Monitoreo de integridad de Archivos (FIM) con un enfoque de Seguridad Centrado en los Datos

Oct 5, 2021 | Protección del Dato

Monitoreo de Integridad de Archivos

En este artículo, vamos a centrarnos en el concepto de integridad de la información, y más concretamente trataremos las tecnologías alrededor de lo que se conoce como Monitoreo de Integridad de archivos (FIM; File Integrity Monitoring) y cómo un enfoque de protección centrada en los datos puede ayudarnos a mantenerla.

Índice:

 

¿Qué es el Monitoreo de Integridad de archivos o FIM?

 
FIM hace referencia a procesos o controles de seguridad de la información que se encargan de validar la integridad de archivos de en sistema operativo, binarios de una aplicación de software, o archivos de por ejemplo ofimática y otros tipos que pueden contener información sensible.

El objetivo es controlar los cambios sobre los archivos de la organización y sus sistemas de información, para determinar si han sido alterados o modificados. Es en realidad un sistema de auditoría de control de cambios que detecta quién, cuándo y cómo ha sido modificado, y puede generar alertas para analizar más en profundidad el evento y decidir si debe tomarse alguna acción de remediación.
 

¿Por qué es importante un sistema FIM?

 
Los principales casos de uso donde un sistema de monitorización de la integridad de ficheros puede ser útil son:

  • Detectar posibles ataques sobre nuestra infraestructura e información: Si se detecta que determinados ficheros de un sistema operativo, binarios de una aplicación, ficheros de configuración de un servidor web, o ficheros confidenciales almacenados en un repositorio han sido modificados, podemos estar frente a un posible ataque o brecha de seguridad sobre nuestra organización.
  • Detectar amenazas internas sobre nuestros datos: Si determinados usuarios intentan acceder o acceden a datos que no deberían podemos estar frente a un problema de fuga de datos.
  • Cumplir con regulaciones de protección de datos: Multitud de regulaciones de protección de información incluyen entre sus requisitos de cumplimiento la necesidad de monitorizar la integridad de los archivos de la organización. Algunas de ellas son:
  • PCI DSS – Payment Card Industry Data Security Standard (Requisito 11.5).
  • SOX – Sarbanes-Oxley Act (Section 404).
  • NERC CIP – NERC CIP Standard (CIP-010-2).
  • FISMA – Federal Information Security Management Act (NIST SP800-53 Rev3)
  • HIPAA – Health Insurance Portability and Accountability Act of 1996 (NIST Publication 800-66).
  • SANS Critical Security Controls (Control 3).

    • por que es importante un sistema fim

     

    La integridad de la información: Uno de los objetivos de un SGSI

     
    Los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI), como el propuesto por la norma ISO 27001, consisten en una serie de medidas orientadas a proteger la información contra las diferentes amenazas que pueden afectar a la continuidad de las actividades de una organización. Los objetivos de un SGSI se basan en preservar lo que se conoce como tríada CIA: Confidencialidad, Integridad y Disponibilidad (Confidentiality, Integrity and Availability).
     

    Confidencialidad, Integridad y Disponibilidad

     
    La tríada CIA se compone de:

    • Confidencialidad: Hace referencia a la necesidad de garantizar que la información sensible esté a salvo de intentos de accesos no autorizados. Para ello, se establecen medidas para diferenciar con qué nivel de accesos pueden acceder a la información determinadas personas, dependiendo del tipo o nivel de confidencialidad de los datos. El modelo Zero-Trust por ejemplo se basa en la regla de “least-privilege access”, dando a las personas sólo los permisos de acceso que necesitan y no más. En el caso de confidencialidad suele hablarse de cifrado, 2FA, listas de control de acceso, etc.
    • Integridad: Implica mantener la consistencia, precisión y confiabilidad de los datos durante su ciclo de vida, evitando que personas no autorizadas puedan modificar los datos en tránsito o en reposo. En el ámbito del control de la integridad suelen aparecer los conceptos de firma digital cara a medidas de no repudiación, checksums criptográficos o los sistemas FIM de los que hablamos más adelante.
    • Disponibilidad: Hace referencia a la capacidad de mantener la información accesible de manera consistente y sencilla para las personas autorizadas. Los mecanismos de autenticación, el almacenamiento, infraestructura y todos los soportes relacionados con la información deben funcionar correctamente para hacerla disponible a salvo de caídas, fallos, etc. En lo que a disponibilidad se refiere, se suele hablar de medidas preventivas como redundancia, failover, monitorización de sistemas, backups y planes de continuidad.

     

    CIA Triada

     

     

    Seguridad reactiva vs proactiva en el ámbito de los sistemas FIM

     
    Dependiendo del tipo de proceso o tecnología FIM implementada es posible disponer de una seguridad reactiva o proactiva en relación a la integridad de los datos:

    • FIM como seguridad reactiva: Gracias a un FIM es posible ver quién ha modificado un sistema, fichero de configuración o binarios después de un ataque o de una inyección de malware. Gracias a un FIM es posible por ejemplo revertir un sistema a la situación anterior antes del ataque.
    • FIM como seguridad proactiva: Si somos capaces de ver qué personas están intentando acceder a un número sospechoso de archivos sin permisos, accediendo a información desde lugares sospechosos, chequeando asignaciones de permisos que pueden estar fuera de lo normal, podemos anticiparnos a una posible fuga da de datos o una brecha de seguridad en la web. Una vez detectada la alerta, es posible tomar acciones de remediación para impedir un posible ataque sobre nuestros datos.

     

    Tecnologías o tipos de sistemas FIM

     
    Vamos a ver a continuación técnicas y herramientas que pueden ser de utilidad a una organización a la hora de mantener la integridad sobre los archivos.
     

    1. Sistemas de comparación de archivos

     
    Estos sistemas comprueban diferentes aspectos de un archivo para crear una huella digital del mismo. Establecen de inicia una línea base de esta huella digital para comparar cambios sobre la misma.

    Algunos de estos sistemas revisan los siguientes aspectos de un archivo:

    • Permisos de creación, modificación y acceso.
    • Configuración de seguridad.
    • Contenido del archivo.
    • Atributos y tamaño.
    • Hash del archivo basado en el contenido.
    • Datos de configuración.
    • Credenciales.

    Estos sistemas toman fotos o snapshots del archivo de forma regular, aleatoria o en base a determinados reglas o eventos configurados por el quipo de seguridad. Se basan en monitorizar todos los componentes de la infraestructura IT como:

    • Servidores y dispositivos de red.
    • PCs y estaciones de trabajo.
    • Bases de datos, directorios, middleware.
    • Sistemas Cloud.
    • Directorio Activo, etc.

    Suelen ser parte de una estrategia más amplia de auditoría de seguridad, que permite establecer mecanismos de rollback sobre los datos y determinar, de forma ideal, quién, cuándo y cómo se ha modificado cualquier fichero de la organización.

    Algunos de estos sistemas comparan los ficheros con un repositorio central (Ej. ficheros o binarios originales de una aplicación) y otros los cambios incrementales realizados por los usuarios, lo cuál es más óptimo ya que normalmente hay aplicaciones personalizadas y adaptadas a los usuarios.

    En este segmento de aplicaciones podemos encontrar a fabricantes como Tripwire, Trustwave o Qualys.

    Este tipo de aplicaciones están más centradas en la prevención de ataques externos sobre la infraestructura e incluso pueden detectar la gestión de cambios en cuanto a parches de seguridad. No están optimizados en lo que respecta a la integridad o monitorización de accesos sobre la información confidencial y pueden generar excesivo ruido, alertas o falsos positivos cara a detectar ataques a la confidencialidad de los datos ya que monitorizan absolutamente cualquier cambio sobre cualquier fichero, sea de contenido sensible o un simple binario del sistema operativo.

    Son intensivos en cuanto a infraestructura, y se instalan en servidores y equipos para poder monitorizar todos los cambios y tienen un enfoque intra-perimetral. No pueden controlar la actividad sobre los archivos una vez han salido de la organización. En la actualidad donde el perímetro de las organizaciones se ha expandido o difuminado con el trabajo remoto, el boom de la colaboración y la nube, sólo pueden dar respuesta a la gestión de la integridad de los archivos que están dentro de la organización.
     

    2. Sistemas de Auditoría y Descubrimiento de Datos

     
    Estas soluciones están más orientadas a identificar en base a patrones donde se encentra la información sensible dentro de la organización, monitorizar los permisos de los usuarios en servidores de ficheros, y auditar el acceso de los usuarios a los archivos.

    Entrando en más detalle:

    • Identifican dentro de un servidor de ficheros u otros repositorios qué ficheros tienen por ejemplo datos personales, datos financieros, etc. En este sentido, realizan un análisis o descubrimiento de ficheros similar a un sistema de DLP (Data Leak Prevention).
    • Comprueban qué permisos tienen los usuarios sobre los ficheros almacenados en estos repositorios. Estos suelen ser permisos de NTFS o similares de listas de control de accesos (ACLs). Algunas de estas soluciones tienen la posibilidad de modificar directamente los permisos (acceder al fichero o carpeta, modificarlo, borrarlo, copiarlo, moverlo, etc.) desde la herramienta sin tener que gestionarlo en AD o el servidor de fichero.
    • Auditan accesos y operaciones de copia, borrado, etc. de ficheros sobre estos repositorios.

    En este tipo de soluciones podemos encontrar a fabricantes como Varonis o Netwrix por ejemplo.

    A diferencia de los anteriores, se centran normalmente en información regulada por GDPR, PCI, u otras regulaciones y no en binarios del sistema operativo o aplicaciones.

    Al igual que las otras dependen de software instalado a nivel de servidor de ficheros y agentes para la monitorización y escaneo.  Aunque reducen el “ruido” o volumen de posibles alertas sobre la información, ya que se centran en información regulada, trazar cualquier acceso a prácticamente cualquier archivo supone demasiados datos que deben ser analizados, y aunque los sistemas de reporting puedan ser afinados, suponen una sobrecarga en las tareas diarias de los administradores de red.

    Ambas soluciones, se centran no en los propios ficheros sino en el repositorio que los contiene realmente, carpetas en servidores de ficheros, o similares, y todo restringido al perímetro de la red corporativa. Si el fichero se ha enviado a un colaborador, no pueden hacer nada.
     

    3. Monitoreo de Integridad de Ficheros con un enfoque de seguridad centrada en los datos

     
    Como se ha comentado anteriormente, las anteriores soluciones están restringidas al perímetro de la red, pero ¿Qué sucede si esos ficheros han sido compartidos fuera de la red? Pongamos el caso de usuarios teletrabajando que disponen de acceso a estos archivos en sus equipos móviles, o cuando la información ha sido compartida a nubes de almacenamiento donde los anteriores sistemas no llegan.

    Para un entorno de colaboración y trabajo remoto como en el que las organizaciones se mueven en la actualidad, la monitorización de la integridad de los ficheros debe poder realizarse allí donde viaja el fichero y estar en este sentido unida a las otras dos facetas del a tríada CIA, Confidencialidad y Disponibilidad.

    Viajen donde viajen los datos debemos poder garantizar que deben estar a salvo de modificaciones no controladas. Es necesario que sólo las personas autorizadas puedan alterar el contenido de la documentación, siguiendo una de las máximas del enfoque Zero-Trust: Dar sólo los mínimos privilegios sobre la información que se requieran, y si alguien debe tener sólo acceso de lectura, no tenga porqué modificarlo, imprimirlo para pasarlo a PDF y alterarlo después, o extraer contenido.

    No son aislados los casos de empresas que, tras una brecha de seguridad en la red, han visto como por ejemplo un PDF con un número de cuenta para el pago de una factura ha sido alterado y el departamento financiero ha hecho la transferencia a la cuenta del atacante.
     

    Tecnologías de Seguridad centrada en los datos que ayudan a monitorizar la integridad de los archivos

     
    Las tecnologías de seguridad centrada en los datos pueden ayudarnos a monitorizar la integridad de los ficheros de la siguiente forma:

    • Como son los propios ficheros los que van protegidos viajen donde viajen podremos monitorizar el acceso y operaciones realizadas sobre los mismos (ej. intentos de acceso bloqueados) independientemente de dónde se encuentren. Da igual si están en un servidor de ficheros, en una aplicación de nube o en el PC de un usuario trabajando en remoto.
    • El control de permisos de acceso sobre el contenido es granular. Se puede definir quién accede, con qué permisos (sólo ver, editar, imprimir, copiar y pegar, exportar información, etc.), desde dónde (qué localizaciones o IPs), y hasta cuándo (es posible establecer fechas de expiración).
    • Es posible tomar acciones de remediación en base al riesgo e independientemente de la ubicación del archivo: Puedo impedir el acceso a un archivo compartido incluso si ha sido compartido con un tercero y lo tiene en su equipo.
    • La monitorización, control de permisos e integridad del archivo no está restringido al perímetro. No se centra en quién copia o mueve a un fichero sino quién accede al contenido, desde qué ubicaciones y con qué permisos (ver, editar, etc.) ya que la información hoy en día se mueve y viaja con rapidez a cualquier lugar. Por otro lado, la monitorización se centra en la información realmente importante evitando los niveles de ”ruido” o falsos positivos de las anteriores soluciones y rebajando la carga de trabajo en este sentido de los responsables de seguridad e IT.


     

    SealPath, una Solución Centrada en los Datos para Monitorizar la integridad de tus archivos

     
    Por otro lado, gracias a las tecnologías de seguridad centrada en los datos como IRM (Information Rights Management) o E-DRM (Enterprise Digital Rights Management), no sólo se cubre el control de integridad, sino la confidencialidad, ya que la información va cifrada y se aplica un control de acceso, y la disponibilidad, donde puedo forzar el acceso sin conexión a la información o desconectado para no depender de acceso en línea a nubes, repositorios, etc.

    Si quieres saber cómo una solución de seguridad centrada en los datos como SealPath puede ayudarte a monitorizar la integridad de tus ficheros manteniendo además un control completo de la confidencialidad, contacta con nosotros y agendaremos una demo personalizada.

    Además de tener un control remoto de la integridad del fichero y su confidencialidad, SealPath se integra con múltiples soluciones de auditoría, clasificación y descubrimiento de datos o soluciones DLP para automatizar la protección de información especialmente sensible en servidores de ficheros, PCs o soluciones cloud como Office 365, Box, o Google Workspace.