Pemantauan Integritas File – Mengapa Keamanan Anda Dikompromikan Tanpanya

Pemantauan Integritas File – Mengapa Keamanan Anda Dikompromikan Tanpanya

Pemantauan Integritas File sangat penting untuk keamanan TI bisnis apa pun. Kami memeriksa perlunya deteksi malware, mengatasi kelemahan yang tak terhindarkan dalam sistem anti-virus.

Deteksi Malware – Seberapa Efektifkah Anti-Virus?

Ketika malware menyerang sistem – paling umum sistem operasi Windows, tetapi semakin banyak sistem Linux dan Solaris yang terancam (terutama dengan popularitas baru dari stasiun kerja Apple yang menjalankan Mac OS X) – itu perlu dijalankan dengan cara tertentu untuk melakukan perbuatan jahatnya.

Ini berarti bahwa beberapa jenis file sistem – yang dapat dieksekusi, driver atau dll harus ditanam di sistem. Trojan akan memastikan bahwa itu dijalankan tanpa intervensi pengguna lebih lanjut dengan mengganti sistem operasi atau file program yang sah. Ketika program berjalan, atau OS melakukan salah satu tugas regulernya, Trojan akan dieksekusi sebagai gantinya.

Pada workstation pengguna, aplikasi pihak ketiga seperti browser internet, pembaca pdf, dan paket pengguna biasa seperti MS Word atau Excel telah ditargetkan sebagai vektor untuk malware perantara. Ketika dokumen atau spreadsheet dibuka, malware dapat mengeksploitasi kerentanan dalam aplikasi, memungkinkan malware untuk diunduh dan dieksekusi.

Either way, akan selalu ada sejumlah perubahan file terkait. File sistem yang sah diganti atau file sistem baru ditambahkan ke sistem.

Jika Anda beruntung, Anda tidak akan menjadi korban pertama dari jenis malware ini dan sistem AV Anda – asalkan telah diperbarui baru-baru ini – akan memiliki definisi tanda tangan yang diperlukan untuk mengidentifikasi dan menghentikan malware.

Jika tidak demikian, dan ingatlah bahwa jutaan varian malware baru diperkenalkan setiap bulan, sistem Anda akan disusupi, biasanya tanpa Anda sadari, sementara malware diam-diam menjalankan bisnisnya, merusak sistem, atau mencuri Anda data.

FIM – Menangkap Sistem Anti-Virus Malware Lainnya

Itu, tentu saja, kecuali jika Anda menggunakan pemantauan integritas file.

FIM tingkat perusahaan akan mendeteksi aktivitas sistem file yang tidak biasa. Tidak biasa itu penting, karena banyak file akan sering berubah pada suatu sistem, jadi sangat penting bahwa sistem FIM cukup cerdas untuk memahami seperti apa operasi reguler untuk sistem Anda dan hanya menandai insiden keamanan asli.

Namun, pengecualian dan pengecualian harus dijaga seminimal mungkin karena FIM adalah yang terbaik ketika dioperasikan dalam pendekatan ‘toleransi nol’ terhadap perubahan. Malware diformulasikan dengan tujuan agar efektif, dan ini berarti harus berhasil didistribusikan dan beroperasi tanpa deteksi.

Tantangan distribusi telah banyak terlihat dalam hal inovasi. Email yang menggiurkan dengan umpan malware berupa gambar untuk dilihat, hadiah untuk dimenangkan, dan gosip selebriti semuanya berhasil menyebarkan malware. Email phishing memberikan alasan yang meyakinkan untuk mengklik dan memasukkan detail atau mengunduh formulir, dan email Spear Phishing yang ditargetkan secara khusus bertanggung jawab untuk menipu bahkan pengguna yang paling paham keamanan siber.

Apa pun vektor yang digunakan, begitu malware diterima ke dalam sistem, ia mungkin memiliki sarana untuk menyebar di dalam jaringan ke sistem lain.

Jadi deteksi dini sangat penting. Dan Anda tidak dapat mengandalkan sistem anti-virus Anda untuk menjadi 100% efektif, seperti yang telah kami soroti.

FIM memberikan ‘toleransi nol’ ini untuk perubahan sistem file. Tidak ada keraguan tentang apa yang mungkin atau mungkin bukan malware, menjamin bahwa semua malware dilaporkan, membuat FIM 100% efektif dalam mendeteksi pelanggaran jenis ini.

Ringkasan

FIM sangat ideal sebagai teknologi pendeteksi malware karena tidak rentan terhadap ‘signature lag’ atau ‘zero day vulnerabilities’ yang merupakan kelemahan sistem anti-virus. Seperti kebanyakan praktik terbaik keamanan, sarannya selalu lebih banyak lebih baik, dan mengoperasikan anti-virus (bahkan dengan kelemahannya yang diketahui) bersama dengan FIM akan memberikan perlindungan terbaik secara keseluruhan. AV efektif melawan malware lawas dan perlindungan otomatisnya akan mengkarantina sebagian besar ancaman sebelum menimbulkan kerusakan apa pun. Tetapi ketika malware benar-benar menghindari AV, seperti yang selalu dilakukan beberapa strain, FIM real-time dapat menyediakan jaring pengaman yang vital.

Teknologi Pemantauan Integritas File Manakah yang Terbaik untuk FIM? 

Dalam pasar teknologi FIM ada pilihan yang harus dibuat. Berbasis agen atau tanpa agen adalah pilihan yang paling umum, tetapi meskipun demikian ada solusi SIEM, dan FIM ‘pure-play’ untuk dipilih.

FIM – Agen atau Tanpa Agen

Tidak pernah ada keuntungan yang jelas untuk FIM berbasis agen atau tanpa agen. Ada keseimbangan yang dapat ditemukan antara FIM tanpa agen dan operasi FIM berbasis agen yang bisa dibilang unggul, menawarkan

  • Deteksi perubahan waktu nyata – pemindai FIM tanpa agen hanya dapat efektif berdasarkan jadwal, biasanya sekali setiap hari
  • Data dasar yang disimpan secara lokal yang berarti hanya diperlukan satu kali pemindaian penuh, sementara pemindai kerentanan akan selalu perlu membuat dasar ulang dan hash setiap file pada sistem setiap kali memindai
  • Keamanan yang lebih besar dengan mandiri, sedangkan solusi FIM tanpa agen akan memerlukan logon dan akses jaringan ke host yang sedang diuji

Sebaliknya, pendukung pemindai kerentanan Tanpa Agen akan menyebutkan keunggulan teknologi mereka dibandingkan sistem FIM berbasis agen, termasuk

  • Aktif dan berjalan dalam hitungan menit, tanpa perlu menerapkan dan memelihara agen di titik akhir, membuat sistem tanpa agen lebih mudah dioperasikan
  • Tidak perlu memuat perangkat lunak pihak ketiga apa pun ke titik akhir, pemindai tanpa agen 100% mandiri
  • Perangkat asing atau baru yang ditambahkan ke jaringan akan selalu ditemukan oleh pemindai tanpa agen, sedangkan sistem berbasis agen hanya efektif jika agen telah disebarkan ke host yang dikenal

Untuk alasan ini tidak ada pemenang langsung dari argumen ini dan biasanya, sebagian besar organisasi menjalankan kedua jenis teknologi untuk mendapatkan keuntungan dari semua keuntungan yang ditawarkan.

Menggunakan SIEM untuk FIM

Menggunakan teknologi SIEM jauh lebih mudah untuk ditangani. Mirip dengan argumen tanpa agen, sistem SIEM dapat dioperasikan tanpa memerlukan perangkat lunak agen apa pun di titik akhir, menggunakan WMI atau kemampuan syslog asli dari host. Namun ini biasanya dilihat sebagai solusi yang lebih rendah dari paket SIEM berbasis agen. Agen akan memungkinkan fungsi keamanan tingkat lanjut seperti hashing dan pemantauan log waktu nyata.

Untuk FIM, semua vendor SIEM akan mengandalkan kombinasi audit akses objek host, dikombinasikan dengan baseline terjadwal dari sistem file. Audit aktivitas filesystem dapat memberikan kemampuan FIM real-time, tetapi akan membutuhkan sumber daya yang jauh lebih tinggi dari host untuk mengoperasikan ini daripada agen jinak. Audit asli OS tidak akan memberikan nilai hash untuk file sehingga deteksi forensik Trojan tidak dapat dicapai sejauh agen FIM perusahaan akan melakukannya.

Vendor SIEM telah bergerak untuk mengatasi masalah ini dengan menyediakan baseline terjadwal dan fungsi hash menggunakan agen. Hasilnya adalah solusi yang paling buruk dari semua opsi – agen harus diinstal dan dipelihara, tetapi tanpa manfaat dari agen waktu nyata!

Ringkasan

Singkatnya, SIEM paling baik digunakan untuk analisis log peristiwa dan FIM paling baik digunakan untuk Pemantauan Integritas File. Apakah Anda kemudian memutuskan untuk menggunakan solusi FIM berbasis agen atau sistem tanpa agen lebih sulit. Kemungkinan besar, kesimpulannya adalah bahwa kombinasi keduanya akan menjadi satu-satunya solusi lengkap.

Forensik Komputer