¿Qué es FIM (Monitoreo de integridad de archivos)?

Posted on March 25, 2020
¿Qué es FIM (Monitoreo de integridad de archivos)?

El monitoreo de integridad de archivos (FIM) existe porque el cambio es común dentro de los entornos de TI de las organizaciones. Los activos de hardware cambian. Los programas de software cambian. Los estados de las configuraciones cambian. Algunas de estas modificaciones están autorizadas en la medida en que ocurran durante un ciclo de parche; algunos causan preocupación por su naturaleza inesperada. Las organizaciones suelen responder a dicho dinamismo invirtiendo en el descubrimiento de activos y la gestión de configuraciones seguras (SCM). Estos controles fundamentales permiten a las compañías rastrear sus dispositivos y monitorear las configuraciones de esos productos. Aun así, las empresas se enfrentan a un desafío importante: conciliar el cambio en archivos críticos. Para ese desafío, las empresas recurren a FIM.

¿Qué es exactamente el monitoreo de integridad de archivos?

El monitoreo de la integridad de los archivos fue inventado en parte por el fundador de Tripwire, Gene Kim, y se convirtió en un control de seguridad sobre el cual muchas organizaciones construyen sus programas de ciber seguridad. El término “monitoreo de integridad de archivos” fue ampliamente popularizado por el estándar PCI. FIM es una tecnología que monitorea y detecta cambios en los archivos lo cual puede ser un indicador de un ataque o brecha. Desafortunadamente, para muchas organizaciones, FIM es sinónimo de ruido: demasiados cambios, sin contexto que otorgue mayor información de los mismos y muy poca información sobre si un cambio realmente representa un riesgo o no. FIM es un control de seguridad crítico, y como tal debe proporcionar suficiente información e inteligencia procesable. También conocido como monitoreo de cambios, el monitoreo de integridad de archivos implica examinar archivos para ver si que cambio?,cuándo?, donde? , donde?, quién lo modificó? y asi tener la información suficiente para recuperarse rápidamente ante un incidente o cambio no autorizado. Las empresas pueden aprovechar el control de FIM para supervisar los archivos estáticos en busca de modificaciones sospechosas. Como tal, FIM también es útil para detectar malware y para cumplir con regulaciones como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

3 ventajas de ejecutar un programa exitoso de monitoreo de integridad de archivos

  1. Proteja la infraestructura de TI: las soluciones FIM supervisan los cambios de archivos en servidores, bases de datos, dispositivos de red, servidores de directorio, aplicaciones, entornos en la nube y imágenes virtuales con el objetivo de alertar sobre cambios no autorizados.
  2. Reduzca el ruido: una solución FIM sólida utiliza la inteligencia de cambio para notificarle solo cuando sea necesario, y adicionalmente agregando contexto de negocio. Busque métricas de seguridad detalladas y dashboards en su solución FIM.
  3. Cumpla con los requisitos: FIM lo ayuda a cumplir con muchos estándares de cumplimiento normativo como PCI-DSS, NERC CIP, FISMA , SOX, NIST e HIPAA , así como marcos de mejores prácticas como los benchmarks de CIS.

Cómo funciona el monitoreo de integridad de archivos (en 5 pasos)

Hay cinco pasos para supervisar la integridad de los archivos:

  1. Establecer una política: FIM comienza cuando una organización define una política relevante. Este paso implica identificar qué archivos en qué computadoras necesita monitorear la compañía, como se van a monitorear (criterio), bajo que frecuencias o intervalos y quien/es van a ser los usuarios a notificar en caso de una modificación.
  2. Establecer una línea de base para los archivos: antes de que se puedan monitorear activamente los archivos en busca de cambios, las organizaciones necesitan un punto de referencia contra el cual puedan detectar alteraciones. Por lo tanto, las empresas deben documentar una línea base o un buen estado conocido para los archivos que se incluirán en su política FIM. Este estándar debe tener en cuenta la versión, la fecha de creación, la fecha de modificación y otros datos que pueden ayudar a los profesionales de TI a garantizar que el archivo sea legítimo.
  3. Monitoreo de cambios: con una línea de base detallada, las empresas pueden proceder a monitorear todos los archivos designados para detectar cambios. Las frecuencias de monitoreo pueden variar en función de la criticidad del activo en el negocio. al mismo tiempo que se pueden aplicar mecanismos para la reconciliación automática de los cambios esperados, minimizando así los falsos positivos.
  4. Enviar una alerta: si su solución de monitoreo de integridad de archivos detecta un cambio no autorizado, los responsables del proceso deben enviar una alerta al personal relevante que pueda solucionar el problema. Esto generalmente se traduce en una alerta vía correo electrónico o un evento SIEM para que el equipo del SOC pueda hacer su respectivo análisis.
  5. Informe de resultados: Típicamente las empresas utilizan herramientas FIM para garantizar el cumplimiento de PCI DSS. En ese caso, las organizaciones podrían necesitar generar informes para las auditorías con el fin de genererar la evidencia necesaria del control de integridad de archivos.

4 cosas a tener en cuenta al evaluar las herramientas de monitoreo de integridad de archivos

Para complementar las fases descritas anteriormente, las organizaciones deben buscar características adicionales en su solución de monitoreo de integridad de archivos. Esa funcionalidad debe incluir, por ejemplo, un agente liviano que pueda alternar entre “encendido” y “apagado” y pueda acomodar funciones adicionales cuando sea necesario. La solución también debería venir con un control total sobre una política FIM. Dicha control debe incorporar:

  • Administración: políticas de monitoreo FIM listas para usar e incluidas por defecto dentro de la solución.
  • Granularidad: el producto debe ser capaz de admitir diferentes políticas según el tipo de dispositivo.
  • Edición: las organizaciones deben tener la capacidad de revisar una política de acuerdo con sus requisitos individuales.
  • Actualizaciones: todos los sistemas deben actualizarse rápidamente mediante descargas de contenido.

Monitoreo de integridad de archivos con Tripwire

La solución de monitoreo de integridad de archivos de Tripwire se enfoca en agregar contexto de negocio a los datos para todos los cambios que ocurren en el entorno de una organización. Como tal, proporciona a los equipos de TI y seguridad inteligencia en tiempo real que pueden usar para identificar incidentes. También ayuda al personal a conocer que cambio? cuando? donde? quién lo cambio?, puntos que pueden usar para validar las modificaciones planificadas vs. no planificadas.

El monitoreo de integridad de archivos es solo uno de los controles fundamentales que las organizaciones deben buscar al comprar una nueva solución. Aquí hay dos componentes principales de una solución FIM:

Detectando cambios

Cada brecha de seguridad comienza con un cambio. Una pequeña alteración en un archivo puede exponer toda su red a un posible ataque. La supervisión de la integridad de los archivos, en su sentido más simple, trata de realizar un seguimiento de los cambios desde una línea de base establecida y alertarlo sobre cualquier cambio inesperado que pueda representar un riesgo de seguridad o un compromiso en el cumplimiento normativo. Ya sea una estafa de phishing, un malware, un ransomware o una amenaza interna, su solución FIM debería alertarlo de inmediato cada vez que un cibercriminal ingrese a su sistema.

Comparación con una línea de base segura

Para saber qué cambios de archivo son relevantes para su seguridad, primero debe establecer una línea base. Una solución FIM como Tripwire® File Integrity Manager capturará la línea de base de configuración de su sistema y entregará los detalles de “que cambio? cuando? donde? quién lo cambio?,” de cada cambio sobre los archivos relevantes, sin atascarse en notificaciones que son comunes o propias del negocio. Descargue el documento técnico FIM Isn’t Just for Files Anymore para obtener información sobre otras medidas de seguridad básicas de interés.

Video: Vea el Monitoreo de integridad de archivos en acción

https://www.youtube.com/watch?time_continue=67&v=fhPGt2Q4PkM  

5 Things Your FIM Solution Should Be Doing for You

Discover the pivotal role of File Integrity Monitoring in maintaining system security and compliance with major standards. Tripwire Enterprise stands out as an advanced solution, offering real-time detection and detailed context for system changes, making it a superior choice for robust cybersecurity.

Learn More
Join over 20,000 IT security pros who get our top stories delivered to their inbox every week!