7 Best File Integrity Monitoring Software (2020 Review)

IT-beveiliging is een hot topic. Het nieuws barst van de verhalen over inbreuken op de beveiliging, gegevensdiefstal of ransomware. Sommigen zullen beweren dat dit allemaal gewoon een teken van onze tijd is, maar het verandert niets aan het feit dat wanneer je belast met het onderhouden van elke vorm van IT-omgeving, bescherming tegen dergelijke bedreigingen is een belangrijk onderdeel van de baan.

Om die reden is File Integrity Monitoring (FIM) -software bijna een onmisbaar hulpmiddel geworden voor elke organisatie. Het belangrijkste doel is ervoor te zorgen dat elke ongeoorloofde of onverwachte bestandswijziging snel wordt herkend. Het kan de algehele gegevensbeveiliging helpen verbeteren, wat belangrijk is voor elk bedrijf en niet mag worden genegeerd.

Vandaag beginnen we met een korte blik op File Integrity Monitoring. We zullen ons best doen om in eenvoudige bewoordingen uit te leggen wat het is en hoe het werkt. We zullen ook kijken wie het zou moeten gebruiken. Het zal waarschijnlijk niet als een grote verrassing komen om te ontdekken dat iedereen er zijn voordeel mee kan doen en we zullen zien hoe en waarom. En zodra we allemaal op dezelfde pagina staan ​​over Monitoring van bestandsintegriteit, zijn we klaar om de kern van dit bericht te bespreken en kort enkele van de beste tools te bekijken die de markt te bieden heeft.

Wat is monitoring van bestandsintegriteit?

In de kern is monitoring van bestandsintegriteit een belangrijk onderdeel van een IT-beveiligingsbeheerproces. Het belangrijkste concept hierachter is ervoor te zorgen dat elke wijziging aan een bestandssysteem wordt verantwoord en dat elke onverwachte wijziging snel wordt geïdentificeerd.

Hoewel sommige systemen real-time monitoring van bestandsintegriteit bieden, heeft dit meestal een grotere impact op de prestaties. Om die reden heeft een op snapshots gebaseerd systeem vaak de voorkeur. Het werkt door regelmatig een snapshot van een bestandssysteem te maken en deze te vergelijken met de vorige of met een eerder vastgestelde basislijn. Het maakt niet uit hoe de detectie werkt (real-time of niet), elke gedetecteerde verandering die een vorm van ongeautoriseerde toegang of kwaadaardige activiteit suggereert (zoals een plotselinge verandering in bestandsgrootte of toegang door een specifieke gebruiker of groep gebruikers) en er wordt een waarschuwing gegeven en / of een of ander vorm of herstelproces is gelanceerd. Dit kan variëren van het openen van een waarschuwingsvenster tot het herstellen van het originele bestand vanaf een back-up of het blokkeren van de toegang tot het bedreigde bestand.

Voor wie is File Integrity Monitoring bedoeld?

Het snelle antwoord op deze vraag is iedereen. Elke organisatie kan echt profiteren van het gebruik van File Integrity Monitoring-software. Velen zullen er echter voor kiezen om het te gebruiken omdat ze zich in een situatie bevinden waarin het verplicht is. Bestandsintegriteitsbewakingssoftware is bijvoorbeeld vereist of wordt sterk aangegeven door bepaalde regelgevingskaders zoals PCI DSS, Sarbanes-Oxley of HIPAA. Concreet, als u zich in de financiële of gezondheidszorgsector bevindt of als u betaalkaarten verwerkt, is File Integrity Monitoring meer een vereiste dan een optie.

Evenzo, hoewel het misschien niet verplicht is, zou elke organisatie die met gevoelige informatie te maken heeft, sterk de Bestandsintegriteit Monitoring software moeten overwegen. Of u nu klantgegevens of bedrijfsgeheimen opslaat, er is een duidelijk voordeel bij het gebruik van dit soort tools. Het kan u van allerlei soorten ongelukken redden.

Maar File Integrity Monitoring is niet alleen voor grote organisaties. Hoewel zowel grote als middelgrote bedrijven zich vaak bewust zijn van het belang van software voor het bewaken van bestandsintegriteit, moeten kleine bedrijven er zeker ook rekening mee houden. Dit geldt met name wanneer u er rekening mee houdt dat er tools voor bestandsintegriteitscontrole zijn die aan elke behoefte en elk budget voldoen. Verschillende tools op onze lijst zijn zelfs gratis en open source.

De beste monitoring software voor bestandsintegriteit

Er zijn talloze tools die de functionaliteit van File Integrity Monitoring bieden. Sommigen van hen zijn speciale tools die in feite niets anders doen. Sommige daarentegen zijn een brede IT-beveiligingsoplossing die File Integrity Monitoring integreert met andere beveiligingsgerelateerde functionaliteit. We hebben geprobeerd beide soorten tools in onze lijst op te nemen. Bestandsintegriteitscontrole maakt immers vaak deel uit van een IT-beveiligingsbeheer dat andere functies omvat. Kies dan voor een geïntegreerde tool.

Veel netwerk- en systeembeheerders zijn bekend met SolarWinds. Het bedrijf maakt immers al zo'n twintig jaar een aantal van de beste tools. Het vlaggenschipproduct, het SolarWinds Network Performance Monitor wordt beschouwd als een van de beste tools op de markt. En om het nog beter te maken, SolarWinds publiceert ook gratis tools die een aantal specifieke netwerkbeheertaken aanpakken.

Terwijl SolarWinds maakt geen speciale tool voor het bewaken van de bestandsintegriteit, de Security Information and Event Management (SIEM) -tool, de SolarWinds Security Event Manager, bevat een zeer goede monitoring module voor bestandsintegriteit. Dit product is absoluut een van de beste SIEM-systemen op instapniveau op de markt. De tool heeft bijna alles wat je van een SIEM-tool mag verwachten. Dit omvat uitstekend logbeheer en correlatiefuncties, evenals een indrukwekkende rapportage-engine en, uiteraard, controle van de bestandsintegriteit.

GRATIS PROEF:SolarWinds Security Event Manager

Officiële downloadlink:https://www.solarwinds.com/security-event-manager/registration

Als het gaat om het bewaken van de bestandsintegriteit, is de SolarWinds Security Event Manager kan laten zien welke gebruikers verantwoordelijk zijn voor welke bestandswijzigingen. Het kan ook aanvullende gebruikersactiviteiten volgen, zodat u verschillende waarschuwingen en rapporten kunt maken. De zijbalk op de startpagina van de tool kan weergeven hoeveel wijzigingsgebeurtenissen zich hebben voorgedaan onder de kop Wijzigingsbeheer. Wanneer iets verdacht lijkt en u dieper wilt graven, heeft u de mogelijkheid om gebeurtenissen op trefwoord te filteren.

De tool beschikt ook over uitstekende eventresponsfuncties die niets te wensen overlaten. Zo zal het gedetailleerde realtime reactiesysteem actief reageren op elke dreiging. En aangezien het gebaseerd is op gedrag in plaats van handtekening, bent u beschermd tegen onbekende of toekomstige bedreigingen en zero-day-aanvallen.

Naast een indrukwekkende functieset, de SolarWinds Security Event Manager’S dashboard is zeker het bespreken waard. Dankzij het eenvoudige ontwerp vindt u moeiteloos uw weg in de tool en kunt u snel afwijkingen opsporen. Vanaf ongeveer $ 4 500 is de tool meer dan betaalbaar. En als u het wilt proberen en wilt zien hoe het in uw omgeving werkt, kunt u een gratis, volledig functionele proefversie van 30 dagen downloaden.

Officiële downloadlink:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, wat staat voor Open Source Security, een van de bekendste open-source hostgebaseerde inbraakdetectiesystemen. Het product is eigendom van Trend Micro, een van de toonaangevende namen in IT-beveiliging en maker van een van de beste antivirusprogramma's. En als het product op deze lijst staat, kunt u er zeker van zijn dat het ook een zeer behoorlijke functionaliteit voor het bewaken van de bestandsintegriteit heeft.

Bij installatie op Linux- of Mac OS-besturingssystemen richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt checksums van belangrijke bestanden en valideert ze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen volgen en waarschuwen. Op Windows-hosts houdt het systeem ook een oogje in het zeil voor ongeoorloofde registerwijzigingen die een duidelijk teken kunnen zijn van kwaadaardige activiteiten.

Als het gaat om monitoring van bestandsintegriteit, OSSEC heeft een specifieke functionaliteit genaamd Syscheck. De tool wordt standaard elke zes uur uitgevoerd en controleert op wijzigingen in de checksums van sleutelbestanden. De module is ontworpen om het CPU-gebruik te verminderen, waardoor het een potentieel goede optie is voor organisaties die een oplossing voor bestandsintegriteitsbeheer met een kleine footprint nodig hebben.

Omdat het een op een host gebaseerd inbraakdetectiesysteem is, OSSEC moet worden geïnstalleerd op elke computer (of server) die u wilt beschermen. Dit is het grootste nadeel van dergelijke systemen. Er is echter een gecentraliseerde console beschikbaar die de informatie van elke beveiligde computer consolideert voor eenvoudiger beheer. Dat OSSEC console werkt alleen op Linux of Mac OS-besturingssystemen. Er is echter een agent beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die wordt weergegeven op de centrale console, terwijl meldingen ook per e-mail worden verzonden.

3. Samhain-bestandsintegriteit

Samhain is een gratis hostinbraakdetectiesysteem dat controle biedt op de integriteit van bestanden en controle / analyse van logbestanden. Daarnaast voert het product ook rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uit. Deze tool is ontworpen om meerdere systemen met verschillende besturingssystemen te monitoren met gecentraliseerde logging en onderhoud. Echter, Samhain kan ook worden gebruikt als een stand-alone applicatie op een enkele computer. De tool kan draaien op POSIX-systemen zoals Unix, Linux of Mac OS. Het kan ook doorlopen ramen onder Cygwin hoewel alleen de monitoring agent en niet de server in die configuratie is getest.

Op Linux-hosts, Samhain kan gebruikmaken van het inotify-mechanisme om gebeurtenissen in het bestandssysteem te controleren. In real-time Hiermee kunt u onmiddellijk meldingen ontvangen over wijzigingen en is het niet meer nodig om regelmatig bestandsscans te scannen die een hoge I / O-belasting kunnen veroorzaken. Daarnaast kunnen verschillende checksums worden gecontroleerd zoals TIGER192, SHA-256, SHA-1 of MD5. Bestandsgrootte, modus / toestemming, eigenaar, groep, tijdstempel (aanmaken / wijzigen / toegang), inode, aantal harde links en gekoppeld pad van symbolische links kunnen ook worden gecontroleerd. De tool kan zelfs meer "exotische" eigenschappen controleren, zoals SELinux-attributen, POSIX ACL's (op systemen ze ondersteunen), Linux ext2-bestandskenmerken (zoals ingesteld door chattr zoals de onveranderlijke vlag) en de BSD bestandsvlaggen.

Een van de SamhainDe unieke functie is de stealth-modus, waardoor deze kan worden uitgevoerd zonder te worden opgemerkt door eventuele aanvallers. Te vaak doden indringers detectieprocessen die ze herkennen, waardoor ze onopgemerkt blijven. Deze tool gebruikt steganografietechnieken om de processen voor anderen te verbergen. Het beschermt ook zijn centrale logbestanden en configuratieback-ups met een PGP-sleutel om manipulatie te voorkomen. Over het algemeen is dit een zeer complete tool die veel meer biedt dan alleen monitoring van bestandsintegriteit.

4. Tripwire File Integrity Manager

Vervolgens is een oplossing van Tripwire, een bedrijf met een solide reputatie op het gebied van IT-beveiliging. En als het gaat om monitoring van bestandsintegriteit, Tripwire bestandsintegriteit Mboosheid (FIM) heeft een uniek vermogen om ruis te verminderen door meerdere manieren te bieden om veranderingen met een laag risico uit de weg te ruimen, terwijl de gedetecteerde veranderingen worden beoordeeld, geprioriteerd en afgestemd. Door automatisch vele business-as-usual-veranderingen te promoten, vermindert de tool het geluid, zodat u meer tijd heeft om veranderingen te onderzoeken die de beveiliging echt kunnen beïnvloeden en risico's kunnen opleveren. Tripwire FIM gebruikt agenten om continu volledige wie, wat en wanneer details in realtime vast te leggen. Dit helpt ervoor te zorgen dat u alle wijzigingen detecteert, details over elke wijziging vastlegt en die details gebruikt om het beveiligingsrisico of niet-naleving te bepalen.

Tripwire geeft je de mogelijkheid om te integreren Bestandsintegriteit Manager met veel van uw beveiligingscontroles: Security Configuration Management (SCM), logbeheer en SIEM-tools. Tripwire FIM voegt componenten toe die de gegevens van deze bedieningselementen intuïtiever labelen en beheren en op manieren die gegevens beter beschermen. Bijvoorbeeld de Event Integration Framework (EIF) voegt waardevolle wijzigingsgegevens toe van Bestandsintegriteit Manager naar Tripwire Log Center of bijna elke andere SIEM. Met EIF en andere fundamentele Tripwire beveiligingsmaatregelen kunt u de beveiliging van uw IT-infrastructuur eenvoudig en effectief beheren.

Tripwire Bestandsintegriteit Manager gebruikt automatisering om alle wijzigingen op te sporen en om wijzigingen te verhelpen die een configuratie uit het beleid halen. Het kan worden geïntegreerd met bestaande wijzigingskaartsystemen zoals BMC-remedie, HP Service Center of Service nu, waardoor een snelle audit mogelijk is. Dit zorgt ook voor traceerbaarheid. Bovendien activeren geautomatiseerde waarschuwingen door de gebruiker aangepaste reacties wanneer een of meer specifieke wijzigingen een ernstdrempel bereiken die een wijziging alleen niet zou veroorzaken. Bijvoorbeeld een kleine inhoudswijziging vergezeld van een toestemmingswijziging die buiten een gepland wijzigingsvenster is gedaan.

5. AFICK (een andere checker van bestandsintegriteit)

Het volgende is een open-source tool van ontwikkelaar Eric Gerbier genaamd AFICK (een andere checker van bestandsintegriteit). Hoewel de tool beweert vergelijkbare functionaliteit te bieden als Tripwire, is het een veel ruwer product, veel in de lijn van traditionele open-source software. De tool kan eventuele wijzigingen in de bestandssystemen die het bekijkt volgen. Het ondersteunt meerdere platforms zoals Linux (SUSE, Redhat, Debian en meer), Windows, HP Tru64 Unix, HP-UX en AIX. De software is ontworpen om snel en draagbaar te zijn en kan op elke computer werken die Perl en de standaardmodules ondersteunt.

Wat betreft de AFICK’Functionaliteit, hier is een overzicht van de belangrijkste functies. De tool is eenvoudig te installeren en vereist geen compilatie of de installatie van veel afhankelijkheden. Het is ook een snelle tool, mede door zijn kleine formaat. Ondanks zijn kleine formaat, zal het nieuwe, verwijderde en gewijzigde bestanden tonen, evenals eventuele bungelende links. Het gebruikt een eenvoudig op tekst gebaseerd configuratiebestand dat uitzonderingen en jokers ondersteunt en een syntaxis gebruikt die erg lijkt op Tripwire of Aide. Zowel een op Tk gebaseerde grafische gebruikersinterface als een op webmin gebaseerde webinterface zijn beschikbaar als u liever wegblijft van een opdrachtregelprogramma.

AFICK (een andere checker van bestandsintegriteit) is volledig geschreven in Perl voor draagbaarheid en bron-toegang. En aangezien het open-source is (uitgebracht onder GNU General Public License), staat het u vrij om er functionaliteit naar eigen inzicht aan toe te voegen. De tool gebruikt MD5 voor zijn checksum-behoeften omdat het snel is en het is ingebouwd in alle Perl-distributies en in plaats van een clear text-database te gebruiken, wordt dbm gebruikt.

6. AIDE (Advanced Intrusion Detection Environment)

Ondanks een nogal misleidende naam, AIDE (Advanced Intrusion Detection Environment) is eigenlijk een integriteitscontrole voor bestanden en mappen. Het werkt door een database te maken op basis van de regels voor reguliere expressies die het vindt in het configuratiebestand. Zodra de database is geïnitialiseerd, wordt deze gebruikt om de integriteit van bestanden te verifiëren. De tool maakt gebruik van verschillende algoritmen voor berichtsamenvatting die kunnen worden gebruikt om de integriteit van de bestanden te controleren. Bovendien kunnen alle gebruikelijke bestandskenmerken worden gecontroleerd op inconsistenties. Het kan ook databases lezen van oudere of nieuwere versies.

Functiegewijs, ASSISTENT is compleet beoordeeld. Het ondersteunt meerdere algoritmen voor berichtsamenvatting, zoals md5, sha1, rmd160, tiger, crc32, sha256, sha512 en whirlpool. De tool kan verschillende bestandskenmerken controleren, waaronder Bestandstype, Rechten, Inode, Uid, Gid, Linknaam, Grootte, Aantal blokken, Aantal links, Mtime, Ctime en Atime. Het ondersteunt ook Posix ACL, SELinux, XAttrs en uitgebreide bestandssysteemattributen. Eenvoudigheidshalve gebruikt de tool configuratiebestanden met platte tekst en een database met platte tekst. Een van de meest interessante functies is de ondersteuning van krachtige reguliere expressie waarmee u selectief bestanden en mappen kunt opnemen of uitsluiten die moeten worden gecontroleerd. Alleen al deze functie maakt het een zeer veelzijdige en flexibele tool.

Het product, dat al bestaat sinds 1999, wordt nog steeds actief ontwikkeld en de laatste versie (0.16.2) is nog maar een paar maanden oud. Het is beschikbaar onder de GNU algemene openbare licentie en het werkt op de meeste moderne varianten van Linux.

7. Qualys Monitoring van bestandsintegriteit

Qualys Monitoring van bestandsintegriteit van beveiligingsgigant Qualys is een "cloud-oplossing voor het detecteren en identificeren van kritieke veranderingen, incidenten en risico's als gevolg van normale en kwaadaardige gebeurtenissen." Het komt met kant-en-klare profielen die zijn gebaseerd op de beste praktijken in de branche en op door de verkoper aanbevolen richtlijnen voor algemene nalevings- en auditvereisten, inclusief PCI DSS.

Qualys Monitoring van bestandsintegriteit detecteert efficiënt veranderingen in real-time met behulp van vergelijkbare benaderingen die worden gebruikt in antivirus-technologieën. Wijzigingsmeldingen kunnen worden gemaakt voor hele mapstructuren of op bestandsniveau. De tool maakt gebruik van bestaande OS-kernelsignalen om toegang tot bestanden te identificeren, in plaats van te vertrouwen op rekenintensieve benaderingen. Het product kan het maken of verwijderen van bestanden of mappen detecteren, het hernoemen van bestanden of mappen, wijzigingen in bestandskenmerken, wijzigingen in bestands- of mapbeveiligingsinstellingen zoals rechten, eigendom, overerving en controle of wijzigingen in bestandsgegevens die zijn opgeslagen op de schijf.

Het is een product met meerdere niveaus. De Qualys Cloud Agent bewaakt continu de bestanden en mappen die zijn gespecificeerd in uw bewakingsprofiel en het vangt kritieke gegevens op helpen bij het identificeren van wat er is veranderd, samen met omgevingsdetails zoals welke gebruiker en welk proces was betrokken bij de verandering. Vervolgens worden de gegevens naar de Qualys Cloud Platform voor analyse en rapportage. Een van de voordelen van deze aanpak is dat het hetzelfde werkt, of de systemen nu op locatie, in de cloud of op afstand zijn.

Bestandsintegriteitscontrole kan eenvoudig worden geactiveerd op uw bestaande Qualys Aherenen begin lokaal te controleren op wijzigingen met minimale impact op het eindpunt. De Qualys Cloud Platform kunt u eenvoudig schalen naar de grootste omgevingen. De impact op de prestaties van de bewaakte eindpunten wordt geminimaliseerd door efficiënt lokaal te controleren op bestandswijzigingen en de gegevens naar de website te sturen Qualys Cloud Platform waar al het zware werk van analyse en correlatie plaatsvindt. Wat betreft de Qualys Cloud Agent, het werkt zichzelf bij en herstelt zichzelf, het houdt zichzelf up-to-date zonder opnieuw op te starten.