News information : Surveillance de l'intégrité des dossiers – Exigences PCI DSS 10, 10.5.5 et 11.5

Bien que FIM ou File Integrity Monitoring ne soit mentionné spécifiquement que dans les deux sous-exigences PCI DSS (10.5.5 et 11.5), il s'agit en fait de l'une des mesures les plus importantes pour sécuriser les systèmes d'entreprise contre le vol de données. cartes.

La graine est, et pourquoi est-elle importante?

Les systèmes de surveillance de l'intégrité des fichiers sont conçus pour protéger les données des cartes contre le vol. L'objectif principal de FIM est de détecter les modifications apportées aux fichiers et à leurs attributs associés. Cependant, cet article fournit le contexte en trois dimensions différentes pour enregistrer la surveillance de l'intégrité, à savoir:

– FIM basé sur le hachage, principalement utilisé pour surveiller l'intégrité des fichiers système

– Surveillez l'intégrité du contenu des fichiers, utile pour les fichiers de configuration des pare-feu, des routeurs et des serveurs Web

– Surveillance de l'accès aux fichiers et / ou dossiers, indispensable pour la protection des données sensibles

Hash sécurisé basé sur FIM

Dans un contexte PCI DSS, les principaux fichiers de préoccupation incluent:

– Fichiers système, par ex. tout ce qui réside dans le dossier Windows / System32 ou SysWOW64, les fichiers de programme ou les fichiers de clé principale Linux / Unix

L'objectif de tout système de surveillance de l'intégrité des fichiers basé sur le hachage, en tant que mesure de sécurité, est de garantir que seuls les périphériques spécifiques sont uniquement modifiés, attendus, souhaités et planifiés. La raison pour cela est d'empêcher le vol des données de la carte par des modifications malveillantes ou des programmes.

Imaginez un cheval de Troie installé sur un serveur de transactions par carte – Le cheval de Troie peut être utilisé pour transférer les détails de la carte depuis le serveur. De même, un wrapper de bundle peut être déployé sur un appareil EPoS pour capturer les données de la carte – s'il devait être déguisé en un processus Windows ou Unix commun avec les mêmes noms de programme et de processus, il serait difficile à détecter. Pour une vengeance plus sophistiquée, qu'en est-il de l'insertion d'un & # 39; arrière-plan & # 39; dans un fichier de programme clé pour permettre l'accès aux données de la carte?

Tous ces exemples sont des incidents de sécurité où la surveillance de l'intégrité des fichiers est essentielle pour identifier la menace.

N'oubliez pas que les protections antivirus ne connaissent généralement que 70% des logiciels malveillants dans le monde et qu'une organisation est touchée par une attaque zero-day (zero-day marque le moment où une nouvelle forme de malware est identifiée pour la première fois – uniquement alors la stratégie de correction ou d'atténuation peut être formulée, mais cela peut prendre des jours ou des semaines avant que tout l'équipement soit mis à jour pour les protéger.

Jusqu'où les mesures FIM doivent-elles être prises?

Comme point de départ, il est essentiel de surveiller vos fichiers Windows / System32 ou SysWOW64, ainsi que les fichiers d'application pour le traitement des données de la carte. Pour ces sites, exécuter un inventaire quotidien de tous les fichiers système dans ces fichiers et identifier tous les ajouts, suppressions et modifications. Les modules complémentaires et les suppressions sont relativement simples à identifier et à évaluer, mais comment les modifications doivent-elles être traitées et comment évaluez-vous l'importance d'un changement subtil, tel qu'un attribut de fichier? La réponse est que changeDO toute modification de fichier sur ces sites critiques doit être traitée avec la même importance. La plupart des failles de sécurité PCI DSS de haut niveau sont provoquées par un «  homme à l'intérieur '' – généralement un employé de confiance avec des droits d'administrateur privilégiés. Il n'y a pas de règles pour la cybercriminalité d'aujourd'hui.

L'approche FIM reconnue par l'industrie consiste à suivre tous les attributs de fichier et à enregistrer un hachage sécurisé. Il y aura un changement dans le hachage lorsque l'examen d'intégrité du fichier est une situation d'alerte rouge – en utilisant SHA1 ou MD5, même un changement microscopique dans un fichier système montrera un changement clair dans la valeur de hachage. Lorsque vous utilisez FIM pour gérer la sécurité des fichiers système clés, il ne doit jamais y avoir de modifications imprévues ou inattendues – le cas échéant, il peut s'agir d'une version de cheval de Troie ou d'une sauvegarde d'un fichier système.

C'est pourquoi il est également important d'utiliser FIM en conjonction avec un & # 39; système de gestion des changements en boucle fermée & # 39; – les modifications planifiées doivent être planifiées et les modifications liées à l'intégrité des fichiers doivent être enregistrées et jointes à l'enregistrement des modifications planifiées.

Configuration du moniteur de contenu de fichier / intégrité de fichier

Bien qu'un contrôle de hachage sécurisé soit un outil indubitable pour identifier les modifications apportées au fichier système, cela ne nous dit pas à lui seul qu'une modification a été apportée au fichier, et non ce que cette modification est. Bien sûr, pour un format binaire exécutable, c'est le seul moyen significatif de transmettre une modification, mais un outil de surveillance de l'intégrité des fichiers plus précieux pour & # 39; lisible & # 39; est de garder une trace du contenu du fichier. De cette façon, si une modification est apportée au fichier, la modification correcte apportée au contenu lisible peut être signalée.

Par exemple, un fichier de configuration en ligne (php, aspnet, js ou javascript, config XML) peut être capturé par le système FIM et enregistré sous forme de texte lisible; par la suite, les changements seront divulgués et signalés directement.

De même, si une liste de contrôle d'accès au pare-feu a été modifiée pour autoriser l'accès aux serveurs principaux ou une configuration de démarrage du routeur Cisco modifiée, cela pourrait permettre à un pirate tout le temps nécessaire d'y accéder. a explosé sur un serveur de données de carte.

Un dernier point dans la surveillance de l'intégrité du contenu des fichiers – Dans le domaine des politiques de sécurité / conformité, les clés et les valeurs du Registre Windows sont souvent incluses sous l'en-tête FIM. Ceux-ci doivent être surveillés pour les changements car de nombreux hacks impliquent de modifier les paramètres du registre. De même, un certain nombre de vulnérabilités courantes peuvent être identifiées grâce à l'analyse des paramètres de journal.

Surveillance du répertoire de fichiers et / ou de dossiers

La dernière considération pour surveiller l'intégrité des fichiers est de savoir comment gérer d'autres types de fichiers qui ne conviennent pas à la valeur de hachage sécurisée ou au suivi du contenu. Par exemple, parce qu'un fichier journal, un fichier de base de données, etc. changera toujours, le contenu et le hachage changeront également constamment. Une bonne technologie de surveillance de l'intégrité des fichiers permettra d'exclure ces fichiers de tout modèle FIM.

Cependant, les données de la carte peuvent toujours être volées sans divulgation, sauf si d'autres mesures sont prises. À titre d'exemple de scénario, dans un système de vente au détail EPoS, une transaction par carte ou un fichier d'abonnement est créé et transmis à un serveur de paiement central sur une base planifiée tout au long de la journée de négociation. Le fichier changera toujours – peut-être qu'un nouveau fichier est créé à chaque fois avec un nom estampé afin que tout ce qui concerne le fichier soit toujours changé.

Le fichier serait stocké sur un appareil EPoS dans un dossier sécurisé pour empêcher l'utilisateur d'accéder au contenu. Cependant, un & # 39; homme à l'intérieur & # 39; avec les droits d'administrateur dans le dossier, il peut afficher le fichier de transaction et copier les données sans nécessairement changer le fichier ou ses propriétés. Par conséquent, la dimension finale de la surveillance de l'intégrité des fichiers consiste à créer une alerte lorsqu'un accès à ces fichiers ou dossiers est détecté et à fournir une piste d'audit complète avec le nom du compte qui a accès aux données.

La plupart des exigences PCI DSS 10 concernent l'enregistrement des pistes d'audit pour permettre une analyse judiciaire de toute violation post-incident et pour établir le vecteur et l'auteur de chaque attaque.