Effective File Integrity Monitoring (FIM)

Se stai cercando i file modificati, allora sì, ogni file modificato avviserà. Questo è esattamente come dovrebbe funzionare.

Le tecniche di mitigazione usuale includono:

• limitando il numero di file che controlli. Solitamente basato su criticità o materialità
• forzare lo strumento FIM per calcolare nuovi checksum come parte del processo di modifica

Entrambi presentano rischi di perdita di modifiche indesiderate.

Ci sono molti modi per approcciare questo a seconda della soluzione FIM "big name" che hai distribuito. Ogni configurazione crea un diverso insieme di rischi.

1. Approva file in base al publisher : non consigliato. Il campo del publisher non può essere considerato attendibile a meno che non vi sia una firma corrispondente.
2. Approva in base alla firma : è più sicuro, tuttavia non tutti i file sono firmati. A maggior ragione, un file firmato in precedenza potrebbe non essere firmato dopo essere stato aggiornato.
3. Approva in base a hash : sei a conoscenza dei pro / contro con hash
4. Approva in base a Dir percorso - Non consigliato. Un percorso attendibile consente a tutti i file in una directory specificata di essere modificati e considerati attendibili. Puoi fare un ulteriore passo avanti e affermare che tutti i file in una directory possono essere modificati / creati solo da un processo specifico.
5. Finestra attendibile : in sostanza, le modifiche ai file si verificano durante una finestra attendibile. Uno vorrà rivedere tutte le modifiche prima di riportare l'applicazione alla normalità. Abbastanza il compito scoraggiante.
6. Trusted Deployer : questa è probabilmente la tua migliore alternativa. Se si utilizza un client per distribuire patch alle macchine (ad esempio: BigFix, SCCM, ecc.) È possibile contrassegnare questo client come "programma di installazione attendibile" che consente di applicare le patch.

La soluzione FIM specifica che è stata distribuita può avere o meno tutti questi set di funzionalità.