7 cele mai bune programe de monitorizare a integrității fișierelor (revizuire 2020)

Securitatea IT este un subiect fierbinte. Știrile izbucnesc de povești despre încălcări de securitate, furt de date sau ransomware. Unii vor susține că toate acestea sunt pur și simplu un semn al timpurilor noastre, dar nu schimbă faptul că atunci când ești sarcina de a menține orice fel de mediu IT, protejarea împotriva acestor amenințări este o parte importantă a loc de munca.

Din acest motiv, software-ul de monitorizare a integrității fișierelor (FIM) a devenit aproape un instrument indispensabil oricărei organizații. Scopul său principal este de a asigura identificarea rapidă a oricărei modificări neautorizate sau neașteptate. Poate ajuta la îmbunătățirea securității datelor generale, care este importantă pentru orice companie și nu ar trebui ignorată.

Astăzi, vom începe să aruncăm o scurtă privire asupra monitorizării integrității fișierelor. Vom face tot posibilul să explicăm în termeni simpli ce este și cum funcționează. Vom analiza, de asemenea, cine ar trebui să-l folosească. Cel mai probabil nu va fi o mare surpriză să aflăm că oricine poate beneficia de asta și vom vedea cum și de ce. Și după ce vom fi cu toții pe aceeași pagină despre monitorizarea integrității fișierelor, vom fi gata să sărăm în miezul acestei postări și să analizăm pe scurt unele dintre cele mai bune instrumente pe care piața le oferă.

Ce este monitorizarea integrității fișierelor?

La baza sa, monitorizarea integrității fișierelor este un element cheie al unui proces de gestionare a securității IT. Conceptul principal din spatele său este să se asigure că orice modificare a unui sistem de fișiere este contabilizată și că orice modificare neașteptată este identificată rapid.

În timp ce unele sisteme oferă monitorizarea integrității fișierelor în timp real, acesta tinde să aibă un impact mai mare asupra performanței. Din acest motiv, de multe ori este preferat un sistem bazat pe instantanee. Funcționează luând o instantanee a unui sistem de fișiere la intervale regulate și comparându-l cu cel precedent sau cu o linie de bază stabilită anterior. Indiferent de modul în care funcționează detectarea (în timp real sau nu), orice modificare detectată care sugerează un fel de acces neautorizat sau de activitate dăunătoare (cum ar fi o modificare bruscă a dimensiunii fișierelor sau accesul unui utilizator sau grup de utilizatori specific) și alerta este crescută și / sau o formă sau un proces de remediere este lansat. Ar putea varia de la deschiderea unei ferestre de alertă până la restaurarea fișierului original dintr-o copie de rezervă sau blocarea accesului la fișierul pe cale de dispariție.

Pentru cine este monitorizată integritatea fișierelor?

Răspunsul rapid la această întrebare este oricine. Într-adevăr, orice organizație poate beneficia de utilizarea software-ului de monitorizare a integrității fișierelor. Cu toate acestea, mulți vor alege să-l folosească, deoarece se află într-o situație în care este mandatat. De exemplu, software-ul de monitorizare a integrității fișierelor este fie necesar, fie indicat puternic de anumite cadre normative precum PCI DSS, Sarbanes-Oxley sau HIPAA. Concret, dacă vă aflați în sectoarele financiare sau de asistență medicală sau dacă prelucrați carduri de plată, Monitorizarea integrității fișierelor este mai mult o cerință decât o opțiune.

De asemenea, deși ar putea să nu fie obligatoriu, orice organizație care se ocupă de informații sensibile ar trebui să ia în considerare software-ul de monitorizare a integrității fișierelor. Indiferent dacă păstrați date despre client sau secrete comerciale, există un avantaj evident în utilizarea acestor tipuri de instrumente. Te-ar putea salva de tot felul de greșeli.

Dar monitorizarea integrității fișierelor nu este doar pentru organizații mari. Deși întreprinderile mari și întreprinderile mijlocii tind deopotrivă să fie conștiente de importanța software-ului de monitorizare a integrității fișierelor, întreprinderile mici ar trebui să le ia în considerare. Acest lucru este valabil în special atunci când țineți cont de faptul că există instrumente de monitorizare a integrității fișierelor care se potrivesc tuturor nevoilor și bugetului. De fapt, mai multe instrumente de pe lista noastră sunt gratuite și open-source.

Cel mai bun software de monitorizare a integrității fișierelor

Există nenumărate instrumente care oferă funcționalitate de monitorizare a integrității fișierelor. Unele dintre ele sunt instrumente dedicate care practic nu fac altceva. Unele, pe de altă parte, sunt o soluție largă de securitate IT care integrează monitorizarea integrității fișierelor împreună cu alte funcționalități legate de securitate. Am încercat să includem ambele tipuri de instrumente pe lista noastră. La urma urmei, Monitorizarea integrității fișierelor este adesea parte a unui efort de gestionare a securității IT care include și alte funcții. De ce să nu vă adresați un instrument integrat, atunci.

Mulți administratori de rețea și sistem sunt familiarizați cu SolarWinds. La urma urmei, compania face unele dintre cele mai bune instrumente de aproximativ douăzeci de ani. Produsul său principal, numit " Monitorul de performanță al rețelei SolarWinds este considerat unul dintre cele mai bune astfel de instrumente de pe piață. Și ca lucrurile să fie și mai bune, SolarWinds de asemenea, publică instrumente gratuite care se adresează unor sarcini specifice ale administrațiilor de rețea.

In timp ce SolarWinds nu creează un instrument dedicat de monitorizare a integrității fișierelor, instrumentul său de securitate și gestionare a evenimentelor (SIEM), instrumentul Manager de evenimente de securitate SolarWinds, include un modul de monitorizare a integrității fișierelor foarte bun. Acest produs este cu siguranță unul dintre cele mai bune sisteme SIEM la nivel de intrare de pe piață. Instrumentul are aproape tot ce s-ar putea aștepta de la un instrument SIEM. Aceasta include managementul jurnalului și caracteristicile corelării excelente, precum și un motor impresionant de raportare și, desigur, monitorizarea integrității fișierelor.

ÎNCERCARE GRATUITĂ:Manager de evenimente de securitate SolarWinds

Link oficial de descărcare:https://www.solarwinds.com/security-event-manager/registration

Când vine vorba de monitorizarea integrității fișierului, Manager de evenimente de securitate SolarWinds pot arăta ce utilizatori sunt responsabili pentru ce modificări de fișiere. De asemenea, poate urmări activități suplimentare ale utilizatorului, permițându-vă să creați diverse alerte și rapoarte. Bara laterală a paginii de pornire a instrumentului poate afișa câte evenimente de schimbare au avut loc sub antetul Gestiune modificări. Ori de câte ori ceva pare suspect și doriți să săpați mai adânc, aveți opțiunea de a filtra evenimentele după cuvinte cheie.

Instrumentul are, de asemenea, caracteristici excelente de răspuns la eveniment, care nu lasă nimic de dorit. De exemplu, sistemul de răspuns detaliat în timp real va reacționa activ la fiecare amenințare. Și din moment ce se bazează pe comportament și nu pe semnătură, sunteți protejat împotriva amenințărilor necunoscute sau viitoare și a atacurilor de o zi zero.

În plus față de un set impresionant de caracteristici, Manager de evenimente de securitate SolarWindsTabloul de bord merită discutat. Prin designul său simplu, nu veți avea probleme în a vă găsi drumul în jurul instrumentului și a identifica rapid anomaliile. Începând cu aproximativ 4 500 USD, instrumentul este mai mult decât accesibil. Și dacă doriți să-l încercați și să vedeți cum funcționează în mediul dvs., o versiune gratuită completă funcțională de încercare de 30 de zile este disponibilă pentru descărcare.

Link oficial de descărcare:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, care reprezintă Open Source Security, unul dintre cele mai cunoscute sisteme de detectare a intruziunilor bazate pe gazdă open source. Produsul este deținut de Trend Micro, unul dintre numele de frunte în securitatea IT și producătorul unuia dintre cele mai bune apartamente de protecție împotriva virusului. Și dacă produsul se află pe această listă, fiți siguri că are și o funcționalitate foarte decentă de monitorizare a integrității fișierelor.

Când este instalat pe sistemele de operare Linux sau Mac OS, software-ul se concentrează în principal pe fișierele de jurnal și de configurare. Creează sume de verificare a fișierelor importante și le validă periodic, avertizându-vă ori de câte ori se întâmplă ceva ciudat. De asemenea, va monitoriza și avertiza orice încercare anormală de a obține accesul root. Pe gazdele Windows, sistemul urmărește, de asemenea, modificările neautorizate ale registrului, care ar putea fi un semn martor al activității dăunătoare.

Când vine vorba de monitorizarea integrității fișierelor, OSSEC are o funcționalitate specifică numită Syscheck. Instrumentul rulează în mod implicit la fiecare șase ore și verifică modificări ale sumelor de verificare ale fișierelor cheie. Modulul este conceput pentru a reduce utilizarea procesorului, ceea ce îl face o opțiune potențial bună pentru organizațiile care necesită o soluție de gestionare a integrității fișierelor cu o mică amprentă.

Fiind un sistem de detectare a intruziunilor bazat pe gazdă, OSSEC trebuie să fie instalat pe fiecare computer (sau server) pe care doriți să îl protejați. Acesta este principalul dezavantaj al acestor sisteme. Cu toate acestea, este disponibilă o consolă centralizată care consolidează informațiile de la fiecare computer protejat pentru o gestionare mai ușoară. Acea OSSEC consola rulează numai pe sistemele de operare Linux sau Mac OS. Cu toate acestea, un agent este disponibil pentru a proteja gazdele Windows. Orice detectare va declanșa o alertă care va fi afișată pe consola centralizată, în timp ce notificările vor fi trimise și prin e-mail.

3. Integritatea fișierului Samhain

Samhain este un sistem gratuit de detectare a intruziunilor de gazdă care oferă verificarea integrității fișierelor și monitorizarea / analiza fișierelor de jurnal. În plus, produsul realizează, de asemenea, detectarea rootkit, monitorizarea porturilor, detectarea executărilor SUID necinstite și procese ascunse. Acest instrument a fost proiectat pentru a monitoriza mai multe sisteme cu diferite sisteme de operare cu logare și întreținere centralizate. In orice caz, Samhain poate fi de asemenea utilizat ca o aplicație de sine stătătoare pe un singur computer. Instrumentul poate rula pe sisteme POSIX, de exemplu Unix, Linux sau Mac OS. De asemenea, poate continua ferestre sub Cygwin deși a fost testat doar agentul de monitorizare și nu serverul în configurația respectivă.

Pe gazdele Linux, Samhain poate folosi mecanismul de inotificare pentru a monitoriza evenimentele sistemului de fișiere. În timp real Acest lucru vă permite să primiți notificări imediate cu privire la modificări și elimină nevoia de scanări frecvente ale sistemului de fișiere care pot provoca o încărcare I / O ridicată. În plus, se pot verifica diverse sume de control, cum ar fi TIGER192, SHA-256, SHA-1 sau MD5. Mărimea fișierului, modul / permisiunea, proprietarul, grupul, timestamp (creare / modificare / acces), inode, numărul de legături tari și calea legată a legăturilor simbolice pot fi de asemenea verificate. Instrumentul poate verifica chiar mai multe proprietăți „exotice”, cum ar fi atributele SELinux, ACL-urile POSIX (pe sisteme) sprijinirea acestora), atributele fișierului Linux ext2 (setate de chattr, cum ar fi steagul imutabil) și BSD stegulețe de fișier.

Unul dintre SamhainCaracteristica unică este modul său sigur, care îi permite să ruleze fără a fi detectat de eventuali atacatori. Prea des intruși ucid procesele de detectare pe care le recunosc, permițându-le să treacă neobservate. Acest instrument folosește tehnici de steganografie pentru a-și ascunde procesele de alții. De asemenea, protejează fișierele de jurnal centrale și copiile de rezervă de configurare cu o cheie PGP pentru a preveni modificarea. În general, acesta este un instrument foarte complet care oferă mult mai mult decât o simplă monitorizare a integrității fișierelor.

4. Manager de integritate fișiere Tripwire

Următoarea este o soluție din Tripwire, o companie care se bucură de o reputație solidă în securitatea IT. Și când vine vorba de monitorizarea integrității fișierelor, Integritatea fișierului Tripwire Manager (FIM) are o capacitate unică de a reduce zgomotul prin furnizarea mai multor modalități de eliminare a schimbărilor cu risc scăzut de la cele cu risc ridicat în timp ce evaluează, prioritizează și împacă modificările detectate. Prin promovarea automată a numeroase schimbări de afaceri, ca de obicei, instrumentul reduce zgomotul, astfel încât să aveți mai mult timp pentru a investiga modificările care pot afecta cu adevărat securitatea și pot introduce riscuri. Tripwire FIM folosește agenții pentru a captura continuu cine, ce și când detaliile în timp real. Acest lucru vă ajută să vă detectați toate schimbările, să capturați detalii despre fiecare și să utilizați aceste detalii pentru a determina riscul de securitate sau nerespectarea acestora.

Tripwire îți oferă capacitatea de a te integra Manager de integritate fișiere cu multe dintre controalele dvs. de securitate: gestionarea configurației de securitate (SCM), gestionarea jurnalului și instrumente SIEM. Tripwire FIM adaugă componente care etichetează și gestionează datele din aceste controale mai intuitiv și în moduri care protejează mai bine datele. De exemplu, Cadrul de integrare a evenimentelor (FEI) adaugă date de schimbare valoroase din Manager de integritate fișiere la Tripwire Log Center sau aproape orice alt SIEM. Cu FEI și alte fundații Tripwire controale de securitate, puteți gestiona ușor și eficient securitatea infrastructurii IT.

Tripwire Manager de integritate fișiere utilizează automatizarea pentru a detecta toate modificările și pentru a remedia cele care iau o configurație din politică. Se poate integra cu sistemele de ticketing cu modificări existente, cum ar fi Remediu BMC, HP Service Center sau Serviciu acum, permițând auditul rapid. Acest lucru asigură, de asemenea, trasabilitatea. Mai mult, alertele automate declanșează răspunsuri personalizate de utilizator atunci când una sau mai multe modificări specifice ating un prag de severitate pe care o singură modificare nu l-ar cauza. De exemplu, o modificare minoră de conținut însoțită de o modificare a permisiunii care a fost făcută în afara unei ferestre de modificare planificate.

5. AFICK (Un alt verificator de integritate a fișierelor)

Următorul este numit un instrument open-source de la dezvoltatorul Eric Gerbier AFICK (Un alt verificator de integritate a fișierelor). Deși instrumentul susține că oferă o funcționalitate similară cu Tripwire, este un produs mult mai crud, mult în linia software-ului tradițional open-source. Instrumentul poate monitoriza orice modificare a sistemelor de fișiere pe care le urmărește. Acceptă mai multe platforme precum Linux (SUSE, Redhat, Debian și altele), Windows, HP Tru64 Unix, HP-UX și AIX. Software-ul este proiectat pentru a fi rapid și portabil și poate funcționa pe orice computer care acceptă Perl și modulele sale standard.

cât despre AFICKFuncționalitatea, iată o imagine de ansamblu asupra principalelor sale caracteristici. Instrumentul este ușor de instalat și nu necesită nicio compilare sau instalarea mai multor dependențe. Este, de asemenea, un instrument rapid, datorat în parte dimensiunilor sale mici. În ciuda dimensiunilor reduse, acesta va afișa fișiere noi, șterse și modificate, precum și orice link-uri. Utilizează un fișier simplu de configurare bazat pe text, care acceptă excepții și glume și folosește o sintaxă care este foarte asemănătoare cu Tripwire sau Aide. Atât o interfață de utilizator grafică bazată pe Tk, cât și o interfață web bazată pe webmin sunt disponibile dacă preferați să stați departe de un instrument de linie de comandă.

AFICK (Un alt verificator de integritate a fișierelor) este scris în întregime în Perl pentru portabilitate și acces la sursă. Și având în vedere că este open-source (lansat sub licența publică generală GNU), puteți să adăugați funcționalitate după cum considerați de cuviință. Instrumentul folosește MD5 pentru nevoile sale de control, deoarece este rapid și este încorporat în toate distribuțiile Perl și în loc să folosească o bază de date cu text clar, dbm este utilizat.

6. AIDE (Mediu avansat de detectare a intruziunilor)

În ciuda unui nume destul de înșelător, AIDE (Mediu avansat de detectare a intruziunilor) este de fapt un fișier și verificator de integritate a directorului. Funcționează prin crearea unei baze de date din regulile de expresie obișnuite pe care le găsește din fișierul său de configurare. Odată inițializată baza de date, o folosește pentru a verifica integritatea fișierelor. Instrumentul folosește mai mulți algoritmi de digerare a mesajelor care pot fi folosiți pentru a verifica integritatea fișierelor. În plus, toate atributele uzuale ale fișierului pot fi verificate pentru a exista neconcordanțe. De asemenea, poate citi baze de date din versiuni mai vechi sau mai noi.

Element-înțelept, AIDE este complet rater. Acceptă algoritmi de digerare a mai multor mesaje, cum ar fi md5, sha1, rmd160, tiger, crc32, sha256, sha512 și jacuzzi. Instrumentul poate verifica mai multe atribute de fișiere, inclusiv tipul fișierului, Permisiunile, Inode, Uid, Gid, Numele linkului, Mărimea, Numărul de blocuri, Numărul de legături, Mime, Ctime și Atime. De asemenea, poate suporta atributele Posix ACL, SELinux, XAttrs și Extended file system. Din motive de simplitate, instrumentul folosește fișiere de configurare a textului simplu, precum și o bază de date cu text simplu. Una dintre cele mai interesante caracteristici este suportul său de expresie regulată puternică care vă permite să includeți sau să excludeți selectiv fișierele și directoarele care trebuie monitorizate. Această caracteristică singură o face un instrument foarte versatil și flexibil.

Produsul care se află în jurul anului 1999 este încă dezvoltat activ, iar cea mai recentă versiune (0.16.2) are doar câteva luni. Este disponibil sub licența publică generală GNU și va funcționa pe majoritatea variantelor moderne de Linux.

7. Calitatea monitorizării integrității fișierelor

Calitatea monitorizării integrității fișierelor de la uriașul securității Qualys este o „soluție cloud pentru detectarea și identificarea schimbărilor, incidentelor și riscurilor critice rezultate din evenimente normale și răuvoitoare.” Vine cu profiluri excepționale care se bazează pe cele mai bune practici ale industriei și pe linii directoare recomandate de furnizori pentru respectarea cerințelor comune de conformitate și audit, inclusiv PCI DSS.

Calitatea monitorizării integrității fișierelor detectează eficient modificările în timp real, folosind abordări similare utilizate în tehnologiile antivirus. Notificările de modificare pot fi create pentru structuri de director întregi sau la nivel de fișier. Instrumentul folosește semnalele de nucleu OS existente pentru a identifica fișierele accesate, în loc să se bazeze pe abordări intensiv în calcul. Produsul poate detecta crearea sau eliminarea fișierelor sau directoarelor, redenumirea fișierelor sau directoarelor, modificările atributelor fișierelor, modificări la setările de securitate pentru fișiere sau directoare, cum ar fi permisiuni, proprietate, moștenire și audit sau modificări ale datelor de fișiere stocate pe disc.

Este un produs cu mai multe niveluri. Agentul Qualys Cloud monitorizează continuu fișierele și directoarele specificate în profilul dvs. de monitorizare și captează datele critice la care ajută la identificarea a ceea ce s-a schimbat împreună cu detaliile despre mediu, cum ar fi ce utilizator și ce proces a fost implicat în Schimbare. Apoi trimite datele către Platforma Cloud Qualys pentru analiză și raportare. Unul dintre avantajele acestei abordări este acela că funcționează la fel dacă sistemele sunt la fața locului, în cloud sau la distanță.

Monitorizarea integrității fișierelor poate fi ușor activată pe dispozitivul dvs. existent Qualys Agentsși începeți monitorizarea modificărilor la nivel local, cu impact minim până la final. Platforma Cloud Qualys vă permite să vă extindeți cu ușurință la cele mai mari medii. Impactul performanței asupra obiectivelor monitorizate este redus la minimum prin monitorizarea eficientă a modificărilor fișierelor la nivel local și trimiterea datelor către Platforma Cloud Qualys unde au loc toate lucrările grele de analiză și corelație. cât despre Agentul Qualys Cloud, se autoactualizează și se auto-vindecă, menținându-se la curent fără a fi nevoie să reporniți.