La surveillance de l’intégrité des fichiers pour Windows et Linux. Une liste de fichiers vulnérables

Linux Windows Abstract Wallpaper

Introduction. Top des conseils pour la surveillance des fichiers pour les équipes informatiques.

Les équipes de sécurité ne vont pas utiliser la surveillance de l’intégrité des fichiers (FIM : file integrity monitoring) comme première ligne de défense pour la protection de leur réseau. Des outils tels que les audits de vulnérabilité quotidiens et les tests de pénétration réalisés deux fois par an seront les principales solutions de contrôle qui seront employées.

Mais tout comme un pays peut trouver à failles dans ses frontières, il existe des bonnes pratiques pour vous assurer que vos données informatiques ne soient pas exposées à des activités malveillantes au sein de votre réseau. Et l’un des meilleurs moyens pour vérifier tous les éléments de votre réseau est un FIM .

 

La surveillance de l’intégrités des fichiers est un équilibre délicat.

Bien sûr, le problème est que vous avez des millions de fichiers sur votre réseau, et la grande majorité d’entre eux sont régulièrement en cours de modification. Alors, où devez-vous concentrer vos efforts afin de trouver les premiers signes d’une attaque ?

Les experts en sécurité de SecludIt ont retenu les have drawn up a shortlist of the most important files for you to monitor on Windows and Linux Operating systems. But it’s hard to get the sweet spot with FIM:
Les experts en sécurité de SecludIT ont dressé une liste des fichiers les plus importants à surveiller sur les systèmes d’exploitation Windows et Linux. Mais il est difficile d’obtenir le résultat idéal avec le FIM :

– Surveiller trop de fichiers est contre productif car le travail en retour sera trop important et vos efforts vont conduire à la génération de trop de faux-positifs.

– Surveiller un nombre trop restreint de fichiers peut laisser passer une évidence qui conduira à une cyber-attaque.

Voici les idées de SecludIT pour chaque système d’exploitation.

 

Réseau de Windows. Les fichiers les plus importants à surveiller (ou exclure).

Windows Abstract Wallaper

 

Windows. Richier à INCLURE dans un FIM :

Les fichiers suivants dans in C:\:
– autoexec.bat
– boot.ini
– config.sys
– io.sys
– msdos.sys
– ntbootdd.sys
– ntdetect.sys
– ntldr

Les dossiers suivants (sans les fichiers ou sous-dossiers):
– C:\Documents and Settings
– C:\Users
– C:\System Volume Information

Les dossiers suivants (incluant les fichiers et sous-dossiers) dans C:\:
– ProgramFiles
– ProgramFiles(x86)

Tous les fichers et dossiers sous C:\WINDOWS, et en particulier les dossiers suivant (sans les fichiers ou sous-dossiers):
– assembly
– CSC
– DEBUG
– security
– system32\NtmsData
– Temp

 

Windows. Fichiers à EXCLURE du FIM :

Dossiers sous “C:\WINDOWS” listés ci-dessous qui contiennent naturellement les logs des fichiers (la raison est expliquée dessous), les fichiers cachés et ceux moins importants :
– NtServicePackUninstall
– NtUninstall
– assembly
– CSC
– DEBUG
– HELP
– I386
– LogFiles
– Minidump
– Prefetch
– Shelliconcache
– SoftwareDistribution
– system32\Catroot
– system32\LogFiles
– system32\NtmsData
– system32\winevt\Logs
– System32\wdi\LogFiles
– system32\wbem
– Temp
– winsxs
– rescache
– serviceprofiles\networkservice\appdata\local\temp

 

Mises à jour Windows. SecludIT développe un FIM pour les logs des fichiers.

Les logs des journaux doivent être surveillés afin de veiller à ce qu’aucune modification non autorisée puisse être faite. Malheureusement, les outils de surveillance de l’intégrité des fichiers standards s’intègrent mal avec les fichiers des journaux puisque, par nature, ils sont soumis à des changements fréquents.

En particulier, si un log d’un fichier a été modifié, un outil FIM standard ne sera pas en mesure de distinguer un comportement non autorisé d’un comportement normal. Il ne peut pas détecter si un log d’un fichier a été modifié (par exemple quelques lignes ont été supprimées afin de couvrir une attaque) ou non (par exemple certaines lignes ont été jointes).

SecludIT travaille actuellement sur l’intégrité des fichiers de suivi spécifiquement pour les logs des fichiers. Quand il est lancé, notre technologie FIM pour les logs des fichiers va surveiller l’intégrité des fichiers sans affecter les performances des serveurs de production.

Merci de vous abonnner à notre newsletter si vous voulez savoir quand notre technologie sera disponible.

Enfin, pour ceux qui se le demandent, nous enquêtons égelement sur la façon de sécuriser la base de registre Windows. Plus de détails à venir bientôt. Restez à l’écoute!

 

Réseau de Linux. Les principaux fichiers à surveiller (ou exclure).

Linux Abstract Wallaper

 

Linux. Fichiers à INCLURE dans le FIM :

Dossier racine :
– surveiller les permissions

Surveiller les permissions, l’accès/le temps de modification et le contenu de tous les fichiers (à l’exception des journaux et des fichiers de cache) dans les dossiers suivants :
– /bin
– /sbin
– /usr/sbin
– /usr/bin.
– /usr/local/bin
– /usr/local/sbin
– /opt/bin
– /opt/sbin
– /lib
– /usr/lib
– /usr/local/lib
– /lib64
– /usr/lib64
– /root, /etc

Certaines attaques Linux tentent d’obtenir des privilèges en modifiant la configuration de votre fichier grub, donc il doit être correctement surveillé /boot/grub/grub.conf

 

Linux. Fichiers à EXCLURE du FIM :

– Exclure les logs des fichiers (e.g. /var/log) – voir mises à jour Linux ci-dessous.
– Exclure les caches des fichiers

 

Mises à jour de Linux. SecludIT développer un FIM pour les logs des fichiers.

Comme pour les réseaux Windows,Les logs des journaux doivent être surveillés afin de veiller à ce qu’aucune modification non autorisée puisse être faite. Malheureusement, les outils de surveillance de l’intégrité des fichiers standards s’intègrent mal avec les fichiers des journaux puisque, par nature, ils sont soumis à des changements fréquents.

Selon les services en cours d’exécution sur votre serveur, vous devez également surveiller tous les fichiers qui sont essentiels pour ces services. Par exemple, si votre serveur héberge un serveur web Apache, vous pourriez vouloir surveiller tous les fichiers (sauf ceux téléchargés par les utilisateurs tels que des images, des vidéos, etc.) sous la racine web dossier /var /www

SecludIT travaille actuellement sur l’intégrité des fichiers de suivi spécifiquement pour les logs des fichiers. Quand il est lancé, notre technologie FIM pour les logs des fichiers va surveiller l’intégrité des fichiers sans affecter les performances des serveurs de production.

Merci de vous abonnner à notre newsletter si vous voulez savoir quand notre technologie sera disponible.

 

Gardez votre réseau sécurisé avec un audit de vulnérabilité quotidien.

Bien qu’il soit nécessaire comme dernière ligne de défense, la surveillance de l’intégrité des fichiers peut prendre du temps et s’avérer complexe .

Elastic Detector de SecludIT permet d’obtenir un première ligne de défense efficace. Elastic Detector est une solution pout automatiset la vérification des vulnérabilités de votre réseau chaque jour. Nous ajoutons une moyenne de 20 nouvelles vulnérabilités par jour à notre liste de menaces, ce qui minimise la fenêtre d’opportunité pour les pirates.

Les principales caractéristiques d’Elastic Detector sont :

– Il fonctionne sur des clones de serveurs, de sorte que les performances du réseau ne se dégradent pas.

– La liste des menaces de sécurité est mise à jour sur une base quotidienne, avec des rapports prioritaire.

– SecludIT fournit des feuilles d’assainissement et des conseils de remédiation. Ainsi, même les non spécialistes de la sécurité peuvent mettre en œuvre les correctifs.

Leave a Reply