Si quieres mantener tus valiosos activos digitales fuera del alcance de los adversarios, necesitarás información puntual sobre cómo se accede a tus datos y cómo se utilizan.
File Integrity Monitoring es una herramienta que comprueba y valida la integridad de los archivos. En este artículo, aprenderás por qué el Monitoreo de Integridad de Archivos es tan importante y cómo se implemente.
Todo Acerca de ile Integrity Monitoring
Qué es File Integrity Monitoring
File Integrity Monitoring (FIM) (o monitoreo de integridad de archivos, en español) es una tecnología utilizada para realizar un seguimiento de los cambios realizados en cuentas privilegiadas y datos sensibles. El uso de una solución de supervisión de la integridad de los archivos te proporcionará visibilidad sobre qué cambios se realizan, cuándo se realizan, quién los realiza y cómo. Las soluciones modernas de FIM pueden agregar datos de eventos de múltiples plataformas, incluido tu entorno local y cualquier servicio basado en la nube que utilices.
También te enviarán alertas en tiempo real a tu bandeja de entrada o dispositivo móvil cada vez que se produzcan cambios críticos.
Un software FIM supervisará los cambios inesperados en archivos o elementos de configuración como:
- Credenciales
- Privilegios de acceso y configuración de seguridad
- Contenido
- Atributos clave y tamaño
- Valores hash
- Valores de configuración
Por qué es Importante File Integrity Monitoring
En estos días, muchas leyes de privacidad de datos exigen que las entidades cubiertas mantengan un registro detallado de todos los cambios realizados en los datos personales sensibles. La mayoría de las soluciones propietarias de File Integrity Monitoring ofrecerán una amplia gama de opciones que pueden ayudar a las organizaciones a cumplir con las regulaciones de protección de datos más notables, tales como; GDPR, CCPA, PCI-DSS, HIPAA, FISMA, SOX, y muchos más.
Una solución típica de File Integrity Monitoring te permitirá generar informes de cumplimiento predefinidos con solo pulsar un botón, que se pueden enviar a las autoridades supervisoras para demostrar tus esfuerzos de cumplimiento.
Aunque las soluciones de supervisión o monitoreo de la integridad de los archivos suelen estar diseñadas para ayudarte a detectar y responder a los cambios realizados por tus propios empleados, también pueden ayudarte a identificar posibles ataques de malware.
Por ejemplo, muchas soluciones sofisticadas utilizan una técnica llamada “umbral de alerta”, que puede utilizarse para detectar y responder a eventos que coincidan con una condición de umbral predefinida. Por ejemplo, si se produce un número X de eventos Y durante un periodo de tiempo Z, se puede ejecutar un script personalizado para evitar que el ataque se propague.
Las alertas de umbral también pueden utilizarse para detectar y responder a múltiples intentos fallidos de inicio de sesión, o cuando se crea, mueve, modifica o elimina un número inusualmente elevado de archivos.
¿Cómo Funciona el File Integrity Monitoring?
El proceso de Supervisión o Monitoreo de la Integridad de los Archivos generalmente implica los siguientes pasos clave;
Descubrir y clasificar tus activos críticos
Saber qué datos almacenas y dónde se encuentran facilitará significativamente la supervisión de los cambios en tus datos. Aunque oficialmente no forma parte del proceso FIM, muchas soluciones de supervisión de la integridad de los archivos proporcionan herramientas de descubrimiento y clasificación de datos listas para usar.
Determinar qué activos deseas supervisar
Ahora que sabes dónde residen tus datos sensibles, necesitarás especificar qué datos quieres monitorizar. Todos los cambios relevantes se registrarán en los registros de eventos, sin embargo, para minimizar el número de falsos positivos generados por el software, es mejor centrarte en tus activos más críticos. Para ello será necesario realizar previamente algún tipo de evaluación de riesgos.
Establecer patrones de uso típicos
Para que las soluciones de supervisión de integridad de archivos identifiquen automáticamente actividades anómalas, primero debes establecer una línea de base a partir de la cual trabajar. La mayoría de las soluciones avanzadas de supervisión de integridad de archivos utilizan técnicas de aprendizaje automático para establecer patrones de uso típicos, con los que se pueden realizar pruebas para identificar comportamientos anómalos.
Controlar los cambios en tus datos confidenciales
Tendrás que supervisar continuamente tus cuentas, archivos y carpetas en busca de actividad sospechosa, lo que también incluye cuentas de correo electrónico, archivos de configuración, etc. Cada vez que la actividad del usuario se desvíe demasiado de los patrones de uso típicos establecidos en el paso anterior, se puede lanzar una alerta o ejecutar un script en respuesta. Sin embargo, también querrás recibir alertas cada vez que se acceda, mueva, modifique o elimine información sensible. Las alertas suelen enviarse al administrador o al equipo de seguridad, que iniciará una investigación lo antes posible.
Generar informes predefinidos
Como se ha mencionado anteriormente, la mayoría de las soluciones de supervisión de la integridad de los archivos vienen con una amplia gama de informes “listos para el horno” que se pueden generar con sólo pulsar un botón. Estos informes pueden archivarse para un examen posterior o utilizarse para cumplir los requisitos de conformidad pertinentes.
Resumen: FIM Ayuda a Prevenir las Brechas de Seguridad
Toda brecha de seguridad comienza con un solo cambio. Una pequeña alteración en un archivo puede exponer toda tu red a un ataque potencial. El Monitoreo de la Integridad de los Archivos, en su sentido más simple, consiste en realizar un seguimiento de los cambios a partir de una línea de base establecida y alertarle de cualquier cambio inesperado que pueda representar un riesgo para la seguridad o un compromiso para el cumplimiento de la normativa.
Ya se trate de una estafa de phishing, un ataque DDoS, malware, ransomware o una amenaza interna, tu solución de File Integrity Monitoring debe alertarte de inmediato cada vez que un ciberdelincuente penetre en tu sistema. Las soluciones FIM capturarán la configuración de referencia de tu sistema y proporcionarán los detalles de “quién, qué y cuándo” de cada cambio de archivo relevante, sin atascarte con notificaciones sobre cambios rutinarios.
