File Integrity Monitoring (FIM) is een IT-beveiligingscontrole die bestandswijzigingen in computersystemen bewaakt en detecteert. Het helpt organisaties belangrijke bestanden en systeemconfiguraties te controleren door de integriteit ervan routinematig te scannen en te verifiëren. De meeste informatiebeveiligingsnormen schrijven het gebruik van FIM voor bedrijven voor om de integriteit van hun gegevens te waarborgen.
Naleving van de IT-beveiliging houdt het naleven van toepasselijke wetten, beleid, regelgeving, procedures en normen in die zijn uitgegeven door overheden en regelgevende instanties zoals PCI DSS, ISO 27001, TSC, GDPR en HIPAA. Het niet naleven van deze regelgeving kan ernstige gevolgen hebben, zoals cyberinbreuken, verlies van vertrouwelijke gegevens, financieel verlies en reputatieschade. Daarom moeten organisaties prioriteit geven aan de naleving van IT-regelgeving en -normen om risico's te beperken en hun informatiesystemen effectief te beveiligen.
Het snelle tempo van de technologische vooruitgang en een tekort aan ervaren cyberbeveiligingsprofessionals dragen bij aan nalevingsproblemen. Om effectief aan deze regelgeving te voldoen, moeten bedrijven strategisch plannen, middelen toewijzen aan cyberbeveiligingsinspanningen en hun gegevensactiva grondig classificeren en beschermen.
Voordelen van het voldoen aan cyberbeveiligingsnormen
Naleving van cyberbeveiligingsregels en -normen is belangrijk voor bedrijven van elke omvang. Deze regelgeving vereist de implementatie van specifieke cyberbeveiligingsmaatregelen, beleid en processen. Door zich aan deze normen te houden, garanderen organisaties de transparantie en integriteit van hun cyberbeveiligingspraktijken. Enkele voordelen zijn onder meer:
- Het zorgt ervoor dat organisaties over veerkrachtige back-up- en herstelprocedures beschikken. Dit minimaliseert verstoringen van de bedrijfsvoering en handhaaft de continuïteit tijdens een cyberincident of -ramp, omdat gegevens die zijn opgeslagen op back-upsites kunnen worden hersteld.
- Het biedt een gestructureerd raamwerk voor het beheren van risico's over verschillende bedrijfsaspecten heen. Organisaties kunnen de kosten die gepaard gaan met cyberveiligheidsincidenten en niet-naleving van de regelgeving verlagen door gevestigde procedures en controles te volgen.
- Het beschermt de reputatie van een organisatie. Datalekken kunnen een aanzienlijke impact hebben op de reputatie van een bedrijf. Compliance helpt bij de bescherming tegen dergelijke inbreuken, waardoor de reputatie van het bedrijf wordt beschermd.
- Het vergemakkelijkt de toegang tot gereglementeerde markten. In de gezondheidszorg, de financiële sector en de detailhandel verzekert het de toezichthouders ervan dat de IT-praktijken en -systemen van het bedrijf aan de noodzakelijke normen voldoen.
De Wazuh FIM-mogelijkheid
Wazuh is een open source beveiligingsoplossing die uniforme XDR- en SIEM-bescherming biedt op verschillende platforms. Het beschermt workloads in on-premise, gevirtualiseerde, cloudgebaseerde en containeromgevingen om organisaties een effectieve aanpak van cyberbeveiliging te bieden. Wazuh biedt monitoring van bestandsintegriteit (FIM) als een van zijn mogelijkheden; het biedt ook andere mogelijkheden, zoals beoordeling van de beveiligingsconfiguratie en detectie en reactie op bedreigingen.
De Wazuh FIM-mogelijkheid zorgt voor het volgende:
- Realtime en geplande monitoring van bestanden en mappen.
- Detectie van ongeautoriseerde bestandswijzigingen.
- Details over wat of wie wijzigingen in de gegevens heeft aangebracht.
FIM, gecombineerd met andere Wazuh-mogelijkheden zoals malwaredetectie, kwetsbaarheidsdetectie en Security Configuration Assessment (SCA), verbetert de detectie, het onderzoek en het herstel van bedreigingen. Deze mogelijkheden kunnen helpen bij het stroomlijnen van de inspanningen van uw organisatie op het gebied van de naleving van de beveiligingswetgeving.
Zorgen voor naleving van de regelgeving met behulp van de Wazuh FIM-mogelijkheid
Gebruikers kunnen de bewaking van de bestandsintegriteit configureren om te voldoen aan de vereisten van IT-beveiligingsnormen die relevant zijn voor hun organisatie. De Wazuh FIM kan worden geconfigureerd om het toevoegen, verwijderen en wijzigen van bestandsinhoud te controleren.
Door bestandswijzigingen binnen de organisatie bij te houden, kunnen systeembeheerders en beveiligingsanalisten organisatiebreed inzicht krijgen in deze wijzigingen en beveiligingsincidenten snel aanpakken. Eenmaal geconfigureerd kunnen FIM-gebeurtenissen worden bekeken op het Wazuh-dashboard.
Bewaken van bestandsintegriteit en toegang
De Wazuh FIM-functie voert een basislijnscan uit en slaat de cryptografische controlesom en andere kenmerken van bewaakte bestanden op. Wanneer er een wijziging wordt aangebracht in een bewaakt bestand, vergelijkt de FIM de controlesom en attributen met de basislijn. Als er een discrepantie wordt vastgesteld, wordt er een waarschuwing geactiveerd. De Wazuh-functie voor het bewaken van de bestandsintegriteit houdt details bij, zoals het proces of de gebruiker die een cruciaal bestand heeft gewijzigd en wanneer de wijzigingen zijn aangebracht. Met behulp van de Wazuh FIM-mogelijkheid kunnen organisaties ervoor zorgen dat verschillende secties van wettelijke normen worden nageleefd, zoals:
- PCI DSS-vereiste 11.5.2
- CM-3 van NIST 800-53
- Artikel 5.1. (f) van de AVG
- Beveiliging van het personeel §164.308(a)(2) van HIPAA.
We kunnen de Wazuh FIM bijvoorbeeld configureren om het SSH-configuratiebestand /etc/ssh/sshd_config op een Linux-eindpunt te controleren. Kwaadwillige actoren richten zich vaak op het SSH-configuratiebestand om de beveiliging te verzwakken door poortnummers te wijzigen of sterke cijfers uit te schakelen. De Wazuh FIM kan ongeoorloofde wijzigingen detecteren door wijzigingen in dit bestand te monitoren. De volgende configuratie op een Wazuh-agent stelt de Wazuh FIM-mogelijkheid in om het bestand /etc/ssh/sshd_config op een bewaakt eindpunt te monitoren:
<syscheck>
<directories>/etc/ssh/sshd_config</directories>
</syscheck>
De onderstaande afbeelding toont waarschuwingen die worden geactiveerd wanneer er wijzigingen worden aangebracht in het SSH-configuratiebestand.
Op dezelfde manier bevat de map /etc/ufw doorgaans configuratiebestanden voor UFW (Uncomplicated Firewall), een populaire firewalltoepassing onder Linux. Deze bestanden definiëren de regels die bepalen welk netwerkverkeer op uw systeem is toegestaan of geblokkeerd. Een aanvaller kan de UFW-regels wijzigen om poorten te openen die doorgaans standaard gesloten zijn, waardoor ongeautoriseerde toegang tot een systeem of interne netwerkdiensten mogelijk wordt.
We kunnen de Wazuh FIM configureren om de map /etc/ufw te controleren. Dit wordt geconfigureerd door de onderstaande configuratie toe te voegen aan het agentconfiguratiebestand op het bewaakte eindpunt. We schakelen ook het attribuut whodata in, dat de gebruiker registreert die een gecontroleerd bestand wijzigt.
<syscheck>
<directories whodata="yes">/etc/ufw</directories>
</syscheck>
De onderstaande afbeelding toont waarschuwingen die worden geactiveerd wanneer er wijzigingen worden aangebracht in de UFW-regelbestanden.
Met de Wazuh FIM-functie kunt u de gebruiker en het proces zien dat de verandering initieert. Onderstaande afbeelding toont deze informatie.
Voordelen van het gebruik van de Wazuh FIM voor naleving van de regelgeving
Wazuh biedt mogelijkheden voor het monitoren van de bestandsintegriteit om te helpen voldoen aan de IT-beveiligingsvereisten en om risico's te beperken. Voordelen van het gebruik van de Wazuh FIM-mogelijkheid zijn onder meer:
- Integriteitscontroles: Het berekent de cryptografische hashes van bewaakte bestanden ten opzichte van hun basislijn om integriteitscontroles uit te voeren en wijzigingen nauwkeurig te detecteren. Dit waarborgt de integriteit en veiligheid van gevoelige gegevens.
- Audittrail: Organisaties kunnen de mogelijkheid gebruiken om gedetailleerde rapporten en audittrails van bestandswijzigingen tijdens audits te genereren. Deze rapporten zijn direct beschikbaar wanneer dat nodig is.
- Bedreigingsdetectie: De Wazuh FIM is, in combinatie met andere mogelijkheden zoals VirusTotal- en YARA-integratie, effectief voor het detecteren van bedreigingen of malware die op bewaakte eindpunten wordt gedropt. Door verder gebruik te maken van de incidentresponscapaciteit van Wazuh, worden dergelijke gedetecteerde bedreigingen efficiënt afgehandeld voordat er schade wordt veroorzaakt op het eindpunt.
- Gecentraliseerd beheer: Het biedt gecentraliseerde beheer- en rapportagemogelijkheden waarmee organisaties FIM-waarschuwingen en -activiteiten in verschillende omgevingen vanaf één dashboard kunnen volgen.
- Realtime waarschuwingen: Het kan realtime waarschuwingen geven voor wijzigingen die zijn aangebracht in bewaakte bestanden en mappen. Het geeft ook details over de gebruiker die de wijziging heeft aangebracht en de programmanaam of het gebruikte proces. Dit helpt beveiligingsanalisten om potentiële beveiligingsincidenten of overtredingen van de naleving snel te identificeren en erop te reageren.
- Kosteneffectiviteit: Het is gratis te downloaden en te gebruiken, waardoor het een kosteneffectieve optie is voor bedrijven, vooral kleine en middelgrote ondernemingen met budgetbeperkingen.
Conclusie
Wazuh is een open source beveiligingsplatform dat gratis uniforme XDR- en SIEM-bescherming biedt op verschillende platforms. Wazuh biedt ook aanvullende mogelijkheden, zoals detectie van kwetsbaarheden, beoordeling van de beveiligingsconfiguratie, detectie van malware en monitoring van bestandsintegriteit (FIM). De FIM-capaciteit helpt organisaties bij het voldoen aan bepaalde cyberbeveiligingsvoorschriften. De andere capaciteiten dragen ook bij aan het voldoen aan de nalevingsvereisten op het gebied van cyberbeveiliging, het beschermen van de activa van een organisatie en het verbeteren van de beveiligingspositie.
Bezoek onze website voor meer informatie over Wazuh.
Referenties
- Verbetering van de gegevensbeveiliging met de Wazuh open source FIM
- Wazuh-bewaking van de bestandsintegriteit