他山之石:Tripwirer系统可监控未知
作者:星期四, 一月 21, 20160

文件完整性监视(FIM)已经出现很久,对文件修改的监视可以让你知道做了哪些修改,是谁做的修改,以及发生了哪些变化。这将让用户可以很容易地回滚至已知的良好配置状态,快速控制非授权修改造成的损害或潜在的数据泄露。

640.webp

然而,对整个操作系统所有改变而进行的监视,有可能很快就变得不胜其扰。由此,管理员取消掉大量不停轰炸过来的通知,结果又降低了实际恶意活动被发现的可能性。

因此,FIM系统管理员需要预测攻击者可能袭击的地方,他们可能会做的修改以及可能放置恶意软件的地方,因为恶意软件被放到不在文件完整性监视系统的监视范围是完全可能的。但下面的方法,则杜绝了这种可能。

Tripwire企业自动监控系统,允许管理员将FIM环境配置为,只监视对其企业环境而言真正重要的东西。当新的可执行文件进入系统时,监视系统会检测到该行为并查看是否其是否纳入了监视。在新可执行文件未被纳入监视的情况下,监视系统将动态配置企业环境资产以监视该可执行文件及其进程相关文件。这样,管理员便不再担心攻击者会从哪里入侵了。

这套监控系统,可以找寻正在被攻击的地方,监视攻击活动并将监视行为铺开到整个环境中以预测攻击者下一次袭击可能的入口点。该功能还可与威胁情报服务集成在一起,可以对恶意软件进行自动响应。不管已知的恶意软件置入到用户的哪些资产,监管系统都会找到它,杀死进程,清楚感染,恢复系统安全。

最新的《威瑞森数据泄露调查报告》表明:一旦被侵入(通常数秒到数分钟之间),数据泄露可在数分钟至数小时之内发生,留给你检测并遏制威胁的窗口期是非常短暂的。如果你正使用典型的FIM产品,它们可能只是进行普通的毫无特点的改变检测,不能实时检测出“谁”做了改变,或是给出详细而具有可行性的信息。

这将导致在应对新恶意软件时有如盲人摸象,再结合2015年那长达204天的平均威胁检出时间,数据泄露简直无法避免。但部署了Tripwire企业自动监控的情况则不同,它不仅能实时检测改变,还有一套复杂的方法判断这些改变。另外,自动监控的高级功能还能防护未知威胁。

可以设想一个场景:普通FIM系统正在监视关键系统文件。之前,管理员可能对新恶意软件入驻并从他们的网络中偷走数据的事实一无所知。有了Tripwire企业自动监控,新恶意软件及其相关文件都能被检测到了。管理员不仅仅被告知恶意软件的存在,攻击者意图偷走的数据也会被报告给他们。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章