File Integrity Monitoring: Hier erfunden und hier perfektioniert

Tripwire Enterprise war bei seiner Einführung ein Host-basiertes Intrusion Detection System (HIDS) zur Erkennung von Makroänderungen an Dateien und Ordnern. Die langjährige Fokussierung auf diese Fähigkeit hat eine Lösung hervorgebracht, die auch kleinste Änderungen erkennt: beispielsweise in Registry-Einträgen, Konfigurationsdateien, ausführbaren Dateien und vielen weiteren Server-Elementen; in Tabellen, Indizes oder gespeicherten Datenbankprozessen; in Routing-Tabellen, Firewall-Regeln, Konfigurationsdateien und ACLs in Netzwerkgeräten; und in Policy-Optionen für Gruppen und globalen Policies für Verzeichnisdienste. In Kombination mit den Funktionen von ChangeIQ^™ für intelligentes Change Assessment und Priorisierung wird deutlich, warum Tripwire Enterprise als bewährte und führende Lösung für das File Integrity Monitoring anerkannt ist.

Tripwire Enterprise ist intelligentes Change Management. Angesichts tausender Änderungen täglich – unter anderem auch auf unternehmenskritischen Servern – benötigen Sie eine aktive „Change-Intelligenz“, die zwischen „gut“ und „böse“ unterscheiden kann. Die ChangeIQ-Funktionen des File Integrity Manager bewerten und priorisieren Änderungen. Hierzu werden u.a. folgende Features genutzt: individuell definierbare Gewichtungen oder Bewertungen von Risiken; unterschiedliche Maßnahmen, je nach Änderung an neuen, modifizierten oder gelöschten Dateien; eine automatische Abstimmung der identifizierten Änderungen mit den Änderungsverzeichnissen, Policies oder Referenzservern; und Genehmigungsvorlagen zur vereinfachten Nachverfolgung der jeweiligen Bedingungen für den Änderungsprozess. ChangeIQ bietet Ihnen wahrhafte Change-Intelligenz.

Der Markt bietet eine Vielzahl an log-basierten, vereinfachten File Integrity-Lösungen, wobei viele Anbieter den Kunden in Sicherheit wiegen, indem Sie anzeigen, dass sich „etwas“ geändert hat – jedoch ohne anzugeben, was verändert wurde. Nicht so Tripwire Enterprise. Detaillierte Vorher/Nachher-Ansichten nutzen eine kontinuierlich fortgeführte Grundüberwachung, die aufzeigt, ob die identifizierten Änderungen im Inhalt, den Hash-Algorithmen, Berechtigungen, allgemeinen Dateiattributen oder in anderen Parametern vorgenommen wurden. Ohne die Möglichkeit eines direkten Vergleichs können Sie nur Vermutungen über eventuelle Gefahren, deren Grad, Auswirkungen oder gar die Bedeutung jeder einzelnen Änderung anstellen.

Wenn es darum geht, eine Datei- oder Konfigurationsänderung zu identifizieren, um zu bestimmen, ob eine Warnung ausgelöst werden muss oder nicht, liegt einer der wichtigsten Hinweise oft in dem „Wer?“ Wer hat diese Änderung vorgenommen? Ist der Benutzer Teil des CAB oder im Change-Team? Hat er normalerweise Systemrechte, oder handelt es sich um einen nicht erwarteten Benutzer? Die Klärung der „Wer“-Frage kann den Fokus auf eine interne Gefährdung lenken oder auch zu einer umgehenden Entwarnung führen.

Der File Integrity Manager bietet Change Monitoring und -Erkennung in Echtzeit sowie planmäßige Prüfungen und Scans. Sie erhalten also sofortige, priorisierte Benachrichtigung, sobald Änderungen an kritischen Dateien oder Konfigurationen, wie z. B. Zugangsberechtigungen oder vertraulichen Ordnern und Verzeichnissen, vorgenommen wurden. So wird sichergestellt, dass Sie nicht der zeitlichen Lücke zwischen Verstoß und Erkennung zum Opfer fallen, welche sich über Monate erstrecken und zu schwerwiegenden Datenverlusten führen kann – also dem Image und der Glaubwürdigkeit Ihres Unternehmens ernsthaft schaden könnte.

Der File Integrity Manager ermöglicht die Überwachung von Netzwerkgeräten, Firewalls und vielen Appliances ohne Agenten. Für den Großteil der Plattformanalysen wird jedoch ein leistungsfähiger, zuverlässiger und schlanker Agent eingesetzt.

Einige Änderungen sollten niemals ohne angemessene Autorisierung und Planung erlaubt werden, etwa Änderungen an Berechtigungen und kritischen Konfigurationsdateien. Doch nicht alle Änderungen sind kritisch. Wie erkennen Sie die Unterschiede? Tripwire bietet vorgefertigte Sets von Content – also wichtige Change-Regeln – an, mit deren Hilfe Sie die wichtigsten Änderungen überwachen können, ohne hunderte von weniger bedeutenden Change-Events abzugleichen.

Systeme wie BMC Remedy und andere ITIL-basierte Change Management-Tools sind hervorragende Ressourcen um zu prüfen, ob identifizierte Änderungen geplant waren. Der Tripwire Enterprise File Integrity Manager ermöglicht die Integration mit Change Änderungs-Ticketing-Systemen, und zwar nicht nur, um den Abgleich der identifizierten Änderungen zu automatisieren, sondern auch um zu prüfen, ob geplante Änderungen tatsächlich durchgeführt wurden.