Pemantauan Integritas File – Mengapa Keamanan Anda Berkompromi Tanpa Ini

pengantar

Pemantauan Integritas File sangat penting untuk keamanan bisnis 'TI. Kami memeriksa kebutuhan deteksi malware, mengatasi kekurangan yang tak terelakkan dalam sistem anti-virus.

Malware Detection – Seberapa Efektifkah Anti-Virus?

Ketika malware menghantam sistem – paling sering sistem operasi Windows, tetapi semakin banyak sistem Linux dan Solaris yang terancam (terutama dengan popularitas baru dari workstation Apple yang menjalankan Mac OS X) – itu perlu dijalankan dalam beberapa cara untuk melakukan perbuatan jahatnya.

Ini berarti bahwa beberapa jenis file sistem – yang dapat dijalankan, driver atau dll harus ditanam pada sistem. Trojan akan memastikan bahwa itu dijalankan tanpa intervensi pengguna lebih lanjut dengan mengganti sistem operasi yang sah atau file program. Ketika program berjalan, atau OS melakukan salah satu tugas regulernya, Trojan dieksekusi sebagai gantinya.

Pada workstation pengguna, aplikasi pihak ke-3 seperti browser internet, pembaca pdf dan paket pengguna biasa seperti MS Word atau Excel telah ditargetkan sebagai vektor untuk malware menengah. Ketika dokumen atau spreadsheet dibuka, malware dapat mengeksploitasi kerentanan dalam aplikasi, memungkinkan malware untuk diunduh dan dieksekusi.

Either way, akan selalu ada sejumlah perubahan file yang terkait. File sistem yang sah diganti atau file sistem baru ditambahkan ke sistem.

Jika Anda beruntung, Anda tidak akan menjadi korban pertama dari jenis malware tertentu dan sistem AV Anda – asalkan itu telah diperbarui baru-baru ini – akan memiliki definisi tanda tangan yang diperlukan untuk mengidentifikasi dan menghentikan malware.

Ketika ini tidak terjadi, dan ingatlah bahwa jutaan varian malware baru diperkenalkan setiap bulan, sistem Anda akan dikompromikan, biasanya tanpa Anda mengetahui apa pun tentang hal itu, sementara malware diam-diam pergi tentang bisnisnya, merusak sistem atau mencuri Anda data.

FIM – Penangkapan Malware Sistem Anti-Virus Lainnya, Miss

Yaitu, tentu saja, kecuali Anda menggunakan pemantauan integritas file.

Tingkat perusahaan FIM akan mendeteksi aktivitas sistem file yang tidak biasa. Tidak biasa adalah penting, karena banyak file akan sering berubah pada sistem, jadi sangat penting bahwa sistem FIM cukup cerdas untuk memahami seperti apa operasi reguler untuk sistem Anda dan hanya menandai insiden keamanan yang sebenarnya.

Namun, pengecualian dan pengecualian harus dijaga seminimal mungkin karena FIM berada dalam kondisi terbaik ketika dioperasikan dalam pendekatan 'tanpa toleransi' terhadap perubahan. Malware diformulasikan dengan tujuan yang akan efektif, dan ini berarti ia harus berhasil didistribusikan dan beroperasi tanpa deteksi.

Tantangan distribusi telah melihat banyak cara inovasi. Menggoda email dengan umpan malware dalam bentuk gambar untuk dilihat, hadiah yang akan dimenangkan, dan gosip tentang selebriti semuanya telah berhasil menyebarkan malware. Email phishing memberikan alasan yang meyakinkan untuk mengeklik dan memasukkan detail atau mengunduh formulir, dan email Spear Phishing khusus yang ditargetkan telah bertanggung jawab untuk menipu pengguna yang paling cerdas cybersecurity sekalipun.

Apa pun vektor yang digunakan, setelah malware diterima ke dalam sistem, ia mungkin memiliki sarana untuk menyebar di dalam jaringan ke sistem lain.

Jadi deteksi dini sangat penting. Dan Anda tidak bisa mengandalkan sistem anti-virus Anda untuk menjadi 100% efektif, seperti yang telah kami soroti.

FIM memberikan 'toleransi nol' ini ke perubahan filesystem. Tidak ada menebak-nebak apa yang mungkin atau mungkin bukan malware, menjamin bahwa semua malware dilaporkan, membuat FIM 100% efektif dalam mendeteksi pelanggaran apa pun dari jenis ini.

Ringkasan

FIM sangat ideal sebagai teknologi pendeteksi malware karena tidak rentan terhadap 'tanda tangan lag' atau 'kerentanan zero day' yang merupakan kelemahan sistem anti-virus Achilles. Seperti kebanyakan praktik terbaik keamanan, saran selalu lebih baik, dan mengoperasikan anti-virus (bahkan dengan kekurangannya yang diketahui) bersama dengan FIM akan memberikan perlindungan terbaik secara keseluruhan. AV efektif terhadap malware lawas dan perlindungan otomatisnya akan mengkarantina sebagian besar ancaman sebelum mereka melakukan kerusakan apa pun. Tetapi ketika malware menghindar AV, karena beberapa strain akan selalu dilakukan, FIM real-time dapat menyediakan jaring pengaman yang penting.

Pemantauan Integritas File – Persyaratan PCI DSS 10, 10.5.5 dan 11.5

Meskipun FIM atau File-Integrity Monitoring hanya disebutkan secara khusus dalam dua sub-persyaratan dari PCI DSS (10.5.5 dan 11.5), sebenarnya ini adalah salah satu tindakan yang lebih penting dalam mengamankan sistem bisnis dari pencurian data kartu.

Apa itu, dan mengapa itu penting?

Sistem pemantauan Integritas File dirancang untuk melindungi data kartu dari pencurian. Tujuan utama FIM adalah mendeteksi perubahan pada file dan atribut terkaitnya. Namun, artikel ini memberikan latar belakang untuk tiga dimensi berbeda untuk memantau integritas file, yaitu:

– secure FIM berbasis hash, digunakan terutama untuk pemantauan integritas file sistem

– Pemantauan integritas isi file, berguna untuk file konfigurasi dari firewall, router, dan server web

– Pemantauan akses file dan / atau folder, penting untuk melindungi data sensitif

Secure Hash Based FIM

Dalam konteks PCI DSS, file utama yang menjadi perhatian meliputi:

– File sistem misalnya apa pun yang berada di folder Windows / System32 atau SysWOW64, file program, atau untuk file kernel kernel Linux / Unix

Tujuan untuk setiap sistem pemantauan integritas file berbasis hash sebagai tindakan keamanan adalah untuk memastikan bahwa hanya perubahan yang diharapkan, diinginkan dan terencana yang dibuat dalam perangkat lingkup. Alasan untuk melakukan ini adalah untuk mencegah pencurian data kartu melalui malware atau modifikasi program.

Bayangkan bahwa Trojan diinstal ke server Transaksi Kartu – Trojan dapat digunakan untuk mentransfer rincian kartu dari server. Demikian pula, program packet sniffer dapat ditempatkan ke perangkat EPoS untuk menangkap data kartu – jika itu disamarkan sebagai proses Windows atau Unix umum dengan program dan nama proses yang sama maka akan sulit untuk dideteksi. Untuk peretasan yang lebih canggih, bagaimana dengan menanamkan 'backdoor' ke dalam file program kunci untuk memungkinkan akses ke data kartu?

Ini semua adalah contoh insiden keamanan di mana pemantauan File-Integrity sangat penting dalam mengidentifikasi ancaman.

Ingat bahwa pertahanan anti-virus biasanya hanya mengetahui 70% malware di dunia dan organisasi yang dihantam oleh serangan zero-day (nol-hari menandai titik waktu ketika suatu bentuk malware baru pertama kali diidentifikasi – hanya kemudian dapat strategi remediasi atau mitigasi dirumuskan tetapi bisa beberapa hari atau minggu sebelum semua perangkat diperbarui untuk melindunginya.

Seberapa jauh langkah FIM harus diambil?

Sebagai titik awal, penting untuk memantau folder Windows / System32 atau SysWOW64, ditambah Folder Program Aplikasi Pengolahan Data Card utama. Untuk lokasi ini, jalankan inventarisasi harian semua file sistem dalam folder ini dan identifikasi semua penambahan, penghapusan, dan perubahan. Penambahan dan Penghapusan relatif mudah untuk mengidentifikasi dan mengevaluasi, tetapi bagaimana seharusnya perubahan diperlakukan, dan bagaimana Anda menilai signifikansi perubahan halus, seperti atribut file? Jawabannya adalah bahwa perubahan file APAPUN di lokasi-lokasi kritis ini harus diperlakukan sama pentingnya. Sebagian besar pelanggaran keamanan PCI DSS telah dipicu melalui 'manusia dalam' – biasanya karyawan tepercaya dengan hak admin istimewa. Untuk cybercrime saat ini tidak ada aturan.

Pendekatan yang diakui industri untuk FIM adalah untuk melacak semua atribut file dan merekam hash yang aman. Perubahan apa pun pada hash saat pemeriksaan integritas file dijalankan ulang adalah situasi lansiran merah – menggunakan SHA1 atau MD5, bahkan perubahan mikroskopis ke file sistem akan menunjukkan perubahan yang jelas terhadap nilai hash. Ketika menggunakan FIM untuk mengatur keamanan file sistem kunci tidak boleh ada perubahan yang tidak direncanakan atau tidak terduga – jika ada, itu bisa menjadi versi sistem file yang didukung oleh Trojan atau backdoor-enabled.

Itulah mengapa juga penting untuk menggunakan FIM dalam hubungannya dengan sistem manajemen perubahan 'loop tertutup' – perubahan yang direncanakan harus dijadwalkan dan perubahan File Integrity terkait dicatat dan ditambahkan ke catatan Perubahan yang Direncanakan.

File Content / Config File Integrity Monitoring

Sementara checksum hash yang aman adalah sarana yang sempurna untuk mengidentifikasi setiap perubahan file sistem, ini hanya memberitahu kita bahwa perubahan telah dilakukan ke file, bukan apa perubahan itu. Tentu, untuk binary-format executable ini adalah satu-satunya cara yang berarti untuk menyampaikan bahwa perubahan telah dibuat, tetapi cara yang lebih berharga dari pemantauan integritas file untuk file yang 'dapat dibaca' adalah dengan menyimpan catatan dari isi file. Dengan cara ini, jika perubahan dilakukan pada file, perubahan yang tepat yang dilakukan pada konten yang dapat dibaca dapat dilaporkan.

Sebagai contoh, file konfigurasi web (php, aspnet, js atau javascript, konfigurasi XML) dapat ditangkap oleh sistem FIM dan dicatat sebagai teks yang dapat dibaca; setelah itu perubahan akan terdeteksi dan dilaporkan secara langsung.

Demikian pula, jika daftar kontrol akses firewall diedit untuk memungkinkan akses ke server utama, atau konfigurasi startup router Cisco diubah, maka ini dapat memungkinkan seorang hacker sepanjang waktu diperlukan untuk masuk ke server data kartu.

Satu titik terakhir pada pemantauan integritas isi file – Dalam arena Kebijakan Keamanan / Kepatuhan, kunci dan nilai Windows Registry sering dimasukkan di bawah judul FIM. Ini perlu dimonitor untuk perubahan karena banyak hacks melibatkan memodifikasi pengaturan registri. Demikian pula, sejumlah kerentanan umum dapat diidentifikasi dengan analisis pengaturan registri.

Pemantauan Akses File dan / atau Folder

Pertimbangan terakhir untuk pemantauan integritas file adalah bagaimana menangani jenis file lain yang tidak sesuai untuk mendapatkan nilai hash atau pelacakan konten. Sebagai contoh, karena file log, file database dll akan selalu berubah, baik isi dan hash juga akan terus berubah. Teknologi pemantauan integritas file yang bagus akan memungkinkan file-file ini dikecualikan dari template FIM apa pun.

Namun, data kartu masih bisa dicuri tanpa deteksi kecuali ada tindakan lain yang dilakukan. Sebagai contoh skenario, dalam sistem ritel EPoS, kartu transaksi atau rekonsiliasi file dibuat dan diteruskan ke server pembayaran pusat secara terjadwal sepanjang hari perdagangan. File akan selalu berubah – mungkin file baru dibuat setiap kali dengan nama waktu yang tertera sehingga segala sesuatu tentang file selalu berubah.

File akan disimpan di perangkat EPoS di folder aman untuk mencegah akses pengguna ke konten. Namun, seorang 'orang dalam' dengan Hak Admin ke folder dapat melihat file transaksi dan menyalin data tanpa harus mengubah file atau atributnya. Oleh karena itu dimensi akhir untuk Pemantauan Integritas File adalah untuk menghasilkan peringatan ketika ada akses ke file atau folder ini terdeteksi, dan untuk memberikan jejak audit lengkap dengan nama akun yang telah memiliki akses ke data.

Sebagian besar Persyaratan PCI DSS 10 berkaitan dengan pencatatan jejak audit untuk memungkinkan analisis forensik terhadap pelanggaran apa pun setelah kejadian dan menetapkan vektor dan pelaku serangan apa pun.