Il monitoraggio dell’integrità dei file (FIM) è un elemento essenziale per la sicurezza delle informazioni in quanto aiuta ad identificare rapidamente le modifiche non autorizzate ai file critici che potrebbero causare la perdita di dati ed interruzioni dell’attività. Le modifiche ai file possono essere la prima o l’unica indicazione che attestino che tu sia stato vittima di una violazione di dati o che tu sia stato compromesso a causa di errori da parte del personale o dei processi di aggiornamento del sistema.
Investendo nei giusti strumenti di monitoraggio dell’integrità dei file e seguendo le migliori pratiche qui riportate, potrai segnalare immediatamente eventuali modifiche anomale, determinare se siano o meno autorizzate e potrai agire per prevenire un incidente di sicurezza in cui i dati critici vengono persi ed i processi aziendali vitali vengono interrotti, portando a costose perdite di entrate, danni alla reputazione nonché sanzioni legali e di conformità.
Ma cosa si intende per monitoraggio dell’integrità dei file?
Il monitoraggio dell’integrità dei file (FIM) è il processo di controllo di ogni tentativo di accedere o modificare file o cartelle che contengono informazioni riservate. Con FIM, puoi rilevare modifiche improprie ed accedere a qualsiasi file critico nel tuo sistema nonché determinare se l’attività fosse o meno legittima, in modo da poter rispondere prontamente per prevenire incidenti di sicurezza. Il monitoraggio dell’integrità dei file aiuta con la parte dell’integrità dei dati della triade CIA (riservatezza, integrità e disponibilità), garantendo che i dati rimangano accurati, coerenti ed affidabili per tutto il loro ciclo di vita.
La protezione avanzata della configurazione riduce la superficie di attacco dell’ambiente IT garantendo che tutti i sistemi utilizzino una configurazione sicura. La configurazione predefinita del produttore per la maggior parte dei dispositivi è selezionata per facilitare l’installazione e l’implementazione, ma queste impostazioni predefinite sono raramente le scelte più sicure. FIM ti aiuta ad implementare delle impostazioni appropriate.
Le funzioni essenziali della FIM includono:
- Gestione della configurazione
- Reportistica dettagliata delle modifiche che distingue tra quelle “buone e cattive”
- Avvisi e notifiche in tempo reale
- Bonifica
- Reportistica di conformità
Perché è necessario il monitoraggio dell’integrità dei file?
Il monitoraggio dell’integrità dei file aiuta le organizzazioni a migliorare la propria postura in materia di sicurezza informatica ed a mantenere e dimostrare la propria conformità.
Rileva e rispondi alle minacce
FIM migliora la tua intelligence relativa alle minacce monitorando le modifiche ai tuoi file, valutando il loro impatto sull’integrità dei dati ed avvisando in caso di modifiche anomale. I team di sicurezza possono quindi bloccare l’accesso non autorizzato e ripristinare il file allo stato originale. Inoltre, alcune soluzioni FIM automatizzano persino il processo di risposta e riparazione. Ad esempio, quando viene rilevata un’attività sospetta, l’amministratore di sistema può rimuovere rapidamente i diritti di accesso dell’utente per proteggere dati e servizi. Una soluzione FIM dovrebbe fornire report approfonditi per le indagini e gli audit.
Garantisci l’integrità dei file
FIM confronta il contenuto della versione corrente del sistema critico e dei file di configurazione con lo stato buono noto e determina se eventuali differenze sono negative.
- I file di sistema contengono le informazioni necessarie per il corretto funzionamento dei sistemi, pertanto lo spostamento, l’eliminazione, la modifica o la ridenominazione di un file di sistema in modo improprio possono causare un errore completo del sistema. Sebbene i file di sistema vengano spesso modificati quando si applicano aggiornamenti o si installano applicazioni, in genere è una buona norma lasciarli soli e proteggerli da modifiche impreviste.
- I file di configurazione invece, forniscono i parametri e le impostazioni per il sistema operativo e le applicazioni. Consentono di personalizzare le operazioni e le capacità dell’utente. Ad esempio, la modifica della risoluzione dell’indirizzo IP in un file di configurazione potrebbe causare la connessione del sistema a un indirizzo IP e ad un server dannosi.
Rafforza la tua configurazione
La protezione avanzata della configurazione riduce la superficie di attacco dell’ambiente IT garantendo che tutti i sistemi utilizzino una configurazione sicura. La configurazione predefinita del produttore per la maggior parte dei dispositivi è selezionata per facilitare l’installazione e l’implementazione, ma queste impostazioni predefinite sono raramente le scelte più sicure. FIM ti aiuta a stabilire le impostazioni appropriate.
Ad esempio, una forte sicurezza richiede che tutti i tuoi host dispongano di una forte policy della password; per gli host Linux, è controllato dal file /etc./login.defs o un file simile, mentre per gli host Windows, è definito dalle impostazioni delle Group Policy in Active Directory. Un programma FIM può aiutarti a far rispettare una politica di password forte e monitorare il file di configurazione associato per le modifiche che lo portano fuori dal suo stato di protezione.
Soddisfa i requisiti di conformità
I requisiti di monitoraggio dell’integrità dei file sono inclusi in molte normative di conformità, incluse le seguenti:
- PCI DSS, che disciplina la sicurezza delle transazioni con carte di debito e di credito contro il furto di dati e le frodi, si rivolge a FIM nei requisiti 5.5 e 11.5. Il primo chiama FIM specificamente per rilevare le modifiche ai file di registro e il secondo regola la documentazione degli eventi.
- SOX protegge gli investitori da attività contabili fraudolente. La sezione 404 richiede che la relazione annuale di un’organizzazione includa una valutazione interna della rendicontazione interna sui controlli finanziari, nonché un’attestazione da parte di un revisore dei conti. FIM rileva le modifiche nei file di controllo finanziario e fornisce la documentazione per gli audit.
- FISMA richiede alle agenzie federali di emanare piani di sicurezza delle informazioni. I criteri per FIM sono presentati in NIST SP800-53 Rev. 5, Capitolo 3.5 Gestione della configurazione, CM3. Controllo delle modifiche alla configurazione e Capitolo 3.19 (Integrità del sistema e delle informazioni).
- Il GDPR è progettato per migliorare la sicurezza della salute personale. La pubblicazione NIST 800-66 impone l’uso di FIM per mitigare la minaccia di malware e attività degli hacker e garantire il rilevamento e la segnalazione di violazioni.
Più in generale, FIM svolge un ruolo essenziale nel rispetto dei controlli di sicurezza critici CIS, che forniscono un quadro per la gestione dei rischi di sicurezza informatica e la difesa dalle minacce in un ambiente on-premise, cloud o ibrido. In particolare, FIM ti aiuta a implementare CIS Control 4, — Configurazione sicura di risorse e software aziendali, che richiede la creazione e il mantenimento della configurazione sicura del software aziendale e di altre risorse, inclusi dispositivi dell’utente finale, dispositivi di rete, dispositivi IoT, server, applicazioni e sistemi operativi.
Quali sono le sfide nell’implementare FIM?
Due sono le sfide significative da affrontare quando si implementa una politica di monitoraggio dell’integrità dei file. La prima sfida sono l’enorme numero di sistemi, dispositivi o cambiamenti effettivi che devono essere monitorati: un approccio manuale alla FIM semplicemente non è fattibile per nessuna organizzazione moderna. Hai bisogno di una soluzione software in grado di automatizzare il rilevamento delle modifiche e la correzione sulla rete in tempo reale.
L’altra sfida è la varietà di file da gestire. È importante scegliere una soluzione FIM che supporti tutte le varie piattaforme del proprio ecosistema IT.
Le best practice per il monitoraggio dell’integrità dei file
Le soluzioni di monitoraggio dell’integrità dei file sono strumenti preziosi, ma richiedono un’attenta implementazione per evitare di introdurre problemi anziché risolverli. Le seguenti best practice aiuteranno la tua azienda a implementare una politica di monitoraggio dell’integrità dei file efficace.
Utilizza un framework di sicurezza informatica per valutare lo stato attuale della sicurezza.
Un framework come CIS Critical Controls ti aiuterà a comprendere le vulnerabilità della tua infrastruttura, valutare i rischi e scegliere gli strumenti FIM appropriati.
Stabilisci linee di base sicure
Ogni server nella rete richiede una linea di base dell’integrità dei file che la soluzione FIM può utilizzare per confrontare lo stato corrente. Una buona soluzione FIM può aiutarti a creare configurazioni sicure.
Scegli una soluzione FIM in grado di integrarsi con le altre tue tecnologie
Cerca una soluzione FIM che possa integrarsi con i tuoi strumenti attuali, come:
- Intelligence delle minacce: la combinazione di FIM e informazioni sulle minacce ti aiuterà ad assegnare la gravità e la classificazione dei rischi e a dare priorità alle strategie di rimedio.
- Gestione delle modifiche o gestione dei ticket: l’integrazione di FIM con questi sistemi aiuta a limitare gli avvisi alle modifiche non autorizzate ed evitare l’affaticamento degli avvisi.
- SIEM: l’integrazione di FIM con il SIEM può migliorare il rilevamento delle minacce in tempo reale. Mentre il tuo SIEM raccoglie i dati di registro dalla rete, il tuo strumento FIM aiuta a garantire che quei file di registro non vengano alterati e tiene traccia delle modifiche critiche per le indagini e gli audit di conformità.
Come può aiutare Netwrix
Netwrix Change Tracker è una soluzione FIM che tiene traccia delle modifiche non autorizzate e di altre attività sospette nel tuo ambiente per migliorare la tua posizione di sicurezza. In particolare può aiutarti a:
- Rafforza i sistemi più velocemente
- Chiudi il ciclo sul controllo delle modifiche
- Assicurati che i file di sistema critici siano autentici
- Tieni traccia di una cronologia completa delle modifiche
- Tieniti informato sulla tua posizione di sicurezza
FAQ
Qual è la funzione del monitoraggio dell’integrità dei file?
FIM controlla tutti i tentativi di accesso o modifica a file o cartelle contenenti informazioni sensibili e verifica se l’attività è autorizzata e allineata con i protocolli legali e di settore. Alcune soluzioni automatizzano anche la correzione delle minacce per ridurre il rischio di violazioni della sicurezza.
Quale funzionalità è importante in una soluzione FIM?
Le funzionalità principali di FIM includono la gestione delle modifiche, il rilevamento delle minacce e il controllo della conformità. Per raggiungere questi obiettivi, uno strumento FIM deve fornire quanto segue:
- Gestione della configurazione
- Differenziazione tra modifiche autorizzate e non autorizzate
- Avvisi in tempo reale
- Reportistica dettagliata delle modifiche
- Capacità di riparazione
- Supporto per più piattaforme
- Integrazione con altre tecnologie
Il GDPR richiede il monitoraggio dell’integrità dei file?
La norma di sicurezza GDPR richiede esplicitamente l’autenticazione, la documentazione e la protezione dell’integrità dei dati per garantire la riservatezza, l’integrità e la disponibilità delle informazioni sanitarie protette.
Cosa significa controllare l’integrità del file?
Controllare l’integrità del file significa confrontare lo stato corrente di un file con una baseline sicura che riflette la sua corretta configurazione. L’integrità del file viene interrotta se il confronto mostra modifiche al file che potrebbero rappresentare una minaccia per le operazioni e le risorse del sistema.
