Monitorovanie integrity súborov

Monitorovanie integrity súborov (FIM) je interná kontrola alebo proces, ktorý vykonáva overenie integrity súborov operačného systému a aplikačného softvéru pomocou metódy overovania medzi aktuálnym stavom súboru a známou základnou líniou. Táto porovnávacia metóda často zahŕňa výpočet známeho kryptografického kontrolného súčtu pôvodnej základnej línie súboru a porovnanie s vypočítaným kontrolným súčtom aktuálneho stavu súboru.[1] Na monitorovanie integrity možno použiť aj iné atribúty súboru.[2]

Vo všeobecnosti je akt vykonávania monitorovania integrity súborov automatizovaný pomocou interných kontrol, ako je aplikácia alebo proces. Takéto monitorovanie sa môže vykonávať náhodne, v definovanom intervale hlasovania alebo v reálnom čase.

Bezpečnostné ciele

upraviť

Zmeny v konfiguráciách, súboroch a atribútoch súborov v rámci IT infraštruktúry sú bežné, ale skrytých vo veľkom množstve denných zmien môže byť len málo, ktoré ovplyvňujú integritu súboru alebo konfigurácie. Tieto zmeny môžu tiež znížiť stav zabezpečenia a v niektorých prípadoch môžu byť hlavnými indikátormi prebiehajúceho narušenia. Hodnoty, ktoré sú monitorované na neočakávané zmeny súborov alebo konfiguračných položiek a zahŕňajú:

  • Poverenia
  • Privilégiá a nastavenia zabezpečenia
  • Obsah
  • Základné atribúty a veľkosť
  • Hash hodnoty
  • Hodnoty konfigurácie

Ciele súladu

upraviť

Viaceré ciele zhody označujú monitorovanie integrity súboru ako požiadavku. Niekoľko príkladov cieľov súladu s požiadavkou na monitorovanie integrity súborov zahŕňa:

  • PCI DSS – štandard zabezpečenia údajov v odvetví platobných kariet (požiadavka 11.5)[3]
  • SOX – Sarbanes-Oxley Act (oddiel 404)[4]
  • NERC CIP – Norma NERC CIP (CIP-010-2)[5]
  • FISMA – Federal Information Security Management Act (NIST SP800-53 Rev3)[6]
  • HIPAA – Zákon o prenosnosti a zodpovednosti zdravotného poistenia z roku 1996 (publikácia NIST 800-66)[7]
  • Kritické bezpečnostné kontroly SANS (kontrola 3)[8]

Pozri aj

upraviť
Procedúry a algoritmy
Aplikácie, niektoré príklady (kde sa používa FIM) zahŕňajú
  • Pokročilé prostredie detekcie narušenia
  • Ďalšia kontrola integrity súborov[9]
  • BeyondTrust
  • CimTrak[10]
  • CloudPassage
  • Kaspersky Lab Hybrid Cloud Security, Embedded Security, Security for Linux, Security for Windows Server
  • LimaCharlie
  • Lockpath Blacklight[11]
  • LogRhythm
  • McAfee Change Control
  • Netwrix-NNT Change Tracker[12]
  • OSSEC
  • Qualys
  • Samhain
  • Splunk
  • Kontrola systémových súborov (dodáva sa so systémom Windows)
  • Monitor integrity tania
  • Hlboká bezpečnosť Trend Micro
  • Tripwire produkty
  • Trustwave

Referencie

upraviť
  1. . Dostupné online.
  2. Archivovaná kópia [online]. [Cit. 2023-05-12]. Dostupné online. Archivované 2012-04-10 z originálu.
  3. . Dostupné online.
  4. . Dostupné online.
  5. . Dostupné online.
  6. . Dostupné online.
  7. . Dostupné online. DOI:10.6028/NIST.SP.800-66r1
  8. Archivovaná kópia [online]. [Cit. 2023-05-12]. Dostupné online. Archivované 2013-01-08 z originálu.
  9. . Dostupné online. (po anglicky)
  10. . Dostupné online. (po anglicky)
  11. . Dostupné online. (po anglicky)
  12. . Dostupné online. (po anglicky)