Monitorare l'immutabilità dei file del sistema operativo e delle applicazioni

Monitorare l'immutabilità dei file del sistema operativo e delle applicazioni

Aumenta la sicurezza informatica attraverso l'integrità binaria a livello di file con i checksum

In poche paroleRichiedi una demoInizia la prova gratuita
In questo post del blog scoprirai:
  • Perché la manomissione dei file binari rappresenta un rischio per la sicurezza IT della tua sub-impresa
  • Come monitorare la manipolazione dei file binari
  • Come implementare il monitoraggio dell'immutabilità con Versio.io in 5 minuti

Manipolazione dei file binari = rischio per la sicurezza

Monitorare l'immutabilità dei file del sistema operativo e delle applicazioniLa manipolazione dei file del sistema operativo o delle applicazioni rappresenta un rischio significativo per la sicurezza, poiché può consentire l'accesso non autorizzato al sistema. I file modificati possono contenere malware come virus, trojan o ransomware che infettano il sistema, rubano o danneggiano i dati e assumono il controllo del sistema. L'introduzione di backdoor consente inoltre agli aggressori di ottenere un accesso non rilevabile al sistema, il che può portare a ulteriori attacchi all'intera rete. Inoltre, i file manipolati possono compromettere la stabilità del sistema e causare il malfunzionamento delle applicazioni o del sistema operativo.
 

Riconoscimento di file binari manipolati

L'integrità dei file binari è fondamentale per la sicurezza e la stabilità di un sistema operativo o di un'applicazione. I valori hash svolgono un ruolo centrale in questo senso. Un valore hash è un'impronta digitale univoca di un file che viene calcolata dal suo contenuto. Qualsiasi modifica al file, anche minima, dovuta a un errore di download o a un malware, modifica il valore hash. I valori hash dei file binari possono quindi cambiare solo nell'ambito di aggiornamenti. In caso contrario, si tratta di una modifica non autorizzata.
Esempio di checksum di un file basato sull'algoritmo MD5: 097202d6e3d2077e717e75ad6e9a4ba4
 

Implementa il monitoraggio con Versio.io in 5 minuti

Configurazione del monitoraggio dell'integrità

Versio.io è una piattaforma software che garantisce trasparenza, controllo ed efficienza nelle operazioni IT. Il componente principale è la documentazione continua e automatizzata (inventario) dei panorami IT. Per monitorare i file binari sono necessari un OneImporter (agent) sul computer host da monitorare e il modulo "Folder Importer" attivato.
Nella configurazione di Folder Importer è necessario specificare una directory da monitorare. Se l'opzione "Cattura file" è attivata, vengono inventariati anche i file in essa contenuti. L'opzione "Cattura hash file" aggiunge alla documentazione il checksum (valore hash MD5) di ogni file. Nella configurazione seguente, i file da catturare per l'esempio del post del blog erano ancora limitati ai file con il nome "python3".
Implementa il monitoraggio con Versio.io in 5 minuti
XImplementa il monitoraggio con Versio.io in 5 minuti
Figura: Configurazione del monitoraggio dell'integrità dei file binari
 

Documentazione della violazione dell'integrità

L'illustrazione seguente mostra il risultato dell'inventario della directory nell'Instance Viewer. Lo stato iniziale è stato registrato nell'area inferiore (originale). Vediamo il file "python3" con i relativi metadati, che contengono anche il checksum.
La modifica (manipolazione) rilevata da Versio.io è documentata al centro della figura. Il contenuto del file "python3" è stato modificato manualmente (simulazione di un attacco informatico), il che comporta una modifica del checksum.
Implementa il monitoraggio con Versio.io in 5 minuti
XImplementa il monitoraggio con Versio.io in 5 minuti
Figura: Rilevamento delle manipolazioni basato sull'inventario continuo e automatizzato in Versio.io
Potresti anche essere interessato a:
  • Eventi e avvisi - È possibile generare un evento per la manipolazione riconosciuta del file e la violazione dell'integrità associata utilizzando criteri (regole logiche). È possibile eseguire avvisi basati sull'evento, che possono inviare notifiche tramite e-mail o chat o generare un incident ticket, ad esempio.
  • File di configurazione - L'approccio sopra illustrato può essere utilizzato anche per qualsiasi altro file, come ad esempio i file di configurazione. Con l'aiuto dell'importatore di file, sarebbe anche possibile inventariare l'intero contenuto della configurazione ed elaborarlo in Versio.io.
 

Conclusione

L'uso dei checksum per i file binari non solo contribuisce alla stabilità del sistema, ma protegge anche da attacchi mirati ai file di sistema. Si tratta di uno strumento indispensabile per la gestione della sicurezza operativa dell'IT aziendale.
 
 

Autori | 21 gennaio 2025


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.