Monitoree la integridad de sus archivos con PRTG

FIM examina diferentes aspectos de un archivo y crea una huella digital que luego se compara con una referencia conocida.

Aunque puede encontrar muchas herramientas nativas de auditoría en el mercado, todas tienen algunas deficiencias, como el almacenamiento descentralizado de registros de seguridad de numerosos controladores de dominio, la imposibilidad de recuperar la configuración o el objeto de los registros de auditoría o la carencia de información sobre la configuración anterior en la entrada de registro. Esta es la razón por la cual las organizaciones con entornos de TI complejos recurren a soluciones empresariales.

El software FIM analiza numerosos aspectos del archivo, como sus credenciales, contenido, valores de configuración, permisos, ajustes, seguridad, tamaño, atributos principales y valores hash. El monitoreo se puede realizar de forma regular, instantánea o continua y puede efectuarse de forma aleatoria o de acuerdo con otras reglas establecidas por el equipo de seguridad.

El monitoreo de la integridad de los archivos consta esencialmente de cinco pasos.

Paso 1: establecer una política

El primer paso en FIM es que la organización defina una política relevante. En este paso, la organización tiene que identificar los archivos que necesita monitorear y las computadoras que los contienen.

Paso 2: establecer una línea de base

Antes de que una organización pueda seguir adelante y monitorear activamente diferentes archivos en busca de cambios, primero debe definir un punto de referencia que pueda usarse para detectar modificaciones. Esta es la razón por la cual las empresas deben documentar un buen estado conocido (o línea de base) de todos los archivos que serán monitoreados por FIM.

Aquí, es importante tener en cuenta datos como la fecha de modificación, la fecha de creación y la versión para ayudar a asegurar a los profesionales de TI que el archivo sea legítimo.

Paso 3: monitorear los cambios

Una vez que las organizaciones tienen una línea de base detallada, pueden comenzar a monitorear todos los archivos que forman parte de la solución FIM en busca de cambios. Incluso pueden ir más allá y promover automáticamente los cambios esperados para minimizar las posibilidades de falsos positivos.

Paso 4: enviar una alerta

Cada vez que la solución FIM detecta cambios no autorizados, los responsables del proceso deben enviar una alerta al personal pertinente para solucionar el problema rápidamente.

Paso 5: informar de los resultados

En algunos casos, las organizaciones usan FIM para garantizar el cumplimiento de PCI DSS. En este tipo de situaciones, la organización podría tener que generar informes para auditorías a fin de respaldar la implementación de su FIM.

Por lo general, hay dos formas de proteger los archivos: se puede calcular el checksum en las propiedades del archivo cuando lo escribe un proceso autorizado, o se puede hacer una copia del mismo para poder compararlo a posteriori.

Algunos sistemas solo envían una alerta en el caso de que se produzca un cambio no autorizado, lo que implica disponer de un procedimiento de copia de seguridad y restauración independiente. Gracias a ello, recibirá un aviso de que algo sospechoso está sucediendo cuando el ciberdelincuente intente cubrir sus pasos.

Mientras tanto, otros sistemas ayudan a restaurar archivos a su estado original y son preferibles a aquellos que solo detectan cambios no autorizados. Poder ver los registros que fueron modificados por un intruso facilita conocer las cuentas comprometidas, acelerando el proceso de reparación. 

A pesar de que un sistema integral suele parecernos la mejor opción, tiene sus inconvenientes; por ejemplo, si se copian todos los archivos de registro del sistema, se necesitará un montón de espacio en disco. Tenga en cuenta que los archivos de registro ocupan bastante ya de por sí, y duplicar el volumen podría empeorar las cosas.

Y aunque las redes pequeñas no tengan un tráfico de registros tan elevado, los sistemas de mayor envergadura sí podrían ponerse contra las cuerdas, sin olvidar que el procesamiento de un mayor volumen de registros requiere una buena cantidad de potencia de procesamiento.  Por lo tanto, un sistema ideal de FIM, con todas las funcionalidades, necesitaría más espacio de archivo y potencia de procesamiento en comparación con el sistema original. Esto significa que su organización tendrá que invertir una mayor proporción en la gestión de archivos de registro que lo que se consideraría típico. Teniendo todo esto en cuenta, está claro que el mejor sistema de FIM debe encontrarse en un punto intermedio.

Por lo tanto, si desea que sus servicios de seguridad sigan siendo manejables, es importante que cuente con un sistema de monitoreo de la integridad de los archivos inteligente que pueda mantener sus ficheros seguros sin apoderarse de todo el sistema de TI. Una de las consideraciones más importantes que tendrá que tomar es si las acciones de FIM se realizan periódicamente o en tiempo real.

También debe buscar un sistema de administración de registros que pueda ayudarle a identificar los mensajes más importantes y menos importantes en cuanto a seguridad se refiere. Al reducir el volumen de ficheros o registros a proteger, FIM se vuelve más manejable.

FIM es importante tanto para los sistemas Unix y Linux como para los entornos basados en Windows. En Windows, el registro se usa para la mayor parte de la configuración, junto con la API de Win32, por lo que es un área más restringida y estrictamente controlada.

Sin embargo, en Unix y Linux, las configuraciones se exponen como parte de todo el sistema de archivos, lo que las hace altamente vulnerables a ataques y ejecutables binarios pirateados. Además, reemplazar y actualizar los archivos del núcleo implica que los atacantes pueden inyectar código malicioso fácilmente.

Esta es la razón por la que FIM debería poder rastrear los cambios en el sistema operativo, los archivos críticos de negocio, la aplicación, el directorio y la base de datos e informarle sobre cambios sospechosos o potencialmente sensibles.

Algunas áreas importantes para el control de cambios son Exchange SQL, Active Directory, el propio sistema operativo, las contraseñas y el arranque en Windows; y los hosts, el bootloader, los perfiles, los trabajos cron, la ejecución de comandos, los parámetros del kernel, los servicios y los demonios en Linux o Unix.