Техническая поддержка Техническая поддержка
SafenSoft
Решения chevron-down
Продукты chevron-down
Проекты chevron-down
Партнерство chevron-down
О компании chevron-down

Мониторинг целостности файлов (File Integrity Monitoring, FIM)

line-72px-2px

В компании мониторинг изменений конфигурационных файлов и ключей актуален и для ИТ и для ИБ. Для ИТ подразделений это вопрос работоспособности систем и приложений, для службы ИБ FIM решает задачи практической безопасности и выполнения требований регуляторов.

Мониторинг обеспечивает отслеживание изменений в файлах по сравнению с установленным эталонным состоянием. При этом изменения отслеживаются как в режиме реального времени, так и по расписанию, предоставляя специалистам информацию о том кто, когда, какое изменение и каким образом было внесено, включая фиксацию изменений в содержимом файла и изменение атрибутов файлов и ключей.

Заказать демо

Почему важен мониторинг целостности файлов?

Злоумышленники могут нанести серьезный урон, изменяя файлы конфигурации системы и приложений. Чтобы помешать расследованию они также практикуют удаление/изменение логов, чтобы скрыть следы атаки.

Для предотвращения подобных ситуаций отраслевые регуляторы и стандарты безопасности требуют контролировать конфигурацию автоматизированных систем и средств защиты информации, журналировать и вести легенду изменений. Прежде всего это необходимо для обеспечения режима безопасной эксплуатации систем и приложений, обрабатывающих чувствительные данные.

Функционал средств мониторинга целостности файлов и ключей включает в себя:
  • детектирование изменений конфигурационных файлов;
  • сохранение копий контента и атрибутов до и после изменения;
  • журналирование какой пользователь, когда и каким образом, с использованием каких процессов и приложений выполнил изменение;
  • поддержку разных устройств, на которых располагаются файлы и ключи: серверы, компьютеры, специализированные устройства конечных точек сети;
  • предоставление информации о наступлении событий в консоли управления.

Сервер управления обрабатывает данные о событиях изменений наблюдаемых файлов и ключей и предоставляет информацию о масштабе отклонения нового состояния файла или ключа от эталонного состояния. FIM позволяет сравнить контент и атрибуты файла или ключа на разные моменты времени. Доступность такой агрегированной информации «из одного окна» позволяет специалисту оперативно провести анализ для классификации события: инцидент, продакшн инцидент или ординарное событие для своевременного и правильного реагирования. В случае если текущее состояние является новым эталонным, в системе мониторинга есть возможность задать новую точку отсчета для конкретного устройства или группы устройств.

PCI DSS, международный стандарт безопасности данных платежных карт, требует обеспечить режим безопасной эксплуатации платежных приложений (payment application), обрабатывающих данные платежных карт. Это означает, что нужно реализовать многоуровневые меры защиты информации, обеспечить контроль за конфигурацией средств защиты информации, системы и приложений. Для отслеживания неизменности состояния политик безопасности, реализуемых средствами операционной системы (локальные, групповые и доменные политики) в средствах мониторинга целостности доступна возможность загрузки (импорта) готовых наборов правил мониторинга за файлами и ключами, значения которых реализуют состояния таких политик. Для отслеживания неизменности конфигурации приложений и средств защиты информации настраиваются наборы правил, отслеживающих легенду изменений или неизменность файлов и ключей, отвечающих за такую конфигурацию.

При прохождении очередного аудита, хорошо себя показывает практика оценки отклонений от эталонных состояний, заданных в предыдущей процедуре аудита. И если такие отклонения фиксируются, предоставляется легенда по изменениям по всему таймлайну, чтобы убедиться, что новые состояния объектов – это результат санкционированных эксплуатационных воздействий на систему. Такая практика существенно снижает временные ресурсы и степень сложности задач по проведению аудита на соответствие требованиям стандарта.

Решение SoftControl Change Monitoring

Решение состоит из клиентских модулей и сервера управления. Клиентский модуль устанавливается на устройство: сервер, компьютер или специализированное устройство (ККМ, устройство самообслуживания) и отслеживает состояние файлов и ключей реестра согласно заданным политикам. Сервер управляет настройками, группами устройств, собирает события от всех клиентских модулей и ведет точку отчета.

Доступ к серверу можно получить из консоли управления. Понятный и простой интерфейс позволяет использовать мониторинг офицерам ИБ, отделу ИТ и аналитикам SOC.

Решение может быть интегрировано с SIEM, SOC и Service Desk для создания единого рабочего процесса и снижения нагрузки на сотрудников.

Заказать демо