Мониторинг целостности файлов — требования PCI DSS 10, 10.5.5 и 11.5
Мониторинг целостности файлов (FIM) играет решающую роль в защите бизнес-систем от кражи карточных данных, несмотря на то, что он конкретно упоминается только в двух подтребованиях стандарта безопасности данных индустрии платежных карт (PCI DSS) — 10.5.5 и 11.5. Системы FIM предназначены для обнаружения изменений в файлах и связанных с ними атрибутах и обеспечивают необходимую защиту данных карт. В этой статье мы рассмотрим важность FIM и его три измерения: безопасный FIM на основе хэша, мониторинг целостности содержимого файлов и мониторинг доступа к файлам и/или папкам.
Безопасный FIM на основе хэша:
В контексте PCI DSS безопасный FIM на основе хэша фокусируется на мониторинге критически важных системных файлов, которые могут стать целью злоумышленников, стремящихся украсть данные карты. К этим файлам относятся системные файлы, находящиеся в папках Windows/System32 или SysWOW64 для систем Windows, а также ключевые файлы ядра для систем Linux/Unix. Целью безопасного FIM на основе хеш-функции является обеспечение того, чтобы в эти файлы вносились только ожидаемые и запланированные изменения, тем самым предотвращая кражу данных карты с помощью вредоносного ПО или несанкционированных модификаций.
Рассмотрим сценарий, в котором на сервере карточных транзакций устанавливается троянец, позволяющий передавать данные карты с сервера. Аналогично, программа анализа пакетов, замаскированная под обычный процесс Windows или Unix, может быть размещена на устройстве EPoS для захвата данных карты. При более сложной атаке в критический программный файл может быть внедрен бэкдор, обеспечивающий несанкционированный доступ к данным карты. Эти примеры подчеркивают важность FIM в выявлении подобных инцидентов безопасности.
Стоит отметить, что традиционные антивирусные средства защиты обычно распознают только часть мирового вредоносного ПО, и организации могут быть уязвимы для атак нулевого дня. Атаки нулевого дня относятся к случаям, когда впервые выявляются новые формы вредоносного ПО, оставляя окно уязвимости до тех пор, пока все устройства не будут обновлены для защиты от них. Таким образом, FIM является важной мерой для обнаружения любых неожиданных изменений в системных файлах.
Для реализации эффективных мер FIM важно отслеживать папки Windows/System32 или SysWOW64, а также основные папки прикладной программы обработки карточных данных. Необходимо проводить ежедневные инвентарные проверки для выявления добавлений, удалений и изменений в системных файлах в этих местах. Хотя добавления и удаления относительно легко оценить, даже незначительные изменения, такие как атрибуты файла, следует рассматривать с одинаковой важностью. Признанный в отрасли подход заключается в отслеживании всех атрибутов файла и записи безопасного хеша. Любое изменение хеша во время последующих проверок целостности файла вызывает красное предупреждение, указывающее на потенциальную угрозу. Благодаря использованию безопасных алгоритмов хеширования, таких как SHA1 или MD5, даже незначительное изменение системного файла приведет к заметному изменению значения хеш-функции.
Чтобы обеспечить комплексный подход к целостности файлов, FIM следует сочетать с замкнутой системой управления изменениями. Запланированные изменения должны быть запланированы, а связанные с ними изменения целостности файлов должны быть зарегистрированы и добавлены в запись запланированных изменений.
Мониторинг целостности содержимого файла/конфигурационного файла:
Хотя безопасные контрольные суммы хэша эффективны для обнаружения изменений в системных файлах, они не раскрывают точную природу внесенных изменений. Для файлов, содержащих читаемый контент, ведение записи содержимого файла дает более ценную информацию о целостности файла. Например, файлы веб-конфигурации (например, php, aspnet, js, javascript, XML config) могут быть захвачены системой FIM и записаны в виде читаемого текста. Следовательно, о любых изменениях, внесенных в читаемое содержимое файла, можно сообщить и исследовать.
Аналогичным образом, изменения в важных файлах, таких как списки контроля доступа брандмауэра или конфигурации запуска маршрутизатора Cisco, могут существенно повлиять на безопасность данных карт. Контролируя содержимое этих файлов, FIM позволяет обнаруживать и сообщать о несанкционированных изменениях, которые потенциально могут поставить под угрозу целостность системы.
В рамках политики безопасности и соответствия требованиям ключи и значения реестра Windows часто включаются в область FIM. Мониторинг изменений в настройках реестра имеет решающее значение, поскольку многие хаки предполагают изменение этих настроек. Кроме того, анализ параметров реестра может помочь выявить распространенные уязвимости.
Мониторинг доступа к файлам и/или папкам:
Последний аспект FIM включает мониторинг доступа к файлам и/или папкам. Это измерение относится к типам файлов, которые не подходят для безопасного хеш-значения или отслеживания содержимого, например файлы журналов и файлы базы данных, которые постоянно изменяются. Хотя эти файлы могут быть исключены из шаблона FIM, необходимы дополнительные меры для предотвращения кражи данных карты.
Рассмотрим систему розничной торговли EPoS, в которой создается файл транзакции по карте или файл выверки, который регулярно отправляется на центральный платежный сервер. Поскольку эти файлы постоянно изменяются, мониторинг их содержимого или хэш-значений может оказаться нецелесообразным. Однако несанкционированный доступ к этим файлам или папкам все равно может привести к краже данных. Сотрудник с правами администратора может просматривать и копировать файл, не изменяя его содержимого или атрибутов. Поэтому крайне важно генерировать оповещения при обнаружении любого доступа к этим файлам или папкам. Кроме того, ведение комплексного журнала аудита, в котором фиксируются имена учетных записей лиц, получивших доступ к данным, расширяет возможности проведения судебно-медицинской экспертизы в случае взлома.
Мониторинг целостности файлов (FIM) является важной мерой защиты бизнес-систем от кражи карточных данных, хотя он конкретно упоминается только в двух подтребованиях Стандарта безопасности данных индустрии платежных карт (PCI DSS) — 10.5.5 и 11.5. Системы FIM предназначены для обнаружения изменений в файлах и связанных с ними атрибутах, обеспечивая критическую защиту данных карт. В этой статье рассматривается важность FIM и его три измерения: безопасный FIM на основе хэш-функции, мониторинг целостности содержимого файлов и мониторинг доступа к файлам и/или папкам.
Secure Hash-Based FIM фокусируется на мониторинге критически важных системных файлов, которые могут стать целью злоумышленников, стремящихся украсть данные карты. Эти файлы включают в себя системные файлы в папках Windows/System32 или SysWOW64 для систем Windows, а также ключевые файлы ядра для систем Linux/Unix. Целью безопасного FIM на основе хеш-функции является обеспечение того, чтобы в эти файлы вносились только ожидаемые и запланированные изменения, предотвращая кражу данных карты с помощью вредоносного ПО или несанкционированных модификаций.
Представьте себе сценарий, когда на сервер карточных транзакций устанавливается троян, позволяющий передавать данные карты с сервера. Аналогично, программа анализа пакетов, замаскированная под обычный процесс Windows или Unix, может быть размещена на устройстве EPoS для захвата данных карты. В более сложных атаках в критический программный файл может быть внедрен бэкдор, обеспечивающий несанкционированный доступ к данным карты. FIM играет решающую роль в выявлении таких инцидентов безопасности.
Традиционные антивирусные средства защиты обычно распознают только часть мирового вредоносного ПО, что делает организации уязвимыми для атак нулевого дня. Атаки нулевого дня относятся к случаям, когда впервые выявляются новые формы вредоносного ПО, что создает окно уязвимости до тех пор, пока все устройства не будут обновлены. Таким образом, FIM является важной мерой для обнаружения любых неожиданных изменений в системных файлах.
Реализация эффективных мер FIM включает мониторинг критически важных папок и проведение ежедневных инвентарных проверок для выявления добавлений, удалений и изменений в системных файлах. Хотя добавления и удаления относительно легко оценить, даже незначительные изменения, такие как атрибуты файла, следует рассматривать с одинаковой важностью. Признанный в отрасли подход заключается в отслеживании всех атрибутов файла и записи безопасного хеша. Любое изменение хеша во время последующих проверок целостности файла вызывает красное предупреждение, указывающее на потенциальную угрозу. При использовании безопасных алгоритмов хэширования, таких как SHA1 или MD5, даже незначительное изменение системного файла приведет к заметному изменению значения хеш-функции.
Чтобы обеспечить комплексный подход к целостности файлов, FIM следует сочетать с замкнутой системой управления изменениями. Запланированные изменения должны быть запланированы, а связанные с ними изменения целостности файлов должны быть зарегистрированы и добавлены в запись запланированных изменений.
Мониторинг целостности файлов/конфигурационных файлов направлен на мониторинг читаемых файлов и ведение учета их содержимого. Этот подход дает ценную информацию о целостности файла, позволяя обнаруживать и сообщать об изменениях, внесенных в читаемое содержимое файла. Например, файлы веб-конфигурации или списки управления доступом брандмауэра могут быть захвачены системой FIM и записаны в виде читаемого текста. Мониторинг целостности содержимого файлов особенно полезен для обнаружения несанкционированных изменений, которые могут поставить под угрозу безопасность данных карты.
В рамках политики безопасности и соответствия требованиям FIM также включает мониторинг изменений ключей и значений реестра Windows. Многие хаки включают в себя изменение настроек реестра, поэтому крайне важно отслеживать эти изменения. Кроме того, анализ параметров реестра может помочь выявить распространенные уязвимости.
Мониторинг доступа к файлам и/или папкам — это последний параметр FIM, который включает в себя мониторинг доступа к файлам и папкам. Это измерение относится к типам файлов, которые не подходят для безопасного хеш-значения или отслеживания содержимого, например файлы журналов и файлы базы данных, которые постоянно изменяются. Хотя эти файлы могут быть исключены из шаблона FIM, необходимы дополнительные меры для предотвращения кражи данных карты.
В сценариях, где файлы постоянно изменяются, мониторинг их содержимого или хэш-значений может оказаться нецелесообразным. Однако несанкционированный доступ к этим файлам или папкам все равно может привести к краже данных. Реализация мониторинга доступа к файлам и/или папкам генерирует оповещения всякий раз, когда обнаруживается какой-либо доступ к этим файлам или папкам. Кроме того, ведение комплексного журнала аудита, в котором фиксируются имена учетных записей лиц, получивших доступ к данным, расширяет возможности проведения судебно-медицинской экспертизы в случае взлома.
В заключение отметим, что мониторинг целостности файлов является важной мерой для защиты бизнес-систем от кражи данных карт. Внедряя безопасный FIM на основе хеш-функции, мониторинг целостности содержимого файлов и мониторинг доступа к файлам и/или папкам, организации могут повысить свои возможности по обнаружению и реагированию на потенциальные инциденты безопасности. Соблюдение требований PCI DSS 10, 10.5.5 и 11.5 необходимо для обеспечения защиты данных держателей карт и поддержания безопасной среды для карточных транзакций.
-
Райхельгауз Иосиф Леонидович.
19 Oct, 24 -
Ланг, Фриц
19 Oct, 24 -
Приложение Twitter Для Iphone
19 Oct, 24 -
Юбка-Карандаш Крючком
19 Oct, 24
