Monitoren Sie die Integrität Ihrer Dateien effizient mit PRTG

FIM prüft verschiedene Aspekte einer Datei und erstellt einen digitalen Fingerabdruck, der dann mit dem Fingerabdruck eines bekannten Basis-Fingerabdrucks verglichen wird.

Obwohl es auf dem Markt viele native Auditing-Tools gibt, haben sie alle einige Mängel, wie z. B. die dezentrale Speicherung von Sicherheitsprotokollen von zahlreichen Domänencontrollern, die fehlende Möglichkeit, die Konfiguration oder das Objekt aus den Audit-Protokollen wiederherzustellen, oder unzureichende Informationen über die alten Einstellungen im Protokolleintrag. Aus diesem Grund entscheiden sich Organisationen mit komplexen IT-Umgebungen für Unternehmenslösungen.

Die FIM-Software untersucht zahlreiche Aspekte der Datei, darunter Anmeldeinformationen, Inhalte, Konfigurationswerte, Berechtigungen und Einstellungen, Sicherheit, Größe, Hauptattribute und Hash-Werte. Die Überwachung kann regelmäßig, in Schnappschüssen oder kontinuierlich erfolgen und entweder zufällig oder nach anderen vom Sicherheitsteam aufgestellten Regeln erfolgen.

Die Überwachung der Datei-Integrität umfasst im Wesentlichen fünf Schritte.

Schritt Nr. 1: Festlegung einer Richtlinie

Der erste Schritt bei FIM besteht darin, dass das Unternehmen eine entsprechende Richtlinie definiert. In diesem Schritt muss das Unternehmen die zu überwachenden Dateien und die Computer, auf denen sich diese Dateien befinden, bestimmen.

Schritt Nr. 2: Festlegung einer Basislinie

Bevor ein Unternehmen damit beginnen kann, verschiedene Dateien aktiv auf Änderungen zu überwachen, muss es zunächst einen Referenzpunkt definieren, der zur Erkennung von Änderungen verwendet werden kann. Aus diesem Grund sollten Unternehmen einen bekannten guten Zustand (oder eine Baseline) aller Dateien dokumentieren, die von FIM überwacht werden soll.

Hier ist es wichtig, Daten wie das Änderungsdatum, das Erstellungsdatum und die Version zu berücksichtigen, um IT-Fachleuten die Sicherheit zu geben, dass die Datei legitim ist.

Schritt #3: Änderungen überwachen

Sobald Unternehmen über eine detaillierte Baseline verfügen, können sie damit beginnen, alle Dateien, die Teil der FIM-Lösung sind, auf Änderungen zu überwachen. Sie können sogar noch einen Schritt weiter gehen und erwartete Änderungen automatisch vorschlagen, um die Wahrscheinlichkeit von Fehlalarmen zu minimieren.

Schritt #4: Senden Sie eine Meldung

Sobald die FIM-Lösung unzulässige Änderungen feststellt, müssen die für den Prozess verantwortlichen Personen eine Warnung an die zuständigen Mitarbeiter senden, damit diese das Problem schnell beheben können.

Schritt #5: Ergebnisse melden

In einigen Fällen verwenden Unternehmen FIM, um die Einhaltung des PCI DSS zu gewährleisten. In solchen Fällen muss die Organisation möglicherweise Berichte für Audits erstellen, um den Einsatz ihrer FIM zu unterstützen.

Für den Schutz von Dateien gibt es in der Regel zwei Möglichkeiten. Entweder kann eine Prüfsumme über die Dateieigenschaften berechnet werden, wenn sie von einem autorisierten Prozess geschrieben wird, oder es kann eine Kopie der Datei erstellt werden, und die Live-Datei kann dann mit der Sicherung verglichen werden.

Einige Systeme senden nur im Falle einer unbefugten Änderung eine Warnung, was bedeutet, dass Sie ein separates Wiederherstellungs- und Sicherungsverfahren einrichten müssen. So erhalten Sie eine Vorwarnung, dass etwas faul ist, wenn der Cyberkriminelle versucht, sich zu verstecken.

In der Zwischenzeit helfen andere Systeme dabei, den ursprünglichen Zustand der Dateien wiederherzustellen, und sind den Systemen vorzuziehen, die nur unerlaubte Änderungen erkennen. Die Möglichkeit, die von einem Eindringling geänderten Datensätze zu sehen, vereinfacht die Erkennung der kompromittierten Konten, was den Wiederherstellungsprozess beschleunigt.

Ein umfassendes System klingt zwar nach einer großartigen Option, hat aber auch seine Nachteile. Wenn zum Beispiel alle Protokolldateien des Systems kopiert werden, benötigen Sie viel Speicherplatz. Denken Sie daran, dass Protokolldateien bereits viel Platz benötigen und eine Verdoppelung des Volumens die Situation nur noch verschlimmert.

Auch wenn in kleinen Netzen nicht so viel Datenverkehr stattfindet, gilt dies nicht für größere Systeme, und die Verarbeitung einer größeren Menge von Protokollen erfordert eine hohe Verarbeitungsleistung. Das ideale, voll funktionsfähige System mit einem Live-FIM würde also mehr Speicherplatz und Rechenleistung benötigen als das ursprüngliche System. Das bedeutet, dass Ihr Unternehmen mehr für die Verwaltung der Protokolldateien aufwenden muss als für die Kernaufgaben. Wenn man all dies bedenkt, ist es klar, dass das beste FIM-System eine Art Kompromiss sein muss.

Wenn Sie also Ihre Sicherheitsdienste überschaubar halten wollen, ist es wichtig, dass Sie über ein intelligentes System zur Überwachung der Datei-Integrität verfügen, das Ihre Dateien schützen kann, ohne das gesamte IT-System zu übernehmen. Einer der wichtigsten Kompromisse, die Sie eingehen müssen, ist die Frage, ob FIM-Aktionen periodisch oder in Echtzeit durchgeführt werden sollen.

Sie sollten auch nach einem Protokollverwaltungssystem Ausschau halten, das Ihnen hilft, die wichtigsten und unwichtigsten Nachrichten für Sicherheitszwecke zu identifizieren. Durch die Verringerung des Volumens der zu schützenden Protokolle oder Aufzeichnungen wird FIM besser handhabbar.

FIM ist sowohl für Unix- und Linux-Systeme als auch für Windows-basierte Umgebungen wichtig. Unter Windows wird die Registrierung zusammen mit der Win32-API für den größten Teil der Konfiguration verwendet, es handelt sich also um einen eingeschränkten und streng kontrollierten Bereich.

Bei Unix und Linux sind die Konfigurationen jedoch als Teil des gesamten Dateisystems offengelegt, was sie sehr anfällig für gehackte ausführbare Binärdateien und Angriffe macht. Außerdem bedeutet das Ersetzen und Aktualisieren von Kerndateien, dass Angreifer leicht bösartigen Code einschleusen können.

Aus diesem Grund sollte FIM in der Lage sein, Änderungen am Betriebssystem, an geschäftskritischen Dateien, Anwendungen, Verzeichnissen und Datenbanken zu verfolgen und Sie über verdächtige oder potenziell sensible Änderungen zu informieren.

Einige wichtige Bereiche für die Änderungskontrolle sind Exchange SQL, Active Directory, Betriebssystem, Kennwort und Bootup in Windows und Hosts, Bootloader, Profile, Cron-Jobs, Laufkommentare, Kernel-Parameter sowie Dienste und Daemons in Linux oder Unix.