By | August 21, 2018

pengantar

Eskalasi terus-menerus, baik dalam kecanggihan dan proliferasi malware, berarti kebutuhan untuk pemantauan integritas file mendasar sangat penting untuk menjaga sistem bebas malware. Teknologi anti-virus berbasis signature terlalu mudah rusak dan mudah dikelilingi oleh malware zero-day atau secara selektif menciptakan dan menargetkan virus ancaman persisten canggih (APT), worm, atau malware Trojan.

Kebijakan keamanan yang baik akan merekomendasikan penggunaan pemeriksaan integritas file reguler pada sistem dan file konfigurasi dan standar keamanan berbasis praktik terbaik seperti PCI DSS (Persyaratan 11.5), NERC CIP (Sistem Keamanan R15-R19), Departemen Pertahanan Informasi Jaminan (IA) Implementasi (DODI 8500.2), Sarbanes-Oxley (Bagian 404), FISMA – Undang-Undang Pengelolaan Keamanan Informasi Federal (NIST SP800-53 Rev3) secara khusus mengamanatkan perlunya melakukan pemeriksaan rutin untuk setiap modifikasi tidak sah dari file sistem penting, file konfigurasi , atau file konten; dan konfigurasikan perangkat lunak untuk melakukan perbandingan file penting setidaknya setiap minggu.

Namun, pemantauan integritas file perlu diterapkan dengan sedikit perencanaan lanjutan dan pemahaman tentang bagaimana sistem file server Anda berperilaku secara rutin untuk menentukan apa yang tidak biasa dan ada potensi peristiwa yang berpotensi mengancam seperti.

Pertanyaan selanjutnya adalah apakah pendekatan tanpa Agen atau Agen adalah yang terbaik untuk lingkungan Anda. Artikel ini melihat pro dan kontra dari kedua opsi tersebut.

Agentless FIM untuk Windows dan Linux / Unix Server

Dimulai dengan keuntungan yang paling jelas, manfaat jelas pertama dari pendekatan Tanpa Agen terhadap pemantauan integritas file adalah bahwa ia tidak memerlukan perangkat lunak agen apa pun untuk ditempatkan pada server yang dipantau. Ini berarti bahwa solusi FIM tanpa Agen seperti Tripwire atau nCircle akan selalu menjadi opsi tercepat untuk diterapkan dan untuk mendapatkan hasil. Tidak hanya itu tetapi tidak ada perangkat lunak agen untuk memperbarui atau berpotensi mengganggu dengan operasi server.

Larutan pemantauan integritas file-tanpa-nama khas untuk Windows dan Linux / Unix akan menggunakan interaksi baris perintah dengan host untuk menginterogasi file yang penting. Pada akhir skala yang paling sederhana, file Linux dapat di-parselkan menggunakan perintah kucing dan perbandingan dilakukan dengan sampel berikutnya untuk mendeteksi perubahan apa pun. Bergantian, jika audit kerentanan sedang dilakukan untuk mengeraskan konfigurasi server, maka serangkaian perintah grep, digunakan dengan ekspresi regex, akan lebih spesifik mengidentifikasi pengaturan konfigurasi yang hilang atau salah. Demikian pula, server Windows dapat diinterogasi menggunakan program baris perintah, misalnya, program net.exe dapat digunakan untuk mengekspos akun pengguna pada suatu sistem, atau bahkan menilai status atau atribut lain yang terkait dengan akun pengguna jika disalurkan dengan temukan perintah mis. pengguna net.exe | find.exe / i "Akun aktif" akan mengembalikan "Akun aktif Ya" atau "Akun aktif Tidak" hasil dan menetapkan jika akun Tamu diaktifkan, kerentanan klasik untuk server Windows apa pun.

Monitoring Integritas File Berbasis Agen

Keuntungan utama dari Agen untuk FIM adalah dapat memonitor perubahan file secara real-time. Karena agen yang diinstal pada host yang dipantau, aktivitas OS dapat dimonitor dan aktivitas file apa pun dapat diamati dan perubahan dicatat. Jelaslah, pendekatan tanpa agen apa pun harus dioperasionalkan berdasarkan jajak pendapat yang dijadwalkan dan tidak dapat dihindari akan ada pembayaran antara frekuensi bendera yang cukup reguler untuk menangkap perubahan saat terjadi, dan membatasi peningkatan beban pada host dan jaringan karena untuk pemantauan. Dalam praktik, pemungutan suara biasanya dilakukan satu kali per hari untuk sebagian besar solusi FIM, misalnya Tripwire, dan ini berarti Anda berisiko terlambat hingga 24 jam untuk mengidentifikasi potensi insiden keamanan.

Keuntungan utama kedua dari solusi integritas file berbasis agen adalah bahwa host tidak perlu & # 39; dibuka & # 39; untuk memungkinkan pemantauan. Misalnya, semua sistem dan file konfigurasi penting akan selalu dilindungi oleh keamanan sistem file host, misalnya, folder Windows System32 selalu & # 39; Administrator Access Only & # 39; map. Untuk memantau file di lokasi ini, setiap interaksi skrip eksternal perlu diberikan hak Admin atas Host dan ini segera berarti bahwa tuan rumah harus dapat diakses melalui jaringan dan Akun Pengguna atau Layanan tambahan harus disediakan dengan hak istimewa Admin, berpotensi memperkenalkan kelemahan keamanan baru ke sistem. Sebaliknya, Agen beroperasi dalam batas-batas Host, hanya mendorong perubahan File Integrity ketika mereka terdeteksi.

Akhirnya memiliki agen menawarkan keuntungan yang berbeda di atas pendekatan Agentless karena dapat menawarkan & # 39; perubahan saja & # 39; perbarui di seluruh jaringan, dan itupun hanya ketika ada perubahan untuk dilaporkan. Solusi tanpa agen perlu dijalankan melalui daftar pertanyaan lengkapnya untuk membuat penilaian apakah perubahan telah diidentifikasi dan bahkan menggunakan skrip WMI atau Powershell yang rumit masih memerlukan penggunaan sumber daya yang cukup besar pada host dan jaringan ketika menyeret kembali hasilnya.

Ringkasan

Tidak ada yang suka menginstal dan memelihara agen di server mereka dan, jika ini dapat dihindari, ini adalah opsi menarik untuk diambil.