Rispondere proattivamente alla sicurezza con il monitoraggio dell’integrità dei file

Modifiche impreviste ai file di sistema in qualsiasi momento possono indicare una violazione della sicurezza della rete, un’infezione da malware o altre attività dannose che mettono a rischio la tua azienda. Il monitoraggio dell’integrità dei file (FIM) consente di verificare che i file di sistema non siano stati modificati o che le modifiche siano legittime e intenzionali. I team di sicurezza delle informazioni possono migliorare il rilevamento delle intrusioni adottando una solida soluzione software FIM che consente loro di monitorare continuamente le cartelle di sistema sui propri server Windows. Infatti, poiché la FIM è così importante per la sicurezza dei dati, le normative di conformità e i quadri di sicurezza più comuni, tra cui PCI DSS, HIPAA, FISMA e NIST, raccomandano di implementarla quando possibile. Qualsiasi società che tratta dati altamente sensibili, come informazioni sui titolari di carta o cartelle cliniche, è responsabile della protezione e dell’integrità dei server in cui risiedono questi dati. Ad esempio, PCI DSS impone l’implementazione di FIM per avvisare il personale in merito a modifiche sospette ai file di sistema e per eseguire benchmark di base almeno settimanalmente.

Le modifiche alle configurazioni, ai file e agli attributi dei file nell’infrastruttura IT sono comuni, ma nascoste all’interno di un grande volume di modifiche quotidiane possono essere le poche che influiscono sull’integrità dei file o della configurazione. Questi cambiamenti possono anche ridurre il livello di sicurezza e in alcuni casi potrebbero essere indicatori anticipatori di una violazione in corso. I valori monitorati per modifiche impreviste ai file o agli elementi di configurazione includono: Credenziali; privilegi e impostazioni di sicurezza; contenuto; attributi principali e dimensioni; valori hash; valori di configurazione.

Sebbene esistano diversi strumenti nativi, per controllare l’integrità del sistema, soffrono della mancanza di funzionalità critiche come il monitoraggio in tempo reale, l’archiviazione centralizzata degli eventi di sicurezza e il contesto e la chiarezza sul motivo per cui i file di sistema sono cambiati. Queste carenze rendono quasi impossibile per gli specialisti IT fare chiarezza e capire se le modifiche sono accettabili o potenzialmente dannose. Per queste ragioni, le società con ambienti IT complessi devono investire in un software di monitoraggio dell’integrità dei file Windows affidabile e basato sul contesto.

Netwrix Change Tracker controlla le modifiche alla directory di sistema e ai file sui server Windows, monitorando l’installazione degli aggiornamenti di sistema e le modifiche al registro di Windows. L’applicazione monitora l’integrità dei file di sistema e delle configurazioni confrontando gli hash dei file, i valori del registro, le modifiche dei permessi, le versioni del software e persino il contenuto dei file di configurazione. In caso di discrepanze, la soluzione invierà avvisi in tempo reale di facile lettura che indicano l’anomalia e aiutano gli utenti a contrastare l’attività malware e altre minacce in tempo per mitigarne l’impatto. È inoltre possibile generare report dettagliati in qualsiasi momento.

Infine, Netwrix, azienda distribuita in Italia da Cips Informatica, ha preparato un ebook dedicato proprio al monitoraggio dell’identità dei file scaricabile al sito di Cips Informatica