淺談文件完整性監測

了解信息安全行業的人，應該對文件完整性監測(FIM)有所認識，這是一種早已面世的功能，Tripwire最初的開源文件散列監測工具中就有了。

FIM至今依然存在於我們周圍，老而彌堅，仍不斷有人展開新的部署。這麼長的時間區間里還能為人重視的安全控制措施其實不算太多。畢竟，知道文件修改的時間和方式對安全來說相當重要且有用。

但是，技術日新月異。1998年一枚233Mhz主頻的CPU堪稱台式機尖端配置，2018年應用程序不搬到雲端就算落伍了。同時，FIM自身卻在這些年裡並沒有太大變化，依然就是檢測文件的變化。

或許，是時候讓FIM成長進化為完整性管理了。

完整性管理是建立基線並監測變化的一個過程，就是定義出一理想狀態，然後維持它。其概念其實也就是信息安全的要義所在。FIM只是將這個概念收窄應用到了文件和一些額外的配置元素上了而已。

完整性管理則是將這一概念應用到公司整個IT生態系統上，包括系統、網路設備和雲基礎設施，甚至可能隨著威脅環境的改變而延伸到公司之。

如果以可接受風險來衡量理想狀態，維持完整性就是要維持風險的可接受水平。影響到公司風險態勢的任何改變都要著手處理，越快越好。

完整性管理落到實處，其實就是下面幾個核心步驟：

1. 從安全部署開始

應用完整性管理原則的第一個地方就是部署環節。每個公司都應確保部署的是符合風險接受度標準的系統。這意味著得先建立起這些標準，並能夠以之衡量伺服器、鏡像、容器和其他被部署的任何系統，無論是現場安裝的還是虛擬的或者部署在雲端的。必須摸清公司所有系統中有沒有哪個系統是沒有經過評估的漏網之魚。

2. 為每個部署的系統建立基線

為系統建立基線的時機是其首次部署之時。發現修改並判斷這些修改對該系統風險態勢的影響，很大程度上得依賴所建立的基線。基線應與該類系統安全部署的標準密切相關。

3. 監測系統修改

完整性管理的核心在於檢測修改。部署了安全系統並確定了其安全基線後，還必須能檢測可能破壞系統完整性的修改。該過程要求公司的修改檢測、基線和修改過程緊密銜接。

4. 調查並緩解修改

不是每個修改都需要採取緩解措施。實現調解過程以分清良莠十分重要。常規的業務變動，且與修改指令或計劃更新相關的那些就不需要作出響應。不能被調解的修改或者影響到風險態勢的修改就必須加以調查並緩解。為此，須得足夠了解這些修改的詳情以做出決策。

實現完整性管理項目並不容易，但它可以為公司帶來很大好處。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！