Pemantauan Integritas File – FIM Dapat Menyelamatkan Bisnis Anda

Pemantauan Integritas File – FIM Dapat Menyelamatkan Bisnis Anda

Ditangkap basah! Operasi Kejahatan Siber Benteng

Tidak ada senjata yang digunakan, tidak ada pintu yang dibuka paksa, dan tidak ada topeng atau penyamaran yang digunakan, tetapi hingga $500Million telah dicuri dari bisnis dan individu di seluruh dunia. Reuters melaporkan pekan lalu bahwa salah satu jaringan kejahatan dunia maya terbesar yang pernah ada baru saja ditutup. Operasi botnet Citadel, pertama kali terungkap pada Agustus tahun lalu, menunjukkan bahwa siapa pun yang ingin berpikir besar dalam hal kejahatan dunia maya dapat menghasilkan banyak uang bahkan tanpa meninggalkan rumah.

Ini adalah cerita umum tentang pencurian identitas dasar – PC yang digunakan untuk mengakses rekening bank online disusupi oleh malware keylogging yang dikenal sebagai Citadel. Ini memungkinkan kredensial keamanan dicuri dan kemudian digunakan untuk mencuri uang dari rekening bank korban. Malware tersebut telah beroperasi hingga 18 bulan dan telah mempengaruhi hingga 5 juta PC.

Seperti malware lainnya, hingga ditemukan, diisolasi, dan dipahami, teknologi anti-virus tidak dapat mengatasi malware seperti Citadel. Apa yang disebut malware ‘zero day’ dapat beroperasi tanpa terdeteksi hingga definisi anti-virus dirumuskan untuk mengenali file malware dan menghapusnya.

Inilah sebabnya mengapa perangkat lunak pemantauan integritas file juga merupakan langkah pertahanan penting terhadap malware. Pemantauan integritas file atau teknologi FIM bekerja berdasarkan ‘toleransi nol’, melaporkan setiap perubahan pada sistem operasi dan sistem file program. FIM memastikan bahwa tidak ada perubahan pada sistem Anda yang dilindungi tanpa dilaporkan untuk validasi, misalnya, Pembaruan Windows akan menghasilkan perubahan file, tetapi asalkan Anda mengontrol kapan dan bagaimana pembaruan diterapkan, Anda kemudian dapat mengisolasi perubahan yang tidak terduga atau tidak direncanakan, yang bisa menjadi bukti infeksi malware. Sistem FIM yang baik menyaring perubahan file yang diharapkan dan teratur dan memusatkan perhatian pada sistem dan file konfigurasi yang, dalam keadaan normal, tidak berubah.

Kejahatan tanpa korban? Mungkin tidak jika Anda adalah bisnis yang terpengaruh

Dalam situasi seperti ini, bank biasanya akan mencoba memecahkan masalah di antara mereka sendiri – rekening bank yang telah dirampok akan memiliki uang yang dipindahkan ke rekening bank lain dan rekening bank lain dan seterusnya, dan upaya akan dilakukan untuk memulihkan dana yang disalahgunakan. . Tak pelak lagi sebagian dari uang tunai akan dibelanjakan tetapi ada juga kemungkinan besar bahwa jumlah yang besar dapat diperoleh kembali.

Secara umum, individu yang terkena pencurian identitas atau penipuan kartu kredit akan mendapatkan penggantian dana oleh bank mereka dan sistem perbankan secara keseluruhan, sehingga sering kali terasa seperti kejahatan tanpa korban telah dilakukan.

Namun yang mengkhawatirkan, dalam kasus ini, juru bicara Asosiasi Bankir Amerika telah dilaporkan mengatakan bahwa ‘bank mungkin meminta pelanggan bisnis untuk menanggung kerugian’. Tidak jelas mengapa bank mungkin berusaha menyalahkan pelanggan bisnis dalam kasus ini. Dilaporkan bahwa Citadel hadir dalam salinan Windows bajakan secara ilegal, sehingga para korban mungkin bersalah karena menggunakan perangkat lunak palsu, tetapi siapa yang harus disalahkan, dan seberapa jauh kesalahan tersebut dapat diteruskan? Pelanggan bisnis, pemasok perangkat lunak bajakan mereka, pedagang grosir yang memasok pemasok?

Bagaimanapun, setiap pengguna bisnis teknologi perbankan online (dan konsensus perkiraan menunjukkan bahwa sekitar setengah dari bisnis melakukan setidaknya 50% dari perbankan online mereka, tetapi ini meningkat dari tahun ke tahun) harus khawatir bahwa melindungi akses ke rekening bank mereka harus menjadi sesuatu yang mereka anggap serius. Bisa jadi tidak ada orang lain yang memperhatikan Anda.

Pemantauan Integritas File – Lihat Insiden Keamanan dalam Warna Hitam Putih atau Warna-Warni yang Mulia?

PCI DSS dan Pemantauan Integritas File

Menggunakan FIM, atau pemantauan integritas file telah lama ditetapkan sebagai landasan praktik terbaik keamanan informasi. Meski begitu, masih ada sejumlah kesalahpahaman umum tentang mengapa FIM penting dan apa yang bisa diberikannya.

Ironisnya, kontributor utama kebingungan ini adalah standar keamanan yang sama yang pertama kali memperkenalkan FIM kepada kebanyakan orang dengan mewajibkan penggunaannya – PCI DSS.

PCI DSS Requirement 11.5 secara khusus menggunakan istilah ‘pemantauan integritas file’ dalam kaitannya dengan kebutuhan untuk “memperingatkan personel terhadap modifikasi yang tidak sah dari file sistem kritis, file konfigurasi, atau file konten; dan mengkonfigurasi perangkat lunak untuk melakukan perbandingan file penting setidaknya setiap minggu “

Dengan demikian, karena istilah ‘pemantauan integritas file’ hanya disebutkan dalam persyaratan 11.5, orang dapat dimaafkan jika menyimpulkan bahwa ini adalah satu-satunya bagian yang harus dimainkan FIM dalam PCI DSS.

Faktanya, penerapan FIM telah dan harus lebih meluas dalam mendukung postur keamanan yang kokoh untuk kawasan TI. Misalnya, persyaratan utama lainnya dari standar keamanan data PCI paling baik ditangani dengan menggunakan teknologi pemantauan integritas file seperti “Buat firewall dan standar konfigurasi router” (Req 1), “Kembangkan standar konfigurasi untuk semua komponen sistem” (Req 2), “Kembangkan dan pelihara sistem dan aplikasi yang aman” (Permintaan 6), “Batasi akses ke data pemegang kartu berdasarkan kebutuhan bisnis yang perlu diketahui” (Permintaan 7), Pastikan identifikasi pengguna yang tepat dan manajemen otentikasi untuk pengguna dan administrator nonkonsumen pada semua komponen sistem” (Permintaan 8), “Uji sistem dan proses keamanan secara teratur” (Req 11).

Dalam batasan Persyaratan 11.5 saja, banyak yang menafsirkan persyaratan ini sebagai sederhana ‘apakah file berubah sejak minggu lalu?’ dan, diambil secara terpisah, ini akan menjadi kesimpulan yang sah untuk dicapai. Namun, seperti yang disorot sebelumnya, PCI DSS adalah jaringan dengan persyaratan yang saling terkait dan tumpang tindih, dan peran analisis integritas file jauh lebih luas, mendukung persyaratan lain untuk pengerasan konfigurasi, penegakan standar konfigurasi, dan manajemen perubahan.

Tapi ini bukan hanya masalah bagaimana pedagang membaca dan menafsirkan PCI DSS. Gelombang baru vendor SIEM khususnya ingin mengambil definisi sempit ini sebagai ‘cukup aman’ dan untuk alasan yang baik, jika egois.

Lakukan semuanya dengan SIEM – atau apakah FIM + SIEM merupakan solusi yang tepat?

Persyaratan PCI 10 adalah semua tentang logging dan kebutuhan untuk menghasilkan peristiwa keamanan yang diperlukan, file log cadangan dan menganalisis detail dan pola. Dalam hal ini, sistem logging akan menjadi komponen penting dari perangkat PCI DSS Anda.

Sistem manajemen SIEM atau log peristiwa semuanya bergantung pada beberapa jenis agen atau metode polled-WMI untuk menonton file log. Ketika file log memiliki peristiwa baru yang ditambahkan ke dalamnya, peristiwa baru ini diambil oleh sistem SIEM, dicadangkan secara terpusat dan dianalisis untuk bukti eksplisit insiden keamanan atau hanya tingkat aktivitas tidak biasa dalam bentuk apa pun yang mungkin mengindikasikan insiden keamanan. Pendekatan ini telah diperluas oleh banyak vendor produk SIEM untuk memberikan tes FIM dasar pada sistem dan file konfigurasi dan menentukan apakah ada file yang berubah atau tidak.

File sistem yang diubah dapat mengungkapkan bahwa Trojan atau malware lain telah menyusup ke sistem host, sementara file konfigurasi yang diubah dapat melemahkan status ‘dikeraskan’ yang secara inheren aman sehingga membuatnya lebih rentan terhadap serangan. Persyaratan PCI DSS 11.5 yang disebutkan sebelumnya memang menggunakan kata ‘tidak sah’ sehingga ada referensi halus tentang kebutuhan untuk mengoperasikan Proses Manajemen Perubahan. Kecuali Anda dapat mengkategorikan atau menentukan perubahan tertentu sebagai ‘Direncanakan’, ‘Diotorisasi’ atau diharapkan dalam beberapa cara, Anda tidak memiliki cara untuk memberi label pada perubahan lain sebagai ‘tidak sah’ seperti yang disyaratkan oleh standar.

Jadi dalam satu hal, tingkat FIM ini adalah cara yang baik untuk melindungi infrastruktur aman Anda. Namun, dalam praktiknya, di dunia nyata, pemantauan integritas file ‘hitam dan putih’ semacam ini sangat tidak membantu dan biasanya berakhir dengan memberikan ‘gangguan’ kepada Tim Keamanan Informasi – terlalu banyak peringatan palsu dan membingungkan, biasanya menutupi ancaman keamanan yang sebenarnya.

Potensi peristiwa keamanan? Ya.

Peristiwa keamanan yang berguna, dikategorikan, dan dinilai dengan cerdas? Tidak.

Jadi jika level FIM yang ‘diubah/tidak diubah’ ini adalah tampilan hitam putih, apa alternatif Technicolor? Jika sekarang kita berbicara tentang FIM Perusahaan yang sebenarnya (untuk membedakan dari dasar, FIM gaya SIEM), tingkat FIM yang unggul ini menyediakan perubahan file yang telah dinilai secara otomatis dalam konteks – apakah ini perubahan yang baik atau buruk?

Misalnya, jika Pengaturan Keamanan Kebijakan Grup diubah, bagaimana Anda tahu apakah ini menambah atau mengurangi perlindungan kebijakan? Enterprise FIM tidak hanya akan melaporkan perubahan tersebut, tetapi juga mengungkapkan detail pasti tentang perubahan itu, apakah itu perubahan yang direncanakan atau tidak, dan apakah ini melanggar atau sesuai dengan Standar Pembuatan yang Diperkeras yang Anda adopsi.

Lebih baik lagi, Enterprise FIM dapat memberi Anda gambaran langsung tentang apakah database, server, sistem EPoS, workstation, router, dan firewall aman – dikonfigurasikan sesuai dengan Hardened Build Standard Anda atau tidak. Sebaliknya, sistem SIEM benar-benar buta terhadap bagaimana sistem dikonfigurasi kecuali jika terjadi perubahan.

Forensik Komputer