Überwachen Sie die Unveränderlichkeit von Betriebssystem- und Anwendungsdateien.

Erhöhen Sie die Cybersicherheit durch binäre Integrität auf Dateiebene mit Prüfsummen.

Kurz gesagtDemo anfordernKostenlos testen
In diesem Blogbeitrag erfahren Sie:
  • Warum die Manipulation von Binärdateien ein Sicherheitsrisiko für die IT Ihres Subunternehmens darstellt
  • Wie Sie die Manipulation von Binärdateien überwachen können
  • Wie Sie mit Versio.io in 5 Minuten die Überwachung der Unveränderlichkeit implementieren

Manipulation von Binärdateien = Sicherheitsrisiko

Überwachen Sie die Unveränderlichkeit von Betriebssystem- und Anwendungsdateien.Die Manipulation von Betriebssystemdateien oder Anwendungen stellt ein erhebliches Sicherheitsrisiko dar, da sie unbefugten Zugriff auf das System ermöglichen kann. Geänderte Dateien können Malware wie Viren, Trojaner oder Ransomware enthalten, die das System infizieren, Daten stehlen oder beschädigen und die Kontrolle über das System übernehmen. Durch das Einfügen von Hintertüren können Angreifer zudem unbemerkt Zugriff auf das System erlangen, was zu weiteren Angriffen auf das gesamte Netzwerk führen kann. Darüber hinaus können manipulierte Dateien die Stabilität des Systems beeinträchtigen und dazu führen, dass Anwendungen oder das Betriebssystem nicht mehr zuverlässig funktionieren.
 

Erkennen manipulierter Binärdateien

Die Integrität von Binärdateien ist entscheidend für die Sicherheit und Stabilität eines Betriebssystems oder einer Anwendung. Hashwerte spielen dabei eine zentrale Rolle. Ein Hashwert ist ein eindeutiger Fingerabdruck einer Datei, der aus ihrem Inhalt berechnet wird. Jede noch so kleine Änderung an der Datei – sei es aufgrund eines Downloadfehlers oder durch Malware – verändert den Hashwert. Die Hashwerte von Binärdateien dürfen sich daher nur im Rahmen von Updates ändern. Andernfalls handelt es sich um eine unbefugte Änderung.
Beispiel für eine Prüfsumme einer Datei basierend auf dem MD5-Algorithmus: 097202d6e3d2077e717e75ad6e9a4ba4
 

Implementieren Sie die Überwachung mit Versio.io in nur 5 Minuten.

Konfiguration der Integritätsüberwachung

Versio.io ist eine Softwareplattform, die Transparenz, Kontrolle und Effizienz im IT-Betrieb schafft. Die Kernkomponente ist die kontinuierliche und automatisierte Dokumentation (Inventarisierung) von IT-Landschaften. Zur Überwachung von Binärdateien sind ein OneImporter (Agent) auf dem zu überwachenden Host-Computer und das aktivierte Modul "Folder Importer" erforderlich.
Ein zu überwachender Verzeichnis muss in der Konfiguration des Folder Importer angegeben werden. Ist die Option „Dateien erfassen” aktiviert, werden auch die darin enthaltenen Dateien inventarisiert. Die Option „Datei-Hashes erfassen” fügt die Prüfsumme (MD5-Hashwert) jeder Datei zur Dokumentation hinzu. In der folgenden Konfiguration waren die für das Blogpost-Beispiel zu erfassenden Dateien noch auf Dateien mit dem Namen „python3” beschränkt.
X
Abbildung: Konfiguration der Überwachung der Binärintegrität von Dateien
 

Dokumentation der Integritätsverletzung

Die folgende Abbildung zeigt das Ergebnis der Inventarisierung des Verzeichnisses im Instance Viewer. Der Ausgangszustand wurde im unteren Bereich (Original) festgehalten. Wir sehen die Datei „python3” mit ihren Metadaten, die auch die Prüfsumme enthalten.
Die von Versio.io erkannte Änderung (Manipulation) ist in der Mitte der Abbildung dokumentiert. Der Inhalt der Datei "python3" wurde manuell geändert (Simulation eines Cyberangriffs), was zu einer Änderung der Prüfsumme führt.
X
Abbildung: Manipulationserkennung basierend auf kontinuierlicher und automatisierter Bestandsaufnahme in Versio.io
Das könnte Sie auch interessieren:
  • Ereignisse & Alerting - Für die erkannte Manipulation der Datei und die damit verbundene Integritätsverletzung kann über Richtlinien (logische Regeln) ein Ereignis generiert werden. Auf Basis des Ereignisses kann ein Alerting ausgeführt werden, das beispielsweise Benachrichtigungen per E-Mail oder Chat versendet oder ein Incident Ticket generiert.
  • Konfigurationsdateien - Der oben gezeigte Ansatz lässt sich auch für beliebige andere Dateien, wie beispielsweise Konfigurationsdateien, verwenden. Mit Hilfe des Datei-Importers wäre es auch hier möglich, den gesamten Inhalt der Konfiguration zu inventarisieren und in Versio.io zu verarbeiten.
 

Schlussfolgerung

Die Verwendung von Prüfsummen für Binärdateien trägt somit nicht nur zur Stabilität des Systems bei, sondern schützt auch vor gezielten Angriffen auf Systemdateien. Sie ist ein unverzichtbares Werkzeug für das Betriebssicherheitsmanagement der IT eines Unternehmens.
 
 

Autoren | 21. Januar 2025


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.