Il monitoraggio dell’integrità dei file (FIM), è un processo di monitoraggio su qualsiasi modifica apportata al sistema e ai file di configurazione. Un controllo di sicurezza essenziale, in quanto previene e rileva eventuali violazioni di sistema. 

Quando un’azienda però sceglie di implementare una soluzione FIM, deve tenere bene a mente delle best practice da seguire, che ora spiegheremo nel dettaglio. 

Evitare la limitazione ad un ristretto intervallo di file

Una buona soluzione FIM, non può essere utilizzata per monitorare un numero limitato di file come ad esempio quelli eseguibili, anche perché file come quelli di registro sono fondamentali per la sicurezza, così come quelli di configurazione. Proprio per questo, devi assicurarti che la soluzione FIM che hai scelto sia in grado di monitorare tutti i file e le directory di sistema, programma e applicazione su ogni piattaforma, dal data center al desktop, in locale e in cloud. Una soluzione FIM adatta, tiene infatti traccia di tutti i contenuti dei file e genera un hash sicuro (come SHA2) per ciascuno di essi. 

Concentrarsi sui cambiamenti dannosi

In un ecosistema IT, ogni minuto viene creato un documento e cambiato un file di registro o un record sul database. Essendo cambiamenti legittimi, per evitare di sovraccaricare il team di sicurezza, la soluzione FIM scelta deve essere in grado di filtrare il rumore delle attività innocue, distinguendo tra 4 tipi di modifiche: 

  • Approvato e valido: modifiche legittime eseguite correttamente, come le patch applicate; 
  • Approvato ma non valido: quando una persona commette un errore, la soluzione FIM deve essere in grado di riconoscerne la corretta implementazione;
  • Inaspettato ed innocuo: le modifiche non pianificate ma innocue, non richiedono un’indagine di sicurezza, per questo possono tranquillamente essere filtrate. 
  • Inaspettato e dannoso: qualsiasi modifica dannosa deve portare di conseguenza un avviso immediato per poter gestire prontamente la situazione. 

Integrazione efficace

Una soluzione FIM è ancora più efficace se integrata con altre tecnologie di sicurezza, in particolare con la gestione dei servizi IT (ITSM) e degli eventi di sicurezza (SIEM).

In questo modo sarà fornito un contesto di attività attorno alle modifiche rilevate da FIM, facilitando il lavoro del team di sicurezza. 

Stabilire configurazioni solide

Una soluzione FIM all’avanguardia, stabilisce una configurazione di base e confronta sistemi simili per garantire la coerenza. D’altro canto stabilisce anche configurazioni standard basate su benchmark CIS, verificando eventuali cambiamenti della baseline per garantire la sicurezza.

Seguendo queste Best Practices, l’azienda rafforzerà la propria sicurezza informatica in tutto l’ecosistema IT

Richiedi la trial gratuita di 20 giorni

Uno strumento di monitoraggio gratuito che non richiede licenza e non ha scadenza

Compila il form per richiedere informazioni su Netwrix 

Articolo originale: File Integrity Monitoring Best Practices- Netwrix Cyber Chief magazine

Credit Articolo

Scritto e riadattato da CIPS Informatica per Netwrix

 

Torna in cima