Najboljša programska oprema za spremljanje integritete datotek (pregled 2020)

Varnost IT je vroča tema. Novica je polna zgodb o kršitvah varnosti, kraji podatkov ali izsiljevanju. Nekateri bodo trdili, da so vse to le znak našega časa, vendar to ne spremeni dejstva, da je naloga vzdrževanja kakršnega koli IT-okolja, zaščita pred takšnimi grožnjami pa je pomemben del tega programa službo.

Zaradi tega je programska oprema File Integrity Monitoring (FIM) skoraj postala nepogrešljivo orodje za vse organizacije. Njegov glavni namen je zagotoviti hitro prepoznavanje vsake nepooblaščene ali nepričakovane spremembe datoteke. Pomaga lahko izboljšati splošno varnost podatkov, kar je pomembno za vsako podjetje in ga ne smemo prezreti.

Danes bomo začeli s kratkim pogledom na Nadzor integritete datotek. Potrudili se bomo, da na preprost način razložimo, kaj je to in kako deluje. Ogledali si bomo tudi, kdo naj ga uporablja. Najverjetneje ne bo veliko presenečenje, če bomo ugotovili, da ima kdo od tega koristi, in videli bomo, kako in zakaj. In ko bomo vsi na isti strani o nadzoru integritete datotek, bomo pripravljeni skočiti v jedro te objave in na kratko pregledati nekaj najboljših orodij, ki jih trg lahko ponudi.

Kaj je nadzor integritete datotek?

Nadzor celovitosti datotek je v bistvu ključni element procesa upravljanja varnosti IT. Glavni koncept je zagotoviti, da se upošteva vsaka sprememba datotečnega sistema in da se hitro prepoznajo vse nepričakovane spremembe.

Medtem ko nekateri sistemi ponujajo spremljanje integritete datotek v realnem času, ima ponavadi večji vpliv na zmogljivost, zato je pogosto prednost sistem, ki temelji na posnetkih. Deluje tako, da v rednih intervalih posname posnetek datotečnega sistema in ga primerja s prejšnjim ali s predhodno vzpostavljeno osnovno linijo. Ne glede na to, kako delujejo funkcije zaznavanja (v realnem času ali ne), vsaka odkrita sprememba, ki nakazuje na nekakšen nepooblaščen dostop ali zlonamerno dejavnost (npr. nenadna sprememba velikosti datoteke ali dostop določenega uporabnika ali skupine uporabnikov) in opozorilo se sproži in / ali je v obliki ali postopku popravljanja lansiran. Lahko sega od pojavljanja opozorilnega okna do obnovitve izvirne datoteke iz varnostne kopije ali blokiranja dostopa do ogrožene datoteke.

Za koga je namenjen nadzor integritete datotek?

Hiter odgovor na to vprašanje je kdorkoli. Resnično lahko vsaka organizacija izkoristi uporabo programske opreme File Integrity Monitoring. Vendar se bodo mnogi odločili, da jo bodo uporabili, ker so v položaju, ko je to pooblaščeno. Na primer, programsko opremo za spremljanje integritete datotek bodisi zahtevajo ali močno označijo določeni regulativni okviri, kot so PCI DSS, Sarbanes-Oxley ali HIPAA. Če gre za finančni ali zdravstveni sektor ali če obdelujete plačilne kartice, je nadzor integritete datotek bolj kot možnost.

Čeprav to morda ni obvezno, mora vsaka organizacija, ki se ukvarja z občutljivimi informacijami, močno upoštevati programsko opremo File Integrity Monitoring. Ne glede na to, ali shranjujete podatke o strankah ali poslovne skrivnosti, je očitna prednost pri uporabi teh vrst orodij. To bi vas lahko rešilo pred vsemi nesrečami.

Toda nadzor integritete datotek ni samo za velike organizacije. Čeprav se velika podjetja in srednje velika podjetja ponavadi zavedajo pomena programske opreme za nadzor integritete datotek, bi jo morala tudi mala podjetja upoštevati. To še posebej velja, če upoštevate, da obstajajo orodja za spremljanje integritete datotek, ki ustrezajo vsem potrebam in proračunom. Dejansko je več orodij na našem seznamu brezplačnih in odprtokodnih.

Najboljša programska oprema za spremljanje integritete datotek

Obstaja nešteto orodij, ki ponujajo funkcijo spremljanja integritete datotek. Nekateri od njih so namenska orodja, ki v bistvu ne delajo nič drugega. Nekateri pa so široka varnostna rešitev IT, ki vključuje nadzor integritete datotek skupaj z drugimi varnostnimi funkcijami. Na naš seznam smo poskušali vključiti obe vrsti orodij. Konec koncev je nadzor integritete datotek pogosto del prizadevanja za upravljanje varnosti IT, ki vključuje druge funkcije. Zakaj potem ne bi šli za integrirano orodje.

Mnogi skrbniki omrežij in sistemov so seznanjeni SolarWinds. Navsezadnje podjetje izdeluje nekaj najboljših orodij že približno dvajset let. Njegov vodilni izdelek, imenovan the Monitor zmogljivosti SolarWinds velja za eno najboljših tovrstnih orodij na trgu. In da bodo stvari še boljše, SolarWinds objavlja tudi brezplačna orodja, ki obravnavajo nekatere posebne naloge omrežne administracije.

Medtem SolarWinds ne oblikuje namenskega orodja za spremljanje celovitosti datotek, orodja za varnostne informacije in upravljanje dogodkov (SIEM), SolarWinds Security Event Manager, vključuje zelo dober modul za spremljanje integritete datotek. Ta izdelek je vsekakor eden najboljših SIEM sistemov začetnega nivoja na trgu. Orodje ima skoraj vse, kar bi pričakovali od orodja SIEM. Sem spadajo odlične funkcije upravljanja in korelacije dnevnikov, pa tudi impresiven mehanizem poročanja in seveda spremljanje integritete datotek.

BREZPLAČEN PREIZKUS:SolarWinds Security Event Manager

Uradna povezava za prenos:https://www.solarwinds.com/security-event-manager/registration

Ko gre za spremljanje integritete datotek, je SolarWinds Security Event Manager lahko pokaže, kateri uporabniki so odgovorni za spremembe datotek. Prav tako lahko spremlja dodatne dejavnosti uporabnikov, kar vam omogoča ustvarjanje različnih opozoril in poročil. Na stranski vrstici orodja se lahko prikaže, koliko dogodkov sprememb se je zgodilo pod naslovom Upravljanje sprememb. Kadarkoli je nekaj videti sumljivo in želite kopati globlje, imate možnost filtriranja dogodkov po ključnih besedah.

Orodje se ponaša tudi z odličnimi funkcijami odzivanja na dogodke, ki ne puščajo ničesar želenega. Na primer, podroben sistem odzivanja v realnem času bo aktivno reagiral na vsako grožnjo. In ker temelji na vedenju in ne na podpisu, ste zaščiteni pred neznanimi ali prihodnjimi grožnjami in napadi brez dneva.

Poleg impresivnega nabora funkcij SolarWinds Security Event ManagerO nadzorni plošči je vsekakor vredno razpravljati. S svojim preprostim dizajnom ne boste imeli težav z iskanjem orodja in hitro prepoznavanjem nepravilnosti. Orodje je od približno 4 500 dolarjev več kot cenovno ugodno. Če ga želite preizkusiti in videti, kako deluje v vašem okolju, je za prenos na voljo brezplačna popolnoma funkcionalna 30-dnevna preskusna različica.

Uradna povezava za prenos:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC, kar pomeni Open Source Security, enega najbolj znanih odprtokodnih sistemov za odkrivanje vdorov na gostiteljski osnovi. Izdelek je last Trend Micro, eno vodilnih imen v IT-varnosti in proizvajalec enega najboljših paketov za zaščito pred virusi. Če je izdelek na tem seznamu, bodite prepričani, da ima tudi zelo spodobno funkcijo spremljanja integritete datotek.

Programska oprema se pri namestitvi v operacijske sisteme Linux ali Mac OS osredotoča predvsem na dnevnike in konfiguracijske datoteke. Ustvari kontrolne vsote pomembnih datotek in jih občasno potrdi ter vas opozori, kadar se zgodi kaj nenavadnega. Prav tako bo spremljal in opozarjal na vsak nenormalen poskus pridobitve korenskega dostopa. Na gostiteljih sistema Windows prav tako pazi na nepooblaščene spremembe registra, ki bi lahko bile znak škodljive dejavnosti.

Ko gre za spremljanje integritete datotek, OSSEC ima določeno funkcionalnost, imenovano Syscheck. Orodje privzeto deluje vsakih šest ur in preveri, ali so na kontrolnih vsotah ključnih datotek. Modul je zasnovan tako, da zmanjša porabo CPE-ja, zato je potencialno dobra možnost za organizacije, ki potrebujejo rešitev za upravljanje integritete datotek z majhnim odtisom.

Ker je sistem za zaznavanje vdorov na osnovi gostitelja, OSSEC mora biti nameščen v vsakem računalniku (ali strežniku), ki ga želite zaščititi. To je glavna pomanjkljivost takšnih sistemov. Na voljo pa je centralizirana konzola, ki združi podatke iz vsakega zaščitenega računalnika za lažje upravljanje. To OSSEC konzola deluje samo v operacijskih sistemih Linux ali Mac OS. Vendar je na voljo sredstvo za zaščito gostiteljev sistema Windows. Vsako odkrivanje sproži opozorilo, ki bo prikazano na centralizirani konzoli, obvestila pa bodo poslana tudi po e-pošti.

3. Celovitost datoteke Samhain

Samhain je brezplačni sistem za zaznavanje vdorov gostitelja, ki omogoča preverjanje celovitosti datotek in spremljanje / analizo datotek dnevnika. Poleg tega izdelek izvaja tudi odkrivanje rootkitov, spremljanje vrat, odkrivanje ločenih izvršljivih datotek SUID in skrite procese. To orodje je zasnovano za nadziranje več sistemov z različnimi operacijskimi sistemi s centralizirano beleženje in vzdrževanjem. Vendar pa je dr. Samhain se lahko uporablja tudi kot samostojna aplikacija v enem samem računalniku. Orodje lahko deluje na sistemih POSIX, kot so Unix, Linux ali Mac OS. Lahko teče tudi naprej Windows Spodaj Cygwin čeprav je bil v tej konfiguraciji testiran samo nadzorni agent in ne strežnik.

V gostiteljih Linux Samhain lahko vzpostavi mehanizem za aktiviranje za spremljanje dogodkov v datotečnem sistemu. V realnem času To vam omogoča takojšnje obveščanje o spremembah in odpravlja potrebo po pogostih pregledih datotečnega sistema, ki lahko povzročijo veliko nalaganje V / I. Poleg tega je mogoče preveriti različne kontrolne vsote, kot so TIGER192, SHA-256, SHA-1 ali MD5. Velikost datoteke, način / dovoljenje, lastnik, skupina, časovni žig (ustvarjanje / spreminjanje / dostop), inode, število trdih povezav in povezana pot simboličnih povezav. Orodje lahko celo preveri več "eksotičnih" lastnosti, kot so atributi SELinux, POSIX ACL (v sistemih) jih podpira), atribute datotek Linux ext2 (kot jih določa chattr, kot je nespremenljiva zastava) in BSD datoteke zastave.

Eden od SamhainEdinstvena lastnost je tajni način, ki omogoča, da se izvaja, ne da bi ga napadalci zaznali. Prepogosto vsiljivci ubijajo procese odkrivanja, ki jih prepoznajo, in jim omogočajo, da ostanejo neopaženi. To orodje uporablja tehnike steganografije, da svoje procese skriva pred drugimi. Prav tako ščiti svoje centralne datoteke dnevnika in varnostne kopije konfiguracije s tipko PGP, da prepreči posege. Na splošno je to zelo popolno orodje, ki ponuja veliko več kot samo spremljanje integritete datotek.

4. Upravitelj integritete datotek Tripwire

Sledi rešitev podjetja Tripwire, podjetje, ki uživa trden ugled na področju varnosti IT. In ko gre za nadzor integritete datotek, Celovitost datoteke Tripwire Manager (FIM) ima edinstveno sposobnost zmanjšanja hrupa z zagotavljanjem več načinov odstranjevanja sprememb z nizkim tveganjem iz visoko tveganih ob ocenjevanju, določanju prednosti in usklajevanju odkritih sprememb. S samodejnim spodbujanjem številnih običajnih sprememb orodje zmanjša hrup, tako da imate več časa za raziskovanje sprememb, ki lahko resnično vplivajo na varnost in uvedejo tveganje. Tripwire FIM uporablja agente za nenehno zajem popolnega, kdo, kaj in kdaj podrobnosti v realnem času. To pomaga zagotoviti, da zaznate vse spremembe, zajamete podrobnosti o vsaki in jih uporabite za določitev varnostnega tveganja ali neskladnosti.

Tripwire vam daje možnost integracije Upravitelj integritete datotek z mnogimi vašimi varnostnimi nadzori: upravljanje varnostne konfiguracije (SCM), upravljanje dnevnika in orodja SIEM. Tripwire FIM doda komponente, ki označujejo in upravljajo podatke s teh kontrol bolj intuitivno in na načine, ki bolje ščitijo podatke. Na primer Okvir integracije dogodkov (EIF) doda dragocene podatke o spremembah iz Upravitelj integritete datotek do Center za dnevnike Tripwire ali skoraj kateri koli drug SIEM. Z EIF in druge temeljne Tripwire varnostni nadzor, lahko preprosto in učinkovito upravljate z varnostjo svoje IT infrastrukture.

Tripwire Upravitelj integritete datotek uporablja avtomatizacijo za zaznavanje vseh sprememb in usmerjanje tistih, ki konfiguracijo ne upoštevajo v pravilniku. Lahko se integrira z obstoječimi sistemi menjave vozovnic, kot so Rešitev BMC, HP-jev servisni center ali Storitev zdaj, kar omogoča hitro revizijo. To zagotavlja tudi sledljivost. Poleg tega samodejna opozorila sprožijo odzive, prilagojene uporabnikom, ko ena ali več posebnih sprememb doseže prag resnosti, ki ga ena sama sprememba ne bi povzročila. Na primer manjša sprememba vsebine, ki jo spremlja dovoljenje, ki je bilo opravljeno zunaj načrtovanega okna za spremembo.

5. AFICK (še en preveritelj integritete datotek)

Sledi odprtokodno orodje razvijalca Eric Gerbier AFICK (še en preveritelj integritete datotek). Čeprav orodje trdi, da ponuja podobno funkcionalnost kot Tripwire, je veliko bolj surov izdelek, kar je veliko v skladu s tradicionalno programsko opremo z odprto kodo. Orodje lahko spremlja morebitne spremembe v datotečnih sistemih, ki jih gleda. Podpira več platform, kot so Linux (SUSE, Redhat, Debian in več), Windows, HP Tru64 Unix, HP-UX in AIX. Programska oprema je zasnovana tako, da je hitra in prenosna in lahko deluje na katerem koli računalniku, ki podpira Perl in njegove standardne module.

Kar se tiče AFICKFunkcionalnosti, tukaj je pregled njegovih glavnih značilnosti. Orodje je enostavno namestiti in ne zahteva nobene sestavljanja ali namestitve številnih odvisnosti. Je tudi hitro orodje, ki je delno posledica majhnosti. Kljub majhnosti bo prikazoval nove, izbrisane in spremenjene datoteke ter vse viseče povezave. Uporablja preprosto konfiguracijsko besedilno datoteko, ki podpira izjeme in šaljivce, in uporablja sintakso, ki je zelo podobna Tripwireju ali Aideju. Grafični uporabniški vmesnik, ki temelji na Tk-ju, in spletni vmesnik, ki temelji na spletnem vmesniku, sta na voljo, če se raje ne držite stran od orodja ukazne vrstice.

AFICK (še en preveritelj integritete datotek) je v celoti napisan v Perlu za prenosljivost in dostop do virov. In ker je odprtokodnega (objavljen pod GNU General Public License), mu lahko dodate funkcionalnost, kot se vam zdi primerno. Orodje za svoje kontrolne vsote uporablja MD5, saj je hitro in je vgrajeno v vse distribucije Perl, namesto v jasno besedilno bazo podatkov pa se uporablja dbm.

6. AIDE (Napredno okolje za zaznavanje vdorov)

Kljub precej zavajajočemu imenu, AIDE (Napredno okolje za zaznavanje vdorov) je dejansko preverjanje celovitosti datotek in imenikov. Deluje tako, da ustvari bazo podatkov iz pravil pravilnega izražanja, ki jih najde iz svoje konfiguracijske datoteke. Ko se baza podatkov inicializira, jo uporabi za preverjanje celovitosti datotek. Orodje uporablja več algoritmov za prebavo sporočil, s katerimi je mogoče preveriti celovitost datotek. Poleg tega je mogoče preveriti neskladnosti vseh običajnih atributov datotek. Prav tako lahko bere baze podatkov iz starejših ali novejših različic.

Ponašalno, POMOČNIK je rater popoln. Podpira več algoritmov za prebavo sporočil, kot so md5, sha1, rmd160, tiger, crc32, sha256, sha512 in whirlpool. Orodje lahko preveri več atributov datotek, vključno z vrsto datoteke, Dovoljenja, Inode, Uid, Gid, Ime povezave, Velikost, Število blokov, Število povezav, Mtime, Ctime in Atime. Prav tako lahko podpira atribute Posix ACL, SELinux, XAttrs in Extended file system. Zaradi enostavnosti orodje uporablja navadne besedilne konfiguracijske datoteke in navadno besedilno bazo. Ena njegovih najbolj zanimivih lastnosti je podpora močnega rednega izražanja, ki omogoča selektivno vključitev ali izključitev datotek in imenikov, ki jih je treba nadzorovati. Ta lastnost je zelo vsestransko in prilagodljivo orodje.

Izdelek, ki obstaja že od leta 1999, je še vedno aktivno razvit, najnovejša različica (0.16.2) pa je stara le nekaj mesecev. Na voljo je pod splošno licenco GNU in bo deloval na večini sodobnih različic Linuxa.

7. Nadzor integritete datotek Qualys

Nadzor integritete datotek Qualys od varnostnega velikana Kakovost je "rešitev v oblaku za odkrivanje in prepoznavanje kritičnih sprememb, incidentov in tveganj, ki so posledica običajnih in zlonamernih dogodkov." Prihaja s profili, ki temeljijo na najboljših praksah v industriji in na smernicah, ki jih priporočajo prodajalci, za skupne zahteve glede skladnosti in revizije, vključno s PCI DSS.

Nadzor integritete datotek Qualys v realnem času učinkovito zazna spremembe z uporabo podobnih pristopov, ki se uporabljajo v protivirusnih tehnologijah. Obvestila o spremembah lahko ustvarite za celotne strukture imenikov ali na ravni datoteke. Orodje uporablja obstoječe signale jedra OS za prepoznavanje dostopa do datotek, namesto da se opira na računsko intenzivne pristope. Izdelek lahko zazna ustvarjanje ali odstranitev datotek ali imenikov, preimenovanje datotek ali imenikov, spremembe atributov datotek, spremembe varnostnih nastavitev datotek ali imenika, kot so dovoljenja, lastništvo, dedovanje in revizija, ali spremembe datotek, shranjenih v disk.

Je večplastni izdelek. The Qualys Cloud Agent nenehno nadzira datoteke in mape, navedene v vašem nadzornem profilu, in zajema kritične podatke pomagajo ugotoviti, kaj se je spremenilo skupaj s podrobnostmi o okolju, na primer, kateri uporabnik in kateri postopek je bil vključen v sprememba. Nato podatke pošlje v Cloud Platform Qualys za analizo in poročanje. Ena od prednosti tega pristopa je, da deluje enako, ne glede na to, ali so sistemi lokalni, v oblaku ali oddaljeni.

Nadzor integritete datotek je mogoče enostavno aktivirati na obstoječem Kakovost Agospodjein začnite spremljati spremembe na lokalni ravni z minimalnim vplivom na končno točko. The Cloud Platform Qualys omogoča enostavno spreminjanje v največja okolja. Vpliv učinkovitosti na nadzorovane končne točke je zmanjšan z učinkovitim spremljanjem sprememb datotek lokalno in pošiljanjem podatkov v Cloud Platform Qualys kjer pride do težkega dela analize in korelacije. Kar se tiče Qualys Cloud Agent, se posodablja in samozdravlja, tako da se posodablja, ne da bi ga morali znova zagnati.