Cosa si intende per File Integrity Monitoring? Quali strumenti si utilizzano oggigiorno?
Due domande che richiedono attenzione in ogni azienda o organizzazione in cui i dati e più in generale il proprio patrimonio informativo sono alla base del business o di processi interni vitali, in pratica tutte.
Un tempo la custodia dei propri documenti era devoluta ad una figura ormai scomparsa, l'archivista. Poi, la digitalizzazione (selvaggia) ha fatto si che questa figura venisse sostituita o più spesso eliminata, conferendo a tutti la possibilità di "conservare" i propri dati in file server più o meno regolamentati e strutturati creando l'illusione che in questo modo era possibile ricreare l'archivio che un tempo era cartaceo.
Eppure in tanti non si sono resi conto che l'archivista era anche un custode, il custode dell'integrità dei documenti e perciò dei dati dell'organizzazione. Egli si occupava di verificare che le cartelle fossero al loro posto, che la muffa non attaccasse i documenti più vecchi ed era in grado di ritrovare, come un bibliotecario, i documenti necessari ai piani alti per poter prendere le decisioni.
Ma ora chi fa queste cose al suo posto?
Qualcuno potrebbe obiettare che non c'è più bisogno di tutto ciò e in parte gli do ragione, ma esistono delle attività equivalenti di cui nessuno si occupa.
I database e i file server, l'equivalente degli archivi cartacei, sono soggetti a variazioni, aggiornamenti, cancellazioni e aggiunte sia nei dati che nella struttura e soprattutto nel software, senza che ci si renda conto dei danni che si possono creare, anche semplicemente per errore o distrazione. E tutto ciò senza considerare azioni malevole di concorrenti, hacker, dipendenti scontenti e chi più ne ha più ne metta.
Ecco come entra in gioco il File Integrity Monitoring (FIM). Ora possiamo vedere di che si tratta.
Con FIM ci si riferisce a dei meccanismi di controllo di sicurezza impiegati nelle organizzazioni IT. Un FIM si occupa di esaminare l'integrità dei file più sensibili e importanti, dei dati contenuti nei registri e nelle cartelle dei sistemi operativi (e non solo), verificando se sono stati alterati o compromessi, attraverso il tracciamento di tutte le attività condotte sugli stessi (log). Periodicamente si effettua una verifica dei dati conservati per vedere quali sono cambiati, come sono cambiati, chi li ha modificati e se la modifica era autorizzata. Per fare ciò, naturalmente, si utilizzano degli strumenti automatici.
Se siete interessati a conoscere meglio qualcuno di questi FIM potete usare TrustRadius (https://solutions.trustradius.com/), che fornisce comparazioni sui prodotti tecnologici o un altro sito di vostra preferenza, ne esistono vari. Nella lista dei prodotti di File Monitoring presente sul sito TrustRadius il primo è AlienVault® Unified Security Management® (USM) di AT&T, seguito da Falcon Endpoint Protection di CrowdStrike e da SolarWinds Security Event Manager (che in effetti è un SIEM, qualcosa di più di un FIM).
In generale questi prodotti si basano su moderne tecniche crittografiche applicate alla gestione della sicurezza dei file e alla loro analisi.
L'ultima obiezione che qualcuno potrebbe fare è la seguente: ma a che serve tutto ciò? Questi FIM sono un'ulteriore complicazione.
Non posso negare che tale obiezione abbia senso ma ciò non toglie che i FIM siano utili. Immaginate cosa potrebbe accadere se i gruppi sanguigni degli ospiti di un ospedale venissero cancellati o, peggio ancora modificati arbitrariamente!
Come sempre grazie agli amici di SICYNT per gli stimoli e la continua discussione.
Per approfondire:
- https://www.trustradius.com/file-integrity-monitoring
- https://www.solarwinds.com/resources/it-glossary/file-integrity
- https://www.crowdstrike.com/cybersecurity-101/file-integrity-monitoring/
- https://kinsta.com/blog/file-integrity-monitoring/
- https://www.tripwire.com/state-of-security/file-integrity-monitoring
- https://www.comparitech.com/net-admin/file-integrity-monitoring-tools/
