Monitorización de la integridad de los archivos, ¿qué es y cómo funciona?

Al igual que la mayoría de las cosas en la vida, el cambio es inevitable. Lo mismo puede decirse de las redes de TI y los sistemas operativos de cualquier organización. Pero con eso en mente, es esencial saber quién realiza los cambios y por qué. ¿Es un cambio realizado por un empleado autorizado con el mejor interés de la organización en mente, o es causado por un atacante que tiene la intención de corromper el sistema y cometer un delito cibernético? Para detectar cambios no autorizados e inusuales en los sistemas operativos o el software, las organizaciones utilizan con frecuencia un sistema de control conocido como monitorización de integridad de archivos (FIM).

En este artículo, cubriremos todo lo que necesitas saber sobre FIM, es decir, el uso, el software disponible, los beneficios y el cumplimiento legal asociado con la monitorización de la integridad de los archivos a través de software y herramientas.

¿Qué es la monitorización de la integridad de archivos?

Como sugiere el nombre, la supervisión de la integridad de los archivos, también conocida como supervisión de cambios, se utiliza para garantizar la integridad de tus archivos mediante la identificación de los cambios realizados en ellos. FIM se puede utilizar en tu red, sistema operativo, nube y otras plataformas.

FIM es una tecnología de mitigación de riesgos que se basa en inteligencia artificial (IA). Examina todos los cambios en un sistema, los compara con la línea de base predefinida y alerta a la gerencia o al responsable si nota algún cambio inesperado. Esto ayuda a tu organización a detectar cualquier cambio que pueda suponer un riesgo de seguridad, un probable ciberataque o un compromiso en el cumplimiento normativo.

El software FIM examina:

  • quién modificó el archivo;
  • cuándo y qué cambios se han realizado;
  • cambios inusuales en el tamaño, las versiones y la configuración de los archivos;
  • acceso no autorizado a archivos confidenciales, binarios del sistema y directorios; y
  • cambios en la configuración de seguridad, permisos y claves de registro.

Pero el software de integridad de archivos es versátil y no se limita solo a monitorizar archivos. También funciona en configuraciones de hardware y dispositivos IoT, configuraciones de software, registros de actividad, sistemas operativos, servidores de directorio, archivos multimedia y configuraciones de nube.

Las soluciones de monitorización de integridad de archivos tienen como objetivo proporcionar escaneo, detección y alerta de cambios en todos los archivos. En particular, las soluciones FIM dan prioridad a las modificaciones de los elementos más relevantes para la seguridad en los archivos. Estas alertas pueden incluir contenido o incluso metadatos relacionados con la información de la cuenta de los usuarios o los privilegios de acceso. También pueden incluir detalles aparentemente inocuos, como ubicaciones o tamaños de archivos específicos, información que puede invitar a robos posteriores u otros ataques.

Software de monitorización de integridad de archivos

Para implementar la tecnología FIM, tu organización necesita instalar software o herramientas de monitorización de integridad de archivos. Algunos de los proveedores de software FIM más conocidos son OSSEC, Tripwire, Qualys, McAfee Change Control, Kaspersky Labs, Splunk, Trustwave y CloudPassage.

Pero antes de seleccionar una herramienta FIM, debes asegurarte de que tenga las siguientes cualidades:

  • Flexibilidad: el software de administración de integridad de archivos debe ser lo suficientemente flexible para agregar y eliminar archivos y modificar la línea de base cuando sea necesario. También debería proporcionarte la posibilidad de revisar y personalizar las políticas.
  • Compatibilidad: la herramienta debe ser compatible con diferentes tipos de archivos, registros de actividad, sistemas operativos, dispositivos de hardware y configuraciones de la nube.
  • Reducción de «ruido»: Es fácil que estos sistemas sean «ruidosos», lo que significa que proporcionan una multitud de información sin contexto. Las soluciones FIM más efectivas son aquellas que solo te avisan cuando es necesario. También recomiendan pasos para avanzar en términos de corrección y restauración de archivos.
  • Asequibilidad: todos los proveedores de FIM tienen políticas de precios personalizadas que satisfarán las necesidades de las diferentes organizaciones. Un software FIM generalmente comienza desde $ 500 y puede llegar hasta miles de dólares. Asegúrate de obtener presupuestos de varios proveedores antes de elegir uno para tu organización.

Cómo implementar la supervisión de la integridad de los archivos

Para implementar la monitorización de la integridad de archivos en la empresa, los pasos a seguir son los siguientes:

Instalar el software FIM

Elige el mejor proveedor de FIM que se adapte a tus necesidades, presupuesto y tecnología. Instálalo en tu sistema utilizando un modo basado en agente o sin agente. Pero, ¿qué significan estos términos?

En la supervisión de la integridad de archivos basada en agentes, se instala un software de agente en el host supervisado para proporcionar supervisión en tiempo real de los archivos. Sin embargo, consume una gran cantidad de recursos del host.

En un sistema de monitorización de integridad de archivos sin agente, un escáner detecta los cambios en su tiempo programado y aplica un hash a todos los archivos en el sistema cada vez que los escanea. Es fácil de implementar, pero no habrá ninguna monitorización en vivo en tiempo real.

Elige el área de monitorización

Debes decidir qué archivos, dispositivos, configuraciones de software, servidores de directorio, archivos multimedia y configuraciones de nube deben agregarse al software FIM. Debes elegir qué áreas son más vulnerables y requieren una monitorización constante.

Definir una línea de base

Cada herramienta FIM necesita un punto de referencia, que utiliza para comparar con los cambios que detecta para identificar cualquier actividad inusual. Debes establecer una línea de base o un punto de referencia para todos tus archivos y configuraciones de TI. La línea de base puede incluir lo siguiente:

  • valores hash,
  • contenido,
  • tamaño del archivo,
  • privilegios de acceso,
  • credenciales de usuario y
  • configuraciones de seguridad.

Configurar la línea de base es el que lleva más tiempo, pero es un paso crucial para reducir el ruido y las alertas de falsos positivos. Debes observar cuidadosamente todos los cambios habituales (autorizados) y establecer líneas de base separadas para cada área de monitorización. A veces, la línea de base puede ser un rango de valores en lugar de un punto absoluto.

Cómo funciona FIM

Una vez que la organización sigue los tres pasos antes mencionados, comienza el trabajo de la FIM.

Monitorización y Detección

Una vez implementado, el software FIM comenzará a monitorizar cualquier modificación que se realice en tus archivos, sistemas, registros, configuraciones, etc. Observa cuándo, cómo y quién realiza los cambios y los compara con la línea de base. Las organizaciones pueden instalar los cambios esperados para reducir las falsas alertas. La mayoría del software FIM es capaz de detectar ataques DDoS, ataques de phishing, acceso no autorizado al sistema, robo de datos, inyecciones de malware o ransomware y amenazas internas.

Un sitio web comercial tiene cientos de archivos de código en el directorio. Aunque la administración se da cuenta de que un atacante ha inyectado malware en el sitio web, es difícil localizar las inyecciones maliciosas entre miles de líneas de códigos. El software de monitorización de integridad de archivos tiene la capacidad de señalar qué archivos y códigos exactos se han dañado, lo que hace que el proceso de recuperación sea más rápido y más fácil. Para los sitios de WordPress, también puede monitorizar los archivos wp-config.php y .htaccess.

Reporte

Una herramienta de monitorización de integridad de archivos envía correos electrónicos de alerta automatizados al personal relevante y registra todo en su tablero. Una buena aplicación de software FIM también sugiere pasos para la reconciliación (como cómo restaurar archivos). Algunos programas de FIM eliminan automáticamente los archivos dañados y toman medidas de corrección. También puedes crear informes desde el panel del software FIM para tus auditorías de TI.

Beneficios

Ahora que sabes cómo funciona el software de monitorización de integridad de archivos, la pregunta del millón de dólares que surge aquí es ¿qué valor aporta a una organización? ¿Y realmente vale la pena gastar dinero en él o puede una empresa funcionar sin él?

Veamos los beneficios de la herramienta FIM para comprender su utilidad en la vida real:

Compliance legal

FIM es necesario para cumplir con muchos estándares de cumplimiento regulatorio cruciales, tales como:

  • PCI-DSS – Estándar de seguridad de datos de la industria de tarjetas de pago
  • RGPD- Reglamento General de Protección de datos
  • SOX – Ley Sarbanes-Oxley
  • NIST – Instituto Nacional de Estándares y Tecnología.

Protección contra ciberataques externos

El software FIM detecta cualquier cambio inusual en el sistema, lo que podría indicar un ataque cibernético. Es esencial reconocer los ciberataques en su etapa más temprana para reducir el daño.

Detección de amenazas internas

Un cambio en los registros de actividad, cambios inusuales en los criterios de acceso y permisos, acceso y transferencia masiva de datos, etc. indican una amenaza interna (donde los empleados actuales o anteriores corrompen el sistema o roban datos valiosos). Estas actividades son supervisadas por el software FIM y se comunican a la dirección antes de que sea demasiado tarde.

Reputación

Cuando se produce un ciberataque, una empresa no solo pierde millones de dólares en juicios, sino que su reputación también sufre un impacto significativo. En algunos casos, se daña hasta el punto de que ninguna cantidad de relaciones públicas positivas puede ayudar. Se necesitan décadas para construir una reputación y toneladas de dinero para crear un valor de marca. Sin embargo, solo necesita un solo ciberataque o un incidente de violación de datos para arruinarlo todo. FIM brinda a tu organización una capa adicional de protección contra eventos tan desafortunados.

Inconvenientes

La gestión de la integridad de los archivos es una herramienta esencial para realizar un seguimiento de los cambios conocidos y detectar los no autorizados. Pero al igual que todas las demás tecnologías, FIM también tiene algunas desventajas. Uno de los aspectos negativos del uso del software FIM son los falsos positivos. Si no has configurado la línea de base correctamente, la herramienta FIM considera un cambio legítimo como no autorizado y genera el mensaje de advertencia para el mismo, y sus alertas se convierten en falso positivo. Cuando aumenta el número de falsos positivos, se pierde tiempo y recursos de investigación.

Otro inconveniente de FIM es el coste. Para las nuevas empresas y las pequeñas empresas, puede agregar una carga financiera sustancial. Sin embargo, los beneficios de FIM superan sus costes porque el daño directo e indirecto que implica el ciberdelito puede ser devastador para una organización.

Por qué necesitas un software de monitorización de integridad de archivos

Las herramientas y soluciones de supervisión de la integridad de los archivos deben ampliarse con la cantidad, variedad y sensibilidad de los datos que procesa la empresa. Si tu empresa almacena, traduce, transmite o entra en contacto con muchos archivos que debe proteger con regularidad, debe controlar la integridad. La única forma de garantizar su seguridad y las partes interesadas conectadas a estos archivos es asegurarse de que ninguno se cambie, mueva o elimine de manera no autorizada.

La edad y el tamaño de la empresa son dos consideraciones más críticas relacionadas con la supervisión de la integridad de los archivos. Las empresas que han existido durante más tiempo o que son de mayor escala, independientemente de su antigüedad, tienden a acumular grandes volúmenes de datos. Con el tiempo, la supervisión de la integridad de los archivos se vuelve aún más esencial.

Más allá de estas preocupaciones básicas que se aplican unilateralmente a todas las empresas, algunas empresas necesitan un control de la integridad de los archivos por motivos legales específicos. Un componente fundamental del cumplimiento normativo es la protección de clases específicas de datos. Estos incluyen archivos relacionados con información protegida de salud y pagos o archivos relacionados con asuntos críticos de seguridad nacional.

Por qué la supervisión de la integridad de los archivos es fundamental para la ciberseguridad

La ciberseguridad a menudo se malinterpreta como que solo mantiene alejados a las amenazas y los infiltrados. Pero dado que ningún sistema de seguridad es 100% seguro, las amenazas se filtrarán, ya sea a través de una brecha en la seguridad, aprovechando el elemento humano o en forma de un ataque interno. Aunque FIM no es una tecnología de caza de amenazas, puede actuar como una línea de defensa adicional. De esa manera, incluso si tu sistema de seguridad falla, tus archivos están seguros.

Mitigar los daños de las amenazas internas

Como sugiere su nombre, una amenaza interna es una amenaza para tus activos digitales que proviene de adentro. Una amenaza interna podría ser causada por un empleado o un contratista independiente que se unió a la empresa con intenciones maliciosas desde el principio. También podría provenir de un empleado inicialmente honesto, que luego fue contratado o persuadido para que lanzara un ciberataque.

Sin embargo, los ataques internos no solo se realizan por empleados malintencionados. A veces, la falta de conocimiento de las prácticas de ciberseguridad por un empleado pone en riesgo a la empresa, como escribir sus contraseñas en una hoja de papel o iniciar sesión en cuentas comerciales en dispositivos personales y viceversa.

Si bien FIM no puede proteger contra las amenazas internas en su conjunto, puede limitar los daños de un ataque y alertarte sobre su ocurrencia, permitiéndote restaurar archivos críticos a su condición antes del ataque. Además, los registros de FIM podrían ser la razón por la que la identidad del atacante se vea comprometida, especialmente si no conocían el software de monitorización. Pero, si el atacante conoce la existencia del software y cómo sortearlo, ese software FIM puede fallar. Tampoco funcionará si el ataque se lanzó a través de la cuenta de un administrador, ya que este puede deshabilitar la supervisión de ciertos archivos por completo.

Cumplimiento de normativas

Cumplir con los estándares establecidos de seguridad y privacidad de los datos puede ser una ventaja y un impulso para la reputación, o un requisito obligatorio, según la industria y el tipo de datos que manejas regularmente. Todas las empresas que manejan pagos con tarjeta deben cumplir con los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), que exige tener un sistema FIM que rastree la información de la tarjeta y garantice que no se vea comprometida.

Protección contra errores del usuario

Los errores del usuario son inevitables. Esto podría ser un error directo del usuario porque un empleado es nuevo y aún no conoce el sistema, o porque perdió su dispositivo o se enamoró de un esquema de phishing. Después de recibir una alerta del cambio de archivo no autorizado, FIM te permite ver qué archivos se vieron afectados y cómo, y restaurarlos a su condición inicial o tomar medidas inmediatas con respecto a los archivos comprometidos. Además, con las políticas de monitorización adecuadas, puedes determinar si el incidente se debió a un error no intencional o si las intenciones del empleado fueron de naturaleza maliciosa.

Control de acceso a datos

La mayoría de los sistemas FIM también pueden controlar y restringir los privilegios de datos a ciertos usuarios. El control de acceso tiene muchos beneficios para la seguridad e integridad de los datos por múltiples razones. Depender de una jerarquía de privilegios de acceso, como restringir el acceso a los datos a personas con experiencia en su manejo, puede reducir las tasas de error y daño del usuario en caso de que un empleado caiga en un esquema de phishing.

Uso de una herramienta FIM independiente

Comprar e implementar una solución dedicada puede ofrecerte la seguridad de que tienes todas tus bases de FIM cubiertas. Puede parecer una forma simple y obvia de demostrar tu cumplimiento de FIM a la gerencia ejecutiva o auditores regulatorios, pero hay varias inquietudes notables con las soluciones de FIM dedicadas que querrás conocer:

  • Costes altos: las organizaciones consideran que las herramientas FIM independientes son costosas en relación con las características prácticas que brindan. De hecho, muchas organizaciones informan que utilizan solo un pequeño subconjunto de las capacidades de su herramienta FIM. Las capacidades que se utilizan con más frecuencia incluyen el seguimiento y la generación de informes de cambios.
  • Fatiga de alerta: las herramientas FIM independientes son productos complejos que deben implementarse correctamente para proporcionar una monitorización precisa. Las implementaciones defectuosas pueden hacer que la herramienta FIM informe los cambios autorizados y no autorizados como problemas de seguridad. El flujo constante de falsos positivos provoca importantes desafíos operativos e ineficiencias, y los equipos de seguridad pueden pasar por alto amenazas reales enterradas en todo el ruido.

Lograr FIM a través de tecnologías integradas

Otra opción es implementar FIM a través de un enfoque integrado en lugar de una sola herramienta costosa. Con este enfoque, piensa en FIM no como un esfuerzo aislado sino como una extensión orgánica de tu estrategia general de seguridad de la información. Estas son las capacidades clave que necesitas para una supervisión eficaz de la integridad de los archivos:

  • Auditoría de cambios de archivos entre servidores, incluida la creación, modificación y eliminación de archivos. Esto simplifica la administración de registros al proporcionar detalles sobre quién cambió qué, cuándo y dónde ocurrió cada cambio, todo en un formato legible por humanos.
  • Monitorización y análisis regulares de los permisos efectivos para garantizar que los derechos de acceso se otorguen de acuerdo con el principio de privilegio mínimo.
  • Monitorización de los cambios de configuración del sistema para garantizar que sus aplicaciones, servicios y red en la nube no se vean comprometidos y cumplan con tus criterios básicos.

Conclusión

Independientemente de los posibles inconvenientes, los beneficios de la supervisión de la integridad de los archivos superan a las ventajas. Si eres una organización o empresa que maneja datos financieros confidenciales o información relacionada con la salud de los usuarios, FIM es integral para su cumplimiento legal, por lo que debes implementarlo dentro de tus propios sistemas. Como has aprendido, una solución de monitorización de integridad de archivos eficiente es una herramienta crucial que permite a tu organización tener una postura de seguridad saludable.