Monitore eficientemente a integridade dos seus arquivos com PRTG

O FIM examina vários aspectos de um arquivo e cria uma impressão digital eletrônica que então é comparada com uma impressão digital de linha de base.

Ainda que você possa encontrar muitas ferramentas de auditoria nativas no mercado, todas elas têm limitações como armazenamento descentralizado de logs de segurança de muitos controladores de domínio, a incapacidade de recuperação das configurações ou objetos dos logs de auditoria ou mesmo informações insuficientes sobre configurações do sistema nas entradas de log. É por esse motivo que organizações com ambientes complexos de TI preferem soluções empresariais.

O software de FIM analisa vários aspectos do arquivo, incluindo suas credenciais, conteúdo, valores de configurações, permissões e ajustes, segurança, tamanho, atributos chave e valores de hash. O monitoramento pode ser feito de forma regular, por instantâneos ou continuamente e ocorrer de forma aleatória ou conforme outras regras definidas pela equipe de segurança.

Essencialmente, monitoramento da integridade de arquivos envolve cinco etapas.

Etapa nº 1: Definir uma política

Na primeira etapa do FIM, a organização deve definir uma política relevante. Nesta etapa, a organização deve identificar os arquivos que precisa monitorar e qual computador tem esses arquivos.

Etapa nº 2: Estabelecer uma linha de base

Antes que uma organização possa prosseguir e monitorar se há mudanças em vários arquivos, é necessário definir um ponto de referência que possa ser usado para detectar quaisquer modificações. É por esse motivo que empresas devem documentar um estado correto  conhecido (ou linha de base) de todos os arquivos que serão monitorados pelo FIM.

Aqui, é importante levar em consideração dados como data de modificação, data de criação e a versão para ajudar a garantir para os profissionais de TI que se trata de um arquivo legítimo.

Etapa nº 3: Monitorar alterações

Após as organizações terem estabelecido uma linha de base detalhada, podem começar a monitorar todos os arquivos que fazem parte da solução de FIM quanto a alterações. Elas podem até mesmo ir um passo além e autopromover as alterações esperadas para minimizar a chance de falsos positivos.

Etapa nº 4: Enviar um alerta

Sempre que a solução de FIM detectar alterações não autorizadas, os responsáveis pelo processo deverão enviar um alerta para a equipe relevante para que esta possa consertar o problema rapidamente.

Etapa nº 5: Relatar resultados

Em alguns casos, as organizações usam FIM para garantir a conformidade PCI DSS. Nesses casos, a organização pode precisar gerar relatórios para auditorias de maneira a comprovar a utilização do FIM.

No geral, há duas formas de proteger arquivos. Pode ser feito o cálculo de uma soma de verificação das propriedades do arquivo quando este é gravado por um processo autorizado, ou pode ser feita uma cópia do arquivo com o arquivo real sendo comparado com a cópia.

Alguns sistemas enviam alertas em caso se alterações não autorizadas, o que significa que você precisará ter um procedimento de restauração e cópia de segurança implantado. Desta forma, você será avisado que tem algo estranho acontecendo enquanto o cibercriminoso tenta se esconder.

Enquanto isso, outros sistemas ajudam a recuperar arquivos para seu estado original e são mais desejáveis do que aqueles que apenas detectam mudanças não autorizadas. Ter a capacidade de ver os registros que foram alterados por um invasor facilita a detecção das contas comprometidas, o que agiliza o processo de remediação. 

Embora um sistema completo pareça uma excelente opção, ele tem suas desvantagens. Por exemplo, se todos os arquivos de log forem copiados, você precisará de muito espaço em disco. Tenha em mente que os arquivos de log precisam de muito espaço e simplesmente duplicar o volume só irá piorar as coisas.

E mesmo que redes pequenas não tenham muito tráfego, o mesmo não acontece com sistemas maiores e o processamento de um volume maior de logs exigirá uma boa quantidade de poder de processamento. Portanto, o sistema ideal e completo, como FIM em tempo real deverá ter mais espaço para arquivos e poder de processamento em relação ao sistema original. Isso significa que a sua organização terá que gastar mais no gerenciamento de arquivos de log do que com as operações principais. Com isso em mente, fica claro que o melhor sistema de FIM deve ser fazer algumas concessões.

Portanto, se você deseja manter seus sistemas de segurança administráveis, é importante ter um sistema de monitoramento da integridade de arquivos que possa proteger seus arquivos sem tomar conta de todo o sistema de TI. Uma das principais concessões que você deverá fazer é decidir se as ações do FIM serão executadas periodicamente ou em tempo real.

Você também deve procurar por um sistema de gerenciamento de logs que possa ajudar a identificar as mensagens de maior e menor importância para fins de segurança. Ao cortar o número de logs ou registros que precisam ser protegidos, o FIM se torna gerenciável.

FIM é importante tanto para sistemas Unix e Linus quanto para ambientes com base em Windows. No Windows, o registro é usado na maior parte da configuração, juntamente com a API Win 32, portanto se trata de uma área mais restrita e mais controlada.

No entanto, no Unix e no Linux as configurações ficam expostas como parte de todo o sistema de arquivos, fazendo com que fiquem altamente vulneráveis a executáveis binários hackeados e ataques. Além disso, a substituição e atualização de arquivos principais significa que invasores podem facilmente inserir código malicioso.

É por isso que o FIM deve poder acompanhar as alterações ao sistema operacional, arquivos comerciais importantes, aplicativo, diretório, banco de dados e informá-lo sobre alterações suspeitas ou potencialmente perigosas.

Algumas áreas importantes de se controlar são o SQL Exchange, Active Directory, SO, senha e inicialização no Windows e hosts, o bootloader, perfis, tarefas cron, comentários de execução, parâmetros do kernel e serviços e daemons, tanto no Linux quanto Unix.