El cambio es prolífico en los entornos de IT de las organizaciones. Los activos de hardware cambian. Los programas de software cambian. Los estados de configuración cambian. Algunas de estas modificaciones están autorizadas en la medida en que se producen durante el ciclo regular de aplicación de parches de una organización, mientras que otras causan preocupación al aparecer de forma inesperada.
Las organizaciones suelen responder a este dinamismo invirtiendo en la detección de activos y la gestión segura de la configuración (SCM). Estos controles fundamentales permiten a las empresas crear un inventario de dispositivos aprobados y supervisar las configuraciones de esos productos. Aun así, a las empresas les queda un reto importante: conciliar los cambios en los archivos importantes. Para ese reto, muchas empresas están recurriendo al monitoreo de la integridad de los archivos (FIM).
¿Qué es exactamente el monitoreo de integridad de archivos?
FIM es una tecnología que supervisa y detecta los cambios en los archivos que podrían ser indicativos de un ciberataque. También conocida como monitoreo de cambios, FIM consiste específicamente en examinar los archivos para ver si cambian, cuándo, cómo cambian, quién los ha cambiado y qué se puede hacer para restaurar esos archivos si esas modificaciones no están autorizadas. Las empresas pueden aprovechar el control para supervisar los archivos estáticos en busca de modificaciones sospechosas, como los ajustes de datos, IP y la configuración del cliente de correo electrónico. Como tal, el FIM es útil para detectar el malware, así como para lograr el cumplimiento de las regulaciones como el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS).
El monitoreo de integridad de archivos fue inventada en parte por el fundador de Tripwire, Gene Kim. De ahí pasó a convertirse en el control de Seguridad en torno al cual muchas organizaciones construyen ahora sus programas de ciberseguridad. El término específico "monitoreo de integridad de archivos" fue ampliamente popularizado por la norma PCI.
Por desgracia, para muchas organizaciones, FIM significa más restricciones, que complica el trabajo del personal de Seguridad. Demasiados cambios, ningún contexto en torno a estos cambios y muy poca información sobre si los cambios realmente suponen, obligan a los equipos de Seguridad a tener que investigar qué cambios se relacionan entre sí. En el proceso, estos profesionales podrían perder su tiempo investigando falsos positivos, contribuyendo así a un sentimiento de fatiga por las alertas que deja a las organizaciones expuestas a violaciones de datos y otras amenazas digitales.
Esto pone de manifiesto la realidad del FIM. Se trata de un control de Seguridad fundamental, pero debe proporcionar una visión suficiente e inteligencia procesable para que las organizaciones aumenten sus posturas de Seguridad.
3 ventajas de ejecutar un programa de monitoreo de integridad de archivos con éxito
- Proteger la infraestructura de IT: Las soluciones FIM supervisan los cambios en los archivos de los servidores, las bases de datos, los dispositivos de red, los servidores de directorio, las aplicaciones, los entornos en la nube y las imágenes virtuales para alertar de los cambios no autorizados.
- Reducir falsos positivos: Una solución FIM sólida utiliza la inteligencia de los cambios para notificarle solo cuando sea necesario, junto con el contexto empresarial y los pasos de corrección. Busque métricas de Seguridad detalladas y cuadros de mando en su solución FIM.
- Cumplir con la normativa: FIM le ayuda a cumplir con muchas normas reglamentarias como PCI-DSS, NERC CIP, FISMA, SOX, NIST e HIPAA, así como con los marcos de mejores prácticas como los puntos de referencia de Seguridad de CIS.
Cómo funciona el monitoreo de integridad de archivos (en 5 pasos)
El monitoreo de integridad de archivos consta de cinco pasos:
- Establecer una política: El FIM comienza cuando una organización define una política relevante. Este paso implica la identificación de los archivos que la empresa debe supervisar en cada activo de información.
- Establecer una línea de base para los archivos: Antes de poder supervisar activamente los archivos en busca de cambios, las organizaciones necesitan un punto de referencia que puedan utilizar para detectar alteraciones. Por lo tanto, las empresas deben documentar una línea de base, o un buen estado conocido para los archivos que entrarán en su política FIM. Esta norma debe tener en cuenta la versión, la fecha de creación, la fecha de modificación y otros datos que puedan ayudar a los profesionales de TI a ofrecer garantías de que el archivo es legítimo en adelante.
- Seguimiento de los cambios: Con una línea de base detallada, las empresas pueden supervisar todos los archivos designados en busca de cambios. Pueden aumentar sus procesos de monitoreo mediante la promoción automática de los cambios previstos, minimizando así los casos de falsos positivos.
- Envío de una alerta: Si su solución de monitoreo de integridad de archivos detecta un cambio no autorizado, los responsables del proceso deben enviar una alerta al personal pertinente para que puedan solucionar rápidamente el problema.
- Informar de los resultados: A veces, las empresas utilizan las herramientas FIM para garantizar el cumplimiento de la norma PCI DSS. En ese caso, es posible que las organizaciones necesiten generar informes para las auditorías con el fin de justificar el despliegue de su evaluador de monitoreo de integridad de archivos.
4 cosas que hay que tener en cuenta al evaluar las herramientas de monitoreo de integridad de archivos
Para complementar las fases descritas anteriormente, las organizaciones deben buscar funciones adicionales en su solución de monitoreo de integridad de archivos. Dichas funcionalidades deberían incluir, por ejemplo, un agente ligero que pueda alternar entre "encendido" y "apagado" y que pueda acomodar funciones adicionales cuando sea necesario. La solución también debería venir con un control total sobre la política FIM. Dicha visibilidad debería incorporar:
- Gestión: La solución debe venir con personalizaciones de políticas incorporadas.
- Granularidad: El producto debe ser capaz de soportar diferentes políticas en función de los tipos de dispositivos que entran en el ámbito de un programa FIM empresarial.
- Edición: Las organizaciones deben tener la capacidad de revisar una política de acuerdo con la evolución de sus requisitos de Seguridad.
- Actualizaciones: Todos los sistemas deben actualizarse rápidamente mediante la descarga de contenidos.
Monitoreo de integridad de archivos con Tripwire
La solución de monitoreo de integridad de archivos, Tripwire, se centra en añadir contexto empresarial a los datos para todos los cambios que se producen en el entorno de una organización. Como tal, proporciona a los equipos de IT y de Seguridad, inteligencia en tiempo real que pueden utilizar para identificar los incidentes que son realmente preocupantes. También ayuda al personal a conocer el quién, el qué, el cuándo y el cómo de un cambio, datos que pueden utilizar para validar las modificaciones planificadas.
Estos son los dos componentes principales de la solución FIM de Tripwire.
Componente nº 1: Detección de cambios
Toda violación de la Seguridad comienza con un solo cambio. Una pequeña alteración en un archivo puede exponer toda su red a un posible ataque. El monitoreo de integridad de archivos, en su sentido más simple, consiste en hacer un seguimiento de los cambios a partir de una línea de base establecida y en alertarle de cualquier cambio inesperado que pueda representar un riesgo para la Seguridad o un compromiso en el cumplimiento de la normativa.
Componente #2: Comparación con una línea de base segura
Para saber qué cambios de archivos son relevantes para su Seguridad, primero debe establecer una línea de base de integridad de datos autorizada. Una solución FIM como Tripwire® File Integrity Manager capturará la línea de base de la configuración de su sistema y proporcionará los detalles de "quién, qué y cuándo" de cada cambio de archivo relevante, todo ello sin llenarle con notificaciones sobre cambios rutinarios.
Más información sobre Tripwire y FIM
Descargue el libro FIM Isn't Just for Files Anymore (FIM ya no es sólo para archivos) para obtener información sobre otras medidas de Seguridad básicas de interés. También puede ver la herramienta de monitoreo de integridad de archivos de Tripwire en acción viendo el vídeo publicado a continuación.
Parte de un esfuerzo de Seguridad más amplio
La monitorización de la integridad de los archivos es sólo uno de los controles fundamentales que las organizaciones deberían tener en cuenta a la hora de adquirir una nueva solución. Para saber cómo las herramientas de Tripwire pueden ayudar a su organización a implementar esas otras medidas de Seguridad, haga clic aquí.
Vea Tripwire en acción
Solicite una demostración personalizada y conozca cómo Tripwire puede ayudar a su organización a simplificar el cumplimiento y mejorar la Seguridad.