielégítenek. Valójában számos listán szereplő eszköz ingyenes és nyílt forráskódú.

A legjobb fájl integritásfigyelő szoftver

Számtalan eszköz kínál fájlok integritásának figyelését. Néhányuk dedikált eszközök, amelyek alapvetően semmi mást nem tesznek. Egyesek viszont széles körű informatikai biztonsági megoldások, amelyek a fájl integritásának figyelését és a biztonsággal kapcsolatos egyéb funkciókat integrálják. Megpróbáltuk mindkét eszközt beépíteni a listánkba. Végül is a fájl integritásának figyelése gyakran része egy informatikai biztonságkezelési erőfeszítésnek, amely egyéb funkciókat is magában foglal. Akkor miért nem keres egy integrált szerszámot.

Számos hálózati és rendszergazda ismeri SolarWinds. Végül is, a vállalat körülbelül húsz éve gyártja a legjobb eszközök néhányát. A zászlóshajója, a SolarWinds hálózati teljesítményfigyelő az egyik legjobb ilyen eszköznek tekintik a piacon. És hogy még jobbá tegyük a dolgokat, SolarWinds ingyenes eszközöket is közzétesz, amelyek a meghatározott hálózati adminisztrációs feladatokra szolgálnak.

Míg SolarWinds nem készít külön fájl integritásfigyelő eszközt, biztonsági információ és eseménykezelő (SIEM) eszközét, SolarWinds biztonsági eseménykezelő, tartalmaz egy nagyon jó fájl integritás-figyelő modult. Ez a termék határozottan az egyik legjobb belépő szintű SIEM rendszer a piacon. Az eszköz szinte mindent tartalmaz, amit elvárhat egy SIEM eszköztől. Ez magában foglalja a kiváló naplókezelési és korrelációs funkciókat, valamint egy lenyűgöző jelentési motort és természetesen a fájl integritásának figyelését.

INGYENES PRÓBAVERZIÓ:SolarWinds biztonsági eseménykezelő

Hivatalos letöltési link:https://www.solarwinds.com/security-event-manager/registration

A fájl integritásának megfigyelésekor a SolarWinds biztonsági eseménykezelő megmutathatja, hogy mely felhasználók felelősek az adott fájlváltozásokért. Ezenkívül további felhasználói tevékenységeket is követhet, lehetővé téve különféle figyelmeztetések és jelentések létrehozását. Az eszköz honlapjának oldalsávján megjelenik a változáskezelő fejléc alatt hány változási esemény történt. Ha valami gyanúsnak tűnik, és mélyebben szeretne ásni, akkor lehetősége van szűrni az eseményeket kulcsszó alapján.

Az eszköz kiváló eseménykezelő funkciókkal is rendelkezik, amelyek semmit sem kívánnak. Például a részletes valós idejű reagálási rendszer aktívan reagál minden veszélyre. És mivel inkább viselkedésen, mint aláíráson alapszik, védelmet élvez az ismeretlen vagy jövőbeli fenyegetések és a nulla napos támadások ellen.

A lenyűgöző szolgáltatáskészlet mellett a SolarWinds biztonsági eseménykezelőA műszerfal minden bizonnyal érdemes megvitatni. Az egyszerű kialakításnak köszönhetően nincs probléma az eszköz körüli út megkeresésével és a rendellenességek gyors azonosításával. Körülbelül 4 500 dollártól kezdve az eszköz több mint megfizethető. És ha kipróbálni szeretné, hogy hogyan működik a környezetében, letölthető egy ingyenes, teljesen működőképes 30 napos próbaverzió.

Hivatalos letöltési link:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, amely az Open Source Security, az egyik legismertebb nyílt forrású gazdagép-behatolás-érzékelő rendszer egyikét jelenti. A termék tulajdonosa Trend Micro, az informatikai biztonság egyik vezető neve és az egyik legjobb vírusvédelmi lakosztály készítője. És ha a termék szerepel ezen a listán, akkor biztos lehetsz benne, hogy rendelkezik a nagyon tisztességes fájl integritásfigyelő funkcióval is.

Linux vagy Mac OS operációs rendszerekre telepítve a szoftver elsősorban a napló- és a konfigurációs fájlokra összpontosít. Ez létrehozza a fontos fájlok ellenőrző összegeit és időről időre ellenőrzi azokat, figyelmeztetve, amikor furcsa történik. Ezenkívül figyelni fog és figyelmeztet minden olyan rendellenes kísérletre, amely a root hozzáférés megszerzésére irányul. A Windows gazdagépeken a rendszer figyelemmel kíséri a jogosulatlan beállításjegyzék-módosításokat is, amelyek a rosszindulatú tevékenységek visszajelzőjelei lehetnek.

A fájl integritásának figyelésekor, OSSEC rendelkezik egy speciális funkcióval, az úgynevezett Syscheck. Az eszköz alapértelmezés szerint hat óránként fut, és ellenőrzi a kulcsfájlok ellenőrző összegeinek változásait. A modult úgy tervezték, hogy csökkentse a CPU-felhasználást, ezáltal potenciálisan jó opció legyen a kis lábnyomú fájl integritáskezelő megoldást igénylő szervezetek számára.

Annak köszönhetően, hogy host-alapú behatolás-érzékelő rendszer, OSSEC telepíteni kell minden védett számítógépre (vagy kiszolgálóra). Ez az ilyen rendszerek fő hátránya. Rendelkezésre áll azonban egy központi konzol, amely egyesíti az egyes védett számítógépektől az információkat a könnyebb kezelés érdekében. Hogy OSSEC A konzol csak Linux vagy Mac OS operációs rendszereken fut. A Windows gazdagépeinek védelme érdekében azonban egy ügynök is rendelkezésre áll. Bármely észlelés riasztást vált ki, amely megjelenik a központi konzolon, miközben az értesítéseket e-mailben is elküldjük.

3. Samhain fájl integritása

Samhain egy ingyenes gazdagép behatolásérzékelő rendszer, amely a fájl integritásának ellenőrzését és a naplófájl megfigyelését / elemzését biztosítja. Ezenkívül a termék rootkit-észlelést, portfigyelést, szélhámos SUID végrehajtható fájlok és rejtett folyamatok észlelését is végzi. Ezt az eszközt több rendszer figyelésére tervezték, különféle operációs rendszerekkel, központosított naplózással és karbantartással. Azonban, Samhain egy számítógépen önálló alkalmazásként is használható. Az eszköz POSIX rendszereken futhat, mint például Unix, Linux vagy Mac OS. Ez is futhat ablakok alatt cygwin bár csak a megfigyelő ügynököt és nem a kiszolgálót tesztelték ebben a konfigurációban.

Linux gazdagépeken, Samhain kihasználhatja az inotify mechanizmust a fájlrendszer eseményeinek figyelésére. Valós időben Ez lehetővé teszi azonnali értesítések fogadását a változásokról, és kiküszöböli a gyakori fájlrendszer-ellenőrzések szükségességét, amelyek nagy I / O terhelést okozhatnak. Ezen felül különféle ellenőrző összegek is ellenőrizhetők, mint például a TIGER192, SHA-256, SHA-1 vagy MD5. A fájl mérete, mód / engedély, tulajdonos, csoport, időbélyeg (létrehozás / módosítás / hozzáférés), inode, a merev hivatkozások száma és a szimbolikus hivatkozások kapcsolódó útja szintén ellenőrizhető. Az eszköz még több „egzotikus” tulajdonságot is ellenőrizhet, például SELinux attribútumokat, POSIX ACL-eket (rendszereken) támogatja őket), a Linux ext2 fájljellemzők (a chattr által beállított, például a változatlan zászló), és a BSD fájl zászlók.

Az egyik SamhainEgyedülálló tulajdonsága a lopakodó mód, amely lehetővé teszi a futtatást anélkül, hogy a támadók észlelnék őket. A betolakodók túl gyakran megölik az általuk felismert észlelési folyamatokat, lehetővé téve számukra, hogy észrevétlenül maradjanak. Ez az eszköz szteganográfiai technikákat használ, hogy elrejtse folyamatait másoktól. Emellett egy PGP-kulccsal védi a központi naplófájlokat és a konfigurációs biztonsági másolatait is, hogy megakadályozzák a hamisítást. Összességében ez egy nagyon komplett eszköz, amely sokkal többet kínál, mint a fájl integritásának figyelése.

4. Tripwire File Integrity Manager

Ez a következő megoldás Tripwire, egy olyan cég, amely kiemelkedő hírnévvel rendelkezik az IT biztonság területén. És amikor a fájl integritásának figyelésére van szükség, Tripwire fájl integritása Manager (FIM) egyedülálló képességgel rendelkezik a zaj csökkentésében azáltal, hogy többféle módszert kínál a kis kockázatú változások eliminálására a magas kockázatú változásoktól, miközben felismeri, rangsorolja és összeegyezteti az észlelt változásokat. A szokásos üzleti változások automatikus előmozdításával az eszköz csökkenti a zajt, így több ideje van arra, hogy megvizsgálja azokat a változásokat, amelyek valóban befolyásolhatják a biztonságot és kockázatot jelentenek. Tripwire FIM Ügynököket használ, hogy valós időben folyamatosan rögzítse a teljes, ki, mi és mikor az adatokat. Ez segíti annak biztosítását, hogy felismeri az összes változást, rögzíti az egyes részleteket, és ezeket felhasználja a biztonsági kockázat vagy a meg nem felelés meghatározására.

Tripwire lehetőséget ad az integrációra File Integrity Manager sok a biztonsági vezérlőkkel: biztonsági konfigurációkezelés (SCM), naplókezelés és SIEM eszközök. Tripwire FIM olyan összetevőket ad hozzá, amelyek intuitívabb módon és az adatok jobb védelme érdekében megcímkézik és kezelik az ezen kezelőszervek adatait. Például a Események integrációs kerete (EBA) hozzáadja az értékes változási adatokat File Integrity Manager nak nek Tripwire naplóközpont vagy szinte bármely más SIEM. Val vel EBA és más alapvető Tripwire biztonsági ellenőrzések segítségével könnyedén és hatékonyan kezelheti informatikai infrastruktúrájának biztonságát.

Tripwire File Integrity Manager Az automatizálást használja az összes változás észlelésére és azoknak a helyreállítására, amelyek kihagyják a konfigurációt a házirendből. Integrálható a meglévő váltási jegyrendszerekkel, például BMC orvoslás, HP szervizközpont vagy Szolgáltatás most, amely lehetővé teszi a gyors ellenőrzést. Ez biztosítja a nyomon követhetőséget is. Ezenkívül az automatikus riasztások a felhasználó által testreszabott válaszokat váltják ki, amikor egy vagy több konkrét változás eléri azt a súlyossági küszöböt, amelyet önmagában nem okozna. Például egy kisebb tartalomváltozás, amelyet egy engedélyváltozás kíséri, amelyet a tervezett változtatási ablakon kívül hajtottak végre.

5. AFICK (újabb fájl integritás-ellenőrző)

Ezután egy Eric Gerbier fejlesztő nyílt forráskódú eszközét hívják AFICK (újabb fájl integritás-ellenőrző). Noha az eszköz állítja, hogy hasonló funkcióval rendelkezik, mint a Tripwire, sokkal komolyabb termék, jóval a hagyományos nyílt forráskódú szoftverek sorában. Az eszköz figyeli a megtekintett fájlrendszerekben bekövetkező változásokat. Több platformot támogat, mint például a Linux (SUSE, Redhat, Debian és több), a Windows, a HP Tru64 Unix, a HP-UX és az AIX. A szoftvert úgy tervezték, hogy gyors és hordozható legyen, és bármilyen számítógépen képes működni, amely támogatja a Perlt és annak szokásos moduljait.

Ami a AFICKFunkcionalitása, itt található a fő funkcióinak áttekintése. Az eszköz könnyen telepíthető, és nem igényel fordítást vagy sok függőség telepítését. Ez egy gyors eszköz, részben kis mérete miatt. Kis mérete ellenére új, törölt és módosított fájlokat, valamint a függő linkeket jelenít meg. Egy egyszerű szöveges konfigurációs fájlt használ, amely támogatja a kivételeket és a jokereket, valamint olyan szintaxist használ, amely nagyon hasonló a Tripwire vagy az Aideéhoz. A Tk-alapú grafikus felhasználói felület és a webmin-alapú webes felület egyaránt elérhető, ha inkább távol tartózkodik a parancssori eszköztől.

AFICK (újabb fájl integritás-ellenőrző) A hordozhatóság és a forráshoz való hozzáférés szempontjából az egész Perl nyelven íródott. Mivel ez nyílt forráskódú (a GNU General Public License alatt került kiadásra), szabadon hozzáadhat funkcionális lehetőségeket, amint azt megfelelőnek látja. Az eszköz MD5-et használ az ellenőrzőösszeg igényeihez, mivel gyors, és beépítve van az összes Perl-disztribúcióba, és egyértelmű szöveges adatbázis helyett a dbm-t használja.

6. AIDE (fejlett behatolás-észlelési környezet)

Meglehetősen félrevezető név ellenére, AIDE (fejlett behatolás-észlelési környezet) valójában egy fájl és könyvtár integritásának ellenőrzője. Úgy működik, hogy létrehoz egy adatbázist a reguláris kifejezési szabályokból, amelyeket a konfigurációs fájlból talál. Az adatbázis inicializálása után felhasználja a fájlok integritásának ellenőrzésére. Az eszköz számos üzenetmegosztási algoritmust használ, amelyek felhasználhatók a fájlok integritásának ellenőrzésére. Ezen felül az összes szokásos fájlattribútum ellenőrizhető következetlenségek szempontjából. Olvashatja a régebbi vagy újabb verziók adatbázisát is.

Feature-bölcs, AIDE az értékelés teljes. Támogatja a több üzenet-kivonatoló algoritmust, például az md5, sha1, rmd160, tiger, crc32, sha256, sha512 és whirlpool. Az eszköz több fájljellemzőt ellenőrizhet, beleértve a Fájl típusát, Engedélyeket, Beillesztést, Uidot, Gidöt, Hivatkozás nevét, Méretet, Blokkszámot, Linkek számát, Mtime, Ctime és Atime. Támogatja a Posix ACL, SELinux, XAttrs és kiterjesztett fájlrendszer-attribútumokat is. Az egyszerűség kedvéért az eszköz egyszerű szöveges konfigurációs fájlokat, valamint egy egyszerű szöveges adatbázist használ. Az egyik legérdekesebb tulajdonsága az erőteljes reguláris kifejezés támogatása, amely lehetővé teszi a megfigyelhető fájlok és könyvtárak szelektív beillesztését vagy kizárását. Ez a szolgáltatás önmagában nagyon sokoldalúvá és rugalmas eszközzé teszi.

Az 1999 óta működő terméket továbbra is aktívan fejlesztették, és a legújabb verzió (0.16.2) csak néhány hónapos. A GNU általános nyilvános licence alapján kapható, és a Linux legmodernebb változatain fog futni.

7. Qualys fájl integritásának figyelése

Qualys fájl integritásának figyelése a biztonsági óriástól Qualys egy "felhőmegoldás a normál és rosszindulatú eseményekből származó kritikus változások, események és kockázatok észlelésére és azonosítására". Jön beépített profilok, amelyek az iparág legjobb gyakorlatán és a gyártók által ajánlott iránymutatásokon alapulnak a közös megfelelési és ellenőrzési követelményekre vonatkozóan, beleértve a PCI DSS-t.

Qualys fájl integritásának figyelése hatékony változások észlelése valós időben, az antivírus-technológiákban alkalmazott hasonló megközelítések felhasználásával. A változás-értesítések létrehozhatók a teljes könyvtárstruktúrához vagy a fájl szintjén. Az eszköz meglévő operációs rendszermag-jeleket használ a hozzáférésű fájlok azonosítására, ahelyett, hogy számítás-intenzív megközelítésekre támaszkodna. A termék felismeri a fájlok vagy könyvtárak létrehozását vagy eltávolítását, a fájlok vagy könyvtárak átnevezését, a fájljellemzők változásait, a fájl- vagy könyvtári biztonsági beállítások, például engedélyek, tulajdonjog, öröklés és ellenőrzés, illetve a korong.

Ez egy többrétegű termék. Az Qualys Cloud Agent folyamatosan figyeli a megfigyelési profilban megadott fájlokat és könyvtárakat, és rögzíti a kritikus adatokat a segít azonosítani, hogy mi változott a környezet részleteivel, például melyik felhasználó és melyik folyamat vett részt a programban változás. Ezután elküldi az adatokat a Qualys Cloud Platform elemzésre és jelentésre. Ennek a megközelítésnek az egyik előnye, hogy ugyanúgy működik, ha a rendszerek telephelyen, felhőben vagy távoli rendszerekben vannak.

A fájl integritásának figyelése könnyen aktiválható a meglévőn Qualys Aférfiak, és kezdje meg a helyi változások figyelését, minimális hatással a végpontra. Az Qualys Cloud Platform lehetővé teszi a könnyű méretezést a legnagyobb környezetben. A teljesítményre gyakorolt ​​hatást a megfigyelt végpontokra minimálisra csökkentik azáltal, hogy hatékonyan figyelik a fájlok helyi változásait, és az adatokat továbbítják a Qualys Cloud Platform ahol az elemzés és a korreláció nehéz munkája megtörténik. Ami a Qualys Cloud Agent, az önfrissítés és az öngyógyulás, naprakészen tartja magát, nem kell újraindulnia.