O que é monitoramento de integridade de arquivos?

O que é monitoramento de integridade de arquivos (FIM)?

Monitoramento de integridade de arquivos (FIM), às vezes chamado de gerenciamento de integridade de arquivos, é um processo de segurança que monitora e analisa a integridade de ativos críticos, incluindo sistemas de arquivos, diretórios, bancos de dados, dispositivos de rede, sistema operacional (SO), componentes de SO e aplicações de software em busca de sinais de adulteração ou corrupção, o que pode ser uma indicação de um ciber ataque.

As ferramentas de FIM contam com dois métodos de verificação diferentes para verificar a integridade de sistemas de arquivos críticos e outros ativos: auditoria reativa ou forense; e monitoramento proativo ou baseado em regras. Em ambos os casos, a ferramenta FIM compara o arquivo atual com uma linha de base e dispara um alerta caso o arquivo tenha sido alterado ou atualizado de uma forma que viole a política de segurança predefinida da empresa.

Por que o monitoramento de integridade de arquivos é importante?

Nos últimos anos, os ciber criminosos têm se tornado cada vez mais sofisticados no uso de malware e outras técnicas para alterar arquivos críticos do sistema, pastas, registros e dados de endpoint para realizar ciber ataques avançados. Se não forem detectados, esses hackers podem roubar dados, IP e informações de clientes ou interromper as operações comerciais.

A rápida aceleração do trabalho remoto devido à pandemia da COVID-19, bem como a explosão de dispositivos IoT, expandiu drasticamente a superfície de ataque para ciber criminosos, fornecendo assim muitos pontos de acesso para esses atores.

O FIM fornece uma importante camada de proteção para arquivos, dados, aplicações e dispositivos confidenciais, executando rotineiramente varredura, monitoramento e verificação da integridade desses ativos. Ele também ajuda a identificar possíveis problemas de segurança mais rapidamente e melhora a precisão dos esforços de remediação pela equipe de resposta a incidentes.

Casos de uso de monitoramento de integridade de arquivos

Alguns casos de uso comuns para uma ferramenta de gerenciamento de integridade de arquivos incluem:

Detectar um ciber ataque

Nos estágios iniciais de um ciber ataque complexo, os ciber criminosos podem precisar alterar arquivos críticos relacionados ao sistema operacional ou às aplicações. Invasores muito sofisticados podem até mesmo alterar os arquivos log para encobrir suas atividades. No entanto, as ferramentas de FIM ainda podem detectar essas modificações porque elas analisam o arquivo atual em relação a uma linha de base, em vez de simplesmente analisar o log do arquivo.

Agilizar a detecção, resposta e remediação de ameaças

Ao detectar uma ameaça no início da cyber kill chain, a organização tem mais chances de interromper o ataque antes que danos significativos ou custosos sejam causados. O FIM aumenta muito a capacidade da organização de detectar um ataque que pode passar despercebido por outras medidas de segurança.

Identificar fragilidades na infraestrutura de TI

Algumas alterações feitas por administradores ou funcionários, embora não sejam de natureza maliciosa, podem inadvertidamente expor a organização a riscos. O FIM ajuda a identificar essas vulnerabilidades e corrigi-las antes que possam ser exploradas por adversários.

Simplificar os esforços de conformidade

Organizações estão enfrentando um cenário regulatório cada vez mais complexo. Em praticamente todos os setores, as empresas são obrigadas a monitorar seu ambiente de TI e relatar atividades específicas para manter a conformidade com regulamentações importantes, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Regulamento Geral de Proteção de Dados (GDPR), a ISO 17799 e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

Como funciona o monitoramento de integridade de arquivos

Abaixo estão as seis etapas principais que a organização executa para estabelecer um monitoramento de integridade de arquivos de processo bem-sucedido:

Definir a política de integridade do arquivo: antes que a ferramenta de FIM possa ser implementada, a organização deve primeiro especificar qual ativo será monitorado e os tipos de alterações que deseja detectar.

Estabelecer uma linha de base: as ferramentas de FIM criam uma linha de base inicial, que servirá como ponto de referência para comparação de todas as atividades futuras. Isso conterá todos os atributos do arquivo, incluindo tamanho do arquivo, conteúdo, configurações de acesso, privilégios, credenciais e valores de configuração.

Aplicar a assinatura de hash criptográfica: como parte do desenvolvimento da linha de base, a equipe de TI também aplicará uma assinatura de hash criptográfica, que não pode ser alterada, a cada arquivo. Qualquer alteração feita nos arquivos, autorizada ou não, também alterará o valor hash do arquivo, facilitando a detecção de atualizações e alterações no arquivo.

Monitorar, analisar e verificar a integridade dos arquivos: a ferramenta de FIM compara os valores hash nos arquivos para detectar alterações anormais de forma rápida e clara. Como parte desse processo, a equipe de TI também pode isentar certas alterações do monitoramento para evitar o disparo de alertas para alterações ou atualizações planejadas.

Emitir alerta: caso uma modificação inesperada ou não autorizada tenha sido feita, a ferramenta de FIM também alertará a equipe de segurança da informação (InfoSec) sobre a necessidade de investigação adicional e possível remediação.

Gerar relatórios e analisar a conformidade regulatória: em alguns casos, a organização deve relatar um ataque às autoridades competentes, conforme determinado por lei. A ferramenta de FIM ajuda a equipe de Assuntos Regulatórios a compilar essas informações para fins de relatórios.

Como selecionar a ferramenta de FIM correta

Embora o FIM seja uma capacidade crítica para equipes de cibersegurança, muitas ferramentas não oferecem a personalização, configurações, integrações e funcionalidades necessárias ao negócio.

Aqui estão algumas questões a serem consideradas ao avaliar as ferramentas de monitoramento de integridade de arquivos:

Compatibilidade

• Esta solução de monitoramento de integridade de arquivos é compatível com todos os outros aspectos da arquitetura de cibersegurança existente na organização?
• Esta ferramenta de FIM é capaz de dar suporte à política de integridade de arquivos existente na empresa?

Personalização

• A ferramenta de FIM pode ser personalizada para casos de uso específicos de detecção e remediação de ameaças, conforme identificado pela empresa?
• Este software de monitoramento de integridade de arquivos ajuda a automatizar e agilizar os esforços de conformidade regulatória exclusivos da organização?
• A solução de FIM pode suportar funcionalidades adicionais que podem ser necessárias para o negócio no futuro?

Configuração

• Que suporte o fabricante fornece durante o processo de configuração para ajudar a reduzir o “ruído” e diferenciar entre ameaças reais e falsos-positivos?
• Com que rapidez o software de FIM pode ser atualizado? Como é o processo de teste de controle de qualidade para garantir que todas as configurações existentes funcionem corretamente?

Facilidade de uso

• Quanto da análise de arquivos é automatizada pela ferramenta de FIM?
• Os controles de segurança na solução de FIM podem ser facilmente ativados e desativados ou atualizados conforme necessário?
• Como os alertas da ferramenta de monitoramento são entregues à equipe de TI?
• Em que formato os dados de alerta são apresentados para garantir que as informações sejam acionáveis?

Integração

• Como é que a ferramenta de FIM se integra na arquitetura de cibersegurança existente na organização, incluindo o SIEM?
• Que suporte o fabricante fornece para garantir que a ferramenta de FIM esteja devidamente integrada com outras ferramentas e tecnologias?