7 najlepší softvér na monitorovanie integrity súborov (preskúmanie roku 2020)

Bezpečnosť IT je horúcou témou. V správach sa objavujú príbehy o narušení bezpečnosti, krádeži údajov alebo ransomware. Niektorí budú tvrdiť, že všetky tieto skutočnosti sú len znamením našej doby, ale nemení to skutočnosť, že keď ste poverená udržiavaním akéhokoľvek druhu IT prostredia, ochrana proti takýmto hrozbám je dôležitou súčasťou internetu práce.

Z tohto dôvodu sa softvér File Integrity Monitoring (FIM) stal takmer nevyhnutným nástrojom pre každú organizáciu. Jeho primárnym účelom je zabezpečiť, aby sa rýchlo zistila akákoľvek neoprávnená alebo neočakávaná zmena súboru. Môže pomôcť zlepšiť celkovú bezpečnosť údajov, ktorá je dôležitá pre každú spoločnosť a nemala by sa ignorovať.

Dnes začneme krátkym sledovaním sledovania integrity súborov. Urobíme, čo bude v našich silách, aby sme jednoduchým spôsobom vysvetlili, čo to je a ako to funguje. Taktiež sa pozrieme na to, kto by ho mal používať. Pravdepodobne nebude veľkým prekvapením, keď zistíme, že z toho môže mať úžitok niekto, a uvidíme, ako a prečo. Akonáhle sme všetci na tej istej stránke o monitorovaní integrity súborov, sme pripravení skočiť do jadra tohto príspevku a stručne si preštudovať niektoré z najlepších nástrojov, ktoré trh ponúka.

Čo je monitorovanie integrity súborov?

Monitorovanie integrity súborov je v jadre kľúčovým prvkom procesu riadenia bezpečnosti IT. Hlavnou koncepciou je zabezpečiť, aby sa zaúčtovala každá zmena v systéme súborov a aby sa rýchlo zistila akákoľvek neočakávaná zmena.

Zatiaľ čo niektoré systémy ponúkajú monitorovanie integrity súborov v reálnom čase, má tendenciu mať väčší vplyv na výkon. Z tohto dôvodu sa často uprednostňuje systém založený na snímkach. Funguje tak, že v pravidelných intervaloch urobí snímku systému súborov a porovná ho s predchádzajúcim alebo s predtým stanovenou základnou líniou. Bez ohľadu na to, ako detekcia funguje (v reálnom čase alebo nie), akákoľvek zistená zmena, ktorá naznačuje nejaký druh neoprávneného prístupu alebo škodlivej činnosti (napríklad náhla zmena vo veľkosti súboru alebo prístup konkrétneho používateľa alebo skupiny používateľov) a upozornenie je vyvolané a / alebo je vykonaný nejaký proces nápravy alebo nápravy vypustený. Môže sa pohybovať od otvorenia výstražného okna po obnovenie pôvodného súboru zo zálohy alebo blokovania prístupu k ohrozenému súboru.

Pre koho je sledovanie integrity súborov?

Rýchla odpoveď na túto otázku je ktokoľvek. Skutočne, každá organizácia môže mať úžitok z používania softvéru na monitorovanie integrity súborov. Mnohí sa však rozhodnú používať ho, pretože sa nachádzajú v situácii, keď sú povinní. Napríklad softvér na monitorovanie integrity súborov je vyžadovaný alebo silne označený určitými regulačnými rámcami, ako sú PCI DSS, Sarbanes-Oxley alebo HIPAA. Konkrétne, ak ste vo finančnom alebo zdravotnom sektore, alebo ak spracúvate platobné karty, monitorovanie integrity súborov je skôr požiadavkou než možnosťou.

Podobne, hoci to nemusí byť povinné, každá organizácia zaoberajúca sa citlivými informáciami by mala dôrazne zvážiť softvér na monitorovanie integrity súborov. Či už ukladáte klientske údaje alebo obchodné tajomstvá, pri používaní týchto typov nástrojov existuje zrejmá výhoda. Mohlo by vás to zachrániť pred všetkými druhmi nešťastí.

Monitorovanie integrity súborov však nie je len pre veľké organizácie. Aj keď veľké podniky aj stredné podniky si zvyčajne uvedomujú dôležitosť softvéru na monitorovanie integrity súborov, mali by to určite zvážiť aj malé podniky. Platí to najmä vtedy, ak vezmete do úvahy, že existujú nástroje na monitorovanie integrity súborov, ktoré vyhovujú všetkým potrebám a rozpočtu. V skutočnosti je niekoľko nástrojov na našom zozname bezplatné a open-source.

Najlepšie softvér na monitorovanie integrity súborov

Existuje nespočet nástrojov, ktoré ponúkajú funkciu sledovania integrity súborov. Niektoré z nich sú špecializované nástroje, ktoré v podstate nerobia nič iné. Na druhej strane sú to rozsiahle bezpečnostné riešenia IT, ktoré integrujú monitorovanie integrity súborov spolu s ďalšími funkciami súvisiacimi s bezpečnosťou. Pokúsili sme sa zahrnúť oba druhy nástrojov do nášho zoznamu. Monitorovanie integrity súborov je koniec koncov súčasťou úsilia o správu bezpečnosti IT, ktoré zahŕňa ďalšie funkcie. Prečo teda ísť o integrovaný nástroj?

Mnoho správcov sietí a systémov je oboznámených SolarWinds. Koniec koncov, spoločnosť vyrába niektoré z najlepších nástrojov už asi dvadsať rokov. Jeho hlavný produkt s názvom Monitor výkonu siete SolarWinds sa považuje za jeden z najlepších takýchto nástrojov na trhu. A aby sa veci ešte zlepšili, SolarWinds vydáva tiež bezplatné nástroje, ktoré sa zaoberajú niektorými konkrétnymi úlohami správy siete.

zatiaľ čo SolarWinds nevyrába vyhradený nástroj na monitorovanie integrity súborov, jeho nástroj na zabezpečenie informácií a správu udalostí (SIEM), SolarWinds Security Event Manager, obsahuje veľmi dobrý modul na kontrolu integrity súborov. Tento produkt je určite jedným z najlepších vstupných systémov SIEM na trhu. Tento nástroj má takmer všetko, čo by od nástroja SIEM bolo možné očakávať. To zahŕňa vynikajúce funkcie správy protokolov a korelácie, ako aj pôsobivý mechanizmus podávania správ a samozrejme monitorovanie integrity súborov.

SKÚŠKA ZADARMO:SolarWinds Security Event Manager

Odkaz na stiahnutie:https://www.solarwinds.com/security-event-manager/registration

Pokiaľ ide o monitorovanie integrity súborov, SolarWinds Security Event Manager môže ukázať, ktorí používatelia sú zodpovední za ktoré zmeny súborov. Môže tiež sledovať ďalšie činnosti používateľov a umožňuje vám vytvárať rôzne výstrahy a správy. Na bočnom paneli domovskej stránky nástroja sa zobrazuje, koľko zmien nastalo v hlavičke Správa zmien. Kedykoľvek niečo vyzerá podozrivo a chcete kopať hlbšie, máte možnosť filtrovať udalosti podľa kľúčového slova.

Tento nástroj sa tiež môže pochváliť vynikajúcimi funkciami reakcie na udalosti, ktoré neponechávajú nič potrebné. Napríklad podrobný systém reakcie v reálnom čase bude aktívne reagovať na každú hrozbu. A keďže je založený skôr na správaní ako na podpise, ste chránení pred neznámymi alebo budúcimi hrozbami a útokmi v noci.

Okrem pôsobivého súboru funkcií, SolarWinds Security Event ManagerPrístrojová doska sa určite oplatí diskutovať. Vďaka jeho jednoduchému dizajnu nebudete mať problém nájsť cestu okolo nástroja a rýchlo zistiť anomálie. Od približne 4 500 dolárov je tento nástroj viac ako cenovo dostupný. Ak ju chcete vyskúšať a zistiť, ako to funguje vo vašom prostredí, môžete si stiahnuť bezplatnú plne funkčnú 30-dňovú skúšobnú verziu.

Odkaz na stiahnutie:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, čo je skratka pre Open Source Security, jeden z najznámejších otvorených zdrojov na detekciu narušenia hostiteľa. Výrobok je vo vlastníctve spoločnosti Trend Micro, jedno z vedúcich mien v oblasti IT bezpečnosti a tvorca jedného z najlepších balíkov antivírusovej ochrany. A ak je produkt na tomto zozname, môžete si byť istí, že má veľmi slušnú funkciu monitorovania integrity súborov.

Pri inštalácii na operačné systémy Linux alebo Mac OS sa softvér zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás vždy, keď sa stane niečo čudné. Bude tiež monitorovať a upozorňovať na akýkoľvek neobvyklý pokus o získanie prístupu root. Na počítačoch so systémom Windows tiež systém dohliada na neoprávnené zmeny v registroch, ktoré by mohli byť známkou škodlivej činnosti.

Pokiaľ ide o monitorovanie integrity súborov, OSSEC má špecifickú funkciu s názvom SysCheck. Nástroj je predvolene spustený každých šesť hodín a kontroluje zmeny kontrolných súčtov súborov kľúčov. Modul je navrhnutý tak, aby znížil využitie CPU, čo z neho robí potenciálne dobrú voľbu pre organizácie vyžadujúce riešenie na správu integrity súborov s malým rozmerom.

Vďaka tomu, že ide o systém detekcie narušenia hostiteľa, OSSEC musí byť nainštalovaný na každom počítači (alebo serveri), ktorý chcete chrániť. Toto je hlavná nevýhoda takýchto systémov. K dispozícii je však centralizovaná konzola, ktorá pre ľahšiu správu konsoliduje informácie z každého chráneného počítača. že OSSEC konzola beží iba na operačných systémoch Linux alebo Mac OS. Na ochranu hostiteľov Windows je však k dispozícii agent. Akákoľvek detekcia spustí výstrahu, ktorá sa zobrazí na centralizovanej konzole, zatiaľ čo oznámenia sa budú posielať aj e-mailom.

3. Integrita súborov Samhain

Samhain je bezplatný systém detekcie narušenia hostiteľa, ktorý poskytuje kontrolu integrity súborov a monitorovanie / analýzu protokolových súborov. Okrem toho produkt vykonáva aj detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skryté procesy. Tento nástroj bol navrhnutý na monitorovanie viacerých systémov s rôznymi operačnými systémami s centralizovaným protokolovaním a údržbou. Avšak, Samhain môže byť tiež použitý ako samostatná aplikácia na jednom počítači. Tento nástroj môže bežať na systémoch POSIX, ako sú unix, linux alebo gumák OS. Môže tiež bežať ďalej windows pod Cygwin aj keď v tejto konfigurácii bol testovaný iba monitorovací agent a nie server.

Na počítačoch so systémom Linux Samhain môžu využiť mechanizmus inotify na monitorovanie udalostí systému súborov. V reálnom čase To vám umožní dostávať okamžité upozornenia na zmeny a eliminuje potrebu častých kontrol systému súborov, ktoré môžu spôsobiť vysoké zaťaženie I / O. Okrem toho je možné kontrolovať rôzne kontrolné súčty, napríklad TIGER192, SHA-256, SHA-1 alebo MD5. Môže sa skontrolovať aj veľkosť súboru, režim / povolenie, vlastník, skupina, časové razítko (vytvorenie / úprava / prístup), inode, počet pevných odkazov a prepojená cesta k symbolickým odkazom. Nástroj môže dokonca skontrolovať viac „exotických“ vlastností, ako sú atribúty SELinux, ACL POSIX (v systémoch) ich podpora), atribúty súborov ext2 systému Linux (ako sú nastavené pomocou chattr, ako je napríklad nemenná príznak) a BSD príznaky súborov.

Jeden z SamhainUnikátnou vlastnosťou je jej tajný režim, ktorý umožňuje spustiť ho bez toho, aby ho odhalili prípadní útočníci. Príliš často votrelci zabíjajú detekčné procesy, ktoré rozpoznávajú, čo im umožňuje zostať nepovšimnuté. Tento nástroj používa techniky steganografie na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu. Celkovo je to veľmi kompletný nástroj, ktorý ponúka oveľa viac než len monitorovanie integrity súborov.

4. Tripwire File Integrity Manager

Ďalej je riešením z Tripwire, spoločnosť, ktorá má dobrú povesť v oblasti IT bezpečnosti. A pokiaľ ide o monitorovanie integrity súborov, Integrita súborov Tripwire MANAGER (FIM) má jedinečnú schopnosť znižovať hluk poskytovaním viacerých spôsobov odstraňovania nízkorizikových zmien z vysokorizikových pri posudzovaní, určovaní priorít a zosúladení zistených zmien. Automatickou propagáciou početných zmien, ktoré sú bežné, nástroj znižuje hluk, takže máte viac času na preskúmanie zmien, ktoré môžu skutočne ovplyvniť bezpečnosť a predstavovať riziko. Tripwire FIM využíva agentov na nepretržité zachytávanie úplných údajov o tom, kto, čo a kedy podrobnosti v reálnom čase. Pomáha to zaistiť, aby ste zistili všetky zmeny, zaznamenali podrobnosti o každej z nich a pomocou týchto detailov určili bezpečnostné riziko alebo nesúlad.

Tripwire vám dáva možnosť integrácie Správca integrity súborov s mnohými vašimi ovládacími prvkami zabezpečenia: správa bezpečnostných konfigurácií (SCM), správa protokolov a nástroje SIEM. Tripwire FIM pridáva komponenty, ktoré intuitívnejšie a spôsobom lepšej ochrany údajov označujú a spravujú údaje z týchto ovládacích prvkov. Napríklad Rámec integrácie udalostí (EIF) pridáva cenné údaje o zmene z Správca integrity súborov na Tripwire Log Center alebo takmer akékoľvek iné SIEM. s EIF a ďalšie základné Tripwire Vďaka bezpečnostným kontrolám môžete ľahko a efektívne riadiť bezpečnosť vašej IT infraštruktúry.

Tripwire Správca integrity súborov používa automatizáciu na zistenie všetkých zmien a na nápravu tých, ktoré vyradia konfiguráciu z politiky. Môže sa integrovať do existujúcich systémov predaja lístkov ako Náprava BMC, Stredisko služieb HP alebo Servis teraz, čo umožňuje rýchly audit. To tiež zaisťuje vysledovateľnosť. Okrem toho automatizované výstrahy spúšťajú reakcie prispôsobené používateľom, keď jedna alebo viac konkrétnych zmien dosiahne prah závažnosti, ktorý by jediná zmena nespôsobila. Napríklad menšia zmena obsahu sprevádzaná zmenou povolenia, ktorá sa vykonala mimo plánovaného okna zmien.

5. AFICK (ďalší nástroj na kontrolu integrity súborov)

Ďalej sa volá open-source nástroj od vývojára Eric Gerbier AFICK (ďalší nástroj na kontrolu integrity súborov). Aj keď tento nástroj tvrdí, že ponúka podobné funkcie ako Tripwire, je to omnoho drsnejší produkt, ktorý je v rade tradičných open-source softvérov. Nástroj môže monitorovať akékoľvek zmeny v súborových systémoch, ktoré sleduje. Podporuje rôzne platformy ako Linux (SUSE, Redhat, Debian a ďalšie), Windows, Unix HP Tru64, HP-UX a AIX. Tento softvér je navrhnutý tak, aby bol rýchly a prenosný a môže fungovať na akomkoľvek počítači podporujúcom Perl a jeho štandardné moduly.

Pokiaľ ide o AFICK, Tu je prehľad jeho hlavných funkcií. Tento nástroj sa ľahko inštaluje a nevyžaduje kompiláciu ani inštaláciu mnohých závislostí. Je to tiež rýchly nástroj, čiastočne kvôli svojej malej veľkosti. Napriek svojej malej veľkosti zobrazí nové, odstránené a upravené súbory, ako aj všetky visiace odkazy. Používa jednoduchý textový konfiguračný súbor, ktorý podporuje výnimky a žartíky a používa syntax, ktorá je veľmi podobná Tripwire alebo Aide. Ak by ste radšej zostali mimo príkazového riadku, sú k dispozícii grafické používateľské rozhranie založené na Tk a webové rozhranie založené na webminoch.

AFICK (ďalší nástroj na kontrolu integrity súborov) je kompletne napísaný v jazyku Perl pre prenosnosť a prístup k zdrojom. A keďže ide o open-source (vydaný na základe GNU General Public License), môžete do neho podľa potreby pridať ďalšie funkcie. Nástroj používa MD5 pre potreby kontrolného súčtu, pretože je rýchly a je zabudovaný do všetkých distribúcií Perlu a namiesto použitia prehľadnej textovej databázy sa používa dbm.

6. AIDE (Advanced Intrusion Detection Environment)

Napriek dosť zavádzajúcemu názvu, AIDE (Advanced Intrusion Detection Environment) je vlastne kontrola integrity súborov a adresárov. Funguje tak, že vytvorí databázu z pravidiel regulárnych výrazov, ktoré nájde zo svojho konfiguračného súboru. Po inicializácii databázy ho použije na overenie integrity súborov. Tento nástroj používa niekoľko algoritmov prehľadu správ, ktoré je možné použiť na kontrolu integrity súborov. Okrem toho je možné skontrolovať nekonzistentnosť všetkých obvyklých atribútov súboru. Dokáže čítať aj databázy zo starších alebo novších verzií.

Rys-múdry, AIDE je hodnotiteľ dokončený. Podporuje viacero algoritmov vyhladávania správ, ako sú md5, shal, rmd160, tigrie, crc32, sha256, sha512 a vírivka. Nástroj môže skontrolovať niekoľko atribútov súborov vrátane typu súboru, povolení, inodu, UID, GID, názvu odkazu, veľkosti, počtu blokov, počtu odkazov, Mtime, Ctime a Atime. Môže tiež podporovať atribúty súborového systému Posix ACL, SELinux, XAttrs a Extended. Z dôvodu jednoduchosti tento nástroj používa konfiguračné súbory prostého textu a databázu holých textov. Jednou z najzaujímavejších funkcií je podpora výkonného regulárneho výrazu, ktorá vám umožňuje selektívne zahrnúť alebo vylúčiť sledované súbory a adresáre. Táto vlastnosť z neho robí veľmi univerzálny a flexibilný nástroj.

Produkt, ktorý existuje už od roku 1999, je stále aktívne vyvíjaný a jeho najnovšia verzia (0.16.2) je stará iba niekoľko mesiacov. Je k dispozícii na základe všeobecnej verejnej licencie GNU a bude bežať na najmodernejších variantoch systému Linux.

7. Monitorovanie integrity súborov Qualys

Monitorovanie integrity súborov Qualys od bezpečnostného gigantu Qualys je „cloudové riešenie na zisťovanie a identifikáciu kritických zmien, incidentov a rizík vyplývajúcich z bežných a škodlivých udalostí.“ Je dodávaný s zastarané profily, ktoré sú založené na osvedčených postupoch odvetvia a na pokynoch odporúčaných predajcom, pokiaľ ide o spoločné požiadavky na dodržiavanie predpisov a audit, vrátane PCI DSS.

Monitorovanie integrity súborov Qualys efektívne detekuje zmeny v reálnom čase pomocou podobných prístupov používaných v antivírusových technológiách. Upozornenia na zmeny je možné vytvoriť pre celú štruktúru adresárov alebo na úrovni súborov. Tento nástroj používa na identifikáciu prístupových súborov existujúce signály jadra OS namiesto toho, aby sa spoliehal na výpočtovo náročné prístupy. Produkt môže zistiť vytvorenie alebo odstránenie súborov alebo adresárov, premenovanie súborov alebo adresárov, zmeny atribútov súborov, zmeny nastavení zabezpečenia súborov alebo adresárov, ako sú povolenia, vlastníctvo, dedenie a auditovanie alebo zmeny údajov súboru uložených na serveri. disk.

Je to viacvrstvový produkt. Agent Qualys Cloud nepretržite monitoruje súbory a adresáre uvedené vo vašom monitorovacom profile a zachytáva dôležité údaje pomôže určiť, čo sa zmenilo spolu s podrobnosťami o prostredí, ako napríklad ktorý používateľ a ktorý proces sa zúčastnil procesu nezmení. Potom odošle údaje do Cloudová platforma Qualys na analýzu a podávanie správ. Jednou z výhod tohto prístupu je to, že funguje rovnako bez ohľadu na to, či sú systémy v prevádzke, v cloude alebo na diaľku.

Monitorovanie integrity súborov možno ľahko aktivovať na vašom existujúcom Qualys Apánia začnite lokálne monitorovať zmeny s minimálnym dopadom na sledovaný parameter. Cloudová platforma Qualys umožňuje ľahko škálovať do najväčších prostredí. Vplyv na výkonnosť na monitorovaných koncových bodoch sa minimalizuje účinným monitorovaním lokálnych zmien súborov a odoslaním údajov do systému Cloudová platforma Qualys kde sa vyskytujú všetky náročné analýzy a korelácie. Pokiaľ ide o Agent Qualys Cloud, je to samoaktualizácia a samoliečba, ktorá sa udržiava v aktuálnom stave bez nutnosti reštartu.