Pemantauan Integritas File – Persyaratan PCI DSS 10, 10.5.5 dan 11.5

Meskipun FIM atau File-Integrity Monitoring hanya disebutkan secara khusus dalam dua sub-persyaratan dari PCI DSS (10.5.5 dan 11.5), sebenarnya ini adalah salah satu tindakan yang lebih penting dalam mengamankan sistem bisnis dari pencurian data kartu.

Apa itu, dan mengapa itu penting?

Sistem pemantauan Integritas File dirancang untuk melindungi data kartu dari pencurian. Tujuan utama FIM adalah mendeteksi perubahan pada file dan atribut terkaitnya. Namun, artikel ini memberikan latar belakang untuk tiga dimensi berbeda untuk memantau integritas file, yaitu:

– secure FIM berbasis hash, digunakan terutama untuk pemantauan integritas file sistem

– Pemantauan integritas isi file, berguna untuk file konfigurasi dari firewall, router, dan server web

– Pemantauan akses file dan / atau folder, penting untuk melindungi data sensitif

Secure Hash Based FIM

Dalam konteks PCI DSS, file utama yang menjadi perhatian meliputi:

– File sistem misalnya apa pun yang berada di folder Windows / System32 atau SysWOW64, file program, atau untuk file kernel kernel Linux / Unix

Tujuan untuk setiap sistem pemantauan integritas file berbasis hash sebagai tindakan keamanan adalah untuk memastikan bahwa hanya perubahan yang diharapkan, diinginkan dan terencana yang dibuat dalam perangkat lingkup. Alasan untuk melakukan ini adalah untuk mencegah pencurian data kartu melalui malware atau modifikasi program.

Bayangkan bahwa Trojan diinstal ke server Transaksi Kartu – Trojan dapat digunakan untuk mentransfer rincian kartu dari server. Demikian pula, program packet sniffer dapat ditempatkan ke perangkat EPoS untuk menangkap data kartu – jika itu disamarkan sebagai proses Windows atau Unix umum dengan program dan nama proses yang sama maka akan sulit untuk dideteksi. Untuk peretasan yang lebih canggih, bagaimana dengan menanamkan 'backdoor' ke dalam file program kunci untuk memungkinkan akses ke data kartu?

Ini semua adalah contoh insiden keamanan di mana pemantauan File-Integrity sangat penting dalam mengidentifikasi ancaman.

Ingat bahwa pertahanan anti-virus biasanya hanya mengetahui 70% malware di dunia dan organisasi yang dihantam oleh serangan zero-day (nol-hari menandai titik waktu ketika suatu bentuk malware baru pertama kali diidentifikasi – hanya kemudian dapat strategi remediasi atau mitigasi dirumuskan tetapi bisa beberapa hari atau minggu sebelum semua perangkat diperbarui untuk melindunginya.

Seberapa jauh langkah FIM harus diambil?

Sebagai titik awal, penting untuk memantau folder Windows / System32 atau SysWOW64, ditambah Folder Program Aplikasi Pengolahan Data Card utama. Untuk lokasi ini, jalankan inventarisasi harian semua file sistem dalam folder ini dan identifikasi semua penambahan, penghapusan, dan perubahan. Penambahan dan Penghapusan relatif mudah untuk mengidentifikasi dan mengevaluasi, tetapi bagaimana seharusnya perubahan diperlakukan, dan bagaimana Anda menilai signifikansi perubahan halus, seperti atribut file? Jawabannya adalah bahwa perubahan file APAPUN di lokasi-lokasi kritis ini harus diperlakukan sama pentingnya. Sebagian besar pelanggaran keamanan PCI DSS telah dipicu melalui 'manusia dalam' – biasanya karyawan tepercaya dengan hak admin istimewa. Untuk cybercrime saat ini tidak ada aturan.

Pendekatan yang diakui industri untuk FIM adalah untuk melacak semua atribut file dan merekam hash yang aman. Perubahan apa pun pada hash saat pemeriksaan integritas file dijalankan ulang adalah situasi lansiran merah – menggunakan SHA1 atau MD5, bahkan perubahan mikroskopis ke file sistem akan menunjukkan perubahan yang jelas terhadap nilai hash. Ketika menggunakan FIM untuk mengatur keamanan file sistem kunci tidak boleh ada perubahan yang tidak direncanakan atau tidak terduga – jika ada, itu bisa menjadi versi sistem file yang didukung oleh Trojan atau backdoor-enabled.

Itulah mengapa juga penting untuk menggunakan FIM dalam hubungannya dengan sistem manajemen perubahan 'loop tertutup' – perubahan yang direncanakan harus dijadwalkan dan perubahan File Integrity terkait dicatat dan ditambahkan ke catatan Perubahan yang Direncanakan.

File Content / Config File Integrity Monitoring

Sementara checksum hash yang aman adalah sarana yang sempurna untuk mengidentifikasi setiap perubahan file sistem, ini hanya memberitahu kita bahwa perubahan telah dilakukan ke file, bukan apa perubahan itu. Tentu, untuk binary-format executable ini adalah satu-satunya cara yang berarti untuk menyampaikan bahwa perubahan telah dibuat, tetapi cara yang lebih berharga dari pemantauan integritas file untuk file yang 'dapat dibaca' adalah dengan menyimpan catatan dari isi file. Dengan cara ini, jika perubahan dilakukan pada file, perubahan yang tepat yang dilakukan pada konten yang dapat dibaca dapat dilaporkan.

Sebagai contoh, file konfigurasi web (php, aspnet, js atau javascript, konfigurasi XML) dapat ditangkap oleh sistem FIM dan dicatat sebagai teks yang dapat dibaca; setelah itu perubahan akan terdeteksi dan dilaporkan secara langsung.

Demikian pula, jika daftar kontrol akses firewall diedit untuk memungkinkan akses ke server utama, atau konfigurasi startup router Cisco diubah, maka ini dapat memungkinkan seorang hacker sepanjang waktu diperlukan untuk masuk ke server data kartu.

Satu titik terakhir pada pemantauan integritas isi file – Dalam arena Kebijakan Keamanan / Kepatuhan, kunci dan nilai Windows Registry sering dimasukkan di bawah judul FIM. Ini perlu dimonitor untuk perubahan karena banyak hacks melibatkan memodifikasi pengaturan registri. Demikian pula, sejumlah kerentanan umum dapat diidentifikasi dengan analisis pengaturan registri.

Pemantauan Akses File dan / atau Folder

Pertimbangan terakhir untuk pemantauan integritas file adalah bagaimana menangani jenis file lain yang tidak sesuai untuk mendapatkan nilai hash atau pelacakan konten. Sebagai contoh, karena file log, file database dll akan selalu berubah, baik isi dan hash juga akan terus berubah. Teknologi pemantauan integritas file yang bagus akan memungkinkan file-file ini dikecualikan dari template FIM apa pun.

Namun, data kartu masih bisa dicuri tanpa deteksi kecuali ada tindakan lain yang dilakukan. Sebagai contoh skenario, dalam sistem ritel EPoS, kartu transaksi atau rekonsiliasi file dibuat dan diteruskan ke server pembayaran pusat secara terjadwal sepanjang hari perdagangan. File akan selalu berubah – mungkin file baru dibuat setiap kali dengan nama waktu yang tertera sehingga segala sesuatu tentang file selalu berubah.

File akan disimpan di perangkat EPoS di folder aman untuk mencegah akses pengguna ke konten. Namun, seorang 'orang dalam' dengan Hak Admin ke folder dapat melihat file transaksi dan menyalin data tanpa harus mengubah file atau atributnya. Oleh karena itu dimensi akhir untuk Pemantauan Integritas File adalah untuk menghasilkan peringatan ketika ada akses ke file atau folder ini terdeteksi, dan untuk memberikan jejak audit lengkap dengan nama akun yang telah memiliki akses ke data.

Sebagian besar Persyaratan PCI DSS 10 berkaitan dengan pencatatan jejak audit untuk memungkinkan analisis forensik terhadap pelanggaran apa pun setelah kejadian dan menetapkan vektor dan pelaku serangan apa pun.