7 beste programvare for overvåking av filintegritet (gjennomgang av 2020)

IT-sikkerhet er et hett tema. Nyheten er full av historier om sikkerhetsbrudd, datatyveri eller ransomware. Noen vil hevde at alle disse bare er et tegn på vår tid, men det endrer ikke det faktum at når du er som har til oppgave å opprettholde enhver form for IT-miljø, beskytte mot slike trusler er en viktig del av jobb.

Av den grunn har File Integrity Monitoring (FIM) programvare nesten blitt et uunnværlig verktøy for enhver organisasjon. Dets primære formål er å sikre at uautorisert eller uventet filendring raskt blir identifisert. Det kan bidra til å forbedre den generelle datasikkerheten, som er viktig for ethvert selskap og ikke bør ignoreres.

I dag starter vi med å ta en kort titt på File Integrity Monitoring. Vi vil gjøre vårt beste for å forklare på en enkel måte hva det er og hvordan det fungerer. Vi får også se på hvem som skal bruke den. Det vil sannsynligvis ikke komme som en stor overraskelse å finne ut at noen kan dra nytte av det, og vi får se hvordan og hvorfor. Og når vi alle sammen er på samme side om overvåking av filintegritet, er vi klare til å hoppe inn i kjernen i dette innlegget og kort gjennomgå de beste verktøyene markedet har å tilby.

Hva er overvåking av filintegritet?

I kjernen er overvåking av filintegritet et sentralt element i en IT-sikkerhetsstyringsprosess. Hovedkonseptet bak er å sikre at alle endringer i et filsystem blir regnskapsført og at eventuelle uventede modifikasjoner raskt blir identifisert.

Mens noen systemer tilbyr filintegritetsovervåking i sanntid, har det en tendens til å ha større innvirkning på ytelsen. Av den grunn foretrekkes ofte et øyeblikksbasert system. Det fungerer ved å ta et øyeblikksbilde av et filsystem med jevne mellomrom og sammenligne det med det forrige eller med en tidligere etablert grunnlinje. Uansett hvordan oppdagelsen fungerer (sanntid eller ikke), endres det som oppdages som antyder en slags uautorisert tilgang eller ondsinnet aktivitet (for eksempel en plutselig endring i filstørrelse eller tilgang av en bestemt bruker eller gruppe av brukere) og varsel blir reist og / eller en form eller utbedringsprosess er lanserte. Det kan variere fra dukker et varselvindu til å gjenopprette den opprinnelige filen fra en sikkerhetskopi eller blokkere tilgangen til den truede filen.

Hvem er overvåking av filintegritet til?

Det raske svaret på dette spørsmålet er hvem som helst. Virkelig, enhver organisasjon kan dra nytte av å bruke File Integrity Monitoring-programvare. Imidlertid vil mange velge å bruke det fordi de er i en situasjon der det er mandat. For eksempel er File Integrity Monitoring-programvare enten påkrevd eller sterkt indikert av visse regulatoriske rammer som PCI DSS, Sarbanes-Oxley eller HIPAA. Konkret, hvis du er i finans- eller helsevesenet, eller hvis du behandler betalingskort, er File Integrity Monitoring mer et krav enn et alternativ.

På samme måte, selv om det kanskje ikke er obligatorisk, bør enhver organisasjon som arbeider med sensitiv informasjon sterkt vurdere File Integrity Monitoring-programvare. Enten du lagrer klientdata eller forretningshemmeligheter, er det en åpenbar fordel å bruke denne typen verktøy. Det kan redde deg for alle slags uheld.

Men overvåking av filintegritet er ikke bare for store organisasjoner. Selv om både store bedrifter og mellomstore bedrifter har en tendens til å være klar over viktigheten av programvare for overvåking av filintegritet, bør små bedrifter absolutt vurdere det også. Dette gjelder spesielt når du tar i betraktning at det er File Integrity Monitoring-verktøy som passer til alle behov og budsjetter. Flere verktøy på listen vår er faktisk gratis og åpen kildekode.

Den beste programvaren for overvåking av filintegritet

Det finnes utallige verktøy som tilbyr File Integrity Monitoring-funksjonalitet. Noen av dem er dedikerte verktøy som i utgangspunktet ikke gjør noe annet. Noen er derimot en bred IT-sikkerhetsløsning som integrerer File Integrity Monitoring sammen med annen sikkerhetsrelatert funksjonalitet. Vi har prøvd å innlemme begge typer verktøy på listen vår. Tross alt er File Integrity Monitoring ofte en del av en IT-sikkerhetsstyringsinnsats som inkluderer andre funksjoner. Hvorfor ikke gå for et integrert verktøy, da.

Mange nettverks- og systemadministratorer er kjent med Solarwinds. Tross alt har selskapet laget noen av de beste verktøyene i omtrent tjue år. Flaggskipets produkt, kalt SolarWinds Network Performance Monitor regnes som et av de beste slike verktøy på markedet. Og for å gjøre ting enda bedre, Solarwinds publiserer også gratis verktøy som adresserer noen spesifikke nettverksadministrasjonsoppgaver.

Samtidig som Solarwinds lager ikke et dedikert verktøy for overvåking av filintegritet, dets SIEM-verktøy (Security Information and Event Management), the SolarWinds Security Event Manager, inkluderer en veldig god overvåkningsmodul for filintegritet. Dette produktet er definitivt et av de beste SIEM-systemene på markedet. Verktøyet har nesten alt man kan forvente av et SIEM-verktøy. Dette inkluderer utmerket loggstyring og korrelasjonsfunksjoner, så vel som en imponerende rapporteringsmotor og selvfølgelig filintegritetsovervåking.

GRATIS PRØVEPERIODE:SolarWinds Security Event Manager

Offisiell nedlastingslink:https://www.solarwinds.com/security-event-manager/registration

Når det gjelder overvåking av filintegritet, vil SolarWinds Security Event Manager kan vise hvilke brukere som er ansvarlige for hvilke filendringer. Det kan også spore flere brukeraktiviteter, slik at du kan opprette forskjellige varsler og rapporter. Verktøyets hjemmesidesidefelt kan vise hvor mange endringshendelser som har skjedd under overskriften for endringsadministrasjon. Når noe ser mistenkelig ut og du vil grave dypere, har du muligheten til å filtrere hendelser etter nøkkelord.

Verktøyet kan også skryte av gode hendelsesresponsfunksjoner som ikke lar noe være å ønske. For eksempel vil det detaljerte reaksjonssystemet i sanntid reagere aktivt på enhver trussel. Og siden det er basert på atferd snarere enn signatur, er du beskyttet mot ukjente trusler og angrep på null dager.

I tillegg til et imponerende funksjonssett, har SolarWinds Security Event ManagerDet er absolutt verdt å diskutere instrumentbordet. Med sin enkle design har du ingen problemer med å finne veien rundt verktøyet og raskt identifisere avvik. Fra rundt 4 500 dollar er verktøyet mer enn rimelig. Og hvis du vil prøve det og se hvordan det fungerer i miljøet ditt, er en gratis, fullt funksjonell 30-dagers prøveversjon tilgjengelig for nedlasting.

Offisiell nedlastingslink:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, som står for Open Source Security, et av de mest kjente open source-vertsbaserte intrusjonsdeteksjonssystemene. Produktet eies av Trend Micro, et av de ledende navnene innen IT-sikkerhet og produsent av en av de beste virusbeskyttelse-suitene. Og hvis produktet er på denne listen, kan du være sikker på at det også har en veldig anstendig funksjon for overvåking av filintegritet.

Når den er installert på operativsystemene Linux eller Mac OS, fokuserer programvaren først og fremst på logg- og konfigurasjonsfiler. Den lager sjekkesummer av viktige filer og validerer dem med jevne mellomrom, og varsler deg når noe rart skjer. Den vil også overvåke og varsle om alle unormale forsøk på å få rottilgang. På Windows-verter holder systemet også øye med uautoriserte registerendringer som kan være et tegn på skadelig aktivitet.

Når det gjelder overvåking av filintegritet, OSSEC har en spesifikk funksjonalitet som heter Syscheck. Verktøyet kjøres hver sjette time som standard, og det ser etter endringer i sjekkesummen til nøkkelfiler. Modulen er designet for å redusere CPU-bruken, noe som gjør den til et potensielt godt alternativ for organisasjoner som krever en filintegritthåndteringsløsning med et lite fotavtrykk.

I kraft av å være et vertsbasert system for inntrengingsdeteksjon, OSSEC må installeres på hver datamaskin (eller server) du vil beskytte. Dette er den største ulempen ved slike systemer. Imidlertid er en sentralisert konsoll tilgjengelig som konsoliderer informasjon fra hver beskyttede datamaskin for enklere administrasjon. At OSSEC konsollen kjører bare på operativsystemene Linux eller Mac OS. Imidlertid er en agent tilgjengelig for å beskytte Windows-verter. Enhver deteksjon vil utløse et varsel som vil vises på den sentraliserte konsollen, mens varsler også blir sendt via e-post.

3. Samhain File Integrity

Samhain er et gratis vertsinntrengingsdeteksjonssystem som gir filintegritetskontroll og overvåking / analyse av loggfiler. I tillegg utfører produktet også rootkit-deteksjon, portovervåking, deteksjon av useriøse SUID-kjørbare filer og skjulte prosesser. Dette verktøyet er designet for å overvåke flere systemer med forskjellige operativsystemer med sentralisert logging og vedlikehold. Derimot, Samhain kan også brukes som et frittstående program på en enkelt datamaskin. Verktøyet kan kjøres på POSIX-systemer som Unix, Linux eller Mac OS. Den kan også løpe på Windows under Cygwin selv om bare overvåkingsagenten og ikke serveren er testet i den konfigurasjonen.

På Linux-verter, Samhain kan utnytte inotify-mekanismen for å overvåke hendelser i filsystemet. I sanntid Dette lar deg motta umiddelbare varsler om endringer, og eliminerer behovet for hyppige filsystemskanninger som kan forårsake høy I / O-belastning. I tillegg kan forskjellige sjekksummer sjekkes som TIGER192, SHA-256, SHA-1 eller MD5. Filstørrelse, modus / tillatelse, eier, gruppe, tidsstempel (oppretting / endring / tilgang), inode, antall harde koblinger og koblede bane for symboliske lenker kan også kontrolleres. Verktøyet kan til og med sjekke flere "eksotiske" egenskaper som SELinux-attributter, POSIX ACL-er (på systemer som støtter dem), Linux ext2-filattributter (som angitt av chattr, for eksempel det uforanderlige flagget), og BSD arkivflagg.

En av SamhainDen unike egenskapen er stealth-modus som lar den løpe uten å bli oppdaget av eventuelle angripere. Altfor ofte inntrengere dreper deteksjonsprosesser de kjenner igjen, slik at de kan gå upåaktet hen. Dette verktøyet bruker steganografiteknikker for å skjule prosessene sine for andre. Den beskytter også de sentrale loggfilene og konfigurasjonssikkerhetskopiene med en PGP-nøkkel for å forhindre manipulering. Totalt sett er dette et veldig komplett verktøy som tilbyr mye mer enn bare overvåking av filintegritet.

4. Tripwire File Integrity Manager

Neste er en løsning fra Tripwire, et selskap som har et godt omdømme innen IT-sikkerhet. Og når det gjelder overvåking av filintegritet, Tripwire File Integrity Manager (FIM) har en unik evne til å redusere støy ved å tilby flere måter å luke ut endringer med lav risiko fra høyrisiko mens de vurderer, prioriterer og avstemmer oppdagede endringer. Ved automatisk å markedsføre flere forretningsendringer som vanlig, reduserer verktøyet støyen, slik at du har mer tid til å undersøke endringer som virkelig kan påvirke sikkerheten og innføre risiko. Tripwire FIM bruker agenter for kontinuerlig å fange komplette hvem, hva og når detaljer i sanntid. Dette hjelper deg med å sikre at du oppdager alle endringer, fanger opp detaljer om hver enkelt og bruker disse detaljene for å bestemme sikkerhetsrisikoen eller manglende overholdelse.

Tripwire gir deg muligheten til å integrere File Integrity Manager med mange av dine sikkerhetskontroller: sikkerhetskonfigurasjonsadministrasjon (SCM), loggstyring og SIEM-verktøy. Tripwire FIM legger til komponenter som merker og administrerer dataene fra disse kontrollene mer intuitivt og på måter som bedre beskytter data. For eksempel Rammeverk for arrangement (EIF) legger til verdifulle endringsdata fra File Integrity Manager til Tripwire Log Center eller nesten hvilken som helst annen SIEM. Med EIF og andre grunnleggende Tripwire sikkerhetskontroller, kan du enkelt og effektivt administrere sikkerheten til IT-infrastrukturen din.

Tripwire File Integrity Manager bruker automatisering for å oppdage alle endringer og for å avhjelpe dem som tar en konfigurasjon ut av policyen. Det kan integreres med eksisterende billettsystemer for endring som BMC middel, HP Servicesenter eller Service nå, gir mulighet for rask revisjon. Dette sikrer også sporbarhet. Videre utløser automatiserte varsler brukertilpassede svar når en eller flere spesifikke endringer når en alvorlighetsgrense som en endring alene ikke ville føre til. For eksempel en mindre innholdsendring ledsaget av en tillatelsesendring som ble gjort utenfor et planlagt endringsvindu.

5. AFICK (En annen filintegritetssjekker)

Neste er et åpen kildekodeverktøy fra utvikler Eric Gerbier som heter AFICK (En annen filintegritetssjekker). Selv om verktøyet hevder å tilby lignende funksjonalitet som Tripwire, er det et mye råere produkt, mye i tråd med tradisjonell open source-programvare. Verktøyet kan overvåke endringer i filsystemene det ser på. Den støtter flere plattformer som Linux (SUSE, Redhat, Debian og mer), Windows, HP Tru64 Unix, HP-UX og AIX. Programvaren er designet for å være rask og bærbar, og den kan fungere hvilken som helst på hvilken som helst datamaskin som støtter Perl og dens standardmoduler.

Når det gjelder AFICKFunksjonalitet, her er en oversikt over hovedfunksjonene. Verktøyet er enkelt å installere og krever ikke sammenstilling eller installasjon av mange avhengigheter. Det er også et raskt verktøy, delvis på grunn av den lille størrelsen. Til tross for den lille størrelsen, vil den vise nye, slettede og modifiserte filer samt eventuelle dinglende lenker. Den bruker en enkel tekstbasert konfigurasjonsfil som støtter unntak og jokere og bruker en syntaks som er veldig lik Tripwires eller Aide. Både et Tk-basert grafisk brukergrensesnitt og et webmin-basert webgrensesnitt er tilgjengelige hvis du heller vil holde deg unna et kommandolinjeværktøy.

AFICK (En annen filintegritetssjekker) er helt skrevet i Perl for portabilitet og tilgang til kilder. Og siden den er åpen kildekode (utgitt under GNU General Public License), står du fritt til å legge til funksjonalitet til det som det passer seg. Verktøyet bruker MD5 til sitt kontrollsumbehov da det er raskt og det er innebygd i alle Perl-distribusjoner og i stedet for å bruke en klar tekstdatabase, brukes dbm.

6. AIDE (Avansert inntrengingsdeteksjonsmiljø)

Til tross for et ganske misvisende navn, AIDE (Avansert inntrengingsdeteksjonsmiljø) er faktisk en fil- og katalogintegritetssjekker. Det fungerer ved å lage en database fra regulære uttrykksregler som den finner fra konfigurasjonsfilen. Når databasen er initialisert, bruker den den for å bekrefte integriteten til filer. Verktøyet bruker flere meldingsfordøyelsesalgoritmer som kan brukes til å sjekke integriteten til filene. Videre kan alle de vanlige filattributtene sjekkes for uoverensstemmelser. Den kan også lese databaser fra eldre eller nyere versjoner.

Feature-klok, ASSISTENT er rater komplett. Den støtter flere meldingsfordøyelsesalgoritmer som md5, sha1, rmd160, tiger, crc32, sha256, sha512 og boblebad. Verktøyet kan sjekke flere filattributter inkludert Filtype, Tillatelser, Inode, Uid, Gid, Koblingsnavn, Størrelse, Blokkertall, Antall lenker, Mtime, Ctime og Atime. Det kan også støtte Posix ACL, SELinux, XAttrs og Utvidet filsystemattributter. For enkelhets skyld bruker verktøyet konfigurasjonsfiler for ren tekst i tillegg til en ren tekstdatabase. En av de mest interessante funksjonene er støtten til kraftig vanlig uttrykk som lar deg selektivt inkludere eller ekskludere filer og kataloger som skal overvåkes. Denne funksjonen alene gjør det til et veldig allsidig og fleksibelt verktøy.

Produktet, som har eksistert siden 1999, er fremdeles aktivt utviklet, og den siste versjonen (0.16.2) er bare noen måneder gammel. Den er tilgjengelig under GNUs allmenne lisens, og den vil kjøres på de fleste moderne varianter av Linux.

7. Qualys File Integrity Monitoring

Qualys File Integrity Monitoring fra sikkerhetsgiganten Qualys er en "skyløsning for å oppdage og identifisere kritiske endringer, hendelser og risikoer som følge av normale og ondsinnede hendelser." Den følger med ut-av-boksen-profiler som er basert på bransjens beste praksis og anbefalte leverandører av retningslinjer for vanlige krav til overholdelse og revisjon, inkludert PCI DSS.

Qualys File Integrity Monitoring oppdager endringer effektivt i sanntid ved å bruke lignende tilnærminger som brukes i antivirus-teknologier. Endringsvarsler kan opprettes for hele katalogstrukturer eller på filnivå. Verktøyet bruker eksisterende OS-kjernesignaler for å identifisere tilgjengelige filer, i stedet for å stole på beregningsintensive tilnærminger. Produktet kan oppdage oppretting eller fjerning av filer eller kataloger, gi nytt navn til filer eller kataloger, endringer i filattributter, endringer i fil- eller katalogsikkerhetsinnstillinger som tillatelser, eierskap, arv og revisjon eller endringer i fildata som er lagret på disk.

Det er et flerlagd produkt. De Qualys Cloud Agent overvåker kontinuerlig filene og katalogene som er spesifisert i overvåkningsprofilen din, og den fanger inn viktige data til hjelpe deg med å identifisere hva som endret seg sammen med miljødetaljer, for eksempel hvilken bruker og hvilken prosess som var involvert i endring. Den sender deretter dataene til Qualys Cloud Platform for analyse og rapportering. En av fordelene med denne tilnærmingen er at den fungerer på samme måte enten systemene er lokale, i skyen eller fjerntliggende.

File Integrity Monitoring kan enkelt aktiveres på din eksisterende Qualys Agents, og start overvåking for endringer lokalt med minimal innvirkning på endepunktet. De Qualys Cloud Platform lar deg enkelt skalere til de største miljøene. Effektpåvirkning på de overvåkede sluttpunktene minimeres ved å effektivt overvåke for filendringer lokalt og sende dataene til Qualys Cloud Platform der alt det tunge arbeidet med analyse og korrelasjon skjer. Når det gjelder Qualys Cloud Agent, det er selvoppdatering og selvhelbredelse, holder seg oppdatert uten behov for å starte på nytt.