Superviser efficacement l'intégrité de vos fichiers avec PRTG

La FIM examine différents aspects d'un fichier et crée une empreinte digitale, qui est comparé à celle enregistrée dans une base de référence connue.

Même si vous pouvez trouver de nombreux outils d'audit natifs sur le marché, tous présentent des lacunes, telles que le stockage décentralisé des journaux de sécurité de nombreux contrôleurs de domaine, l'impossibilité de récupérer la configuration ou l'objet à partir des journaux d'audit, des manques d’informations sur les anciens paramètres dans le contenu du journal. C'est pourquoi les entreprises ayant des infrastructures complexes se tournent vers des solutions d'entreprise.

Le logiciel FIM examine de nombreux aspects d'un fichier, incluant ses droits d'accès, son contenu, ses paramètres, ses permissions et ses paramètres, sa sécurité, sa taille, ses principaux attributs et ses valeurs de hachage. La supervision peut être faite de manière régulière, instantanée ou continue. elle peut également être effectuée de manière aléatoire ou selon d'autres règles définies par l'équipe de sécurité.

La supervision de l'intégralité des fichiers comprend essentiellement cinq étapes.

Étape #1 : définir une politique

La première étape dans la FIM consiste à ce que l'entreprise définisse une politique pertinente. Dans cette étape, l'entreprise doit identifier les fichiers qui doivent être supervisés et définir les ordinateurs contenant ces fichiers.

Étape #2 : Créer une base de référence

Avant qu'une entreprise puisse progresser et superviser activement les modifications de différents fichiers, elle doit d'abord définir un point de référence pouvant être utilisé pour détecter toute modification. C'est pourquoi les entreprises doivent documenter un état correct et connu (ou base de référence) de tous les fichiers qui seront supervisés par la FIM.

Il est donc important de prendre en compte des données, telles que la date de modification, la date de création et la version afin de garantir aux professionnels de l'IT que le fichier est légitime.

Étape #3 : superviser les modifications

Une fois que les entreprises ont une base de référence détaillée, elles peuvent poursuivre et démarrer la supervision de tous les fichiers qui font partie de la solution FIM pour détecter tout changement. Elles peuvent également aller plus loin et promouvoir automatiquement les changements attendus pour minimiser les risques de faux positifs.

Étape #4 : envoyer une alerte

Chaque fois que la solution FIM détecte des modifications non autorisées, les personnes responsables du processus doivent envoyer une alerte au personnel concerné, afin qu'il puisse régler le problème rapidement.

Étape #5 : rapporter les résultats

Dans certains cas les entreprises utilisent la FIM pour être en conformité avec PCI DSS. Dans ce cas, l'entreprise devra générer des rapports d'audit pour valider le déploiement de leur FIM.

Généralement, il y a deux façons de protéger les fichiers. La première : une somme de contrôle peut être calculée sur les propriétés du fichier lorsqu'il est généré par un processus autorisé. La seconde : on fait une copie du fichier et le fichier actuel peut ensuite être comparé à la sauvegarde.

Certains systèmes envoient des alertes uniquement en cas de modification non autorisée. Cela signifie que vous aurez besoin d'une procédure de sauvegarde et de restauration séparée. De cette façon, vous serez informé qu'il se passe quelque chose d’anormal, lorsque le cybercriminel essaie de dissimuler ses activités.

Cependant, d'autres systèmes aident à restaurer les fichiers dans leur état d'origine. Ils sont préférables aux logiciels qui ne détectent que les modifications non autorisées. Avoir la possibilité de consulter les enregistrements qui ont été modifiés par un hacker, facilite le repérage des comptes affectés, ce qui permet d'accélérer le processus de réparation. 

Bien qu'un système complet semble être une excellente option, il a ses inconvénients. Par exemple, si tous les fichiers journaux du système sont copiés, vous allez avoir besoin de beaucoup de place disque. Rappelez-vous que les fichiers journaux ont déjà besoin de beaucoup de place et simplement doubler le volume n'est pas très judicieux.

Et même si les petits réseaux ne génèrent pas autant de trafic avec les fichiers journaux, cela est différent pour les grands systèmes. Le traitement d'un plus grand volume de fichiers journaux nécessite une forte puissance de traitement. Ainsi, le système idéal et complet avec une FIM en temps réel aurait besoin de plus d'espace pour les fichiers et d'une puissance de traitement plus importante que le système d'origine. Cela signifie que votre entreprise devra dépenser plus pour la gestion des fichiers journaux que pour les opérations de base. En tenant compte de tout cela, il est clair que le meilleur système FIM doit en quelque sorte être un compromis.

Donc, si vous voulez que vos services de sécurité restent gérables, il est important que vous ayez un système intelligent de supervision de l'intégrité des fichiers qui puisse stocker vos fichiers de façon sécurisée sans prendre le contrôle de l'ensemble du système. L'un des compromis les plus importants que vous devez faire est de savoir si les actions doivent être faites de façon périodique ou en temps réel.

Vous devez également rechercher un système de gestion des journaux pouvant aider à distinguer les messages les plus importants de ceux qui le sont moins pour la sécurité. En réduisant le volume des journaux ou des enregistrements qui doivent être protégés, la FIM devient plus facile à gérer.

La FIM est aussi importante pour les systèmes Unix et Linux que pour les environnements basés sur Windows. Dans Windows, la base de registre est utilisée pour la plupart des configurations, ainsi que l'API Win32, et il s'agit donc d'une zone plus restreinte et plus étroitement contrôlée.

Cependant, dans Unix et Linux, les configurations sont accessibles en tant que partie de l'ensemble du système de fichiers, ce qui les rend très vulnérables aux exécutables binaires piratés et aux attaques. De plus, le remplacement et la mise à jour des fichiers principaux signifie qu'il est facile pour les hackers d'introduire des codes malveillants.

C'est pourquoi la FIM doit être capable de surveiller les modifications apportées au système d'exploitation, aux fichiers commerciaux critiques, aux applications, aux répertoires et aux bases de données et de vous informer des modifications suspectes ou potentiellement sensibles.

Les domaines importants pour le contrôle des modifications sont : Exchange SQL, Active Directory, l'OS, les mots de passe, le démarrage de Windows et des hôtes, le bootloader, les profils, les tâches cron, les commentaires d'exécution, les paramètres du noyau et les services et démons dans Linux ou Unix.