Products
GG网络技术分享 2025-03-18 16:05 0
一个商业组织的IT环境是一个不断变化的地方,软件程序和硬件资产都在变化,配置文件和其他重要资产也是如此。这些变化大多是经过授权的–例如,当文件被打上补丁时,它们就会发生。但是意外的变化是值得关注的。这就是文件完整性监控的作用。
文件完整性监控,或称FIM,不仅仅是为了了解你的系统正在发生什么。它是关于保持个人数据安全和避免攻击,同时也遵守法规。就介绍一下什么是FIM,为什么你需要它以及它是如何工作的。
文件完整性监控让你在文件层面上看到对你的组织来说重要的东西。这包括:
然后,FIM让你知道谁在编辑、删除或移动这些文件,以及谁对这些文件有未经授权的访问。
有一些监管标准要求公司知道谁可以访问关键文件以及发生了哪些变化。FIM对于那些必须遵守NERC CIP、NIST CSF和PCI DSS等合规法规的公司来说是必须的。虽然FIM不是GDPR和HIPAA的具体要求,但它在审计中是有帮助的。这种对资产的可见性对这两个法规很重要–所以在这些情况下,FIM肯定不会有什么影响。
当一个未经授权或有害的用户访问你的网络时,他们可以改变任何他们想要的东西。他们还可以删除事件日志以避免被发现。下面是最坏的情况。FIM警报响起,因为有人获得了对你的网络的内部访问,并且正在篡改你的文件。攻击者可以扫描你的网络,找到其他资产并破坏它们,冒充雇员,窃取凭证等。如果有人获得了对你的系统的访问权,他们可以做任何他们想做的事情–至少在他们被抓住之前。
无论你选择哪种软件,FIM基本上是这样工作的:
在WordPress中实施FIM,不仅仅是找到一个能在有文件变化时提醒你的工具。FIM最好与其他安全措施一起使用,如审计记录和用户监控。你的安全工具应该有分层检测,包括合规条例和主动检测。你需要在攻击的早期检测其他行动,以便你能尽快阻止他们。
Rapid7是一个基于云的文件事件跟踪系统。你选择要监控的资产,然后软件会观察文件的修改和谁做的修改。如果一个重要的文件或文件夹被删除、编辑或移动,你会得到一个警报。如果你想密切关注当下的活动,你还可以查看实时指标。在FIM警报的基础上,你将能够看到围绕它发生的所有其他运动,以便你能够调查和应对攻击,你可以将修改活动导出为仪表盘图表。在这里了解更多关于Rapid7 WordPress扩展的信息。
Qualys是另一个FIM工具,你可以在WordPress使用。在你确定要监控的范围时,Qualys的开箱即用的配置文件意味着你可以立即启动并运行,然后在你了解更多需求时调整范围。云平台还具有实时变化检测功能。当一个文件发生变化时,收集的数据包括用户、文件名、资产细节和时间戳。此外,你可以扩大规模而无需购买更多的软件或存储。
其他评价很高的FIM工具包括OSSEC和Tripwire。如何防护我们的WordPress网站,可以参考【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程】
如果你的公司必须遵守像FISMA、SOX或其他一系列要求FIM的法规,那么你肯定需要一个文件完整性监控工具。它不仅能保证你的客户、数据、文件和系统的安全,而且还能在审计时使你的公司保持良好状态。
主要要避免的是许多公司陷入的一个误区:警报文件太大。如果被监视的文件太多,这将导致FIM警报过多。如果警报在没有任何背景的情况下出现,就不可能确定什么是和什么不是威胁。一个有效的FIM解决方案将只监控必要的文件和文件夹,然后提供带有有益见解的警报。
最后,记住这两个FIM技巧。准确了解哪些文件将被监控,如果监控的范围太广,当任何东西被修改时,你会被警报和活动淹没。然后,通过调查一个FIM警报来采取操作。了解其他用户或资产是否受到影响是很重要的。一些独立的工具并不能提供这么多的七七八八的内容,因此你需要一个可以帮助你调查的日志管理工具或调查平台。
Demand feedback
