Uma defesa pró-ativa e reativa contra violações de segurança

 

DAVID BISSON

• 9 DE MARÇO DE 2017
• DETECÇÃO DE INCIDENTES

Não importa o quão bem projetado é, um programa de segurança nunca impedirá todos os ataques digitais. Mas um assalto não precisa escalar em uma violação de dados. As organizações podem reduzir a probabilidade de um incidente grave investindo em controles de segurança essenciais.

Um desses componentes de segurança fundamental é a FIM. Breve para " monitoramento de integridade de arquivos ", a FIM ajuda as organizações a monitorar, detectar e gerenciar todas as mudanças no estado de um sistema. O controle não depende de nenhuma assinatura de ataque, exploits ou vetores. 

Em vez disso, usa um estado de sistema aprovado como ponto de referência para responder à pergunta: "Os sistemas ainda estão em um estado seguro e confiável?"

A FIM é essencial para as capacidades pró-ativas de defesa de ameaças de uma organização, uma vez que pode ajudar uma empresa a detectar uma alteração não autorizada ou maliciosa antes de se transformar em violação. 

Mas isso não é tudo o que faz. Por outro lado, a FIM é essencial para ajudar as organizações que sofreram uma violação a entender o que aconteceu. Portanto, não admira que quase todas as estruturas de segurança e conformidade incluam um controle para a FIM.

Naturalmente, nem todos os casos de uso de monitoramento de integridade de arquivos são os mesmos. Por exemplo, a auditoria de alterações é, de longe, o caso mais intenso de pessoas e processos, porque mantém um registro de todas as alterações e usa um processo automatizado para detectar modificações não aprovadas. 

Como é tão intenso, as organizações devem salvar a auditoria de mudanças para apenas os sistemas mais importantes que têm processo de controle de alterações construído em torno deles. Em contraste, eles podem implementar orientações FIM menos intensivas, como log de alterações (auditoria de alteração sem o processo automatizado) e detecção e resposta de endpoints (monitoramento de alterações mal-intencionadas) de forma mais ampla em suas redes.

A determinação da cobertura e monitoramento de ativos FIM se resume em quais recursos podem ser usados ​​para criar um benefício de segurança em partes de um sistema monitorado. Isso não é tão difícil. 

Os requisitos e regulamentos de conformidade podem influenciar a priorização. Mas o que às vezes é difícil é descobrir se e até que ponto uma solução de monitoramento de integridade de arquivos é eficaz.

Para responder a essa pergunta, Tripwire publicou Security Reference Architecture: A Practical Guide to Implementing Foundational Controls . O recurso identifica métricas que as empresas podem usar para avaliar a eficácia de suas ferramentas FIM. Ele também explica como as organizações podem se beneficiar da integração da FIM com uma variedade de sistemas, incluindo gerenciamento de configuração de segurança , gerenciamento de vulnerabilidades , sistemas de remediação de tickets / software e outros.

Para saber mais sobre como a FIM pode fortalecer o programa de segurança de sua organização; Proteger contra disponibilidade, confiabilidade e falhas operacionais; E reduzir o risco, faça o download do guia do Tripwire aqui .