Integrität ist in jeder Lebenslage erstrebenswert. Was bedeutet Integrität aber im Zusammenhang mit IT-Sicherheit? In diesem Beitrag erklären wir die Bedeutung und konkrete Anwendungsbeispiele für File Integrity Monitoring.
Der Begriff Integrität bedeutet in einfachen Worten „Unversehrtheit“ oder „in Übereinstimmung sein“. In der IT sind damit die Schutzziele der Informationssicherheit verknüpft.
In jeder Organisation gibt es kritische Verzeichnisse und Dateien, die nur durch autorisierte Benutzer verändert oder bearbeitet werden dürfen.
Bei einem Hackerangriff versucht der Angreifer je nach Ziel auf wichtige Dateien oder Verzeichnisse zuzugreifen und diese zu manipulieren. Hier kommt das File Integrity Monitoring (FIM) ins Spiel. Wir erklären in diesem Beitrag die wichtigsten Best-Practices bei der Dateiintegritätsüberwachung.
Was ist File Integrity Monitoring?
File Integrity Monitoring ist ein Prozess, bei dem kritische Dateien und Pfade überwacht werden. Bei nicht autorisierten oder auffälligen Änderungen an diesen, informiert das FIM-Tool den Administrator, der entsprechende Schritte einleiten kann.
Hier 5 nützliche Tipps und Anwendungsbeispiele für das File Integrity Monitoring.
Welche Dateien und Verzeichnisse sollen überwacht werden?
Die Auswahl der zu überwachenden Dateien hängt von der spezifischen Organisation und ihren Anforderungen ab. Je nach Kritikalität sind beispielsweise Kundendaten, Zahlungsdaten oder Patentdateien besonders schützenswert.
Grundlegend sollten alle relevanten Systemdateien, egal ob in Windows oder Linux, ins Monitoring einbezogen werden.
Nachfolgen eine Liste mit relevanten Richtlinien für das Monitoring:
- Kritische Windows Systemdateien: Diese Dateien sind für das ordnungsgemäße Funktionieren des Betriebssystems unerlässlich. Beispiele sind die Dateien im Verzeichnis C:\Windows\System32.
- Kritische Systempfade unter Linux: Ähnlich wie bei Windows gibt es auch unter Linux kritische Verzeichnisse, die überwacht werden sollten, wie /bin, /usr/bin, /sbin und /usr/sbin.
- Individuelle Dateien je nach Organisation: Jede Organisation hat spezifische Dateien oder Verzeichnisse, die für ihren Betrieb wichtig sind. Diese könnten Anwendungsdateien, Konfigurationsdateien, Protokolldateien oder andere sein.
Was wurde von wem verändert?
Die Identifizierung von Änderungen und die Bestimmung der Verantwortlichen für diese Änderungen sind die Basis für ein effektives Monitoring. Dazu werden Überwachungsregeln zur Art der Aktivitäten erstellt. Dies sind grundlegenden Operationen, die im Regelwerk erfasst werden:
Erstellung (Create): Eine neue Datei wurde erstellt. Es ist wichtig, diese Aktivität zu überwachen, da ein Angreifer versuchen könnte, schädliche Dateien in Ihr System einzufügen.
Änderung (Change): Der Inhalt einer Datei wurde verändert. Wenn eine Datei unerwartet geändert wird, könnte dies ein Anzeichen für eine Kompromittierung sein.
Anpassung (Alter): Die Metadaten einer Datei, wie Zugriffsrechte oder Besitzerinformationen, wurden geändert. Ein Angreifer könnte versuchen, die Zugriffsrechte einer Datei zu ändern, um mehr Kontrolle über das System zu erlangen.
Löschung (Delete): Eine Datei wurde gelöscht. Das unerwartete Löschen von Dateien kann auf eine mögliche Bedrohung hinweisen.
Jede dieser Operationen liefert wichtige Informationen über die Sicherheit Ihres IT-Systems. Durch die Überwachung dieser Aktivitäten können Sie schnell auf potenzielle Sicherheitsbedrohungen reagieren und geeignete Maßnahmen ergreifen, um Ihr System zu schützen.
Den Verlauf von Änderungen loggen
Die Erkennung von Trends und Mustern in den Änderungen ist dabei eine weitere wichtige Funktion. Eine plötzliche Flut von Änderungen, insbesondere bei kritischen Systemdateien oder Verzeichnissen, kann ein Indiz für einen Sicherheitsvorfall sein. Durch das kontinuierliche Monitoring von Änderungen kann ein FIM-System diese Muster erkennen und Alarme auslösen, die es den Administratoren ermöglichen, schnell zu reagieren und potenzielle Bedrohungen zu neutralisieren.
Im Falle eines Cyberangriffs sind die Log-Dateien eine wertvolle Ressource für die Untersuchung des Vorfalls. Administratoren oder Sicherheitsexperten können damit den Verlauf der Ereignisse nachvollziehen und verstehen, was genau passiert ist. Damit werden Schwachstellen identifiziert, die der Angreifer ausgenutzt hat, und Maßnahmen können ergriffen werden, um diese zu beheben und zukünftige Angriffe zu verhindern.
Nicht alle Änderungen sind gleich. Einige Änderungen sind routinemäßig und stellen kein Sicherheitsrisiko dar, während andere potenziell schädlich sein können. Durch das Monitoring von Änderungen kann die Kritikalität jeder Änderung eingeschätzt werden. Ressourcen in der IT werden damit effektiver genutzt, indem die Aufmerksamkeit auf die Änderungen gelenkt wird, die am wahrscheinlichsten ein Sicherheitsrisiko darstellen.
Integration mit anderen IT-Sicherheitssystemen
Eine mehrschichtige IT-Sicherheitsstrategie ist bei komplexen und dynamischen Bedrohungslandschaft wichtig. Dazu kombinieren wir verschiedene Tools und Techniken. Es reicht nicht, nur die Änderungen zu monitoren.
Daher ist die Integration in ein Security Information and Event Management (SIEM) System sinnvoll.
SIEM-Systeme sammeln und analysieren Sicherheitsdaten aus vielen Quellen, um Bedrohungen zu erkennen und auf sie zu reagieren. Durch die Integration von FIM mit einem SIEM-System werden die Änderungsdaten, die von FIM gesammelt werden, in den breiteren Kontext der Sicherheitsdaten eingebettet. Damit wird ein vollständigeres Bild der Sicherheitslage erstellt und die Reaktion auf Sicherheitsvorfälle verbessert.
Wenn ein FIM-System eine potenziell schädliche Änderung erkennt, kann es eine Warnung ans SIEM oder andere Sicherheitssysteme senden, die dann entsprechende Maßnahmen einleiten. Damit wird die Zeit zwischen der Erkennung einer Bedrohung und der Reaktion darauf verkürzt.
File Integrity Monitoring mit Enginsight
Wie setzen wir das File Integrity Monitoring konkret bei unserer Plattform Enginsight um?
Wir unterscheiden in verschiedene Schweregrade von Datei-/Verzeichnisänderungen: Kritisch, hoch, mittel und niedrig. Diese Filterung hilft bei der Bewertung und Einschätzung von Änderungen.
Dazu geben wir die wichtigen Regelwerke vor, die für alle Systemumgebungen relevant sind. Je nach Organisation werden diese Regelwerke dann an die Vorgaben und Anforderungen der Organisation angepasst. Beispielsweise werden besonders schützenswerte Verzeichnisse, die normalerweise kaum verändert werden, entsprechend eingestuft.
Im FIM-Cockpit zeigen wir die Eventverläufe nach Kritikalität an. Der Administrator hat damit sofort einen Überblick, wenn Anomalien bei wichtigen Systemdateien auftreten.
Ein konkretes Beispiel für eine individuelle Unternehmenseinstellung kann folgendes Szenario sein: Vertrauliche Kundendaten befinden sich in einem abgesicherten Verzeichnis. Darin enthaltene Dateien dürfen nie gelöscht oder verändert werden. Dazu wird ein eigenes Regelwerk für dieses Verzeichnis erstellt, das diese beiden Operationen „Delete“ und „Change“ enthält.
Nachdem die Einrichtung abgeschlossen ist, werden alle Vorkommnisse im Log dokumentiert. Dies ist gerade bei Compliance-Anforderungen oder einer forensischen Analyse nach einem Cyberangriff besonders wichtig. Auch im Nachgang kann ermittelt werden, welcher Benutzer Änderungen vorgenommen hat und vor allen Dingen, welche wichtigen Dateien betroffen sind. Ohne eine File Integrity Monitoring lassen sich diese konkreten Änderungen nur mit großem Aufwand oder gar nicht nachvollziehen.
Sie können die Funktionalität „File Integrity Monitoring“ gern in unserer Plattform 14 Tage kostenfrei testen. Registrieren Sie sich dazu einfach in unserer Plattform: Jetzt anmelden
Oder, wenn Sie weiterführende Fragen zum File Integrity Monitoring haben, kommen Sie gern auf uns zu. Unsere Security-Experten unterstützen Sie gern.