¿Qué es la supervisión de integridad de archivos (FIM)?

La supervisión de integridad de archivos (FIM), a veces denominada gestión de la integridad de los archivos, es un proceso de seguridad que monitoriza y analiza la integridad de los recursos críticos, incluidos los sistemas de archivos, los directorios, las bases de datos, los dispositivos de red, el sistema operativo (SO), los componentes del SO y las aplicaciones de software en busca de signos de manipulación o corrupción, que pueden ser indicios de un ciberataque.

Las herramientas de FIM se basan en dos métodos de verificación diferentes para comprobar la integridad de los sistemas de archivos críticos y otros recursos. Estos son la auditoría reactiva o forense y la monitorización basada en reglas o proactiva. En ambos casos, la herramienta de FIM compara el archivo actual con una base de referencia y activa una alerta en caso de que el archivo se haya alterado o actualizado de forma que infrinja las directivas de seguridad predefinidas de la empresa.

¿Por qué es importante la supervisión de integridad de archivos?

En los últimos años, los ciberdelincuentes se han vuelto cada vez más sofisticados en el uso de malware y otras técnicas para alterar archivos críticos del sistema, carpetas, registros y datos, además de endpoints, para llevar a cabo ciberataques avanzados. Si no se detectan, estos hackers pueden robar datos, las IP e información de los clientes o perturbar de otro modo las operaciones de la empresa.

La rápida aceleración del trabajo en remoto debido a la pandemia de COVID-19, así como una explosión de dispositivos IoT ha ampliado drásticamente la superficie de ataque para los ciberdelincuentes, proporcionando así muchos puntos de acceso para estos atacantes.

La FIM proporciona una importante capa de protección para archivos, datos, aplicaciones y dispositivos confidenciales al analizar, monitorizar y verificar de forma rutinaria la integridad de esos recursos. También ayuda a identificar posibles problemas de seguridad con mayor rapidez y mejora la precisión de las estrategias de corrección del equipo de respuesta a incidentes.

Casos de uso de supervisión de integridad de archivos

Entre los casos de uso habituales para una herramienta de gestión de la integridad de los archivos se incluyen:

Detección de un ciberataque

En las primeras fases de un ciberataque complejo, los ciberdelincuentes pueden necesitar alterar archivos críticos relacionados con el sistema operativo o las aplicaciones. Los ciberdelincuentes muy sofisticados pueden incluso alterar los archivos log para encubrir su actividad. Sin embargo, las herramientas de FIM pueden detectar estas modificaciones porque revisan el archivo actual comparándolo con una base de referencia, en lugar de limitarse a revisar los logs de los archivos.

Agilización de la detección, respuesta y corrección de amenazas

Al detectar una amenaza en una fase temprana de la cadena de ataque, la organización tiene más posibilidades de detener la brecha antes de que se produzcan daños significativos o muy costosos. La FIM mejora enormemente la capacidad de la organización para detectar un ataque que otras medidas de seguridad podrían pasar por alto.

Detección de puntos débiles en la infraestructura de TI

Algunos cambios realizados por administradores o empleados, aunque no sean de naturaleza maliciosa, pueden exponer inadvertidamente a la organización a riesgos. La FIM ayuda a identificar estas vulnerabilidades y corregirlas antes de que los adversarios puedan aprovecharlas.

Optimización de las estrategias de cumplimiento

Las organizaciones se enfrentan a un panorama normativo cada vez más complejo. En prácticamente todos los sectores, las empresas están obligadas a monitorizar su entorno de TI e informar de la actividad seleccionada para mantener el cumplimiento de normativas clave como la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA), el Reglamento General de Protección de Datos (RGPD), la norma ISO 17799 y el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Cómo funciona la supervisión de integridad de archivos

A continuación se indican los seis pasos principales que deben seguir las organizaciones para establecer un proceso de supervisión de integridad de archivos que funcione correctamente:

Definir la directiva de integridad de archivos: Antes de implantar la herramienta de FIM, la organización debe especificar qué recursos se van a monitorizar y los tipos de cambios que desea detectar.

Establecer una base de referencia: Las herramientas de FIM crean un punto de partida inicial, que servirá como referencia para comparar toda la actividad futura. Dicha referencia contendrá todos los atributos del archivo, incluidos el tamaño, el contenido, los ajustes de acceso, los privilegios, las credenciales y los valores de configuración.

Aplicar la firma hash criptográfica: Como parte del desarrollo de la base de referencia, el equipo de TI también aplicará a cada archivo una firma hash criptográfica, que no puede modificarse. Cualquier cambio realizado en los archivos, ya sea autorizado o no, también cambiará el valor hash del archivo, lo que facilitará la detección de actualizaciones y alteraciones en estos.

Monitorizar, analizar y verificar la integridad de los archivos: La herramienta de FIM compara los valores hash de los archivos para detectar rápida y claramente los cambios anómalos. Como parte de este proceso, el equipo de TI también puede excluir determinados cambios de la monitorización para evitar que se activen alertas por cambios o actualizaciones ya previstos.

Emitir una alerta: En caso de que se haya producido una modificación inesperada o no autorizada, la herramienta de FIM también alertará al equipo de seguridad de la información (InfoSec) de la necesidad de una investigación más profunda y de una posible solución.

Informes y cumplimiento de la normativa: En algunos casos, la organización debe informar de una brecha a las autoridades pertinentes, tal como dicta la ley. La herramienta de FIM ayuda al equipo de Asuntos normativos a recopilar dicha información para la elaboración de informes.

Cómo seleccionar la herramienta de FIM adecuada

Aunque la FIM es una capacidad fundamental para los equipos de ciberseguridad, muchas herramientas no ofrecen la personalización, configuraciones, integraciones y funcionalidades que necesita la empresa.

Estas son algunas de las cuestiones que deben tenerse en cuenta a la hora de valorar las herramientas de supervisión de integridad de archivos:

Compatibilidad

• ¿Es esta solución de supervisión de la integridad de archivos compatible con el resto de aspectos de la arquitectura de ciberseguridad existente en la organización?
• ¿Es esta herramienta de FIM capaz de ofrecer compatibilidad con la directiva de integridad de archivos existente de la empresa?

Personalización

• ¿Puede personalizarse la herramienta de FIM para dar soporte a casos de uso específicos de detección y corrección de amenazas identificados por la empresa?
• ¿Ayuda este software de supervisión de integridad de archivos a automatizar y agilizar las estrategias de cumplimiento normativo propios de la organización?
• ¿Puede la solución de FIM ofrecer compatibilidad con funcionalidades adicionales que pueda necesitar la empresa en el futuro?

Configuración

• ¿Qué asistencia ofrece el proveedor durante el proceso de configuración para ayudar a reducir el "ruido" y diferenciar entre amenazas reales y falsos positivos?
• ¿Con qué rapidez puede actualizarse el software de FIM? ¿Cómo es el proceso de pruebas de control de calidad para garantizar que todas las configuraciones existentes funcionan correctamente?

Facilidad de uso

• ¿Qué parte del análisis de los archivos está automatizada por la herramienta de FIM?
• ¿Pueden desactivarse y activarse fácilmente los controles de seguridad de la solución de FIM, o actualizarse según sea necesario?
• ¿Cómo se envían las alertas de la herramienta de supervisión al equipo de TI?
• ¿En qué formato se presentan los datos de alerta para garantizar que la información sea procesable?

Integración

• ¿Cómo se integra la herramienta de FIM en la arquitectura de ciberseguridad existente en la organización, incluido el sistema SIEM?
• ¿Qué asistencia ofrece el proveedor para garantizar que la herramienta de FIM se integre correctamente con otras herramientas y tecnologías?