Was ist File Integrity Monitoring (FIM)?

Juli 12, 2022

Die Überwachung der Datei-Integrität (File Integrity Monitoring, FIM), gelegentlich auch als Verwaltung der Datei-Integrität bezeichnet, ist ein Sicherheitsprozess, der die Integrität kritischer Assets wie Dateisysteme, Verzeichnisse, Datenbanken, Netzwerkgeräte, Betriebssysteme, Betriebssystemkomponenten und Software-Anwendungen auf Hinweise für Manipulationen oder Beschädigungen überwacht und analysiert. Diese Hinweise können auf einen Cyberangriff hindeuten.

FIM-Tools nutzen zwei verschiedene Methoden, um die Integrität kritischer Dateisysteme oder anderer Assets zu verifizieren: das reaktive oder forensische Audit und die proaktive oder regelbasierte Überwachung. In beiden Fällen vergleicht das FIM-Tool die aktuelle Datei mit einem Referenzzustand (Baseline) und löst einen Alarm aus, wenn die Datei in einer Weise verändert oder aktualisiert wurde, die die vordefinierten Sicherheitsrichtlinien des Unternehmens verletzt.

Warum ist die Überwachung der Datei-Integrität wichtig?

Cyberkriminelle haben in den letzten Jahren viel Erfahrung mit der Manipulation kritischer Systemdateien, Ordner, Registrierungen und Datenendpunkte mithilfe von Malware und anderen Techniken gesammelt, um komplexe Cyberangriffe durchzuführen können. Wenn diese Hacker unerkannt bleiben, können sie Daten, geistiges Eigentum und Kundeninformationen stehlen oder Geschäftsabläufe anderweitig stören.

Der enorm verstärkte Trend zur Arbeit im Homeoffice während der COVID-19-Pandemie sowie die rasante Zunahme von IoT-Geräten hat die Angriffsfläche für Cyberkriminelle erheblich vergrößert. Diesen Akteuren bieten sich nun viele Zugangsmöglichkeiten.

Das FIM-Tool stellt eine wichtige Schutzebene für vertrauliche Dateien, Daten, Anwendungen und Geräte bereit, indem es die Integrität dieser Assets routinemäßig scannt, überwacht und verifiziert. Darüber hinaus hilft es bei der schnelleren Erkennung potenzieller Sicherheitsprobleme und erhöht die Genauigkeit von Behebungsaktivitäten durch das Zwischenfall-Reaktionsteam.

Anwendungsszenarien für die Überwachung der Datei-Integrität

Nachfolgend werden einige typische Anwendungsszenarien für ein Tool beschrieben, das die Verwaltung der Datei-Integrität überwacht:

Erkennen eines Cyberangriffs

In den frühen Phasen eines komplexen Cyberangriffs müssen Cyberkriminelle unter Umständen wichtige Dateien des Betriebssystems oder von Anwendungen ändern. Sehr erfahrene Angreifer können sogar die Protokolldateien ändern, um ihre Aktivitäten zu vertuschen. FIM-Tools können aber auch solche Änderungen erkennen, weil sie die aktuelle Datei mit einem Referenzzustand vergleichen, statt einfach nur die Dateiprotokolle zu prüfen.

Beschleunigen der Bedrohungserkennung, -reaktion und -behebung

Durch die frühzeitige Erkennung einer Bedrohung in der Cyberangriffskette hat das Unternehmen bessere Chancen, die Kompromittierung zu stoppen, bevor schwerwiegender oder teurer Schaden eintritt. Dank der Überwachung der Datei-Integrität kann das Unternehmen Angriffe besser erkennen, die anderen Sicherheitsmechanismen entgehen würden.

Erkennen von Schwächen in der IT-Infrastruktur

Bestimmte Änderungen, die von Administratoren oder Mitarbeitern vorgenommen werden, sind vielleicht nicht böswillig gemeint, können für das Unternehmen jedoch Risiken bergen. Das FIM-Tool hilft bei der Erkennung dieser Schwachstellen und ihrer Behebung, bevor sie von Angreifern ausgenutzt werden können.

Bündeln der Compliance-Maßnahmen

Unternehmen haben es mit einer zunehmend komplexen Gesetzeslage zu tun. In praktisch jeder Branche sind Unternehmen verpflichtet, ihre IT-Umgebung zu überwachen und bestimmte Aktivitäten zu melden, um die Einhaltung wichtiger Vorschriften wie HIPAA (Health Insurance Portability & Accountability Act), DSGVO (Datenschutz-Grundverordnung), ISO 17799 und PCI DSS (Payment Card Industry Data Security Standard) sicherzustellen.

Wie funktioniert die Überwachung der Datei-Integrität?

Im Folgenden stellen wir die sechs wichtigsten Maßnahmen vor, die Unternehmen ergreifen können, um einen erfolgreichen Prozess für die Überwachung der Datei-Integrität zu implementieren:

Datei-Integritätsrichtlinie definieren: Bevor das FIM-Tool bereitgestellt werden kann, muss das Unternehmen festlegen, welche Assets überwacht und welche Arten von Änderungen erkannt werden sollen.

Referenzzustand festlegen: FIM-Tools legen einen Referenzzustand fest, der bei allen künftigen Aktivitäten als Vergleichsgröße herangezogen wird und alle Dateiattribute beinhaltet, einschließlich Dateigröße, Inhalt, Zugriffseinstellungen, Berechtigungen, Anmeldedaten und Konfigurationswerte.

Kryptografische Hash-Signatur anwenden: Im Rahmen der Festlegung eines Referenzzustands wendet das IT-Team auf jede Datei eine kryptografische Hash-Signatur an, die nicht geändert werden kann. Bei allen Änderungen an den Dateien – ob autorisiert oder nicht – ändert sich auch der Hash-Wert der Datei, sodass Dateiaktualisierungen und -änderungen leicht zu erkennen sind.

Datei-Integrität überwachen, analysieren und verifizieren: Das FIM-Tool vergleicht die Hash-Werte der Dateien, um ungewöhnliche Veränderungen schnell und eindeutig zu erkennen. Im Rahmen dieses Prozesses kann das IT-Team auch bestimmte Änderungen von der Überwachung ausnehmen, um Alarme im Falle planmäßiger Änderungen oder Aktualisierungen zu verhindern.

Alarm ausgeben: Bei einer unerwarteten oder unautorisierten Änderung weist das FIM-Tool das IT-Sicherheitsteam auf die Notwendigkeit weiterer Untersuchungen und eventueller Behebungsmaßnahmen hin.

Berichte bereitstellen und gesetzliche Vorgaben einhalten: In bestimmten Fällen muss das Unternehmen eine Kompromittierung entsprechend den gesetzlichen Bestimmungen an die zuständigen Behörden melden. Das FIM-Tool hilft dem Regulatory Affairs-Team bei der Zusammenstellung dieser Informationen zu Berichtszwecken.

Wie wählen Sie das richtige FIM-Tool aus?

Obwohl die Überwachung der Datei-Integrität eine unverzichtbare Funktion für Cybersicherheitsteams ist, bieten viele Tools nicht die vom Unternehmen benötigten Anpassungs-, Konfigurations- und Integrationsmöglichkeiten sowie Funktionen.

Folgende Fragen müssen bei der Beurteilung von FIM-Tools beantwortet werden:

Kompatibilität

  • Ist diese Lösung zur Überwachung der Datei-Integrität mit allen anderen Aspekten der bestehenden Cybersicherheitsarchitektur des Unternehmens kompatibel?
  • Kann dieses FIM-Tool die bestehenden Richtlinien des Unternehmen zur Datei-Integrität unterstützen?

Anpassung

  • Kann das FIM-Tool so angepasst werden, dass es bestimmte vom Unternehmen definierte Anwendungsszenarien der Bedrohungserkennung und -behebung unterstützt?
  • Erleichtert diese Software zur Überwachung der Datei-Integrität die Automatisierung und Bündelung der speziellen gesetzlichen Compliance-Maßnahmen des Unternehmens?
  • Kann die FIM-Lösung weitere Funktionen unterstützen, die das Unternehmen eventuell in Zukunft benötigt?

Konfiguration

  • Welche Unterstützung bietet der Hersteller in der Konfigurationsphase, um irrelevante Informationen zu minimieren und zwischen echten Bedrohungen und falsch positiven Erkennungen zu unterscheiden?
  • Wie schnell kann die FIM-Software aktualisiert werden? Wie sieht der QA-Testprozess aus, der sicherstellt, dass alle bestehenden Konfigurationen einwandfrei funktionieren?

Benutzerfreundlichkeit

  • Wie stark automatisiert das FIM-Tool die Dateianalyse?
  • Können Sicherheitskontrollen in der FIM-Lösung problemlos deaktiviert und aktiviert oder bei Bedarf aktualisiert werden?
  • Wie übermittelt das Überwachungstool Warnungen an das IT-Team?
  • In welchem Format werden Warnungsdaten präsentiert, um sicherzustellen, dass die Informationen verwertbar sind?

Integration

  • Wie wird das FIM-Tool im Unternehmen mit der bestehenden Cybersicherheitsarchitektur einschließlich SIEM integriert?
  • Welche Unterstützung bietet der Hersteller, um sicherzustellen, dass sich das FIM-Tool problemlos mit anderen Tools und Technologien integrieren lässt?