Tech

Simplificando a conformidade de segurança de TI usando o recurso Wazuh FIM

Photo of LifeTechWeb LifeTechWebMay 22, 2024
0 6 minutes read
WAZUH
Capacidade Wazuh FIM

O File Integrity Monitoring (FIM) é um controle de segurança de TI que monitora e detecta alterações de arquivos em sistemas de computador. Ele ajuda as organizações a auditar arquivos importantes e configurações de sistema, verificando e verificando rotineiramente sua integridade. A maioria dos padrões de segurança da informação exige o uso do FIM para que as empresas garantam a integridade dos seus dados.

A conformidade de segurança de TI envolve a adesão às leis, políticas, regulamentos, procedimentos e padrões aplicáveis ​​emitidos por governos e órgãos reguladores, como PCI DSS, ISO 27001, TSC, GDPR e HIPAA. O não cumprimento desses regulamentos pode levar a consequências graves, como violações cibernéticas, perda de dados confidenciais, perdas financeiras e danos à reputação. Portanto, as organizações devem priorizar a adesão aos regulamentos e padrões de TI para mitigar riscos e proteger eficazmente os seus sistemas de informação.

O ritmo acelerado do avanço tecnológico e a escassez de profissionais qualificados em segurança cibernética contribuem para dificuldades de conformidade. Para cumprir eficazmente estes regulamentos, as empresas precisam de planear estrategicamente, alocar recursos para esforços de segurança cibernética e classificar e proteger minuciosamente os seus ativos de dados.

Benefícios de cumprir os padrões de segurança cibernética

A conformidade com os regulamentos e padrões de segurança cibernética é importante para empresas de todos os tamanhos. Estas regulamentações exigem a implementação de medidas, políticas e processos específicos de segurança cibernética. Ao aderir a estes padrões, as organizações garantem a transparência e integridade das suas práticas de segurança cibernética. Alguns benefícios incluem:

  • Ele garante que as organizações tenham procedimentos resilientes de backup e recuperação em vigor. Isto minimiza as interrupções nas operações comerciais e mantém a continuidade durante um incidente ou desastre cibernético, uma vez que os dados armazenados em locais de backup podem ser restaurados.
  • Ele fornece uma estrutura estruturada para gerenciar riscos em vários aspectos do negócio. As organizações podem reduzir os custos associados a incidentes de segurança cibernética e à não conformidade regulamentar seguindo procedimentos e controlos estabelecidos.
  • Ele protege a reputação de uma organização. As violações de dados podem impactar significativamente a reputação de uma empresa. A conformidade ajuda a proteger contra tais violações, salvaguardando assim a reputação da empresa.
  • Facilita a entrada em mercados regulamentados. Nos setores de saúde, finanças e varejo, garante aos reguladores que as práticas e sistemas de TI da empresa atendem aos padrões necessários.

A capacidade Wazuh FIM

Wazuh é uma solução de segurança de código aberto que oferece proteção unificada XDR e SIEM em diversas plataformas. Ele protege cargas de trabalho em ambientes locais, virtualizados, baseados em nuvem e em contêineres para fornecer às organizações uma abordagem eficaz à segurança cibernética. Wazuh oferece monitoramento de integridade de arquivos (FIM) como um de seus recursos; ele também fornece outros recursos, como avaliação de configuração de segurança e detecção e resposta a ameaças.

A capacidade do Wazuh FIM garante o seguinte:

  • Monitoramento de arquivos e diretórios programado e em tempo actual.
  • Detecção de alterações não autorizadas em arquivos.
  • Detalhes sobre o que ou quem fez alterações nos dados.

O FIM, combinado com outros recursos do Wazuh, como detecção de malware, detecção de vulnerabilidades e avaliação de configuração de segurança (SCA), aprimora a detecção, investigação e correção de ameaças. Esses recursos podem ajudar a simplificar os esforços de conformidade de segurança da sua organização.

Garantindo a conformidade regulatória usando o recurso Wazuh FIM

Os usuários podem configurar o monitoramento da integridade de arquivos para atender aos requisitos dos padrões de conformidade de segurança de TI relevantes para sua organização. O Wazuh FIM pode ser configurado para monitorar adição, exclusão e modificação de arquivos no conteúdo de um arquivo.

Manter o controle das alterações nos arquivos dentro da organização ajuda os administradores de sistema e analistas de segurança a ter visibilidade dessas alterações em toda a organização e a resolver incidentes de segurança prontamente. Depois de configurados, os eventos FIM podem ser visualizados no painel do Wazuh.

Conformidade de segurança de TI
Eventos FIM no painel Wazuh

Monitorando a integridade e o acesso aos arquivos

O recurso Wazuh FIM executa uma varredura de linha de base e armazena a soma de verificação criptográfica e outros atributos dos arquivos monitorados. Quando uma alteração é feita em um arquivo monitorado, o FIM compara sua soma de verificação e atributos com a linha de base. Caso seja identificada alguma discrepância, um alerta será acionado. O recurso de monitoramento de integridade de arquivos Wazuh rastreia detalhes como o processo ou usuário que modificou um arquivo crítico e quando as alterações foram feitas. Usando o recurso Wazuh FIM, as organizações podem garantir a conformidade com diversas seções de padrões regulatórios, como:

  • Requisito PCI DSS 11.5.2
  • CM-3 do NIST 800-53
  • Artigo 5.1. (f) do RGPD
  • Segurança da Força de Trabalho §164.308(a)(2) da HIPAA.

Por exemplo, podemos configurar o Wazuh FIM para monitorar o arquivo de configuração SSH /and many others/ssh/sshd_config em um endpoint Linux. Atores maliciosos geralmente têm como alvo o arquivo de configuração SSH para enfraquecer a segurança, alterando os números das portas ou desativando cifras fortes. O Wazuh FIM pode detectar modificações não autorizadas monitorando alterações neste arquivo. A configuração a seguir em um agente Wazuh outline o recurso Wazuh FIM para monitorar o arquivo /and many others/ssh/sshd_config em um endpoint monitorado:

/and many others/ssh/sshd_config

A imagem abaixo mostra alertas acionados quando são feitas alterações no arquivo de configuração SSH.

Conformidade de segurança de TI
Alerta para modificação da configuração SSH

Da mesma forma, o diretório /and many others/ufw normalmente contém arquivos de configuração para UFW (Uncomplicated Firewall), um aplicativo de firewall well-liked no Linux. Esses arquivos definem as regras que determinam qual tráfego de rede é permitido ou bloqueado em seu sistema. Um invasor pode modificar as regras do UFW para abrir portas normalmente fechadas por padrão, permitindo acesso não autorizado a um sistema ou a serviços de rede internos.

Podemos configurar o Wazuh FIM para monitorar o diretório /and many others/ufw. Isso é configurado adicionando a configuração abaixo no arquivo de configuração do agente no endpoint monitorado. Também habilitamos o atributo whodata, que registra o usuário que altera um arquivo monitorado.

/and many others/ufw

A imagem abaixo mostra alertas acionados quando são feitas alterações nos arquivos de regras do UFW.

Conformidade de segurança de TI
Alerta para modificação de arquivos de regras UFW

O recurso Wazuh FIM permite ver o usuário e o processo iniciando a mudança. A imagem abaixo mostra essas informações.

Conformidade de segurança de TI
Alerta para usuário e processo que modificou o arquivo de regras UFW

Benefícios de usar o Wazuh FIM para conformidade regulatória

Wazuh fornece capacidade de monitoramento de integridade de arquivos para ajudar a cumprir os requisitos de conformidade de segurança de TI e mitigar riscos. Os benefícios de usar o recurso Wazuh FIM incluem:

  • Verificações de integridade: calcula os hashes criptográficos dos arquivos monitorados em relação à sua linha de base para realizar verificações de integridade, detectando modificações com precisão. Isso garante a integridade e segurança de dados confidenciais.
  • Trilha de auditoria: As organizações podem usar o recurso para gerar relatórios detalhados e trilhas de auditoria de alterações de arquivos durante as auditorias. Esses relatórios estão prontamente disponíveis quando necessário.
  • Detecção de ameaças: O Wazuh FIM, quando combinado com outros recursos como VirusTotal e integração YARA, é eficaz para detectar ameaças ou malware lançados em endpoints monitorados. Ao usar ainda mais o recurso de resposta a incidentes do Wazuh, essas ameaças detectadas são tratadas com eficiência antes que danos sejam causados ​​ao endpoint.
  • Gerenciamento centralizado: fornece recursos centralizados de gerenciamento e relatórios que permitem às organizações monitorar alertas e atividades FIM em diferentes ambientes a partir de um único painel.
  • Alertas em tempo actual: pode fornecer alertas em tempo actual para alterações feitas em arquivos e diretórios monitorados. Também fornece detalhes sobre o usuário que fez a alteração e o nome do programa ou processo utilizado. Isso ajuda os analistas de segurança a identificar e responder prontamente a possíveis incidentes de segurança ou violações de conformidade.
  • Custo-benefício: O obtain e o uso são gratuitos, o que o torna uma opção econômica para empresas, especialmente pequenas e médias empresas com restrições orçamentárias.

Conclusão

Wazuh é uma plataforma de segurança de código aberto que oferece proteção unificada gratuita de XDR e SIEM em diversas plataformas. O Wazuh também oferece recursos complementares, como detecção de vulnerabilidades, avaliação de configuração de segurança, detecção de malware e monitoramento de integridade de arquivos (FIM). Sua capacidade FIM auxilia as organizações no cumprimento de algumas regulamentações de segurança cibernética. Os outros recursos também contribuem para atender aos requisitos de conformidade regulatória de segurança cibernética, salvaguardar os ativos de uma organização e melhorar a postura de segurança.

Visite nosso website para saber mais sobre Wazuh.

Referências

  1. Aprimorando a segurança dos dados com o FIM de código aberto Wazuh
  2. Monitoramento de integridade de arquivos Wazuh

Tags
Photo of LifeTechWeb LifeTechWebMay 22, 2024
0 6 minutes read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

Apple increases investments in clean energy

Apple aumenta investimento em energia limpa e água

April 19, 2024
how AI is becoming part of our daily lives

IBM explora como a IA está se tornando parte de nossas vidas diárias

February 6, 2024
DALL·E 2024 04 24 20.05.20 Visual representation of Mini Gemini Mining the Potential of Multi modality Vision Language Models. The image should depict a dynamic high tech en

Mini-Gemini: Explorando o potencial de modelos de linguagem de visão multimodal

April 26, 2024
wordpress

Hackers criam contas de administrador desonestas

June 25, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button