¿Qué es el monitoreo de integridad de archivos de Windows?

Los actores maliciosos pueden causar mucho daño a su empresa, empleados y clientes si logran acceder a sus sistemas. Además de robar y filtrar datos, también pueden cambiar sus configuraciones, aplicaciones y archivos del sistema, y eliminar registros para encubrir sus rastros.

El monitoreo de integridad de archivos (FIM) puede ayudarlo a proteger su negocio. Mediante una tecnología de seguridad informática y un proceso de seguridad que rastrea los cambios en los archivos para determinar si han sido eliminados o alterados, FIM puede ayudarlo a prevenir y mitigar cambios no autorizados en los archivos del sistema.

Continúe leyendo para aprender más sobre FIM, por qué es importante, cómo funciona y en qué debe centrarse al evaluar soluciones FIM.

¿Qué es el monitoreo de integridad de archivos (FIM)?

Una solución FIM es un software de seguimiento de cambios y detección de intrusiones que verifica archivos de base de datos, sistema operativo y Windows para determinar si han sido modificados y, de ser así, por quién y cuándo.

¿Por qué necesita utilizar una solución FIM?

FIM ayuda a las organizaciones:

• Detecte y aborde amenazas: FIM detecta cambios en los archivos del sistema y envía alertas sobre modificaciones perjudiciales. Su equipo de seguridad de red puede entonces bloquear el acceso no autorizado y revertir los archivos modificados a su estado original.
• Asegure la integridad de los archivos: Las herramientas FIM validan archivos críticos comparando la versión actual con una línea base de confianza. Luego determina si alguna diferencia podría ser potencialmente dañina.
• Cumpla con los requisitos de cumplimiento: Muchas regulaciones de cumplimiento incluyen requisitos de FIM, incluyendo el Payment Card Industry Data Security Standard (PCI DSS), SOX, la Federal Information Security Management Act of 2002 (FISMA), y la Health Insurance Portability and Accountability Act (HIPAA).
• Fortalezca las configuraciones del sistema: FIM puede ayudarlo a establecer configuraciones apropiadas para sus servidores Windows y otros sistemas de TI para reducir su área de superficie de ataque.

¿Con qué frecuencia se deben realizar las comprobaciones de integridad de archivos de Windows?

Las normas de cumplimiento de seguridad como el PCI DSS exigen controles de integridad de archivos semanales. Sin embargo, los controles semanales pueden no ser suficientes para prevenir graves violaciones de Data Security. En los últimos años, los actores de amenazas se han vuelto mucho más peligrosos — ahora solo necesitan unas pocas horas o días para causar daños graves.

Por eso necesita soluciones de monitoreo de archivos en tiempo real con detección continua. Si solo realiza verificaciones de integridad de archivos una vez a la semana, las amenazas pueden pasar desapercibidas hasta que sea demasiado tarde.

¿Qué datos debería cubrir el monitoreo de integridad de archivos de Windows?

Su solución FIM debe monitorear lo siguiente:

Carpetas y archivos de Windows

Como mínimo, debería utilizar monitoreo de integridad de archivos para:

• Archivos de programa (x86)
• Archivos de programa
• System 32
• SysWow64

También debería considerar aplicar FIM al disco del sistema Windows (C:Windows). Sin embargo, como ocurre con el monitoreo del registro, esto puede resultar en una gran cantidad de falsos positivos. Por lo tanto, necesita excluir archivos que cambian regularmente, incluyendo archivos de base de datos y archivos de registro en vivo como C:WindowsLogs.

Incluir y excluir archivos para el monitoreo puede ser difícil si se debe hacer manualmente. Es prudente invertir en una herramienta FIM que te permita localizar archivos rápidamente utilizando tanto el filtrado por tipo de archivo y extensión, como expresiones regulares (regex), que son patrones de búsqueda que localizan archivos y carpetas que contienen caracteres específicos. Además, busca una detección de cambios inteligente que pueda identificar cambios inesperados y otras amenazas reales.

Todos los atributos y contenidos de carpetas y archivos

Su herramienta FIM debe rastrear todos los atributos de carpetas y archivos, incluyendo los siguientes:

• Estado actual
• Privilegios, permisos y otros ajustes de seguridad
• Tamaño y atributos principales
• Credenciales
• Valores de configuración

Algunas soluciones de FIM también rastrean el contenido de los archivos. Esto suele ser poco práctico, especialmente para archivos grandes. Un enfoque mejor es rastrear metadatos tales como:

• Nombre y ruta
• Valores de hash criptográficos
• Tamaño y longitud
• Fechas de creación y acceso

Claves del registro de Windows, colmenas y valores

Además, debe aplicar FIM a las claves del registro de Windows, colmenas y valores porque controlan la configuración de Windows. Asegúrese de monitorear:

• Programas instalados y actualizaciones
• Políticas locales de auditoría y seguridad, que incluyen todo desde la configuración del firewall de Windows hasta su protector de pantalla
• Cuentas de usuario locales

Tenga en cuenta que el registro consta de millones de valores, muchos de los cuales cambian con frecuencia durante el funcionamiento de Windows. Para reducir el volumen de alertas falsas positivas, necesitará capacidades de inclusión y exclusión detalladas, como se explicó anteriormente.

¿Cómo detecta Windows FIM las amenazas?

Para detectar cambios, las soluciones de Windows file integrity monitoring deben usar valores de hash criptográficos generados mediante un algoritmo de hash seguro como MD5, SHA1, SHA256 o SHA512. Este enfoque proporciona una ‘huella digital de ADN’ única para cada archivo que permite detectar incluso los cambios más pequeños, ya que la más mínima modificación en el contenido o composición de un archivo afecta enormemente el valor del hash.

Los valores de hash criptográficos se pueden asignar a cualquier tipo de archivo, incluyendo archivos binarios (como .dll, .exe, .drv y .sys) y archivos de configuración basados en texto (como .js, XML y archivos comprimidos).

¿En qué debe centrarse al evaluar soluciones FIM para Windows?

Al evaluar soluciones de monitoreo de integridad de archivos de Microsoft, haga las siguientes preguntas clave:

¿La solución utiliza métodos modernos de FIM?

Las soluciones tradicionales de FIM rastrean y verifican todos los atributos de archivos y carpetas creando una línea base que contiene todos los valores de hash y metadatos de tus archivos, y comparando esos valores de la línea base con las versiones más recientes de los archivos. Sin embargo, solo buscan cambios de manera diaria o semanal. También son extremadamente intensivas en recursos y carecen de características esenciales como el monitoreo en tiempo real, almacenamiento centralizado de eventos de seguridad y contexto sobre por qué han cambiado los archivos del sistema. Estas deficiencias hacen que sea extremadamente desafiante para los especialistas en ciberseguridad detectar cambios potencialmente peligrosos en el vasto mar de modificaciones aceptables.

En contraste, las soluciones modernas de integridad de archivos como Netwrix Change Tracker utilizan un agente FIM para detectar cambios continuamente y emitir alertas en tiempo real. También cuentan con:

• Listas de permisos de archivos basadas en el contexto y monitoreo de la integridad de archivos para asegurar que toda actividad de cambio sea automáticamente analizada para diferenciar entre cambios buenos y malos, lo cual reduce significativamente el ruido de cambios y la fatiga de alertas
• Certified and complete DISA STIG and CIS configuration hardening para garantizar que todos los sistemas estén configurados de forma segura en todo momento

¿La solución es compatible con Microsoft Azure?

Si utilizas Microsoft Azure, es vital que tu solución de FIM lo soporte. Azure viene con Microsoft Defender for Cloud, una solución de monitoreo de integridad de archivos que te ayuda a proteger tus datos. Pero aunque Defender for Cloud puede detectar muchas anomalías, un número significativo de amenazas aún pueden pasar desapercibidas porque carece de características críticas como el almacenamiento centralizado de eventos de seguridad, la detección de cambios planificados versus no planificados y el monitoreo en tiempo real. Estas deficiencias pueden dificultar la comprensión de si los cambios detectados son maliciosos o aceptables.

Por lo tanto, debería invertir en una herramienta FIM de terceros como Netwrix Change Tracker que pueda detectar cada cambio en su entorno de nube de Microsoft Azure y alertarlo en tiempo real sobre modificaciones no autorizadas para que pueda responder a incidentes de seguridad en la nube rápidamente.

FAQ

1. ¿Cómo detecta Windows FIM el malware de día cero?

Las soluciones de FIM de Windows utilizan un valor de hash criptográfico para rastrear cada archivo en su sistema. Cuando un malware de día cero ingresa a su sistema, los valores de hash de los archivos críticos cambiarán y la solución FIM alertará a su equipo de seguridad. Este enfoque funciona para cualquier tipo de archivo, incluyendo .drv, .exe, .dll, .sys y archivos de archivo comprimidos.

2. ¿Con qué frecuencia se debe realizar una comprobación de integridad de archivos en Windows?

Aunque PCI solo exige revisiones semanales, esto puede no ser suficiente para prevenir graves violaciones de Data Security. Los actores de amenazas modernos solo necesitan unas pocas horas o días para causar estragos en sus sistemas y datos, lo que hace que la detección oportuna sea más crítica que nunca. Cualquier retraso puede resultar costoso.

3. ¿Proporciona Microsoft Defender for Cloud FIM?

Sí, Microsoft Defender for Cloud examina los registros de Windows, archivos del sistema operativo, archivos de sistemas Linux, software de aplicaciones y otros archivos en busca de cambios que puedan indicar un ciberataque.

Sin embargo, no puede distinguir entre cambios planificados y no planificados, por lo que los equipos de seguridad pueden verse abrumados con alertas. Además, Defender for Cloud no ofrece monitoreo en tiempo real, por lo que los actores de amenazas pueden tener tiempo para completar sus ataques antes de que se emita una alerta. Por lo tanto, invertir en una solución FIM de terceros puede ser una estrategia acertada.