CÔNG TY CỔ PHẦN CÔNG NGHỆ BẰNG HỮU

Tin tức

Giải pháp giám sát tính toàn vẹn của tệp (FIM) TrendMicro

  • 13/06/2023
  1. Giới Thiệu

Trước tình trạng ngày càng có nhiều báo cáo về việc mất dữ liệu, trộm cắp tài sản trí tuệ, lộ thông tin thẻ tín dụng và các mối đe dọa đối với quyền riêng tư của người dùng, các tổ chức phải đối mặt với rất nhiều áp lực để đảm bảo rằng công ty và dữ liệu người dùng của họ vẫn an toàn. Mặc dù các biện pháp kiểm soát phòng ngừa truyền thống như: Firewall, IPS, Antivirus và các thách thức về:

  • Sự phát hành liên tục của các bản vá của nhà cung cấp;
    • Các cuộc tấn công Zero-day
    • Các cuộc tấn công như mã độc tống tiền
    • Việc thay đổi các yêu cầu bảo mật liên tục.

Khiến cho hầu hết các công ty khó có thể theo kịp và giải thích tại sao thời gian trung bình để xác nhận các vấn đề vi phạm bảo mật phải mất từ 3 tháng trở lên. Điều này đã làm cho các công ty phải cố gắng tìm kiếm phương pháp tiếp cận bảo mật hệ thống thay thế để giúp giải quyết vấn đề. Một trong những cách tiếp cận này đòi hỏi sự hiểu biết về chiến thuật, kỹ thuật và quy trình (tactics, techniques, procedures – TTPs) được sử dụng bởi kẻ tấn công. Các TTP này có thể khác nhau nhưng chúng thường khai thác giống nhau các điểm yếu, sử dụng các điểm đầu vào tương tự và thực hiện các thay đổi tương tự đối với các hệ thống. Giám sát toàn vẹn cung cấp một cơ hội để giúp phát hiện các cuộc tấn công thực một cách nhanh chóng với một khả năng false-positive thấp.

Giám sát tính toàn vẹn của tệp là điều cần thiết để bảo mật dữ liệu và đáp ứng các quy định về tính tuân thủ. Đặc biệt, tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) yêu cầu các tổ chức sử dụng FIM để giúp bảo mật hệ thống kinh doanh của họ khỏi hành vi trộm cắp dữ liệu thẻ bằng cách phát hiện các thay đổi đối với các tệp hệ thống quan trọng.

2. Giải pháp FIM (File integrity monitoring)

  • Phần mềm giám sát tính toàn vẹn của tệp (FIM) theo dõi các thay đổi đối với các tệp cấu hình và dữ liệu nhạy cảm (thông tin về thẻ ngân hàng, mật khẩu người dùng,…), đồng thời cảnh báo cho các nhóm bảo mật về bất kỳ sửa đổi nào gây rủi ro bảo mật.
  • Ví dụ: Việc sửa đổi không đúng tệp cấu hình quan trọng hoặc các registry, dù cố ý hay vô tình, có thể cho phép kẻ tấn công giành quyền kiểm soát các tài nguyên hệ thống chính, thực thi tập lệnh độc hại và truy cập dữ liệu nhạy cảm. Theo đó, FIM là phương pháp bảo mật tốt nhất được đề xuất bắt buộc bởi nhiều tiêu chuẩn tuân thủ, bao gồm cả PCI DSS.
  • Trong bối cảnh tuân thủ PCI, giám sát tính toàn vẹn của tệp có thể giúp đảm bảo việc bảo vệ dữ liệu nhạy cảm như thông tin thẻ tín dụng. Chẳng hạn, một cách kẻ tấn công trích xuất dữ liệu thẻ tín dụng bằng cách đưa mã độc vào các tệp cấu hình hệ điều hành. Công cụ FIM có thể phát hiện thay đổi này bằng cách kiểm tra các tệp đó dựa trên đường cơ sở đã thiết lập. Quá trình này sử dụng thuật toán băm bảo mật (SHA) để đảm bảo rằng ngay cả những thay đổi tệp nhỏ cũng dẫn đến giá trị băm khác rất nhiều so với giá trị băm do tệp được định cấu hình đúng cách tạo ra, khiến quá trình kiểm tra tính toàn vẹn không thành công. Kết quả là FIM phát hiện, giúp người vận hành có thể xử lý được mã độc.
  • Theo PCI DSS thì “giám sát tính toàn vẹn của tệp” là một trong những yêu cầu cốt lõi của nó. Cụ thể, Yêu cầu 11.5 quy định rằng các tổ chức phải “Sử dụng phần mềm Giám sát tính toàn vẹn tệp hoặc Phát hiện thay đổi trên nhật ký để đảm bảo rằng dữ liệu nhật ký hiện tại không thể bị thay đổi mà không tạo cảnh báo.”
  • Giám sát tệp cũng có thể giúp các tổ chức đáp ứng các yêu cầu PCI DSS khác, bao gồm:
    • Yêu cầu 1: Cài đặt và quản lý cấu hình tường lửa để xây dựng hệ thống mạng an toàn cho dữ liệu chủ thẻ
    • Yêu cầu 2: Tránh sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các tham số bảo mật khác
    • Yêu cầu 10: Giám sát và theo dõi thường xuyên tất cả các yêu cầu truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
    • Yêu cầu 11: Kiểm tra hệ thống an ninh thường xuyên.
    • Yêu cầu 12: Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên.

3. Giải pháp FIM của TrendMicro

  • Để cung cấp các năng lực thực thi của giải pháp FIM, TrendMicro giới thiệu chức năng Integrity Monitoring – Một chức năng có trên sản phẩm Deep Security

Chi tiết các đáp ứng yêu cầu PCI DSS có thể tham khảo bảng đối chiếu sau:

4. Những loại dữ liệu, FIM của Trend Micro có thể giám sát

  • Giải pháp FIM của Trend Micro cho phép giám sát tính toàn vẹn phải bao gồm tất cả các loại dữ liệu sau:

System files and libraries:

  • Trong hệ điều hành Windows, bạn có thể xem các tập tin hệ thống và thư mục thư viện sau:
  • C:\Windows\System32
  • Boot/start, password, Active Directory, Exchange SQL,…
  • Trong hệ điều hành Linux, bạn có thể giám sát các thư mục quan trọng sau đây:
    • /trash
    • /sbin
    • /urs/bin
    • /urs/sbin

Application files

Đối với phần giám sát tệp ứng dụng bạn nên tập trung các ứng dụng, tài nguyên hay bị khai thác tấn công bởi tội phạm mạng như: “firewall”, “antivirus application”, “media application” đi kèm khả năng ghi, phát âm thanh, các tệp cấu hình, thư viện cài đặt.

  • C:\Program Files
    •  C:\Program Files (x86)
  • Trong môi trường hệ điều hành Linux, các tệp tin thường được lưu trữ tại:
    • /opt
    • /usr/bin
    • /usr/sbin

Configuration files

Các tệp cấu hình kiểm soát các chức năng của thiết bị và ứng dụng. Các ví dụ bao gồm Windows registry và tệp cấu hình dựa trên “text-bases” trên hệ thống Linux.

Log files

Các tệp nhật ký chứa các bản ghi sự kiện, bao gồm các chi tiết và lỗi truy cập. Trong hệ điều hành Windows, các tệp nhật ký được lưu trữ trong “event viewer”. Trong các hệ thống dựa trên UNIX, chúng nằm trong thư mục /var/log của hệ thống.

5. Mô hình đề xuất triển khai giải pháp FIM