Una configurazione modificata. Nessuno se n'è accorto.

Dove si apre effettivamente la lacuna

Un valore del registro cambia su un controller di dominio alle 2:14 AM. A un file in /etc/ssh/sshd_config viene aggiunta una singola riga. Una ACL del firewall su uno switch in un ufficio regionale riceve una nuova regola di permesso. Nessuno di questi attiva un allarme SIEM. Nessuno di essi rompe nulla. Nessuno appare in una scansione di vulnerabilità, perché lo scanner è stato eseguito ieri e non verrà eseguito di nuovo fino alla prossima settimana.

La falla è aperta. L'attaccante la legge prima di te, perché sta cercando proprio quello, la piccola deviazione, la modifica non registrata, la deriva che nessuno possiede.

Ecco perché file integrity monitoring come idea secondaria non funziona. Estrarre i log degli eventi e cercare il codice 4663 equivale a guardare la partita in ritardo. Non stai premendo. Stai reagendo. La deviazione deve essere rilevata al livello I/O, nel momento in cui accade, rispetto a una baseline di cui ti fidi davvero.

La stampa, al kernel

Il Gen 7 Agent su Windows registra un driver minifiltro con il Filter Manager all'altitudine 388790. Ogni operazione di I/O file (creazione, scrittura, eliminazione, rinomina, modifica attributi) passa attraverso lo stack del filtro, e il driver registra gli eventi che corrispondono al modello di tracciamento in un buffer di memoria. L'agent interroga il buffer ogni 100 millisecondi. Nessun blocco file. Nessuna modifica I/O. Nessun riavvio necessario per abilitarlo.

Questa è la stampa. Non stai aspettando che un log venga svuotato. Non stai interrogando il filesystem a intervalli di cinque minuti sperando che non sia successo nulla nel frattempo. Sei collegato direttamente al percorso I/O, leggendo ogni tocco in tempo reale e confrontandolo con la forma che hai definito.

Su Linux, l'Agente Gen 7 utilizza Sysdig per catturare la stessa profondità, i cambiamenti di integrità dei file e l'identità dell'utente dietro di essi. Chi ha effettuato la modifica. Non solo cosa è cambiato. Perché “qualcuno ha modificato /etc/pam.d/sshd” è solo un mezzo avviso. “L'account di servizio svc-backup ha modificato /etc/pam.d/sshd alle 02:14 da una sessione fuori dalla finestra di manutenzione” è una decisione.

La copertura senza agenti gestisce il resto. Dispositivi di rete tramite SSH. Host Windows tramite registro remoto sulla porta 445. Linux e Unix tramite shell. ESXi e vCenter tramite PowerCLI. Piattaforme cloud tramite API dei provider. Un'unica baseline su tutta la linea di fondo, non nove strumenti diversi che monitorano nove posizioni diverse.

Chiudere il ciclo

Il rilevamento in tempo reale senza contesto è come un centrocampista che commette fallo su ogni giocatore che passa di corsa. Dopo venti minuti, sei rimasto in dieci e la panchina sta urlando.

La maggior parte delle modifiche in un ambiente reale sono legittime. Si applicano patch. Gli amministratori fanno cose da amministratori. I lavori programmati toccano i file. Uno strumento FIM che si attiva su ognuno di questi è rumore, e il rumore viene ignorato, e ignorare è peggio di niente: ora hai uno strumento e una falsa sensazione di copertura.

Change Tracker riconcilia ogni modifica rilevata con ciò che avrebbe dovuto accadere. Il Sync Service estrae le richieste di modifica approvate da ServiceNow, BMC Remedy, Cherwell, ManageEngine, ChangeGear, OpenText SMAX e Samanage. Ogni RFC diventa una Modifica Pianificata con una finestra programmata, un elemento di configurazione e, su ServiceNow, il campo AssignedTo, così gli eventi possono essere associati a chi avrebbe dovuto effettuare la modifica, non solo a quando. Gli eventi rilevati vengono valutati rispetto al set di regole della modifica pianificata e classificati.

Pianificato. Riconosciuto. Filtrato.

Non pianificato. Rilevato. Investigato.

Questo è il ciclo chiuso. Sapere quali esecuzioni sono esche e quali sono la minaccia reale, impegnandosi solo in quelle che contano.

Quando non c'è un ticket, quando la modifica non ha un RFC corrispondente e nessuna giustificazione registrata, Change Tracker può generare automaticamente l'incidente in ServiceNow, indirizzato al proprietario dell'elemento di configurazione. La modifica non autorizzata genera l'attività che la risolve. La pressione non si limita a vincere la palla. Avvia il conto alla rovescia.

La linea di base è la formazione

Una difesa a quattro senza una forma è solo quattro persone in campo. La rilevazione senza una baseline è la stessa cosa. Non puoi individuare deviazioni se non hai definito il normale.

La funzione Configurazione di Base tratta questo come un allenatore tratta una configurazione tattica. Scegli un dispositivo sorgente: la tua immagine gold, la tua build di riferimento rinforzata. Cattura il suo stato. Integrità dei file. Software installato. Processi in esecuzione. Servizi e i loro stati. Account locali. Porte aperte. Chiavi di registro su Windows. La baseline diventa la formazione, e ogni altro dispositivo nel gruppo viene misurato rispetto a essa. La deriva appare come eccezione. Le eccezioni vengono revisionate. La deriva approvata viene promossa alla baseline. La deriva non approvata viene corretta.

Questo è ciò che NERC CIP-010-4 e 5 vogliono quando parlano di configurazioni baseline autorizzate e monitoraggio delle modifiche a 35 giorni. È ciò che il Requisito 11.5 di PCI DSS vuole quando parla di meccanismi di rilevamento delle modifiche. È ciò che CIS Control 4 vuole quando parla della configurazione sicura delle risorse aziendali. I framework descrivono tutti la stessa cosa con parole diverse: definire la forma, mantenere la forma, evidenziare la deviazione. Change Tracker è costruito intorno a questo preciso ciclo, con oltre 250 report di conformità predefiniti che mappano la baseline al framework che l'auditor chiederà a marzo.

Niente si muove senza una registrazione

La dashboard è verde. I ticket sono gestibili. Il team è a suo agio.

Questo è il momento più pericoloso della partita.

Da qualche parte nel tuo ambiente, qualcosa è appena cambiato. La domanda non è se i tuoi strumenti se ne sono accorti alla fine. La domanda è quante volte l'attaccante ha agito tra il momento in cui si è aperta la falla e il momento in cui la tua rilevazione si è effettivamente attivata.

Premi prima. Leggi la mossa al punto di cambiamento. Definisci la forma, mantieni la forma e assicurati che nulla si muova senza una registrazione.

Questo è il lavoro. Questo è lo standard. È così che difendi ciò che è tuo.