7 Meilleur logiciel de surveillance de l’intégrité des fichiers (examen 2020)
La sécurité informatique est un sujet brûlant. Les nouvelles sont remplies d’histoires de failles de sécurité, de vol de données ou de ransomwares. Certains diront que tout cela n’est qu’un signe de notre temps, mais cela ne change rien au fait que lorsque vous êtes chargé de maintenir tout type d’environnement informatique, la protection contre de telles menaces est une partie importante du travail.
Pour cette raison, le logiciel de surveillance de l’intégrité des fichiers (FIM) est devenu presque un outil indispensable pour toute organisation. Son objectif principal est de s’assurer que toute modification de fichier non autorisée ou inattendue est rapidement identifiée. Cela peut aider à améliorer la sécurité globale des données, ce qui est important pour toute entreprise et ne doit pas être ignoré.
> Aujourd’hui, nous ferons de notre mieux pour expliquer en termes simples ce que c’est et comment cela fonctionne. Nous verrons également qui devrait l’utiliser. Ce n’est probablement pas une énorme surprise de découvrir que tout le monde peut en bénéficier et nous verrons comment et pourquoi. Et une fois que nous serons tous sur la même longueur d’onde sur la surveillance de l’intégrité des fichiers, nous serons prêts à passer au cœur de cet article et à passer brièvement en revue certains des meilleurs outils du marché.
Qu’est-ce que la surveillance de l’intégrité des fichiers?
À la base, la surveillance de l’intégrité des fichiers est un élément clé d’un processus de gestion de la sécurité informatique. Le concept principal sous-jacent est de garantir que toutes les modifications apportées à un système de fichiers sont prises en compte et que toutes les modifications inattendues sont rapidement identifiées.
Bien que certains systèmes offrent une surveillance de l’intégrité des fichiers en temps réel, cela a tendance à avoir un impact plus important sur les performances. Pour cette raison, un système basé sur des instantanés est souvent préféré. Il fonctionne en prenant un instantané d’un système de fichiers à intervalles réguliers et en le comparant à l’ancien ou à une base de référence précédemment établie. Quel que soit le fonctionnement de la détection (en temps réel ou non), tout changement détecté suggérant une sorte d’accès non autorisé ou d’activité malveillante (comme un changement soudain de la taille du fichier ou l’accès par un utilisateur ou un groupe d’utilisateurs spécifique) et l’alerte est déclenchée et / ou un processus ou un formulaire de correction est lancé.Cela peut aller de l’ouverture d’une fenêtre d’alerte à la restauration du fichier d’origine à partir d’une sauvegarde ou au blocage de l’accès au fichier compromis.
À qui s’adresse la surveillance de l’intégrité des fichiers?
La réponse rapide à cette question est n’importe qui. En fait, toute organisation peut bénéficier de l’utilisation du logiciel de surveillance de l’intégrité des fichiers. Cependant, beaucoup choisiront de l’utiliser car ils se trouvent dans une situation où c’est obligatoire. Par exemple, un logiciel de surveillance de l’intégrité des fichiers est requis ou fortement indiqué par certains cadres réglementaires tels que PCI DSS, Sarbanes-Oxley ou HIPAA. Plus précisément, si vous travaillez dans le secteur de la finance ou de la santé, ou que vous traitez des cartes de paiement, la surveillance de l’intégrité des fichiers est plus une exigence qu’une option.
En outre, bien que cela ne soit pas obligatoire, toute organisation traitant des informations sensibles devrait sérieusement envisager un logiciel de surveillance de l’intégrité des fichiers. Que vous stockiez des données clients ou des secrets commerciaux, l’utilisation de ces types d’outils présente un avantage évident. Cela pourrait vous éviter toutes sortes d’incidents.
Mais la surveillance de l’intégrité des fichiers n’est pas réservée aux grandes organisations. Bien que les grandes et moyennes entreprises aient tendance à être conscientes de l’importance des logiciels de surveillance de l’intégrité des fichiers, les petites entreprises devraient également en tenir compte. Cela est particulièrement vrai lorsque vous considérez qu’il existe des outils de surveillance de l’intégrité des fichiers pour répondre à tous les besoins et budgets. En fait, plusieurs outils de notre liste sont gratuits et open source.
Le meilleur logiciel de surveillance de l’intégrité des fichiers
Il existe d’innombrables outils qui offrent des fonctionnalités de surveillance de l’intégrité des fichiers. Certains d’entre eux sont des outils dédiés qui ne font rien d’autre. Certains, d’autre part, sont une solution de sécurité informatique complète qui intègre la surveillance de l’intégrité des fichiers avec d’autres fonctions liées à la sécurité. Nous essayons d’incorporer les deux types d’outils dans notre liste. Après tout, la surveillance de l’intégrité des fichiers fait souvent partie d’un effort de gestion de la sécurité informatique qui comprend d’autres fonctions. Alors pourquoi ne pas opter pour un outil intégré?
1. SolarWinds Security Event Manager (ESSAI GRATUIT)
De nombreux administrateurs réseau et système connaissent SolarWinds . Après tout, l’entreprise fabrique certains des meilleurs outils depuis une vingtaine d’années. Son produit phare, appelé SolarWinds Network Performance Monitor, est considéré comme l’un des meilleurs outils du marché. Et pour améliorer encore les choses, SolarWinds publie également des outils gratuits qui répondent à certaines tâches de gestion de réseau spécifiques.
Bien que SolarWinds ne soit pas un outil dédié de surveillance de l’intégrité des fichiers, son outil de gestion des informations et des événements de sécurité (SIEM), SolarWinds Security Event Manager , comprend un très bon module de surveillance de l’intégrité des fichiers. . Ce produit est certainement l’un des meilleurs systèmes SIEM d’entrée de gamme du marché. L’outil a presque tout ce que l’on attend d’un outil SIEM. Cela inclut d’excellentes fonctionnalités de corrélation et de gestion des enregistrements, ainsi qu’un moteur de reporting impressionnant et, bien sûr, une surveillance de l’intégrité des fichiers.
> ESSAI GRATUIT: SolarWinds Security Event Manager
Lien de téléchargement officiel: https://www.solarwinds.com/security-event-manager/registration
En ce qui concerne la surveillance de l’intégrité des fichiers, SolarWinds Security Event Manager peut montrer quels utilisateurs sont responsables de quels fichiers changent. Vous pouvez également suivre les activités d’utilisateurs supplémentaires, ce qui vous permet de créer diverses alertes et rapports. La barre latérale de la page d’accueil de l’outil peut afficher le nombre d’événements de modification qui se sont produits sous l’en-tête Gestion des modifications. Chaque fois que quelque chose semble suspect et que vous souhaitez creuser plus profondément, vous avez la possibilité de filtrer les événements par mot-clé.
L’outil dispose également d’excellentes capacités de réponse aux événements qui ne laissent rien à désirer. Par exemple, le système de réponse détaillé en temps réel réagira activement à chaque menace. Et comme il est basé sur le comportement plutôt que sur les signatures, vous êtes protégé contre les menaces inconnues ou futures et les attaques zero-day.
En plus d’une gamme impressionnante de fonctions, le panneau de contrôle SolarWinds sécurité Event Manager est certainement la peine de discuter il . Grâce à sa conception simple, vous n’aurez aucun problème à naviguer dans l’outil et à identifier rapidement les anomalies. À partir d’environ 4500 $, l’outil est plus qu’abordable. Et si vous souhaitez l’essayer et voir comment cela fonctionne dans votre environnement, un essai gratuit et entièrement fonctionnel de 30 jours est disponible en téléchargement.
Lien de téléchargement officiel: https://www.solarwinds.com/security-event-manager/registration
2. OSSEC
OSSEC , qui signifie Open Source Security, l’un des systèmes de détection d’intrusion open source basés sur l’hôte les plus populaires. Le produit appartient à Trend Micro , l’un des plus grands noms de la sécurité informatique et fabricant de l’une des meilleures suites de protection antivirus. Et si le produit figure sur cette liste, rassurez-vous, il dispose également d’une fonctionnalité de surveillance de l’intégrité des fichiers très décente.
Lorsqu’il est installé sur des systèmes d’exploitation Linux ou Mac OS, le logiciel se concentre principalement sur le registre et les fichiers de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant chaque fois que quelque chose d’étrange se produit. Il surveillera également et alertera sur toute tentative anormale d’obtenir un accès root. Sur les hôtes Windows, le système est également à la recherche de modifications non autorisées du registre qui pourraient être un signe révélateur d’une activité malveillante.
> Quand> OSSEC a une fonctionnalité spécifique appelée Syscheck . L’outil s’exécute toutes les six heures par défaut et recherche les modifications apportées aux sommes de contrôle des fichiers clés. Le module est conçu pour réduire l’utilisation du processeur, ce qui en fait un choix potentiellement judicieux pour les organisations qui ont besoin d’une solution de gestion de l’intégrité des fichiers avec un faible encombrement.
Puisqu’il s’agit d’un système de détection d’intrusion basé sur l’hôte, OSSEC doit être installé sur chaque ordinateur (ou serveur) que vous souhaitez protéger. C’est le principal inconvénient de tels systèmes. Cependant, une console centralisée est disponible qui consolide les informations de chaque ordinateur protégé pour une gestion plus facile. Cette console OSSEC ne fonctionne que sur les systèmes d’exploitation Linux ou Mac OS. Cependant, un agent est disponible pour protéger les hôtes Windows. Toute détection déclenchera une alerte qui sera affichée sur la console centralisée, tandis que les notifications seront également envoyées par email.
3. Intégrité du fichier Samhain
Samhain est un système de détection d’intrusion hôte gratuit qui fournit la vérification de l’intégrité des fichiers et la surveillance / analyse des fichiers journaux. En outre, le produit effectue également la détection des rootkits, la surveillance des ports, la détection des exécutables SUID non fiables et les processus masqués. Cet outil a été conçu pour surveiller plusieurs systèmes avec différents systèmes d’exploitation avec une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé comme application autonome sur un seul ordinateur. L’outil peut fonctionner sur les systèmes POSIX tels que Unix , Linux ou Mac OS .Il peut également être exécuté sous Windows sous Cygwin, bien que seul l’agent de surveillance ait été testé et non le serveur dans cette configuration.
> Dans> S amhain, vous pouvez profiter du mécanisme inotify pour surveiller les événements du système de fichiers. En temps réel Cela vous permet de recevoir des notifications immédiates sur les modifications et élimine le besoin d’analyses fréquentes du système de fichiers qui peuvent entraîner une charge d’E / S élevée. De plus, diverses sommes de contrôle peuvent être vérifiées, telles que TIGER192, SHA-256 , SHA-1 ou MD5. La taille du fichier, le mode / l’autorisation, le propriétaire, le groupe, l’horodatage (création / modification / accès), l’inode, le nombre de liens physiques et le chemin des liens symboliques peuvent également être vérifiés.L’outil peut même vérifier des propriétés plus «exotiques» comme les attributs SELinux, les ACL POSIX (sur les systèmes qui les prennent en charge), les attributs de fichier Linux ext2 (tels que définis par chattr comme indicateur immuable) et les indicateurs de fichier BSD.
L’une des caractéristiques uniques de Samhain est son mode furtif qui lui permet de fonctionner sans être détecté par des attaquants potentiels. Trop souvent, les intrus tuent les processus de détection qu’ils reconnaissent, ce qui leur permet de passer inaperçus. Cet outil utilise des techniques de stéganographie pour cacher ses processus aux autres. Il protège également vos fichiers journaux centraux et vos sauvegardes de configuration avec une clé PGP pour éviter toute falsification. Dans l’ensemble, il s’agit d’un outil très complet qui offre bien plus qu’une simple surveillance de l’intégrité des fichiers.
4. Gestionnaire d’intégrité des fichiers Tripwire
Next est une solution de Tripwire , une entreprise avec une solide réputation en matière de sécurité informatique. Et en ce qui concerne la surveillance de l’intégrité des fichiers, Tripwire File Integrity Manager ( FIM ) a une capacité unique de réduire le bruit en offrant de multiples façons d’éliminer les changements à faible risque des changements à haut risque tout en évaluant, priorisant et réconcilie les modifications détectées. En promouvant automatiquement de nombreux changements courants, l’outil réduit le bruit afin que vous ayez plus de temps pour étudier les changements qui peuvent réellement affecter la sécurité et présenter des risques. Tripwire FIMutilise des agents pour capturer en continu des détails complets sur qui, quoi et quand en temps réel. Cela vous permet de détecter toutes les modifications, de capturer les détails de chacun et d’utiliser ces détails pour déterminer le risque de sécurité ou la violation.
> Tripwire > File Integrity Manager avec plusieurs de ses contrôles de sécurité: gestion de la configuration de la sécurité (SCM), gestion du registre et outils SIEM. Tripwire FIM ajoute des composants qui étiquettent et gèrent les données dans ces commandes de manière plus intuitive et de manière à mieux protéger les données. Par exemple, Event Integration Framework ( EIF ) ajoute des données de modification précieuses de File Integrity Manager à Tripwire Log Center ou à presque tout autre SIEM. Avec EIF et autres contrôles de sécurité critiques Tripwire, vous pouvez gérer facilement et efficacement la sécurité de votre infrastructure informatique.
Tripwire File Integrity Manager utilise l’automatisation pour détecter toutes les modifications et corriger celles qui suppriment un paramètre de stratégie. Il peut être intégré aux systèmes de ticket de modification existants tels que BMC Remedy , HP Service Center ou Service Now , permettant un audit rapide. Cela garantit également la traçabilité. De plus, les alertes automatiques déclenchent des réponses personnalisées de la part de l’utilisateur lorsqu’un ou plusieurs changements spécifiques atteignent un seuil de gravité qu’un seul changement ne provoquerait pas. Par exemple, une modification mineure du contenu accompagnée d’une modification d’autorisation qui s’est produite en dehors d’une fenêtre de modification planifiée.
5. AFICK (un autre vérificateur d’intégrité des fichiers)
Ce qui suit est un outil open source du développeur Eric Gerbier appelé AFICK (un autre vérificateur d’intégrité de fichier) . Bien que l’outil prétende offrir des fonctionnalités similaires à Tripwire, il s’agit d’un produit beaucoup plus brut, dans la veine des logiciels open source traditionnels. L’outil peut surveiller toute modification des systèmes de fichiers qu’il observe. Il prend en charge plusieurs plates-formes telles que Linux (SUSE, Redhat, Debian, etc.), Windows, HP Tru64 Unix, HP-UX et AIX. Le logiciel est conçu pour être rapide et portable et peut fonctionner sur n’importe quel ordinateur prenant en charge Perl et ses modules standard.
> Chez> AFICK , voici un aperçu de ses principales fonctionnalités. L’outil est facile à installer et ne nécessite aucune compilation ni installation de nombreuses dépendances. C’est aussi un outil rapide, en partie à cause de sa petite taille. Malgré sa petite taille, il affichera les fichiers nouveaux, supprimés et modifiés, ainsi que tous les liens en attente. Il utilise un simple fichier de configuration basé sur du texte qui prend en charge les exceptions et les jokers et utilise une syntaxe très similaire à Tripwire ou Aide. Une interface utilisateur graphique basée sur Tk et une interface Web basée sur Webmin sont disponibles si vous préférez rester à l’écart d’un outil de ligne de commande.
AFICK (un autre vérificateur d’intégrité des fichiers) est entièrement écrit en Perl pour la portabilité et l’accès aux sources. Et comme il est open source (publié sous la licence publique générale GNU), vous pouvez y ajouter des fonctionnalités comme bon vous semble. L’outil utilise MD5 pour ses besoins de somme de contrôle car il est rapide et intégré à toutes les distributions Perl et au lieu d’utiliser une base de données en texte clair, dbm est utilisé.
6. AIDE (environnement de détection d’intrusion avancé)
Malgré un nom plutôt trompeur, AIDE (Advanced Intrusion Detection Environment) est en fait un vérificateur d’intégrité des fichiers et des répertoires. Cela fonctionne en créant une base de données à partir des règles d’expressions régulières que vous trouvez dans votre fichier de configuration. Une fois la base de données initialisée, vous l’utilisez pour vérifier l’intégrité des fichiers. L’outil utilise divers algorithmes de résumé de message qui peuvent être utilisés pour vérifier l’intégrité des fichiers. En outre, tous les attributs de fichier courants peuvent être vérifiés pour les incohérences. Il peut également lire les bases de données des versions précédentes ou plus récentes.
En termes de fonctionnalités, AIDE est un évaluateur complet. Prend en charge plusieurs algorithmes de résumé de messages, tels que md5, sha1, rmd160, tiger, crc32, sha256, sha512 et whirlpool. L’outil peut vérifier divers attributs de fichier, notamment le type de fichier, les autorisations, l’inode, l’Uid, le Gid, le nom du lien, la taille, le nombre de blocs, le nombre de liens, Mtime, Ctime et Atime. Il peut également prendre en charge Posix ACL, SELinux, XAttrs et les attributs de système de fichiers étendus. Par souci de simplicité, l’outil utilise des fichiers de configuration en texte brut ainsi qu’une base de données en texte brut.L’une de ses fonctionnalités les plus intéressantes est la prise en charge d’expressions régulières puissantes qui vous permettent d’inclure ou d’exclure de manière sélective des fichiers et des répertoires à surveiller. Cette caractéristique à elle seule en fait un outil très polyvalent et flexible.
Le produit, qui existe depuis 1999, est toujours en cours de développement et la dernière version (0.16.2) n’a que quelques mois. Il est disponible sous la licence publique générale GNU et fonctionnera sur la plupart des variantes modernes de Linux.
7. Surveillance de l’intégrité des fichiers Qualys
Qualys File Integrity Monitoring du géant de la sécurité Qualys est une «solution cloud pour détecter et identifier les changements critiques, les incidents et les risques résultant d’événements normaux et malveillants». Il est livré avec des profils prêts à l’emploi basés sur les meilleures pratiques du secteur et les directives recommandées par les fournisseurs pour les exigences de conformité et d’audit courantes, y compris PCI DSS.
Qualys File Integrity Monitoring détecte efficacement les changements en temps réel, en utilisant des approches similaires utilisées dans les technologies antivirus. Les notifications de modification peuvent être créées pour des structures de répertoire au niveau fichier ou entières. L’outil utilise les signaux du noyau du système d’exploitation existant pour identifier les fichiers auxquels on accède, plutôt que de s’appuyer sur des approches intensives en calcul. Le produit peut détecter la création ou la suppression de fichiers ou de répertoires, le changement de nom de fichiers ou de répertoires, les changements d’attributs de fichier, les changements dans les paramètres de sécurité de fichier ou de répertoire tels que les autorisations, la propriété, l’héritage et l’audit ou les modifications dans les données de fichier stockées sur le disque.
> Fr> Le Cloud Agent Qualys surveille en permanence les fichiers et répertoires spécifiés dans votre profil en surveillant et en capturant les données critiques pour aider à identifier ce qui a changé, ainsi que les détails de l’environnement, comme cet utilisateur et l’implication du processus en échange. Il envoie ensuite les données à Qualys Cloud Platform pour analyse et reporting. L’un des avantages de cette approche est qu’elle fonctionne de la même manière que les systèmes soient locaux, dans le cloud ou distants.
La surveillance de l’intégrité des fichiers peut être facilement activée sur vos Qualys A gentlemen existants et commencer à suivre les modifications localement avec un impact minimal sur le point final. Le Cloud Platform Qualys vous permet d’adapter facilement aux plus grands environnements. L’impact sur les performances des points de terminaison surveillés est minimisé en surveillant efficacement les modifications de fichiers localement et en envoyant les données à Qualys Cloud Platform, où se déroule toute la lourde tâche d’analyse et de corrélation. Quant au Qualys Cloud Agent , il se met à jour et répare automatiquement, en restant à jour sans redémarrer.
