Teknologi Pemantauan Integritas File Manakah yang Terbaik untuk FIM?

sebuah pengantar

Di pasar teknologi FIM ada pilihan yang harus dibuat. Opsi yang paling umum adalah berbasis agen atau tanpa agen, tetapi sampai saat itu, ada solusi SIEM dan FIM ‘pure-play’ untuk dipilih.

FIM – agen atau tanpa agen

Tidak pernah ada keuntungan yang jelas dari FIM berbasis proxy atau bebas proxy. Ada keseimbangan yang dapat ditemukan antara FIM tanpa agen dan proses yang bisa dibilang unggul yang menawarkan FIM berbasis agen

  • Deteksi perubahan dalam waktu nyata – pemindai FIM tanpa faktor hanya dapat efektif berdasarkan jadwal, biasanya sekali sehari
  • Data dasar disimpan secara lokal yang berarti pemindaian penuh satu kali adalah semua yang diperlukan, sedangkan pemindai kerentanan akan selalu perlu membuat basis ulang dan hash setiap file pada sistem setiap kali memindai
  • Keamanan yang lebih besar dengan menjadi mandiri, sementara solusi FIM tanpa proxy memerlukan login dan akses jaringan untuk host yang sedang diuji

Sebaliknya, pendukung pemindai kerentanan bebas agen akan menyebutkan keunggulan teknologi mereka dibandingkan FIM berbasis proxy, termasuk

  • Itu bangun dan berjalan dalam hitungan menit, tanpa perlu menyebarkan dan memelihara agen di titik akhir, membuatnya lebih mudah untuk menjalankan sistem tanpa agen
  • Tidak perlu memuat perangkat lunak pihak ketiga apa pun di titik akhir, pemindai non-agen 100% mandiri
  • Perangkat asing atau baru yang ditambahkan ke jaringan akan selalu dideteksi oleh pemindai tanpa proxy, sedangkan sistem berbasis proxy hanya efektif jika agen disebarkan pada host yang dikenal

Untuk alasan ini, tidak ada pemenang yang jelas untuk argumen ini, dan biasanya sebagian besar organisasi menjalankan kedua jenis teknologi untuk memanfaatkan semua keuntungan yang ditawarkan.

Penggunaan SIEM untuk FIM

Menggunakan teknologi SIEM jauh lebih mudah untuk ditangani. Mirip dengan middleware tanpa agen, sistem SIEM dapat berjalan tanpa memerlukan perangkat lunak proxy apa pun di titik akhir, menggunakan WMI atau kemampuan registri sistem asli host. Namun, ini biasanya dilihat sebagai solusi inferior untuk paket SIEM berbasis proxy. Proxy akan memungkinkan fungsi keamanan tingkat lanjut seperti hashing dan pemantauan log waktu nyata.

Untuk FIM, semua vendor SIEM akan mengandalkan satu set audit akses objek host, bersama dengan baseline sistem file terjadwal. Audit aktivitas sistem file dapat memberikan kemampuan FIM secara real time, tetapi memerlukan sumber daya yang jauh lebih tinggi dari host untuk menjalankannya dari agen yang tidak berbahaya. Audit asli sistem operasi tidak akan memberikan nilai hash file, sehingga deteksi Trojan yang sah tidak dapat dicapai sejauh yang dilakukan oleh proxy FIM perusahaan.

Vendor SIEM telah bergerak untuk mengatasi masalah ini dengan menyediakan baseline terjadwal dan fungsionalitas hashing proxy. Hasilnya adalah solusi terburuk dari semua opsi – proxy harus diinstal dan dipelihara, tetapi tanpa manfaat dari proxy waktu nyata!

Ringkasan

Singkatnya, SIEM paling baik digunakan untuk analisis log peristiwa, dan FIM paling baik digunakan untuk memantau integritas file. Apakah Anda kemudian memutuskan untuk menggunakan solusi FIM berbasis agen atau sistem tanpa proxy, itu lebih sulit. Kemungkinan besar, hasilnya adalah menggabungkan keduanya hanya akan menjadi solusi lengkap.