浅谈文件完整性监测(FIM)

了解信息安全行业的人,应该对文件完整性监测(FIM)有所认识,这是一种早已面世的功能,Tripwire最初的开源文件散列监测工具中就有了。

[[233805]]

FIM至今依然存在于我们周围,老而弥坚,仍不断有人展开新的部署。这么长的时间区间里还能为人重视的安全控制措施其实不算太多。毕竟,知道文件修改的时间和方式对安全来说相当重要且有用。

但是,技术日新月异。1998年一枚233Mhz主频的CPU堪称台式机***配置,2018年应用程序不搬到云端就算落伍了。同时,FIM自身却在这些年里并没有太大变化,依然就是检测文件的变化。

或许,是时候让FIM成长进化为完整性管理了。

完整性管理是建立基线并监测变化的一个过程,就是定义出一理想状态,然后维持它。其概念其实也就是信息安全的要义所在。FIM只是将这个概念收窄应用到了文件和一些额外的配置元素上了而已。

完整性管理则是将这一概念应用到公司整个IT生态系统上,包括系统、网络设备和云基础设施,甚至可能随着威胁环境的改变而延伸到公司之。

如果以可接受风险来衡量理想状态,维持完整性就是要维持风险的可接受水平。影响到公司风险态势的任何改变都要着手处理,越快越好。

完整性管理落到实处,其实就是下面几个核心步骤:

1. 从安全部署开始

应用完整性管理原则的***个地方就是部署环节。每个公司都应确保部署的是符合风险接受度标准的系统。这意味着得先建立起这些标准,并能够以之衡量服务器、镜像、容器和其他被部署的任何系统,无论是现场安装的还是虚拟的或者部署在云端的。必须摸清公司所有系统中有没有哪个系统是没有经过评估的漏网之鱼。

2. 为每个部署的系统建立基线

为系统建立基线的时机是其***部署之时。发现修改并判断这些修改对该系统风险态势的影响,很大程度上得依赖所建立的基线。基线应与该类系统安全部署的标准密切相关。

3. 监测系统修改

完整性管理的核心在于检测修改。部署了安全系统并确定了其安全基线后,还必须能检测可能破坏系统完整性的修改。该过程要求公司的修改检测、基线和修改过程紧密衔接。

4. 调查并缓解修改

不是每个修改都需要采取缓解措施。实现调解过程以分清良莠十分重要。常规的业务变动,且与修改指令或计划更新相关的那些就不需要作出响应。不能被调解的修改或者影响到风险态势的修改就必须加以调查并缓解。为此,须得足够了解这些修改的详情以做出决策。

实现完整性管理项目并不容易,但它可以为公司带来很大好处。

【本文是专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/131635.html<

(0)
运维的头像运维
上一篇2025-02-26 15:32
下一篇 2025-02-26 15:34

相关推荐

  • 如何检查 Docker 镜像是否存在漏洞

    定期检查管道中的漏洞非常重要。要执行的步骤之一是对 Docker 映像执行漏洞扫描。在此博客中,您将了解如何执行漏洞扫描、如何修复漏洞以及如何将其添加到您的 Jenkins 管道中…

  • 2020年网络安全大事记(上半年)

    2020年,中国网络安全市场迎来颠覆性变革机遇,网络安全正在成为中国数字化进程增长最为强劲的“刚需市场”。 未来五年,网络安全将在云计算、物联网、人工智能、新基础设施建设、企业数字…

  • 内鬼难防?企业内部威胁防护的七条建议

    根据Ponemon发布的一项调查报告显示,内部恶意事件会对企业造成更大的损失——平均每起事件损失755,760美元,每年损失408万美元。Code42公司CISO兼CIO Jade…

  • 2023年危险的网络安全威胁

    ​网络安全专家日前分享了他们对2023年最具影响力的威胁载体和网络风险的预测,调研机构的报告揭示了网络安全专家认为在2023年带来重大影响的威胁载体,并就如何最好地应对这些威胁提出…

  • 全球物联网安全法规有哪些?

    物联网的巨大潜力正在成为现实,但随着采用速度的加快,监管机构和政府组织已经意识到,如果连接设备的构建没有考虑到适当的安全性,它们会带来危险和风险——并且,作为回应,他们正在发布法规…

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注