Informatique légale

Vérification de l’intégrité des fichiers – Utilisez FIM pour couvrir toutes les bases

Posted by admin

Pourquoi utiliser la FIM en premier lieu?

Pour la plupart des gens, la réponse est «parce que mon comptable / banque / conseiller en sécurité a dit que je devais le faire! Les normes de sécurité telles que la norme PCI DSS exigent des contrôles réguliers de l’intégrité des fichiers, y compris des sauvegardes / archives de journaux, et constituent le premier pilote pour la plupart des organisations à implémenter la FIM.

Contrairement à la technologie antivirus et pare-feu, la FIM n’est pas encore considérée comme une exigence de sécurité générale. À certains égards, la FIM est similaire au cryptage des données en ce sens que les deux sont indéniablement des mesures de sécurité précieuses à mettre en œuvre, mais les deux sont utilisées avec parcimonie, réservées à des exigences de sécurité de niche ou spécialisées.

Comment la FIM contribue-t-elle à la sécurité des données?

Au niveau de base, la surveillance de l’intégrité des fichiers vérifie que les fichiers système importants et les fichiers de configuration n’ont pas été modifiés, en d’autres termes, l’intégrité des fichiers a été maintenue.

Pourquoi est-ce important? Dans le cas des fichiers système – programmes, applications ou fichiers du système d’exploitation – ils ne doivent changer que lorsqu’une mise à jour, un correctif ou une mise à niveau est mis en œuvre. À d’autres moments, les fichiers ne devraient jamais changer.

Dans la plupart des failles de sécurité où des données sont volées à un système, soit un keylogger est utilisé pour capturer les données saisies sur un PC (le vol est ensuite commis via un accès simulé ultérieur) soit un type de programme de transfert de données utilisé pour les informations d’un serveur. Dans tous les cas, il doit y avoir une forme de malware implanté sur le système, qui agit généralement comme un cheval de Troie, c’est-à-dire que le malware se fait passer pour un fichier système légitime afin qu’il puisse s’exécuter et se voir accorder des droits d’accès aux données système.

Dans ces cas, un contrôle d’intégrité des fichiers détectera l’existence de chevaux de Troie, et comme les menaces zero-day ou les attaques APT (Advanced Persistent Threat) ciblées échapperont aux mesures antivirus, FIM s’impose comme une mesure de sécurité indispensable. Pour assurer la tranquillité d’esprit qu’un fichier est resté inchangé, les attributs de fichier qui contrôlent la sécurité et les autorisations, ainsi que la longueur du fichier et le hachage cryptographique, doivent tous être suivis.

De même, pour les fichiers de configuration, les paramètres de configuration de l’ordinateur qui restreignent l’accès à l’hôte ou limitent les privilèges des utilisateurs de l’hôte doivent également être conservés. Un nouveau compte utilisateur provisionné pour l’hôte et doté de droits d’administrateur ou de root est un vecteur potentiel évident de vol de données – le compte peut être utilisé pour accéder directement aux données de l’hôte ou installer des logiciels malveillants qui permettent d’accéder à des données confidentielles.

Vérification de l’intégrité des fichiers et renforcement de la configuration

Ce qui nous amène au sujet du durcissement de la configuration. Le renforcement de la configuration est conçu pour contrer le large éventail de menaces potentielles pour un hôte et des guides de bonnes pratiques sont disponibles pour toutes les versions de Solaris, Ubuntu, RedHat, Windows et la plupart des périphériques réseau. Les vulnérabilités de sécurité connues sont atténuées en utilisant un paramètre de configuration d’hôte fondamentalement sécurisé.

Une base importante pour sécuriser un hôte est, par exemple, une politique de mot de passe fort. Pour un hôte Solaris, Ubuntu ou autre Linux, ceci est implémenté en modifiant le fichier /etc/login.defs ou similaire, tandis que pour un hôte Windows, les paramètres nécessaires doivent être définis dans la politique de sécurité locale ou de groupe. Dans les deux cas, les paramètres de configuration existent sous forme de fichier qui peut être analysé et son intégrité vérifiée pour la cohérence (même si, dans le cas de Windows, ce fichier est une valeur de registre ou la sortie d’un programme de ligne de commande).

Par conséquent, la vérification de l’intégrité des fichiers garantit qu’un serveur ou un périphérique réseau reste sécurisé dans deux dimensions importantes: protégé contre les chevaux de Troie ou autres modifications de fichiers système, et conservé dans un état de défense ou de renforcement sécurisé.

Intégrité des fichiers assurée – Mais s’agit-il du bon fichier pour commencer?

Mais est-ce suffisant de simplement utiliser FIM pour conserver les fichiers système et de configuration inchangés? En faisant cela, il y a une garantie que le système surveillé restera dans son état d’origine, mais il y a un risque de mauvaise configuration continue, un cas classique d’informatique «indésirable». En d’autres termes, si le système a été construit à l’aide d’une source impure – on estime que la récente escroquerie Citadel keylogger a généré plus de 500 millions de dollars d’argent volé sur des comptes bancaires sur lesquels des PC sont installés à l’aide de DVD piratés exécutant le système d’exploitation Windows, chacun avec malware keylogger inclus gratuitement.

Dans le monde de l’entreprise, les images, les correctifs et les mises à jour du système d’exploitation sont généralement téléchargés directement à partir du site Web du fabricant, ce qui en fait une source fiable et originale. Cependant, les paramètres de configuration nécessaires pour renforcer complètement l’hôte doivent toujours être appliqués et dans ce cas, la technologie de surveillance de l’intégrité des fichiers peut fournir une fonction supplémentaire et précieuse.

Les meilleures solutions Enterprise FIM peuvent non seulement détecter les changements dans les fichiers / paramètres de configuration, mais également analyser les paramètres pour s’assurer que les meilleures pratiques en matière de configuration de sécurité ont été appliquées.

De cette manière, il peut être garanti que tous les hôtes sont sécurisés et configurés conformément non seulement aux meilleures recommandations de l’industrie pour un fonctionnement sûr, mais également à chaque norme de construction renforcée par l’entreprise.

Une norme de construction renforcée est une condition préalable pour des opérations sécurisées et est exigée par toutes les normes de sécurité formelles telles que PCI DSS, SOX, HIPAA et ISO27K.

Conclusion

Même si FIM est embauché pour simplement répondre aux exigences d’un audit de conformité, il y a un large éventail d’avantages à gagner en plus de réussir l’audit.

La protection des systèmes hôtes contre les chevaux de Troie ou les infections par des logiciels malveillants ne peut être laissée à la seule technologie antivirus. L’angle mort AV des menaces zero-day et des attaques APT laisse trop de doutes sur l’intégrité du système pour ne pas utiliser FIM pour une défense supplémentaire.

Mais la prévention des failles de sécurité est la première étape à franchir, et le renforcement d’un serveur, d’un PC ou d’un périphérique réseau empêchera toute infiltration de non-initiés. L’utilisation d’un système FIM avec les meilleures pratiques d’audit pour les listes de contrôle de configuration sécurisées facilite le renforcement de niveau expert.

Ne vous contentez pas de vérifier l’intégrité des fichiers – renforcez-les d’abord!

Leave A Comment