Por que usar o FIM em primeiro lugar?
Para a maioria das pessoas, a resposta é 'porque meu auditor/banco/consultor de segurança disse que precisávamos!' Padrões de segurança como o PCI DSS exigem um requisito para verificações regulares de integridade de arquivos, incluindo backups/arquivos de arquivos de log, e esse é o driver inicial para a maioria das organizações implementarem o FIM.
Ao contrário da tecnologia antivírus e de firewall, o FIM ainda não é visto como um requisito de segurança convencional. Em alguns aspectos, o FIM é semelhante à criptografia de dados, pois ambos são inegavelmente valiosas salvaguardas de segurança para implementar, mas ambos são usados com moderação, reservados para nichos ou requisitos de segurança especializados.
Como o FIM ajuda na segurança dos dados?
Em um nível básico, o File Integrity Monitoring verificará se os arquivos importantes do sistema e os arquivos de configuração não foram alterados, ou seja, a integridade dos arquivos foi mantida.
Por que isso é importante? No caso de arquivos de sistema – arquivos de programa, aplicativo ou sistema operacional – eles só devem mudar quando uma atualização, patch ou upgrade for implementado. Outras vezes, os arquivos nunca devem ser alterados.
A maioria das violações de segurança envolvendo roubo de dados de um sistema usará um keylogger para capturar dados que estão sendo inseridos em um PC (o roubo então perpetrado por meio de um acesso subsequente personificado) ou algum tipo de programa de transferência de dados, usado para desviar informações de um servidor. Em todos os casos, deve haver algum tipo de malware implantado no sistema, geralmente operando como um Trojan, ou seja, o malware se faz passar por um arquivo de sistema legítimo para que possa ser executado e receber privilégios de acesso aos dados do sistema.
Nesses casos, uma verificação de integridade de arquivos detectará a existência de cavalos de Troia e, como ameaças de dia zero ou ataques APT (ameaça persistente avançada) direcionados evitarão as medidas antivírus, o FIM se destaca como uma medida de defesa de segurança obrigatória. Para dar a tranquilidade necessária de que um arquivo permaneceu inalterado, os atributos do arquivo que controlam a segurança e as permissões, bem como o tamanho do arquivo e o valor de hash criptográfico devem ser rastreados.
Da mesma forma, para arquivos de configuração, as configurações do computador que restringem o acesso ao host ou restringem os privilégios dos usuários do host também devem ser mantidas. Por exemplo, uma nova conta de usuário provisionada para o host e com privilégios de administrador ou root é um vetor potencial óbvio para roubo de dados – a conta pode ser usada para acessar dados do host diretamente ou para instalar malware que fornecerá acesso a dados confidenciais.
Monitoramento de integridade de arquivos e proteção de configuração
O que nos leva ao assunto do endurecimento da configuração. A proteção de uma configuração destina-se a neutralizar a ampla gama de ameaças potenciais a um host e existem guias de práticas recomendadas disponíveis para todas as versões do Solaris, Ubuntu, RedHat, Windows e a maioria dos dispositivos de rede. Vulnerabilidades de segurança conhecidas são mitigadas empregando uma configuração fundamentalmente segura para o host.
Por exemplo, uma chave básica para proteger um host é por meio de uma política de senha forte. Para um host Solaris, Ubuntu ou outro Linux, isso é implementado editando o arquivo /etc/login.defs ou similar, enquanto um host Windows exigirá que as configurações necessárias sejam definidas na Política de segurança local ou de grupo. Em ambos os casos, as definições de configuração existem como um arquivo que pode ser analisado e a integridade verificada quanto à consistência (mesmo que, no caso do Windows, esse arquivo possa ser um valor de registro ou a saída de um programa de linha de comando).
Portanto, o monitoramento de integridade de arquivos garante que um servidor ou dispositivo de rede permaneça seguro em duas dimensões principais: protegido contra cavalos de Troia ou outras alterações de arquivos do sistema e mantido em um estado protegido ou protegido com segurança.
A integridade do arquivo é garantida – mas é o arquivo certo para começar?
Mas é suficiente apenas usar o FIM para garantir que os arquivos de sistema e configuração permaneçam inalterados? Ao fazer isso, há a garantia de que o sistema monitorado permaneça em seu estado original, mas há o risco de perpetuar uma configuração ruim, um caso clássico de computação 'junk in, junk out'. Em outras palavras, se o sistema foi construído usando uma fonte impura – estima-se que o golpe recente do keylogger Citadel tenha arrecadado mais de $500M em fundos roubados de contas bancárias onde os PCs foram configurados usando Windows Operating pirateado DVDs do sistema, cada um com malware keylogger incluído gratuitamente.
No mundo corporativo, as imagens, patches e atualizações do SO normalmente são baixados diretamente do site do fabricante, fornecendo, portanto, uma fonte confiável e original. No entanto, as definições de configuração necessárias para proteger totalmente o host sempre precisarão ser aplicadas e, neste caso, a tecnologia de monitoramento de integridade de arquivos pode fornecer uma função adicional e inestimável.
As melhores soluções Enterprise FIM podem não apenas detectar alterações nos arquivos/configurações de configuração, mas também analisar as configurações para garantir que as melhores práticas na configuração de segurança tenham sido aplicadas.
Dessa forma, todos os hosts podem ser garantidos como seguros e configurados de acordo não apenas com as recomendações de práticas recomendadas do setor para operação segura, mas com qualquer padrão de construção corporativo reforçado individual.
Um padrão de compilação reforçado é um pré-requisito para operações seguras e é exigido por todos os padrões de segurança formais, como PCI DSS, SOX, HIPAA e ISO27K.
Conclusão
Mesmo que o FIM esteja sendo adotado simplesmente para atender aos requisitos de uma auditoria de conformidade, há uma ampla gama de benefícios a serem obtidos além da simples aprovação na auditoria.
A proteção de sistemas host contra infecção por Trojan ou malware não pode ser deixada apenas para a tecnologia antivírus. O ponto cego AV para ameaças de dia zero e ataques do tipo APT deixa muita dúvida sobre a integridade do sistema para não utilizar o FIM para defesa adicional.
Mas prevenir violações de segurança é o primeiro passo a ser dado, e proteger um servidor, PC ou dispositivo de rede irá afastar todas as infiltrações não internas. O uso de um sistema FIM com recursos de auditoria para listas de verificação de configuração segura de práticas recomendadas simplifica a proteção em nível de especialista.
Não monitore apenas a integridade dos arquivos – fortaleça-os primeiro!
