FIM – ¿QUÉ ES FILE INTEGRITY MONITORING?
El cambio es prolífico en los entornos de TI de las organizaciones. Los activos de hardware cambian. Los programas de software cambian. Los estados de configuración cambian. Algunas de estas modificaciones están autorizadas en la medida en que se producen durante el ciclo regular de aplicación de parches de una organización, mientras que otras causan preocupación al aparecer de forma inesperada.
Las organizaciones suelen responder a este dinamismo invirtiendo en la detección de activos y la gestión segura de la configuración (SCM). Estos controles fundamentales permiten a las empresas crear un inventario de dispositivos aprobados y supervisar las configuraciones de esos productos. Aun así, a las empresas les queda un reto importante: conciliar los cambios en los archivos importantes. Para ese reto, muchas empresas están recurriendo a la supervisión de la integridad de los archivos (FIM).
¿Qué es exactamente la supervisión de la integridad de los archivos?
FIM es una tecnología que supervisa y detecta los cambios en los archivos que podrían ser indicativos de un ciberataque. También conocida como monitorización de cambios, FIM consiste específicamente en examinar los archivos para ver si cambian, cuándo, cómo cambian, quién los ha cambiado y qué se puede hacer para restaurar esos archivos si esas modificaciones no están autorizadas. Las empresas pueden aprovechar el control para supervisar los archivos estáticos en busca de modificaciones sospechosas, como los ajustes de datos, IP y la configuración del cliente de correo electrónico. Como tal, el FIM es útil para detectar el malware, así como para lograr el cumplimiento de las regulaciones como el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS).
La supervisión de la integridad de los archivos fue inventada en parte por el fundador de Tripwire, Gene Kim. De ahí pasó a convertirse en el control de seguridad en torno al cual muchas organizaciones construyen ahora sus programas de ciberseguridad. El término específico “supervisión de la integridad de los archivos” fue ampliamente popularizado por la norma PCI.
Por desgracia, para muchas organizaciones, FIM significa más restricciones, que complica el trabajo del personal de seguridad. Demasiados cambios, ningún contexto en torno a estos cambios y muy poca información sobre si los cambios realmente suponen, obligan a los equipos de seguridad a tener que investigar qué cambios se relacionan entre sí. En el proceso, estos profesionales podrían perder su tiempo investigando falsos positivos, contribuyendo así a un sentimiento de fatiga por las alertas que deja a las organizaciones expuestas a violaciones de datos y otras amenazas digitales.
Esto pone de manifiesto la realidad del FIM. Se trata de un control de seguridad fundamental, pero debe proporcionar una visión suficiente e inteligencia procesable para que las organizaciones aumenten sus posturas de seguridad.
3 ventajas de ejecutar un programa de supervisión de la integridad de los archivos con éxito
- Proteger la infraestructura de TI: Las soluciones FIM supervisan los cambios en los archivos de los servidores, las bases de datos, los dispositivos de red, los servidores de directorio, las aplicaciones, los entornos en la nube y las imágenes virtuales para alertar de los cambios no autorizados.
- Reducir falsos positivos: Una solución FIM sólida utiliza la inteligencia de los cambios para notificarle solo cuando sea necesario, junto con el contexto empresarial y los pasos de corrección. Busque métricas de seguridad detalladas y cuadros de mando en su solución FIM.
- Cumplir con la normativa: FIM le ayuda a cumplir con muchas normas reglamentarias como PCI-DSS, NERC CIP, FISMA, SOX, NIST e HIPAA, así como con los marcos de mejores prácticas como los puntos de referencia de seguridad de CIS.
Cómo funciona la supervisión de la integridad de los archivos (en 5 pasos)
La supervisión de la integridad de los archivos consta de cinco pasos:
- Establecer una política: El FIM comienza cuando una organización define una política relevante. Este paso implica la identificación de los archivos que la empresa debe supervisar en cada activo de información.
- Establecer una línea de base para los archivos: Antes de poder supervisar activamente los archivos en busca de cambios, las organizaciones necesitan un punto de referencia que puedan utilizar para detectar alteraciones. Por lo tanto, las empresas deben documentar una línea de base, o un buen estado conocido para los archivos que entrarán en su política FIM. Esta norma debe tener en cuenta la versión, la fecha de creación, la fecha de modificación y otros datos que puedan ayudar a los profesionales de TI a ofrecer garantías de que el archivo es legítimo en adelante.
- Seguimiento de los cambios: Con una línea de base detallada, las empresas pueden supervisar todos los archivos designados en busca de cambios. Pueden aumentar sus procesos de supervisión mediante la promoción automática de los cambios previstos, minimizando así los casos de falsos positivos.
- Envío de una alerta: Si su solución de supervisión de la integridad de los archivos detecta un cambio no autorizado, los responsables del proceso deben enviar una alerta al personal pertinente para que puedan solucionar rápidamente el problema.
- Informar de los resultados: A veces, las empresas utilizan las herramientas FIM para garantizar el cumplimiento de la norma PCI DSS. En ese caso, es posible que las organizaciones necesiten generar informes para las auditorías con el fin de justificar el despliegue de su evaluador de supervisión de la integridad de los archivos.
4 cosas que hay que tener en cuenta al evaluar las herramientas de supervisión de la integridad de los archivos
Para complementar las fases descritas anteriormente, las organizaciones deben buscar funciones adicionales en su solución de supervisión de la integridad de los archivos. Dichas funcionalidades deberían incluir, por ejemplo, un agente ligero que pueda alternar entre “encendido” y “apagado” y que pueda acomodar funciones adicionales cuando sea necesario. La solución también debería venir con un control total sobre la política FIM. Dicha visibilidad debería incorporar:
- Gestión: La solución debe venir con personalizaciones de políticas incorporadas.
- Granularidad: El producto debe ser capaz de soportar diferentes políticas en función de los tipos de dispositivos que entran en el ámbito de un programa FIM empresarial.
- Edición: Las organizaciones deben tener la capacidad de revisar una política de acuerdo con la evolución de sus requisitos de seguridad.
- Actualizaciones: Todos los sistemas deben actualizarse rápidamente mediante la descarga de contenidos.
Supervisión de la integridad de los archivos con Tripwire
La solución de supervisión de la integridad de los archivos de Tripwire se centra en añadir contexto empresarial a los datos para todos los cambios que se producen en el entorno de una organización. Como tal, proporciona a los equipos de TI y de seguridad, inteligencia en tiempo real que pueden utilizar para identificar los incidentes que son realmente preocupantes. También ayuda al personal a conocer el quién, el qué, el cuándo y el cómo de un cambio, datos que pueden utilizar para validar las modificaciones planificadas.
Estos son los dos componentes principales de la solución FIM de Tripwire.
Componente nº 1: Detección de cambios
Toda violación de la seguridad comienza con un solo cambio. Una pequeña alteración en un archivo puede exponer toda su red a un posible ataque. La supervisión de la integridad de los archivos, en su sentido más simple, consiste en hacer un seguimiento de los cambios a partir de una línea de base establecida y en alertarle de cualquier cambio inesperado que pueda representar un riesgo para la seguridad o un compromiso en el cumplimiento de la normativa.
Componente #2: Comparación con una línea de base segura
Para saber qué cambios de archivos son relevantes para su seguridad, primero debe establecer una línea de base de integridad de datos autorizada. Una solución FIM como Tripwire® File Integrity Manager capturará la línea de base de la configuración de su sistema y proporcionará los detalles de “quién, qué y cuándo” de cada cambio de archivo relevante, todo ello sin llenarle con notificaciones sobre cambios rutinarios.
Más información sobre Tripwire y FIM
Descargue el libro FIM Isn’t Just for Files Anymore (FIM ya no es sólo para archivos) para obtener información sobre otras medidas de seguridad básicas de interés. También puede ver la herramienta de supervisión de la integridad de los archivos de Tripwire en acción viendo el vídeo publicado a continuación.
Parte de un esfuerzo de seguridad más amplio
La monitorización de la integridad de los archivos es sólo uno de los controles fundamentales que las organizaciones deberían tener en cuenta a la hora de adquirir una nueva solución. Para saber cómo las herramientas de Tripwire pueden ayudar a su organización a implementar esas otras medidas de seguridad, haga clic aquí.