文件完整性監(jiān)測的5個階段
文件完整性監(jiān)測(FIM)解決方案如果部署得好�,益處是很大的:
如果看到非預期或無法解釋的文件修改,可以立即展開調查:若調查發(fā)現系統(tǒng)被入侵�����,可以快速解決問題��。
可根據文本或電子表格中列出的核準變更來協(xié)調這些修改����。
可判定這些修改是否動到了策略配置(影響固化標準)。
可自動化特定類型修改的響應動作——比如:標記DLL文件的出現(高風險)�����,但自動推進對DLL文件的簡單修改(低風險)��。
但我們不能低估FIM的重要性�。別忘了互聯網安全中心在《關鍵安全控制 3.5》中說的:
使用文件完整性檢查工具確保關鍵系統(tǒng)文件(包括敏感系統(tǒng)和應用程序����、二進制文件以及配置文件)不被篡改�����。 |
該報告系統(tǒng)應達到:
這些完整性檢查應識別出可疑系統(tǒng)修改�,比如:
不過��,如果控制不好���,FIM也可能很“煩人”����,還會耗用大量時間和精力�����。只有精挑細選解決方案,精心維護�,恰當饋送,根據環(huán)境變化進行微調����,才可以避免FIM的5個階段不至于讓你的安全團隊不堪重負。
簡單講��,FIM的5個階段是:
發(fā)現被監(jiān)測環(huán)境中出現了變化;
有變化�,而且是非預期的;
有變化,非預期�,而且是不好的改變;
有變化,非預期���,有不良后果�����,但有辦法恢復到已知可信狀態(tài);
有變化�����,非預期��,會造成不良后果���,有辦法修復,調整解決方案以最小化將來的噪音��。
如果尚未部署解決方案�,或者已有解決方案不能快速搞定此類變化,那就容易產生FIM“沒什么用”的認知�����。
提升FIM功效的最佳辦法���,是將其監(jiān)測范圍縮小到針對能解決合規(guī)�����、安全和運營問題的用例上�����,而且最好就是按這個順序確定優(yōu)先級����。上述5個階段的復雜度也是順序遞進的。
SOX(《塞班斯法案》)合規(guī)就是企業(yè)FIM的一個很好案例�����,企業(yè)產出SOX相關內容時需有“位置”信息�,比如文件、目錄���、應用�����,甚至數據庫字段�����。但不是全部文件���、目錄或應用。
FIM運用上更為成熟的企業(yè)可能會說:“我們的SOX數據關聯有135個可作為審計點的位置�����。我們需要知道發(fā)生了什么改變�����,包括基線改變,以確保生成這些關鍵點的財務報告時不出錯���?!?/span>
企業(yè)購買FIM的原因多種多樣��。有些是想要個便宜的“勾選式”解決方案以顯示依法進行了盡職審查�����,另一些則更關注環(huán)境中出現的修改對正常運營造成的影響����。
只要認識到FIM的價值�����,將不得不做的盡職審查轉變?yōu)橹鲃尤プ龅陌踩弦?guī)��,并將防線縮小到關鍵節(jié)點上��,收獲更多FIM帶來的價值和優(yōu)勢就不是空談����。
江蘇國駿信息科技有限公司在信息網絡安全�、運維平臺建設����、動漫設計、軟件研發(fā)��、數據中心領域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”���、“技術產品”三個視角提供全面��、可信的方案�����,業(yè)務涵蓋咨詢���、評估����、規(guī)劃���、管控��、建設�����、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商 �。
