Pemantauan Integritas File – Mengapa Keamanan Anda Berkompromi Tanpa Ini

pengantar

Pemantauan Integritas File sangat penting untuk keamanan bisnis 'TI. Kami memeriksa kebutuhan deteksi malware, mengatasi kekurangan yang tak terelakkan dalam sistem anti-virus.

Malware Detection – Seberapa Efektifkah Anti-Virus?

Ketika malware menghantam sistem – paling sering sistem operasi Windows, tetapi semakin banyak sistem Linux dan Solaris yang terancam (terutama dengan popularitas baru dari workstation Apple yang menjalankan Mac OS X) – itu perlu dijalankan dalam beberapa cara untuk melakukan perbuatan jahatnya.

Ini berarti bahwa beberapa jenis file sistem – yang dapat dijalankan, driver atau dll harus ditanam pada sistem. Trojan akan memastikan bahwa itu dijalankan tanpa intervensi pengguna lebih lanjut dengan mengganti sistem operasi yang sah atau file program. Ketika program berjalan, atau OS melakukan salah satu tugas regulernya, Trojan dieksekusi sebagai gantinya.

Pada workstation pengguna, aplikasi pihak ke-3 seperti browser internet, pembaca pdf dan paket pengguna biasa seperti MS Word atau Excel telah ditargetkan sebagai vektor untuk malware menengah. Ketika dokumen atau spreadsheet dibuka, malware dapat mengeksploitasi kerentanan dalam aplikasi, memungkinkan malware untuk diunduh dan dieksekusi.

Either way, akan selalu ada sejumlah perubahan file yang terkait. File sistem yang sah diganti atau file sistem baru ditambahkan ke sistem.

Jika Anda beruntung, Anda tidak akan menjadi korban pertama dari jenis malware tertentu dan sistem AV Anda – asalkan itu telah diperbarui baru-baru ini – akan memiliki definisi tanda tangan yang diperlukan untuk mengidentifikasi dan menghentikan malware.

Ketika ini tidak terjadi, dan ingatlah bahwa jutaan varian malware baru diperkenalkan setiap bulan, sistem Anda akan dikompromikan, biasanya tanpa Anda mengetahui apa pun tentang hal itu, sementara malware diam-diam pergi tentang bisnisnya, merusak sistem atau mencuri Anda data.

FIM – Penangkapan Malware Sistem Anti-Virus Lainnya, Miss

Yaitu, tentu saja, kecuali Anda menggunakan pemantauan integritas file.

Tingkat perusahaan FIM akan mendeteksi aktivitas sistem file yang tidak biasa. Tidak biasa adalah penting, karena banyak file akan sering berubah pada sistem, jadi sangat penting bahwa sistem FIM cukup cerdas untuk memahami seperti apa operasi reguler untuk sistem Anda dan hanya menandai insiden keamanan yang sebenarnya.

Namun, pengecualian dan pengecualian harus dijaga seminimal mungkin karena FIM berada dalam kondisi terbaik ketika dioperasikan dalam pendekatan 'tanpa toleransi' terhadap perubahan. Malware diformulasikan dengan tujuan yang akan efektif, dan ini berarti ia harus berhasil didistribusikan dan beroperasi tanpa deteksi.

Tantangan distribusi telah melihat banyak cara inovasi. Menggoda email dengan umpan malware dalam bentuk gambar untuk dilihat, hadiah yang akan dimenangkan, dan gosip tentang selebriti semuanya telah berhasil menyebarkan malware. Email phishing memberikan alasan yang meyakinkan untuk mengeklik dan memasukkan detail atau mengunduh formulir, dan email Spear Phishing khusus yang ditargetkan telah bertanggung jawab untuk menipu pengguna yang paling cerdas cybersecurity sekalipun.

Apa pun vektor yang digunakan, setelah malware diterima ke dalam sistem, ia mungkin memiliki sarana untuk menyebar di dalam jaringan ke sistem lain.

Jadi deteksi dini sangat penting. Dan Anda tidak bisa mengandalkan sistem anti-virus Anda untuk menjadi 100% efektif, seperti yang telah kami soroti.

FIM memberikan 'toleransi nol' ini ke perubahan filesystem. Tidak ada menebak-nebak apa yang mungkin atau mungkin bukan malware, menjamin bahwa semua malware dilaporkan, membuat FIM 100% efektif dalam mendeteksi pelanggaran apa pun dari jenis ini.

Ringkasan

FIM sangat ideal sebagai teknologi pendeteksi malware karena tidak rentan terhadap 'tanda tangan lag' atau 'kerentanan zero day' yang merupakan kelemahan sistem anti-virus Achilles. Seperti kebanyakan praktik terbaik keamanan, saran selalu lebih baik, dan mengoperasikan anti-virus (bahkan dengan kekurangannya yang diketahui) bersama dengan FIM akan memberikan perlindungan terbaik secara keseluruhan. AV efektif terhadap malware lawas dan perlindungan otomatisnya akan mengkarantina sebagian besar ancaman sebelum mereka melakukan kerusakan apa pun. Tetapi ketika malware menghindar AV, karena beberapa strain akan selalu dilakukan, FIM real-time dapat menyediakan jaring pengaman yang penting.