O que é o Monitoramento de Integridade de Arquivos do Windows?

Atores maliciosos podem causar muitos danos ao seu negócio, funcionários e clientes se eles conseguirem acesso aos seus sistemas. Além de roubar e vazar dados, eles também podem alterar suas configurações, aplicações e arquivos de sistema — e deletar registros para encobrir seus rastros.

O monitoramento da integridade de arquivos (FIM) pode ajudar a proteger sua empresa. Como uma tecnologia de segurança de TI e processo de segurança que rastreia alterações de arquivos para determinar se os arquivos foram excluídos ou adulterados, o FIM pode ajudar a prevenir e mitigar alterações não autorizadas em arquivos do sistema.

Continue lendo para saber mais sobre FIM, por que é importante, como funciona e no que você deve se concentrar ao avaliar soluções de FIM.

O que é monitoramento de integridade de arquivos (FIM)?

Uma solução FIM é um software de rastreamento de alterações e detecção de intrusões que verifica bancos de dados, sistemas operacionais e arquivos do Windows para determinar se foram modificados e, em caso afirmativo, por quem e quando.

Por que você precisa usar uma solução FIM?

O FIM ajuda as organizações:

• Detectar e endereçar ameaças: FIM detecta alterações em arquivos do sistema e envia alertas sobre modificações prejudiciais. Sua equipe de segurança de rede pode então bloquear o acesso não autorizado e reverter os arquivos modificados para seu estado original.
• Garanta a integridade dos arquivos: As ferramentas FIM validam arquivos críticos comparando a versão atual com uma linha de base confiável. Em seguida, determina se há diferenças potencialmente prejudiciais.
• Atenda aos requisitos de conformidade: Muitas regulamentações de conformidade incluem requisitos de FIM, incluindo o Payment Card Industry Data Security Standard (PCI DSS), SOX, a Federal Information Security Management Act of 2002 (FISMA), e a Health Insurance Portability and Accountability Act (HIPAA).
• Fortaleça as configurações do sistema: O FIM pode ajudá-lo a estabelecer configurações apropriadas para seus servidores Windows e outros sistemas de TI para reduzir sua área de superfície de ataque.

Com que frequência devem ser feitas as verificações de integridade de arquivos do Windows?

Padrões de conformidade de segurança como o PCI DSS exigem verificações semanais de integridade de arquivos. No entanto, verificações semanais podem não ser suficientes para prevenir violações graves de data security. Nos últimos anos, os agentes de ameaças tornaram-se muito mais perigosos — agora eles precisam de apenas algumas horas ou dias para causar danos sérios.

É por isso que você precisa de soluções de monitoramento de arquivos em tempo real com detecção contínua. Se você realizar verificações de integridade de arquivos apenas uma vez por semana, ameaças podem passar despercebidas no seu radar até ser tarde demais.

Quais dados o monitoramento de integridade de arquivos do Windows deve cobrir?

Sua solução FIM deve monitorar o seguinte:

Pastas e arquivos do Windows

No mínimo, você deve usar monitoramento de integridade de arquivos para:

• Program files (x86)
• Arquivos de programas
• System 32
• SysWow64

Você também deve considerar a aplicação de FIM ao disco do sistema Windows (C:Windows). No entanto, como acontece com o monitoramento do registro, isso pode resultar em muitos falsos positivos. Assim, você precisa excluir arquivos que mudam regularmente, incluindo arquivos de banco de dados e arquivos de log ativos como C:WindowsLogs.

Incluir e excluir arquivos para monitoramento pode ser difícil se você tiver que fazer isso manualmente. É prudente investir em uma ferramenta FIM que permita localizar arquivos rapidamente usando tanto o filtro por tipo de arquivo e extensão, quanto expressões regulares (regex), que são padrões de busca que localizam arquivos e pastas contendo caracteres específicos. Além disso, procure por detecção de alterações inteligente que possa identificar mudanças inesperadas e outras ameaças reais.

Todos os atributos de pastas e arquivos e conteúdos

A sua ferramenta FIM deve rastrear todos os atributos de pastas e arquivos, incluindo os seguintes:

• Estado atual
• Privilégios, permissões e outras configurações de segurança
• Tamanho e atributos do núcleo
• Credenciais
• Valores de configuração

Algumas soluções FIM também rastreiam o conteúdo dos arquivos. Isso é frequentemente impraticável, especialmente para arquivos grandes. Uma abordagem melhor é rastrear metadados como:

• Nome e caminho
• Valores de hash criptográficos
• Tamanho e comprimento
• Datas de criação e acesso

Chaves, hives e valores do Registro do Windows

Além disso, você deve aplicar FIM às chaves, hives e valores do registro do Windows, pois eles controlam as configurações de configuração do Windows. Certifique-se de monitorar:

• Programas instalados e atualizações
• Políticas locais de auditoria e segurança, que incluem tudo desde as configurações do firewall do Windows até o seu protetor de tela
• Contas de usuário locais

Observe que o registro consiste em milhões de valores, muitos dos quais mudam frequentemente durante a operação do Windows. Para reduzir o volume de alertas falsos positivos, você precisará de capacidades de inclusão e exclusão detalhadas, conforme explicado acima.

Como o Windows FIM detecta ameaças?

Para detectar mudanças, soluções de monitoramento de integridade de arquivos do Windows devem usar valores de hash criptográficos gerados por um algoritmo de hash seguro como MD5, SHA1, SHA256 ou SHA512. Essa abordagem fornece uma 'impressão digital de DNA' única para cada arquivo que permite que até as menores alterações sejam detectadas, pois até a mínima modificação no conteúdo ou composição de um arquivo impacta grandemente o valor do hash.

Valores de hash criptográficos podem ser atribuídos a qualquer tipo de arquivo, incluindo arquivos binários (como .dll, .exe, .drv e .sys) e arquivos de configuração baseados em texto (como .js, XML e arquivos compactados).

Em que você deve se concentrar ao avaliar soluções FIM para Windows?

Ao avaliar soluções de monitoramento de integridade de arquivos da Microsoft, faça as seguintes perguntas-chave:

A solução utiliza métodos modernos de FIM?

As soluções tradicionais de FIM rastreiam e verificam todos os atributos de arquivos e pastas, criando uma linha de base que contém os valores de hash e metadados de todos os seus arquivos, e comparando esses valores de linha de base com as versões mais recentes dos arquivos. No entanto, elas verificam as alterações apenas diária ou semanalmente. Também são extremamente intensivas em recursos e carecem de recursos essenciais como monitoramento em tempo real, armazenamento centralizado de eventos de segurança e contexto sobre por que os arquivos do sistema mudaram. Essas deficiências tornam extremamente desafiador para os especialistas em cibersegurança identificar mudanças potencialmente perigosas no vasto mar de modificações aceitáveis.

Em contraste, soluções modernas de integridade de arquivos como Netwrix Change Tracker utilizam um agente FIM para detectar continuamente alterações e emitir alertas em tempo real. Elas também apresentam:

• Whitelisting de arquivos baseado em contexto e monitoramento de integridade de arquivos para garantir que toda atividade de mudança seja automaticamente analisada para diferenciar entre mudanças boas e ruins, o que reduz drasticamente o ruído de mudanças e a fadiga de alertas
• Certificação e completa DISA STIG e CIS configuração de endurecimento para garantir que todos os sistemas estejam configurados de forma segura a todo momento

A solução suporta Microsoft Azure?

Se você usa Microsoft Azure, é vital que sua solução de FIM o suporte. O Azure vem com o Microsoft Defender for Cloud, uma solução de monitoramento de integridade de arquivos que ajuda a proteger seus dados. Mas, embora o Defender for Cloud possa capturar muitas anormalidades, um número significativo de ameaças ainda pode escapar porque ele carece de recursos críticos como armazenamento centralizado de eventos de segurança, detecção de mudanças planejadas versus não planejadas e monitoramento em tempo real. Essas deficiências podem dificultar o entendimento se as alterações detectadas são maliciosas ou aceitáveis.

Assim, você deve investir em uma ferramenta FIM de terceiros como Netwrix Change Tracker que pode detectar todas as alterações no seu ambiente de nuvem Microsoft Azure e alertá-lo em tempo real sobre modificações não autorizadas para que você possa responder a incidentes de segurança na nuvem rapidamente.

FAQ

1. Como o Windows FIM detecta malware zero-day?

As soluções de FIM do Windows utilizam um valor de hash criptográfico para rastrear cada arquivo em seu sistema. Quando um malware zero-day entra em seu sistema, os valores de hash dos arquivos críticos mudarão, e a solução FIM alertará sua equipe de segurança. Essa abordagem funciona para qualquer tipo de arquivo, incluindo .drv, .exe, .dll, .sys e arquivos de arquivo compactados.

2. Com que frequência deve ser feita uma verificação de integridade de arquivo do Windows?

Embora a PCI exija apenas verificações semanais, isso pode não ser suficiente para prevenir violações graves de Data Security. Atores de ameaças modernos precisam de apenas algumas horas ou dias para causar estragos em seus sistemas e dados, tornando a detecção rápida mais crítica do que nunca. Qualquer atraso pode se mostrar custoso.

3. O Microsoft Defender for Cloud oferece FIM?

Sim, o Microsoft Defender for Cloud examina registros do Windows, arquivos do sistema operacional, arquivos de sistemas Linux, software de aplicativos e outros arquivos em busca de alterações que possam indicar um ciberataque.

No entanto, não consegue distinguir entre mudanças planejadas e não planejadas, então as equipes de segurança podem ficar sobrecarregadas com alertas. Além disso, o Defender for Cloud não oferece monitoramento em tempo real, então os atores de ameaças podem ter tempo para completar seus ataques antes que um alerta seja emitido. Portanto, investir em uma solução FIM de terceiros pode ser uma estratégia inteligente.