نظارت بر یکپارچگی فایل (FIM) به فرآیند و فناوری امنیت فناوری اطلاعات اشاره دارد که سیستم عامل (OS)، پایگاه داده و فایلهای نرمافزار کاربردی را آزمایش و بررسی میکند تا مشخص کند که آیا دستکاری شده یا خراب شدهاند یا خیر. FIM، که نوعی حسابرسی تغییرات است، این فایلها را با مقایسه آخرین نسخههای آنها با یک «خط پایه» شناختهشده و قابل اعتماد تأیید و تأیید میکند. اگر FIM تشخیص دهد که فایلها تغییر، بهروزرسانی یا در معرض خطر قرار گرفتهاند، FIM میتواند هشدارهایی را برای اطمینان از بررسی بیشتر ایجاد کند و در صورت لزوم، اصلاح انجام شود. نظارت بر یکپارچگی فایل هم شامل ممیزی واکنشی (پزشکی قانونی) و هم نظارت فعال مبتنی بر قوانین فعال است.
چرا نظارت بر یکپارچگی فایل مهم است؟
نرم افزار FIM تغییرات غیرمنتظره فایل های مهم را در یک محیط IT اسکن، تجزیه و تحلیل و گزارش می دهد. با انجام این کار، نظارت بر یکپارچگی فایل، لایه مهمی از امنیت فایل، داده و برنامه را فراهم میکند و در عین حال به تسریع واکنش حادثه نیز کمک میکند. چهار مورد اصلی استفاده از نظارت بر یکپارچگی فایل عبارتند از:
تشخیص فعالیت غیرقانونی
اگر یک مهاجم سایبری به محیط IT شما نفوذ کند، باید بدانید که آیا آنها سعی کردهاند فایلهایی را که برای سیستمعامل یا برنامههای شما حیاتی هستند تغییر دهند یا خیر. حتی اگر از فایلهای گزارش و سایر سیستمهای تشخیص اجتناب شود یا تغییر داده شود، FIM همچنان میتواند تغییرات بخشهای مهم اکوسیستم فناوری اطلاعات شما را تشخیص دهد. با نصب FIM، می توانید امنیت فایل ها، برنامه ها، سیستم عامل ها و داده های خود را کنترل کرده و از آن محافظت کنید.
مشخص کردن تغییرات ناخواسته
اغلب، تغییرات فایل به طور ناخواسته توسط مدیر یا کارمند دیگری انجام می شود. گاهی ممکن است پیامدهای این تغییرات کوچک باشد و نادیده گرفته شود. در موارد دیگر، آنها می توانند درهای پشتی امنیتی ایجاد کنند، یا منجر به اختلال در عملکرد یا تداوم کسب و کار شوند. نظارت بر یکپارچگی فایل، پزشکی قانونی را با کمک به شما در کاهش تغییرات اشتباه ساده می کند، بنابراین می توانید آن را به عقب برگردانید یا اصلاحات دیگری را انجام دهید.
بررسی وضعیت به روز رسانی و نظارت بر سلامت سیستم
میتوانید با اسکن نسخههای نصبشده در مکانها و ماشینهای مختلف با جمعبندی بررسی پس از وصله، بررسی کنید که آیا فایلها به آخرین نسخه وصله شدهاند یا خیر.
الزامات رعایت جلسات
توانایی ممیزی تغییرات و نظارت و گزارش انواع خاصی از فعالیت ها برای انطباق با دستورات نظارتی مانند GLBA، SOX، HIPAA و PCI DSS مورد نیاز است.
نظارت بر یکپارچگی فایل – ویندوز در مقابل لینوکس و یونیکس
FIM برای محیط های مبتنی بر ویندوز و همچنین برای سیستم های لینوکس و یونیکس مهم است. ویندوز برای بیشتر تنظیمات خود از رجیستری استفاده می کند، همراه با Win32 API، که یک منطقه کاملاً کنترل شده و محدود است. در محیطهای لینوکس و یونیکس، تنظیمات بهعنوان بخشی از سیستم فایل کلی بسیار بیشتر در معرض دید قرار میگیرند. این باعث می شود لینوکس و یونیکس در برابر حملات مستقیم و فایل های اجرایی باینری هک شده آسیب پذیرتر شوند. به روز رسانی و جایگزینی فایل های اصلی در لینوکس یا یونیکس به این معنی است که مهاجمان می توانند به راحتی کدهای مخرب را تزریق کنند.
حیاتی ترین فایل ها برای نظارت و محافظت
در حالت ایدهآل، FIM باید تغییرات سیستمعامل، پایگاه داده، دایرکتوری، برنامهها و فایلهای تجاری حیاتی را ردیابی کند و شما را از هرگونه تغییر احتمالی حساس یا مشکوک آگاه کند. برخی از زمینه های کلیدی برای کنترل تغییرات ممیزی عبارتند از:
پنجره ها
سیستم عامل، راهاندازی/راهاندازی، رمز عبور، اکتیو دایرکتوری، Exchange SQL و غیره.
لینوکس/یونیکس
بوت لودر، پارامترهای هسته، دیمون ها و سرویس ها، دستورات اجرا، کرون جابز، پروفایل ها، هاست ها و غیره.
نحوه عملکرد نظارت بر یکپارچگی فایل و بهترین روش ها
نظارت بر یکپارچگی فایل، جنبههای مختلف یک فایل را برای ایجاد «اثر انگشت دیجیتال» بررسی میکند. سپس این اثر انگشت را با اثر انگشت شناخته شده و خوب مقایسه می کند. در حالی که ابزارهای حسابرسی بومی وجود دارند، این ابزارها معمولاً از کاستیهایی رنج میبرند، مانند ذخیرهسازی غیرمتمرکز گزارشهای امنیتی از چندین کنترلکننده دامنه، کمبود اطلاعات در ورودی گزارش در مورد تنظیمات قدیمی، و ناتوانی در بازیابی شی/پیکربندی از گزارش حسابرسی. ، به نام چند. به این دلایل، سازمانهایی که دارای محیطهای IT متوسط تا بسیار پیچیده هستند، عموماً به راهحلهای سازمانی اثبات شده تکیه میکنند.
نرم افزار FIM سازمانی با کیفیت بالا به بسیاری از جنبه های فایل ها نگاه می کند، از جمله:
- ایجاد، اصلاح و دسترسی به تنظیمات و مجوزها
- تنظیمات امنیت و امتیازات
- محتوای فایل
- ویژگی های اصلی و اندازه
- مقادیر هش، بر اساس محتوای فایل
- مقادیر پیکربندی
- اعتبارنامه
FIM را می توان به صورت مداوم، عکس فوری یا منظم انجام داد. این می تواند به صورت تصادفی یا به هر قانون دیگری که تیم امنیتی تنظیم می کند رخ دهد.
یک ابزار خوب FIM تمام اجزای محیط IT شما را کنترل می کند، از جمله:
- دستگاه ها و سرورهای شبکه
- ایستگاه های کاری و دستگاه های راه دور
- پایگاه های داده، دایرکتوری ها، سیستم عامل و میان افزار
- خدمات مبتنی بر ابر
- پیکربندی Hypervisor و Active Directory
حداقل، یک راه حل سازمانی باید مدیریت تغییر، ثبت لحظه ای، ثبت و گزارش متمرکز و هشدارها را ارائه دهد. اغلب، نظارت بر یکپارچگی فایل بخشی از یک راه حل ممیزی و امنیتی گسترده تر است که شامل قابلیت هایی مانند بازگشت خودکار تغییرات به حالت قبلی و قابل اعتماد نیز می شود. یک راهحل ایدهآل اطلاعات واضح و سریعی را در مورد چه کسی، چه چیزی، کجا و چه زمانی برای هر رویداد دسترسی و تغییر به شما میدهد