El entorno de TI de una organización es un lugar en constante cambio. Tanto los programas como los recursos de hardware cambian. Además de archivos de configuración y otros recursos importantes. La mayoría de ellos son cambios autorizados; aparecerán, por ejemplo, cuando parchee los archivos. Pero los cambios inesperados son motivo de preocupación. Aquí es donde entra en juego la supervisión de la integridad de los archivos.
El Monitoreo de integridad de archivos o FIM es más que solo saber qué está pasando con su sistema. Se trata de mantener sus datos personales seguros y evitar ataques mientras se cumple con la ley. Hablemos de qué es FIM, por qué lo necesita y cómo funciona.
¿Qué es el monitoreo de integridad de archivos?
El monitoreo de integridad de archivos le brinda visibilidad a nivel de archivo de lo que es importante para su organización. Esto incluye:
- Archivos de configuración
- Datos de los clientes
- Información de salud
- Archivos de claves y credenciales
- Archivos de aplicaciones del sistema
El FIM luego le dice quién está editando, eliminando o moviendo los archivos y quién tiene acceso no autorizado a esos archivos.
Existen estándares regulatorios que exigen que las empresas sepan quién tiene acceso a los archivos críticos y qué cambios se han producido. La FIM está autorizada para empresas que deben cumplir con normativas de cumplimiento como NERC CIP, NIST CSF y PCI DSS, entre otras. Aunque FIM no se requiere específicamente para GDPR y HIPAA, puede ser útil durante las auditorías. Este tipo de información sobre los activos es importante para estas dos regulaciones, por lo que en estos casos, la FIM ciertamente no hará daño.
¿De qué amenazas te protege?
Cuando un usuario no autorizado o malicioso tiene acceso a su red, puede cambiar lo que quiera. También pueden eliminar registros de eventos para evitar la detección. Este es el peor de los casos: la alerta FIM se activa porque alguien obtuvo acceso interno a su red y está manipulando sus archivos. Un atacante puede escanear su red para encontrar otros recursos y comprometerlos, hacerse pasar por un empleado, robar credenciales, etc. Si alguien obtiene acceso a su sistema, puede hacer lo que quiera, al menos hasta que lo atrapen.
¿Cómo funciona la FIM?
Cualquiera que sea el software que elija, FIM básicamente funciona así:
- Usted establece qué archivos y registros del sistema deben monitorearse. Idealmente, debe reducir el alcance para no exponerse a alertas innecesarias.
- Establece la línea de base para que la herramienta FIM tenga un punto de referencia para verificar archivos.
- La herramienta FIM supervisa archivos y registros predefinidos durante todo el día.
- Cuando ocurre un evento crítico (por ejemplo, un archivo que se está editando o eliminando), FIM captura los datos. Estos datos incluyen el evento que sucedió, el recurso afectado, el usuario que realizó el cambio y la marca de tiempo.
- El análisis de los datos del evento junto con otros datos brinda una imagen más completa de lo que sucedió y si está fuera de la norma.
- Si el evento es malicioso o sospechoso, aparecerá una alerta. (Incluya en la lista blanca buenos cambios, como parches y actualizaciones de seguridad, para evitar recibir alertas).
- La herramienta FIM proporcionará (con suerte) otros datos sobre el incidente para que su equipo de TI pueda identificar exactamente lo que sucedió.
Cómo implementar el monitoreo de integridad de archivos usando WordPress
Implementar FIM con WordPress va más allá de encontrar una herramienta que le notifique cuando se produzca un cambio de archivo. FIM se utiliza mejor junto con otras medidas de seguridad, como el registro de auditoría y la supervisión de usuarios. Su herramienta de seguridad debe tener descubrimiento en capas, incluidas las normas de cumplimiento y el descubrimiento proactivo. Debe detectar otras actividades antes en el ataque para poder detenerlas lo más rápido posible.
Rápido7 es un sistema de seguimiento de eventos de archivos basado en la nube. Usted elige qué recursos monitorear, luego el software observa las modificaciones del archivo y quién las hizo. Recibirá una alerta si se elimina, edita o mueve un archivo o una carpeta críticos. También puedes ver datos en tiempo real si quieres estar al tanto de la actividad del momento. Además de la alerta FIM, podrá ver todos los demás movimientos que tuvieron lugar a su alrededor, para que pueda investigar y reaccionar ante el ataque, y también puede exportar la actividad de modificación como un cuadro de mando. Obtenga más información sobre la extensión Rapid7 WordPress aquí.
Calificaciones es otra herramienta FIM que puedes usar en WordPress. Cuando piensa en su alcance de monitoreo, los perfiles de Qualys preconstruidos significan que puede comenzar a trabajar de inmediato y luego ajustar el alcance a medida que aprende más sobre sus necesidades. La plataforma en la nube también tiene detección de cambios en tiempo real. Cuando un archivo cambia, los datos recopilados incluyen el usuario, el nombre del archivo, los detalles del recurso y la marca de tiempo. Además, puede escalar sin comprar ningún software o almacenamiento adicional.
Otras herramientas FIM altamente calificadas incluyen OSSEC y cable trampa. También tenemos una lista de los seis mejores complementos de seguridad de WordPress que puede instalar ahora mismo en caso de que desee combinar uno con su solución FIM.
Reflexiones finales sobre la supervisión de la integridad de los archivos
Si su negocio tiene que cumplir con regulaciones como FISMA, SOX o muchas otras que requieren FIM, definitivamente necesita una herramienta de monitoreo de integridad de archivos. No solo mantendrá seguros a sus clientes, datos, archivos y sistema, sino que también mantendrá a su empresa saludable durante la auditoría.
Lo más importante que hay que evitar es la trampa en la que caen muchas empresas: demasiado ruido. Si se observan demasiados archivos, se producirá un exceso de alertas de FIM. Y si las alertas ocurren fuera de contexto, es imposible determinar qué es y qué no es una amenaza. Una solución FIM eficiente solo monitoreará los archivos y carpetas necesarios y luego proporcionará alertas con información útil.
Finalmente, recuerde estas dos mejores prácticas de FIM. Defina exactamente qué archivos serán monitoreados. Si la supervisión es demasiado amplia, es posible que se sienta abrumado por las alertas y la actividad cuando se modifica algo. Luego tome medidas examinando la alerta FIM. Es importante saber si otros usuarios o recursos se han visto afectados. Algunas herramientas independientes no ofrecen tanto contexto. Necesita una herramienta de administración de registros o una plataforma de investigación que pueda ayudarlo con su investigación.
¿Está utilizando la solución FIM que propone? ¡Cuéntanoslo!
