7 migliori software di monitoraggio dell'integrità dei file (revisione 2020)

La sicurezza IT è un argomento caldo. La notizia è piena di storie di violazioni della sicurezza, furto di dati o ransomware. Alcuni sosterranno che tutti questi sono semplicemente un segno dei nostri tempi ma non cambia il fatto che quando sei incaricato di mantenere qualsiasi tipo di ambiente IT, la protezione da tali minacce è una parte importante del lavoro.

Per tale motivo, il software di monitoraggio dell'integrità dei file (FIM) è diventato quasi uno strumento indispensabile per qualsiasi organizzazione. Il suo scopo principale è garantire che qualsiasi modifica di file non autorizzata o imprevista venga identificata rapidamente. Può aiutare a migliorare la sicurezza generale dei dati, che è importante per qualsiasi azienda e non dovrebbe essere ignorato.

Oggi inizieremo dando una breve occhiata al monitoraggio dell'integrità dei file. Faremo del nostro meglio per spiegare in termini semplici cos'è e come funziona. Daremo anche un'occhiata a chi dovrebbe usarlo. Molto probabilmente non sarà una grande sorpresa scoprire che chiunque può trarne beneficio e vedremo come e perché. E una volta che saremo tutti nella stessa pagina sul monitoraggio dell'integrità dei file, saremo pronti per entrare nel nocciolo di questo post e rivedere brevemente alcuni dei migliori strumenti che il mercato ha da offrire.

Che cos'è il monitoraggio dell'integrità dei file?

Fondamentalmente, il monitoraggio dell'integrità dei file è un elemento chiave di un processo di gestione della sicurezza IT. Il concetto principale alla base è quello di garantire che ogni modifica a un file system sia presa in considerazione e che qualsiasi modifica imprevista venga rapidamente identificata.

Mentre alcuni sistemi offrono il monitoraggio dell'integrità dei file in tempo reale, tende ad avere un impatto maggiore sulle prestazioni, per questo motivo è spesso preferito un sistema basato su istantanee. Funziona scattando un'istantanea di un file system a intervalli regolari e confrontandola con quella precedente o con una baseline precedentemente stabilita. Indipendentemente dal funzionamento (in tempo reale o meno) del rilevamento, qualsiasi modifica rilevata che suggerisce una sorta di accesso non autorizzato o attività dannosa (come un improvviso cambiamento nella dimensione del file o l'accesso da parte di un utente o gruppo specifico di utenti) e viene generato un avviso e / o qualche forma o processo di riparazione lanciato. Potrebbe andare dal pop-up di una finestra di avviso al ripristino del file originale da un backup o al blocco dell'accesso al file in pericolo.

A chi serve il monitoraggio dell'integrità dei file?

La risposta rapida a questa domanda è chiunque. In realtà, qualsiasi organizzazione può trarre vantaggio dall'utilizzo del software di monitoraggio dell'integrità dei file. Tuttavia, molti sceglieranno di usarlo perché si trovano in una situazione in cui è obbligatorio. Ad esempio, il software di monitoraggio dell'integrità dei file è richiesto o fortemente indicato da alcuni quadri normativi come PCI DSS, Sarbanes-Oxley o HIPAA. Concretamente, se ti trovi nei settori finanziario o sanitario o se elabori carte di pagamento, il monitoraggio dell'integrità dei file è più un requisito che un'opzione.

Allo stesso modo, anche se potrebbe non essere obbligatorio, qualsiasi organizzazione che si occupa di informazioni riservate dovrebbe prendere in considerazione il software di monitoraggio dell'integrità dei file. Indipendentemente dal fatto che tu stia archiviando i dati dei clienti o segreti commerciali, c'è un evidente vantaggio nell'utilizzo di questi tipi di strumenti. Potrebbe salvarti da ogni sorta di disavventure.

Ma il monitoraggio dell'integrità dei file non è solo per le grandi organizzazioni. Sebbene sia le grandi imprese che le medie imprese tendano a essere consapevoli dell'importanza del software di monitoraggio dell'integrità dei file, anche le piccole imprese dovrebbero certamente considerarlo. Ciò è particolarmente vero se si tiene conto del fatto che esistono strumenti di monitoraggio dell'integrità dei file che soddisfano ogni esigenza e budget. In effetti, diversi strumenti nel nostro elenco sono gratuiti e open-source.

Il miglior software di monitoraggio dell'integrità dei file

Esistono innumerevoli strumenti che offrono la funzionalità di monitoraggio dell'integrità dei file. Alcuni di essi sono strumenti dedicati che praticamente non fanno altro. Alcuni, d'altra parte, sono un'ampia soluzione di sicurezza IT che integra il monitoraggio dell'integrità dei file insieme ad altre funzionalità relative alla sicurezza. Abbiamo cercato di incorporare entrambi i tipi di strumenti nel nostro elenco. Dopotutto, il monitoraggio dell'integrità dei file è spesso parte di uno sforzo di gestione della sicurezza IT che include altre funzioni. Perché non scegliere uno strumento integrato, quindi.

Molti amministratori di rete e di sistema hanno familiarità SolarWinds. Dopotutto, l'azienda produce alcuni dei migliori strumenti da circa vent'anni. Il suo prodotto di punta, chiamato il SolarWinds Network Performance Monitor è considerato uno dei migliori strumenti del genere sul mercato. E per rendere le cose ancora migliori, SolarWinds pubblica anche strumenti gratuiti che affrontano alcune attività specifiche delle amministrazioni di rete.

Mentre SolarWinds non crea uno strumento di monitoraggio dell'integrità dei file dedicato, il suo strumento SIEM (Security Information and Event Management), il Gestione eventi di sicurezza SolarWinds, include un ottimo modulo di monitoraggio dell'integrità dei file. Questo prodotto è sicuramente uno dei migliori sistemi SIEM entry-level sul mercato. Lo strumento ha quasi tutto ciò che ci si aspetterebbe da uno strumento SIEM. Ciò include eccellenti funzionalità di gestione dei log e di correlazione, nonché un motore di reportistica impressionante e, naturalmente, il monitoraggio dell'integrità dei file.

PROVA GRATUITA:Gestione eventi di sicurezza SolarWinds

Link ufficiale per il download:https://www.solarwinds.com/security-event-manager/registration

Per quanto riguarda il monitoraggio dell'integrità dei file, il Gestione eventi di sicurezza SolarWinds può mostrare quali utenti sono responsabili di quali modifiche al file. Può anche tenere traccia delle attività aggiuntive dell'utente, consentendo di creare vari avvisi e report. La barra laterale della home page dello strumento può visualizzare quanti eventi di modifica si sono verificati sotto l'intestazione Gestione modifiche. Ogni volta che qualcosa sembra sospetto e vuoi scavare più a fondo, hai la possibilità di filtrare gli eventi per parola chiave.

Lo strumento vanta anche eccellenti funzioni di risposta agli eventi che non lasciano nulla a desiderare. Ad esempio, il sistema di risposta dettagliato in tempo reale reagirà attivamente a ogni minaccia. E poiché si basa sul comportamento piuttosto che sulla firma, sei protetto da minacce sconosciute o future e attacchi zero-day.

Oltre a un set di funzionalità impressionante, il Gestione eventi di sicurezza SolarWindsVale sicuramente la pena di discutere la dashboard. Con il suo design semplice, non avrai problemi a orientarti nello strumento e a identificare rapidamente le anomalie. A partire da circa $ 4 500, lo strumento è più che conveniente. E se vuoi provarlo e vedere come funziona nel tuo ambiente, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale.

Link ufficiale per il download:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, che sta per Open Source Security, uno dei più noti sistemi di rilevamento delle intrusioni basati su host open source. Il prodotto è di proprietà di Trend Micro, uno dei nomi leader nella sicurezza IT e produttore di una delle migliori suite di protezione antivirus. E se il prodotto è in questo elenco, state certi che ha anche una funzionalità di monitoraggio dell'integrità dei file molto decente.

Se installato su sistemi operativi Linux o Mac OS, il software si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li convalida periodicamente, avvisandoti ogni volta che succede qualcosa di strano. Inoltre monitorerà e avviserà in caso di tentativi anomali di ottenere l'accesso come root. Sugli host Windows, il sistema tiene anche d'occhio le modifiche non autorizzate del registro che potrebbero essere un segnale rivelatore di attività dannose.

Quando si tratta di monitoraggio dell'integrità dei file, OSSEC ha una funzionalità specifica chiamata SysCheck. Lo strumento viene eseguito ogni sei ore per impostazione predefinita e verifica la presenza di modifiche ai checksum dei file delle chiavi. Il modulo è progettato per ridurre l'utilizzo della CPU, rendendolo un'opzione potenzialmente buona per le organizzazioni che richiedono una soluzione di gestione dell'integrità dei file con un ingombro ridotto.

In virtù dell'essere un sistema di rilevamento delle intrusioni basato su host, OSSEC deve essere installato su ogni computer (o server) che si desidera proteggere. Questo è il principale svantaggio di tali sistemi. Tuttavia, è disponibile una console centralizzata che consolida le informazioni da ciascun computer protetto per una gestione più semplice. Quello OSSEC la console funziona solo su sistemi operativi Linux o Mac OS. Tuttavia, è disponibile un agente per proteggere gli host Windows. Qualsiasi rilevamento attiverà un avviso che verrà visualizzato sulla console centralizzata mentre le notifiche verranno inviate anche via e-mail.

3. Integrità dei file Samhain

Samhain è un sistema gratuito di rilevamento delle intrusioni dell'host che fornisce il controllo dell'integrità dei file e il monitoraggio / analisi dei file di registro. Inoltre, il prodotto esegue anche il rilevamento di rootkit, il monitoraggio delle porte, il rilevamento di eseguibili SUID non autorizzati e processi nascosti. Questo strumento è stato progettato per monitorare più sistemi con vari sistemi operativi con registrazione e manutenzione centralizzate. Però, Samhain può anche essere utilizzato come applicazione autonoma su un singolo computer. Lo strumento può essere eseguito su sistemi POSIX come Unix, Linux o Mac OS. Può anche funzionare finestre sotto Cygwin sebbene solo l'agente di monitoraggio e non il server sia stato testato in quella configurazione.

Su host Linux, Samhain può sfruttare il meccanismo di inotify per monitorare gli eventi del file system. In tempo reale Ciò consente di ricevere notifiche immediate sulle modifiche ed elimina la necessità di frequenti scansioni del file system che possono causare un carico I / O elevato. Inoltre, è possibile controllare vari checksum come TIGER192, SHA-256, SHA-1 o MD5. È inoltre possibile controllare la dimensione del file, la modalità / autorizzazione, il proprietario, il gruppo, il timestamp (creazione / modifica / accesso), l'inode, il numero di collegamenti reali e il percorso collegato di collegamenti simbolici. Lo strumento può anche controllare proprietà più "esotiche" come attributi SELinux, ACL POSIX (sui sistemi supportandoli), gli attributi del file ext2 di Linux (come impostato da chattr come il flag immutabile) e il BSD flag di file.

Uno di SamhainLa caratteristica unica è la sua modalità invisibile che gli consente di correre senza essere rilevato da eventuali aggressori. Troppo spesso gli intrusi uccidono i processi di rilevamento che riconoscono, permettendo loro di passare inosservati. Questo strumento utilizza tecniche di steganografia per nascondere i suoi processi agli altri. Protegge anche i suoi file di registro centrali e i backup di configurazione con una chiave PGP per evitare manomissioni. Nel complesso, questo è uno strumento molto completo che offre molto di più del semplice monitoraggio dell'integrità dei file.

4. Gestione integrità file Tripwire

La prossima è una soluzione di Tripwire, un'azienda che gode di una solida reputazione nella sicurezza IT. E quando si tratta di monitoraggio dell'integrità dei file, Integrità dei file Tripwire Manager (FIM) ha una capacità unica di ridurre il rumore fornendo molteplici modi per eliminare le modifiche a basso rischio da quelle ad alto rischio durante la valutazione, la definizione delle priorità e la riconciliazione delle modifiche rilevate. Promuovendo automaticamente numerose modifiche come di consueto, lo strumento riduce il rumore, in modo da avere più tempo per esaminare le modifiche che possono davvero influire sulla sicurezza e introdurre rischi. Tripwire FIM utilizza gli agenti per acquisire continuamente chi, cosa e quando i dettagli in tempo reale. Ciò consente di rilevare tutte le modifiche, acquisire dettagli su ciascuna e utilizzare tali dettagli per determinare il rischio per la sicurezza o la non conformità.

Tripwire ti dà la possibilità di integrarti File Integrity Manager con molti dei tuoi controlli di sicurezza: gestione della configurazione della sicurezza (SCM), gestione dei log e strumenti SIEM. Tripwire FIM aggiunge componenti che taggano e gestiscono i dati da questi controlli in modo più intuitivo e in modo da proteggere meglio i dati. Ad esempio, il Framework di integrazione degli eventi (FEI) aggiunge preziosi dati di modifica da File Integrity Manager per Centro log di Tripwire o quasi qualsiasi altro SIEM. Con FEI e altri fondamenti Tripwire controlli di sicurezza, puoi gestire in modo semplice ed efficace la sicurezza della tua infrastruttura IT.

Tripwire File Integrity Manager utilizza l'automazione per rilevare tutte le modifiche e rimediare a quelle che prendono una configurazione fuori dai criteri. Può integrarsi con i sistemi di ticketing di modifica esistenti come Rimedio BMC, Centro assistenza HP o Service Now, consentendo un controllo rapido. Ciò garantisce anche la tracciabilità. Inoltre, gli avvisi automatici attivano risposte personalizzate dell'utente quando una o più modifiche specifiche raggiungono una soglia di gravità che una sola modifica non causerebbe. Ad esempio, una piccola modifica del contenuto accompagnata da una modifica dell'autorizzazione eseguita al di fuori di una finestra di modifica pianificata.

5. AFICK (un altro controllo di integrità dei file)

Il prossimo è uno strumento open source dello sviluppatore Eric Gerbier chiamato AFICK (un altro controllo di integrità dei file). Sebbene lo strumento dichiari di offrire funzionalità simili a Tripwire, è un prodotto molto più rozzo, molto simile alla linea di software open source tradizionale. Lo strumento è in grado di monitorare eventuali cambiamenti nei file system che osserva. Supporta piattaforme multiple come Linux (SUSE, Redhat, Debian e altre), Windows, HP Tru64 Unix, HP-UX e AIX. Il software è progettato per essere rapido e portatile e può funzionare su qualsiasi computer che supporti Perl e i suoi moduli standard.

Per quanto riguarda la AfickFunzionalità di, ecco una panoramica delle sue caratteristiche principali. Lo strumento è facile da installare e non richiede alcuna compilazione o installazione di molte dipendenze. È anche uno strumento veloce, in parte dovuto alle sue dimensioni ridotte. Nonostante le sue dimensioni ridotte, mostrerà file nuovi, cancellati e modificati, nonché eventuali collegamenti sospesi. Utilizza un semplice file di configurazione basato su testo che supporta eccezioni e jolly e utilizza una sintassi molto simile a quella di Tripwire o Aide. Sono disponibili un'interfaccia utente grafica basata su Tk e un'interfaccia web basata su webmin se preferisci stare lontano da uno strumento da riga di comando.

AFICK (un altro controllo di integrità dei file) è interamente scritto in Perl per la portabilità e l'accesso alla fonte. E poiché è open-source (rilasciato sotto licenza GNU General Public License), sei libero di aggiungere funzionalità a tuo piacimento. Lo strumento utilizza MD5 per le sue esigenze di checksum in quanto è veloce ed è integrato in tutte le distribuzioni Perl e invece di utilizzare un database di testo chiaro, viene utilizzato dbm.

6. AIDE (Advanced Intrusion Detection Environment)

Nonostante un nome piuttosto fuorviante, AIDE (Advanced Intrusion Detection Environment) è in realtà un controllo dell'integrità di file e directory. Funziona creando un database dalle regole delle espressioni regolari che trova dal suo file di configurazione. Una volta inizializzato il database, lo utilizza per verificare l'integrità dei file. Lo strumento utilizza diversi algoritmi di digest dei messaggi che possono essere utilizzati per verificare l'integrità dei file. Inoltre, è possibile verificare la presenza di incoerenze tra tutti i soliti attributi del file. Può anche leggere database da versioni precedenti o più recenti.

Caratteristica-saggio, AIDE è completo. Supporta algoritmi di digest di messaggi multipli come md5, sha1, rmd160, tiger, crc32, sha256, sha512 e whirlpool. Lo strumento può controllare diversi attributi di file tra cui Tipo file, Autorizzazioni, Inodo, Uid, Gid, Nome collegamento, Dimensione, Conteggio blocchi, Numero di collegamenti, Mtime, Ctime e Atime. Può anche supportare gli attributi Posix ACL, SELinux, XAttrs e Extended file system. Per semplicità, lo strumento utilizza file di configurazione in testo semplice e un database in testo semplice. Una delle sue caratteristiche più interessanti è il supporto di potenti espressioni regolari che consentono di includere o escludere selettivamente file e directory da monitorare. Questa caratteristica da sola lo rende uno strumento molto versatile e flessibile.

Il prodotto, che esiste dal 1999, è ancora attivamente sviluppato e l'ultima versione (0.16.2) ha solo pochi mesi. È disponibile con licenza GNU per uso pubblico e funzionerà sulla maggior parte delle varianti moderne di Linux.

7. Monitoraggio dell'integrità dei file di Qualys

Monitoraggio dell'integrità dei file di Qualys dal gigante della sicurezza Qualys è una "soluzione cloud per rilevare e identificare cambiamenti, incidenti e rischi critici derivanti da eventi normali e dannosi". Viene con profili predefiniti basati sulle migliori pratiche del settore e sulle linee guida consigliate dal fornitore per i requisiti comuni di conformità e audit, tra cui PCI DSS.

Monitoraggio dell'integrità dei file di Qualys rileva le modifiche in modo efficiente in tempo reale, utilizzando approcci simili utilizzati nelle tecnologie antivirus. Le notifiche di modifica possono essere create per intere strutture di directory o a livello di file. Lo strumento utilizza i segnali del kernel del sistema operativo esistenti per identificare i file accessibili, invece di fare affidamento su approcci ad alta intensità di calcolo. Il prodotto può rilevare la creazione o la rimozione di file o directory, la ridenominazione di file o directory, le modifiche agli attributi dei file, modifiche alle impostazioni di sicurezza dei file o delle directory come autorizzazioni, proprietà, eredità e controllo o modifiche ai dati dei file memorizzati su disco.

È un prodotto a più livelli. Il Agente cloud Qualys monitora continuamente i file e le directory specificati nel profilo di monitoraggio e acquisisce i dati critici aiutare a identificare ciò che è cambiato insieme ai dettagli sull'ambiente come l'utente e il processo coinvolti nel modificare. Invia quindi i dati a Piattaforma cloud Qualys per analisi e reportistica. Uno dei vantaggi di questo approccio è che funziona allo stesso modo sia che i sistemi siano locali, nel cloud o remoti.

Il monitoraggio dell'integrità dei file può essere facilmente attivato sul tuo esistente Qualys Asignorie inizia a monitorare localmente le modifiche con un impatto minimo sull'endpoint. Il Piattaforma cloud Qualys ti consente di adattarti facilmente agli ambienti più grandi. L'impatto sulle prestazioni degli endpoint monitorati è ridotto al minimo monitorando in modo efficiente le modifiche dei file localmente e inviando i dati a Piattaforma cloud Qualys dove si verificano tutti i pesanti lavori di analisi e correlazione. Per quanto riguarda la Agente cloud Qualys, è auto-aggiornamento e auto-guarigione, mantenendosi aggiornato senza necessità di riavviare.