文件完整性監測的5個階段
文件完整性監測(FIM)解決方案如果部署得好����,益處是很大的:
如果看到非預期或無法解釋的文件修改,可以立即展開調查:若調查發現系統被入侵,可以快速解決問題����。
可根據文本或電子表格中列出的核準變更來協調這些修改����。
可判定這些修改是否動到了策略配置(影響固化標準)��。
可自動化特定類型修改的響應動作——比如:標記DLL文件的出現(高風險)�,但自動推進對DLL文件的簡單修改(低風險)��。
但我們不能低估FIM的重要性�����。別忘了互聯網安全中心在《關鍵安全控制 3.5》中說的:
使用文件完整性檢查工具確保關鍵系統文件(包括敏感系統和應用程序、二進制文件以及配置文件)不被篡改�。 |
該報告系統應達到:
這些完整性檢查應識別出可疑系統修改,比如:
不過��,如果控制不好�,FIM也可能很“煩人”���,還會耗用大量時間和精力����。只有精挑細選解決方案,精心維護��,恰當饋送�����,根據環境變化進行微調��,才可以避免FIM的5個階段不至于讓你的安全團隊不堪重負���。
簡單講����,FIM的5個階段是:
發現被監測環境中出現了變化;
有變化���,而且是非預期的;
有變化���,非預期����,而且是不好的改變;
有變化����,非預期,有不良后果��,但有辦法恢復到已知可信狀態;
有變化���,非預期���,會造成不良后果���,有辦法修復����,調整解決方案以最小化將來的噪音。
如果尚未部署解決方案�����,或者已有解決方案不能快速搞定此類變化��,那就容易產生FIM“沒什么用”的認知��。
提升FIM功效的最佳辦法,是將其監測范圍縮小到針對能解決合規�、安全和運營問題的用例上����,而且最好就是按這個順序確定優先級�。上述5個階段的復雜度也是順序遞進的。
SOX(《塞班斯法案》)合規就是企業FIM的一個很好案例��,企業產出SOX相關內容時需有“位置”信息�����,比如文件、目錄、應用,甚至數據庫字段�����。但不是全部文件���、目錄或應用�。
FIM運用上更為成熟的企業可能會說:“我們的SOX數據關聯有135個可作為審計點的位置。我們需要知道發生了什么改變,包括基線改變��,以確保生成這些關鍵點的財務報告時不出錯��?!?/span>
企業購買FIM的原因多種多樣��。有些是想要個便宜的“勾選式”解決方案以顯示依法進行了盡職審查�����,另一些則更關注環境中出現的修改對正常運營造成的影響。
只要認識到FIM的價值�,將不得不做的盡職審查轉變為主動去做的安全合規��,并將防線縮小到關鍵節點上��,收獲更多FIM帶來的價值和優勢就不是空談。
江蘇國駿信息科技有限公司在信息網絡安全�、運維平臺建設���、動漫設計�、軟件研發����、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型�,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面�����、可信的方案�����,業務涵蓋咨詢���、評估����、規劃���、管控����、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商 。
