Cos'è il monitoraggio dell'integrità dei file di Windows?

Gli attori malevoli possono causare molti danni alla tua azienda, ai dipendenti e ai clienti se ottengono l'accesso ai tuoi sistemi. Oltre a rubare e divulgare dati, possono anche modificare le tue configurazioni, applicazioni e file di sistema — e cancellare i log per coprire le loro tracce.

Il monitoraggio dell'integrità dei file (FIM) può aiutarti a proteggere la tua azienda. Essendo una tecnologia di sicurezza IT e un processo di sicurezza che tiene traccia delle modifiche ai file per determinare se i file sono stati eliminati o manomessi, FIM può aiutarti a prevenire e mitigare modifiche non autorizzate ai file di sistema.

Continua a leggere per saperne di più su FIM, perché è importante, come funziona e su cosa dovresti concentrarti quando valuti le soluzioni FIM.

Cos'è il monitoraggio dell'integrità dei file (FIM)?

Una soluzione FIM è un software di tracciamento delle modifiche e rilevamento delle intrusioni che controlla database, sistema operativo e file Windows per determinare se sono stati modificati e, in caso affermativo, da chi e quando.

Perché è necessario utilizzare una soluzione FIM?

FIM aiuta le organizzazioni:

• Rilevare e affrontare le minacce: FIM rileva modifiche ai file di sistema e invia avvisi su modifiche dannose. Il team di sicurezza della rete può quindi bloccare l'accesso non autorizzato e ripristinare i file modificati al loro stato originale.
• Garantire l'integrità dei file: Gli strumenti FIM convalidano i file critici confrontando la versione attuale con una baseline di fiducia. Quindi stabiliscono se le eventuali differenze sono potenzialmente dannose.
• Soddisfare i requisiti di conformità: Molte normative sulla conformità includono requisiti di FIM, tra cui lo Payment Card Industry Data Security Standard (PCI DSS), SOX, il Federal Information Security Management Act of 2002 (FISMA), e il Health Insurance Portability and Accountability Act (HIPAA).
• Rafforzare le configurazioni di sistema: FIM può aiutarti a stabilire impostazioni di configurazione appropriate per i tuoi server Windows e altri sistemi IT per ridurre la tua area di attacco.

Quanto spesso dovrebbero essere effettuati i controlli di integrità dei file di Windows?

Gli standard di conformità alla sicurezza come il PCI DSS impongono controlli settimanali dell'integrità dei file. Tuttavia, i controlli settimanali potrebbero non essere sufficienti per prevenire gravi violazioni della data security. Negli ultimi anni, gli attori delle minacce sono diventati molto più pericolosi — ora hanno bisogno di solo poche ore o giorni per causare danni seri.

Ecco perché hai bisogno di soluzioni di monitoraggio dei file in tempo reale con rilevamento continuo. Se esegui controlli dell'integrità dei file solo una volta a settimana, le minacce potrebbero sfuggire al tuo radar fino a quando non è troppo tardi.

Quali dati dovrebbe coprire il monitoraggio dell'integrità dei file di Windows?

La vostra soluzione FIM dovrebbe monitorare quanto segue:

Cartelle e file di Windows

Come minimo, dovresti utilizzare il monitoraggio dell'integrità dei file per:

• Program files (x86)
• File di programma
• System 32
• SysWow64

Dovresti anche considerare di applicare FIM all'unità di sistema Windows (C:Windows). Tuttavia, come per il monitoraggio del registro, ciò può portare a un gran numero di falsi positivi. Di conseguenza, è necessario escludere i file che cambiano regolarmente, inclusi i file di database e i file di log attivi come C:WindowsLogs.

Includere ed escludere file per il monitoraggio può essere difficile se si deve fare manualmente. È saggio investire in uno strumento FIM che ti permetta di localizzare rapidamente i file utilizzando sia il filtraggio per tipo di file ed estensione, sia le espressioni regolari (regex), che sono schemi di ricerca che individuano file e cartelle contenenti caratteri specifici. Inoltre, cerca un rilevamento intelligente dei cambiamenti che possa identificare modifiche inaspettate e altre vere minacce.

Tutti gli attributi e i contenuti di cartelle e file

Il tuo strumento FIM dovrebbe tracciare tutti gli attributi di cartelle e file, inclusi i seguenti:

• Stato attuale
• Privilegi, permessi e altre impostazioni di sicurezza
• Dimensioni e attributi principali
• Credenziali
• Valori di configurazione

Alcune soluzioni FIM tracciano anche il contenuto dei file. Questo è spesso impraticabile, specialmente per file di grandi dimensioni. Un approccio migliore consiste nel tracciare i metadati come:

• Nome e percorso
• Valori hash crittografici
• Dimensione e lunghezza
• Date di creazione e accesso

Chiavi, hive e valori del registro di Windows

Inoltre, dovresti applicare FIM alle chiavi del registro di Windows, agli hive e ai valori perché controllano le impostazioni di configurazione di Windows. Assicurati di monitorare:

• Programmi installati e aggiornamenti
• Politiche locali di audit e sicurezza, che includono tutto, dalle impostazioni del firewall di Windows allo screensaver
• Account utente locali

Si noti che il registro consiste di milioni di valori, molti dei quali cambiano frequentemente durante il funzionamento di Windows. Per ridurre il volume di falsi positivi, avrete bisogno di capacità di inclusione ed esclusione molto dettagliate, come spiegato sopra.

Come rileva le minacce il FIM di Windows?

Per rilevare modifiche, le soluzioni di Windows file integrity monitoring dovrebbero utilizzare valori hash crittografici generati utilizzando un algoritmo di hash sicuro come MD5, SHA1, SHA256 o SHA512. Questo approccio fornisce un'impronta digitale 'DNA' unica per ogni file che permette di rilevare anche i cambiamenti più piccoli, poiché anche la minima modifica al contenuto o alla composizione di un file incide notevolmente sul valore hash.

I valori hash crittografici possono essere assegnati a qualsiasi tipo di file, inclusi i file binari (come .dll, .exe, .drv e .sys) e i file di configurazione basati su testo (come .js, XML e archivi compressi).

Su cosa dovresti concentrarti quando valuti soluzioni FIM per Windows?

Quando si valutano le soluzioni di monitoraggio dell'integrità dei file Microsoft, porsi le seguenti domande chiave:

La soluzione utilizza metodi FIM moderni?

Le tradizionali soluzioni FIM tracciano e verificano tutti gli attributi di file e cartelle creando una baseline che contiene i valori hash e i metadati di tutti i tuoi file, e confrontando questi valori di baseline con le versioni più recenti dei file. Tuttavia, controllano i cambiamenti solo giornalmente o settimanalmente. Sono anche estremamente intensive in termini di risorse e mancano di caratteristiche essenziali come il monitoraggio in tempo reale, la memorizzazione centralizzata degli eventi di sicurezza e il contesto sul perché i file di sistema siano cambiati. Queste carenze rendono estremamente difficile per gli specialisti della cybersecurity individuare cambiamenti potenzialmente pericolosi nel vasto mare di modifiche accettabili.

Al contrario, le moderne soluzioni di integrità dei file come Netwrix Change Tracker utilizzano un agente FIM per rilevare continuamente le modifiche e inviare allarmi in tempo reale. Presentano inoltre:

• Whitelisting di file basato sul contesto e monitoraggio dell'integrità dei file per garantire che tutta l'attività di modifica sia automaticamente analizzata per differenziare tra modifiche buone e cattive, il che riduce notevolmente il rumore dei cambiamenti e la fatica degli allarmi
• Certificazione e completamento DISA STIG e CIS rafforzamento della configurazione per garantire che tutti i sistemi siano configurati in modo sicuro in ogni momento

La soluzione supporta Microsoft Azure?

Se utilizzi Microsoft Azure, è fondamentale che la tua soluzione FIM lo supporti. Azure include Microsoft Defender for Cloud, una soluzione di monitoraggio dell'integrità dei file che ti aiuta a proteggere i tuoi dati. Tuttavia, nonostante Defender for Cloud possa intercettare molte anomalie, un numero significativo di minacce può ancora sfuggire perché manca di funzionalità critiche come lo stoccaggio centralizzato degli eventi di sicurezza, il rilevamento di modifiche pianificate rispetto a quelle non pianificate e il monitoraggio in tempo reale. Queste lacune possono rendere difficile capire se le modifiche rilevate sono malevole o accettabili.

Di conseguenza, dovresti investire in uno strumento FIM di terze parti come Netwrix Change Tracker che può rilevare ogni modifica al tuo ambiente cloud Microsoft Azure e avvisarti in tempo reale su modifiche non autorizzate in modo che tu possa rispondere rapidamente agli incidenti di sicurezza cloud.

FAQ

1. Come rileva Windows FIM il malware zero-day?

Le soluzioni FIM di Windows utilizzano un valore hash crittografico per tracciare ogni file nel tuo sistema. Quando un malware zero-day entra nel tuo sistema, i valori hash dei file critici cambieranno e la soluzione FIM avviserà il tuo team di sicurezza. Questo approccio funziona per qualsiasi tipo di file, inclusi .drv, .exe, .dll, .sys e file di archivio compressi.

2. Con quale frequenza dovrebbe essere effettuato un controllo dell'integrità dei file di Windows?

Anche se PCI impone solo controlli settimanali, ciò potrebbe non essere sufficiente per prevenire gravi violazioni della data security. Gli attori delle minacce moderne hanno bisogno di solo poche ore o giorni per causare devastazioni sui vostri sistemi e dati, rendendo il rilevamento tempestivo più critico che mai. Qualsiasi ritardo potrebbe rivelarsi costoso.

3. Microsoft Defender for Cloud fornisce FIM?

Sì, Microsoft Defender for Cloud esamina i registri di Windows, i file del sistema operativo, i file dei sistemi Linux, il software applicativo e altri file alla ricerca di modifiche che potrebbero indicare un cyberattacco.

Tuttavia, non è in grado di distinguere tra modifiche pianificate e non pianificate, quindi i team di sicurezza possono essere sopraffatti dagli avvisi. Inoltre, Defender for Cloud non offre un monitoraggio in tempo reale, quindi gli attori delle minacce potrebbero avere il tempo di completare i loro attacchi prima che venga emesso un avviso. Pertanto, investire in una soluzione FIM di terze parti può essere una strategia saggia.