Pemantauan Integritas File – Mengapa Manajemen Perubahan Adalah Tindakan Keamanan Terbaik yang Dapat Anda Terapkan

Pemantauan Integritas File – Mengapa Manajemen Perubahan Adalah Tindakan Keamanan Terbaik yang Dapat Anda Terapkan

pengantar

Dengan meningkatnya kesadaran bahwa keamanan siber adalah prioritas mendesak untuk bisnis apa pun, ada pasar yang siap untuk pertahanan keamanan otomatis dan cerdas. Peluru perak melawan malware dan pencurian data masih dikembangkan (janji!), tetapi sementara itu ada gerombolan vendor di luar sana yang akan menjual hal terbaik berikutnya kepada Anda.

Masalahnya adalah, kepada siapa Anda berpaling? Menurut, katakanlah, orang firewall Palo Alto, alatnya adalah hal utama yang Anda butuhkan untuk melindungi kekayaan intelektual perusahaan Anda, meskipun jika Anda kemudian berbicara dengan orang yang menjual kotak pasir FireEye, dia mungkin tidak setuju, mengatakan bahwa Anda memerlukan salah satu kotaknya untuk melindungi perusahaan Anda dari malware. Bahkan kemudian, orang McAfee akan memberi tahu Anda bahwa perlindungan titik akhir adalah tempatnya – pendekatan Intelijen Ancaman Global mereka harus melindungi Anda dari semua ancaman.

Dalam satu hal mereka baik-baik saja, semua pada saat yang sama – Anda memang membutuhkan pendekatan berlapis untuk pertahanan keamanan dan Anda hampir tidak pernah memiliki keamanan ‘terlalu banyak’. Jadi, apakah jawabannya sesederhana ‘beli dan terapkan produk keamanan sebanyak mungkin’?

Pertahanan Keamanan Cyber- Dapatkah Anda Memiliki Terlalu Banyak Hal yang Baik?

Sebelum Anda menyusun daftar belanja Anda, ketahuilah bahwa semua barang ini sangat mahal, dan gagasan untuk membeli firewall yang lebih cerdas untuk menggantikan firewall Anda saat ini, atau membeli peralatan sandbox untuk menambah apa yang sebagian besar telah disediakan oleh MIMEsweeper Anda, membutuhkan jeda. untuk berpikir. Apa pengembalian investasi terbaik yang tersedia, dengan mempertimbangkan semua produk keamanan yang ditawarkan?

Diperdebatkan, nilai terbaik untuk produk keamanan uang bukanlah produk sama sekali. Itu tidak memiliki lampu berkedip, atau bahkan casing yang terlihat seksi yang akan terlihat bagus di kabinet komunikasi Anda, dan fitur lembar data tidak menyertakan paket per detik yang mengesankan peringkat throughput. Namun, proses Manajemen Perubahan yang baik akan memberi Anda visibilitas dan kejelasan lengkap dari infeksi malware, potensi melemahnya pertahanan, ditambah kontrol atas kinerja pengiriman layanan juga.

Faktanya, banyak langkah keamanan terbaik yang dapat Anda adopsi mungkin terlihat agak membosankan (dibandingkan dengan kit baru untuk jaringan, apa yang tampaknya tidak membosankan?), tetapi, untuk menyediakan lingkungan TI yang benar-benar aman , praktik terbaik keamanan sangat penting.

Manajemen Perubahan – Yang Baik, Yang Buruk dan Yang Jelek (dan Yang Benar-Benar Berbahaya)

Ada empat jenis perubahan utama dalam infrastruktur TI apa pun

Perubahan yang Direncanakan dengan Baik (diharapkan dan disengaja, yang meningkatkan kinerja penyampaian layanan dan/atau meningkatkan keamanan)
Perubahan yang Direncanakan Buruk (disengaja, diharapkan, tetapi diterapkan dengan buruk atau salah yang menurunkan kinerja penyampaian layanan dan/atau mengurangi keamanan)
Perubahan Baik yang Tidak Direncanakan (tidak terduga dan tidak terdokumentasi, biasanya perubahan darurat yang memperbaiki masalah dan/atau meningkatkan keamanan)
Perubahan Tidak Direncanakan yang Buruk (tidak terduga, tidak terdokumentasi, dan yang secara tidak sengaja menimbulkan masalah baru dan/atau mengurangi keamanan)

Infeksi malware, yang sengaja dilakukan oleh Inside Man atau peretas eksternal juga termasuk dalam kategori terakhir Perubahan Tidak Direncanakan yang Buruk. Demikian pula, Pengembang nakal menanamkan Backdoor ke dalam aplikasi perusahaan. Ketakutan akan infeksi malware, baik itu virus, Trojan, atau kata kunci baru dalam malware, APT, biasanya menjadi perhatian utama CISO dan membantu menjual produk keamanan, tetapi haruskah demikian?

Perubahan Buruk yang Tidak Direncanakan yang secara tidak sengaja membuat organisasi lebih rentan terhadap serangan jauh lebih mungkin terjadi daripada infeksi malware, karena setiap perubahan yang dibuat dalam infrastruktur berpotensi mengurangi perlindungan. Mengembangkan dan mengimplementasikan Hardened Build Standard membutuhkan waktu dan usaha, tetapi membatalkan pekerjaan konfigurasi yang melelahkan hanya membutuhkan satu insinyur yang kikuk untuk mengambil jalan pintas atau salah ketik. Setiap kali Bad Unplanned Change tidak terdeteksi, infrastruktur yang tadinya aman menjadi lebih rentan terhadap serangan sehingga ketika organisasi Anda terkena serangan cyber, kerusakannya akan menjadi jauh lebih buruk.

Untuk tujuan ini, tidakkah kita seharusnya memperlakukan Manajemen Perubahan dengan lebih serius dan memperkuat langkah-langkah keamanan preventif kita, daripada menaruh kepercayaan kita pada gadget lain yang masih bisa salah di mana Zero Day Threats, Spear Phishing, dan inkompetensi keamanan langsung terkait?

Proses Manajemen Perubahan pada 2013 – Loop Tertutup dan Visibilitas Perubahan Total

Langkah pertama adalah mendapatkan Proses Manajemen Perubahan – untuk organisasi kecil, hanya spreadsheet atau prosedur untuk mengirim email kepada semua orang yang berkepentingan untuk memberi tahu mereka bahwa perubahan akan dilakukan setidaknya memberikan beberapa visibilitas dan beberapa ketertelusuran jika masalah kemudian muncul. Sebab dan Akibat umumnya berlaku di mana perubahan dibuat – apa pun yang diubah terakhir biasanya merupakan penyebab masalah terakhir yang dialami.

Itulah sebabnya, begitu perubahan diimplementasikan, harus ada beberapa pemeriksaan yang dilakukan agar semuanya diterapkan dengan benar dan bahwa peningkatan yang diinginkan telah tercapai (itulah yang membuat perbedaan antara Perubahan yang Direncanakan dengan Baik dan Perubahan yang Tidak Direncanakan).

Untuk perubahan sederhana, katakanlah DLL baru dikerahkan ke sistem, ini mudah dijelaskan dan langsung ditinjau dan diperiksa. Untuk perubahan yang lebih rumit, proses verifikasi juga jauh lebih rumit. Perubahan Tak Direncanakan, Baik dan Buruk, menghadirkan tantangan yang jauh lebih sulit. Apa yang tidak dapat Anda lihat, tidak dapat Anda ukur, dan, menurut definisi, Perubahan yang Tidak Direncanakan biasanya dilakukan tanpa dokumentasi, perencanaan, atau kesadaran apa pun.

Sistem Manajemen Perubahan Kontemporer menggunakan Pemantauan Integritas File, memberikan toleransi nol terhadap perubahan. Jika ada perubahan – atribut konfigurasi atau sistem file – maka perubahan akan dicatat.

Dalam sistem FIM tingkat lanjut, konsep jendela waktu atau template perubahan dapat ditentukan sebelumnya sebelum perubahan untuk menyediakan sarana untuk menyelaraskan rincian RFC (Request for Change) secara otomatis dengan perubahan aktual yang terdeteksi. Ini memberikan cara yang mudah untuk mengamati semua perubahan yang dibuat selama Perubahan yang Direncanakan, dan sangat meningkatkan kecepatan dan kemudahan proses verifikasi.

Ini juga berarti bahwa setiap perubahan yang terdeteksi di luar Perubahan Terencana yang ditentukan dapat langsung dikategorikan sebagai Tidak Direncanakan, dan oleh karena itu berpotensi merusak, perubahan. Investigasi menjadi tugas prioritas, tetapi dengan sistem FIM yang baik, semua perubahan yang direkam disajikan dengan jelas untuk ditinjau, idealnya dengan ‘Siapa yang Membuat Perubahan?’ data.

Ringkasan

Manajemen Perubahan selalu banyak ditampilkan dalam standar keamanan apa pun, seperti PCI DSS, dan dalam kerangka Praktik Terbaik apa pun seperti SANS Top Twenty, ITIL, atau COBIT.

Jika Manajemen Perubahan adalah bagian dari proses TI Anda, atau proses Anda yang ada saat ini tidak sesuai dengan tujuannya, mungkinkah ini harus diprioritaskan? Digabungkan dengan sistem Pemantauan Integritas File Perusahaan yang baik, Manajemen Perubahan menjadi proses yang jauh lebih mudah, dan ini mungkin merupakan investasi yang lebih baik saat ini daripada gadget baru yang mencolok?

Pemantauan Integritas File – Gunakan FIM untuk Mencakup Semua Basis

Mengapa menggunakan FIM sejak awal?

Bagi kebanyakan orang, jawabannya adalah ‘karena auditor/bank/konsultan keamanan saya mengatakan kami harus melakukannya!’ Standar keamanan seperti PCI DSS mengamanatkan persyaratan untuk pemeriksaan integritas file secara teratur, termasuk pencadangan/arsip file log, dan ini adalah pendorong awal bagi sebagian besar organisasi untuk menerapkan FIM.

Tidak seperti teknologi anti-virus dan firewall, FIM belum dilihat sebagai persyaratan keamanan utama. Dalam beberapa hal, FIM mirip dengan enkripsi data, di mana keduanya merupakan perlindungan keamanan yang tidak dapat disangkal berharga untuk diterapkan, tetapi keduanya digunakan dengan hemat, dicadangkan untuk niche atau persyaratan keamanan khusus.

Bagaimana FIM membantu keamanan data?

Pada tingkat dasar, Pemantauan Integritas File akan memverifikasi bahwa file sistem penting dan file konfigurasi tidak berubah, dengan kata lain, integritas file telah dipertahankan.

Mengapa ini penting? Dalam hal file sistem – program, aplikasi, atau file sistem operasi – ini hanya boleh berubah ketika pembaruan, tambalan, atau pemutakhiran diterapkan. Di lain waktu, file tidak boleh berubah.

Sebagian besar pelanggaran keamanan yang melibatkan pencurian data dari suatu sistem akan menggunakan keylogger untuk menangkap data yang dimasukkan ke PC (pencurian kemudian dilakukan melalui akses palsu berikutnya), atau semacam program saluran transfer data, yang digunakan untuk menyedot informasi dari sebuah server. Dalam semua kasus, harus ada beberapa bentuk malware yang ditanamkan ke sistem, umumnya beroperasi sebagai Trojan yaitu malware meniru file sistem yang sah sehingga dapat dieksekusi dan diberikan hak akses ke data sistem.

Dalam kasus ini, pemeriksaan integritas file akan mendeteksi keberadaan Trojan, dan mengingat bahwa ancaman nol hari atau serangan APT (ancaman persisten lanjutan) yang ditargetkan akan menghindari tindakan anti-virus, FIM menjadi tindakan pertahanan keamanan yang harus dimiliki. Untuk memberikan ketenangan pikiran yang diperlukan bahwa file tetap tidak berubah, atribut file yang mengatur keamanan dan izin, serta panjang file dan nilai hash kriptografis semuanya harus dilacak.

Demikian pula, untuk file konfigurasi, pengaturan konfigurasi komputer yang membatasi akses ke host, atau membatasi hak istimewa untuk pengguna host juga harus dipertahankan. Misalnya, akun pengguna baru yang disediakan untuk host dan diberikan hak admin atau root adalah vektor potensial yang jelas untuk pencurian data – akun tersebut dapat digunakan untuk mengakses data host secara langsung, atau untuk menginstal malware yang akan memberikan akses ke data rahasia.

Pemantauan Integritas File dan Pengerasan Konfigurasi

Yang membawa kita ke subjek pengerasan konfigurasi. Pengerasan konfigurasi dimaksudkan untuk melawan berbagai potensi ancaman terhadap host dan ada panduan praktik terbaik yang tersedia untuk semua versi Solaris, Ubuntu, RedHat, Windows dan sebagian besar perangkat jaringan. Kerentanan keamanan yang diketahui dimitigasi dengan menggunakan konfigurasi konfigurasi yang aman secara fundamental untuk host.

Misalnya, kunci dasar untuk mengamankan host adalah melalui kebijakan kata sandi yang kuat. Untuk Solaris, Ubuntu atau host Linux lainnya, ini diimplementasikan dengan mengedit file /etc/login.defs atau yang serupa, sedangkan host Windows akan memerlukan pengaturan yang diperlukan untuk ditentukan dalam Kebijakan Keamanan Lokal atau Grup. Dalam kedua kasus, pengaturan konfigurasi ada sebagai file yang dapat dianalisis dan integritas diverifikasi untuk konsistensi (bahkan jika, dalam kasus Windows, file ini mungkin merupakan nilai registri atau output dari program baris perintah).

Oleh karena itu, pemantauan integritas file memastikan server atau perangkat jaringan tetap aman dalam dua dimensi utama: terlindung dari Trojan atau perubahan file sistem lainnya, dan dipertahankan dalam status yang dipertahankan atau diperkeras dengan aman.

Integritas file terjamin – tetapi apakah ini file yang tepat untuk memulai?

Tetapi apakah cukup menggunakan FIM untuk memastikan sistem dan file konfigurasi tetap tidak berubah? Dengan demikian, ada jaminan bahwa sistem yang dipantau tetap dalam keadaan aslinya, tetapi ada risiko mengabadikan konfigurasi yang buruk, kasus klasik komputasi ‘junk in, junk out’. Dengan kata lain, jika sistem dibangun menggunakan sumber yang tidak murni – penipuan keylogger Citadel baru-baru ini diperkirakan telah menjaring lebih dari $500 juta dana yang dicuri dari rekening bank tempat PC dipasang menggunakan DVD Sistem Operasi Windows bajakan, masing-masing dengan keylogger malware disertakan secara gratis.

Di dunia korporat, gambar OS, tambalan, dan pembaruan biasanya diunduh langsung dari situs web produsen, oleh karena itu menyediakan sumber yang andal dan asli. Namun, pengaturan konfigurasi yang diperlukan untuk sepenuhnya mengeraskan host akan selalu perlu diterapkan dan dalam hal ini, teknologi pemantauan integritas file dapat menyediakan fungsi lebih lanjut dan tak ternilai.

Solusi FIM Perusahaan terbaik tidak hanya dapat mendeteksi perubahan pada file/pengaturan konfigurasi, tetapi juga menganalisis pengaturan untuk memastikan bahwa praktik terbaik dalam konfigurasi keamanan telah diterapkan.

Dengan cara ini, semua host dapat dijamin aman dan diatur sesuai dengan tidak hanya rekomendasi praktik terbaik industri untuk operasi yang aman, tetapi dengan standar build yang diperkeras oleh perusahaan mana pun.

Standar build yang diperkeras adalah prasyarat untuk operasi yang aman dan diamanatkan oleh semua standar keamanan formal seperti PCI DSS, SOX, HIPAA, dan ISO27K.

Kesimpulan

Bahkan jika FIM diadopsi hanya untuk memenuhi persyaratan audit kepatuhan, ada berbagai manfaat yang dapat diperoleh selain lulus audit.

Melindungi sistem host dari infeksi Trojan atau malware tidak dapat diserahkan hanya pada teknologi anti-virus. Titik buta AV untuk ancaman nol hari dan serangan tipe APT meninggalkan terlalu banyak keraguan atas integritas sistem untuk tidak menggunakan FIM untuk pertahanan tambahan.

Tetapi mencegah pelanggaran keamanan adalah langkah pertama yang harus diambil, dan memperkuat server, PC, atau perangkat jaringan akan menangkis semua penyusupan non-orang dalam. Menggunakan sistem FIM dengan kemampuan audit untuk praktik terbaik daftar periksa konfigurasi aman membuat pengerasan tingkat ahli menjadi mudah.

Forensik Komputer