В компании мониторинг изменений конфигурационных файлов и ключей актуален и для ИТ и для ИБ. Для ИТ подразделений это вопрос работоспособности систем и приложений, для службы ИБ FIM решает задачи практической безопасности и выполнения требований регуляторов.
Мониторинг обеспечивает отслеживание изменений в файлах по сравнению с установленным эталонным состоянием. При этом изменения отслеживаются как в режиме реального времени, так и по расписанию, предоставляя специалистам информацию о том кто, когда, какое изменение и каким образом было внесено, включая фиксацию изменений в содержимом файла и изменение атрибутов файлов и ключей.
Злоумышленники могут нанести серьезный урон, изменяя файлы конфигурации системы и приложений. Чтобы помешать расследованию они также практикуют удаление/изменение логов, чтобы скрыть следы атаки.
Для предотвращения подобных ситуаций отраслевые регуляторы и стандарты безопасности требуют контролировать конфигурацию автоматизированных систем и средств защиты информации, журналировать и вести легенду изменений. Прежде всего это необходимо для обеспечения режима безопасной эксплуатации систем и приложений, обрабатывающих чувствительные данные.
Функционал средств мониторинга целостности файлов и ключей включает в себя:Сервер управления обрабатывает данные о событиях изменений наблюдаемых файлов и ключей и предоставляет информацию о масштабе отклонения нового состояния файла или ключа от эталонного состояния. FIM позволяет сравнить контент и атрибуты файла или ключа на разные моменты времени. Доступность такой агрегированной информации «из одного окна» позволяет специалисту оперативно провести анализ для классификации события: инцидент, продакшн инцидент или ординарное событие для своевременного и правильного реагирования. В случае если текущее состояние является новым эталонным, в системе мониторинга есть возможность задать новую точку отсчета для конкретного устройства или группы устройств.
PCI DSS, международный стандарт безопасности данных платежных карт, требует обеспечить режим безопасной эксплуатации платежных приложений (payment application), обрабатывающих данные платежных карт. Это означает, что нужно реализовать многоуровневые меры защиты информации, обеспечить контроль за конфигурацией средств защиты информации, системы и приложений. Для отслеживания неизменности состояния политик безопасности, реализуемых средствами операционной системы (локальные, групповые и доменные политики) в средствах мониторинга целостности доступна возможность загрузки (импорта) готовых наборов правил мониторинга за файлами и ключами, значения которых реализуют состояния таких политик. Для отслеживания неизменности конфигурации приложений и средств защиты информации настраиваются наборы правил, отслеживающих легенду изменений или неизменность файлов и ключей, отвечающих за такую конфигурацию.
При прохождении очередного аудита, хорошо себя показывает практика оценки отклонений от эталонных состояний, заданных в предыдущей процедуре аудита. И если такие отклонения фиксируются, предоставляется легенда по изменениям по всему таймлайну, чтобы убедиться, что новые состояния объектов – это результат санкционированных эксплуатационных воздействий на систему. Такая практика существенно снижает временные ресурсы и степень сложности задач по проведению аудита на соответствие требованиям стандарта.
Решение состоит из клиентских модулей и сервера управления. Клиентский модуль устанавливается на устройство: сервер, компьютер или специализированное устройство (ККМ, устройство самообслуживания) и отслеживает состояние файлов и ключей реестра согласно заданным политикам. Сервер управляет настройками, группами устройств, собирает события от всех клиентских модулей и ведет точку отчета.
Доступ к серверу можно получить из консоли управления. Понятный и простой интерфейс позволяет использовать мониторинг офицерам ИБ, отделу ИТ и аналитикам SOC.
Решение может быть интегрировано с SIEM, SOC и Service Desk для создания единого рабочего процесса и снижения нагрузки на сотрудников.