سیستم‌های شناسایی تغییر فایل یا نظارت بر یکپارچگی اطلاعات

سیستم‌های شناسایی تغییر فایل یا نظارت بر یکپارچگی فایل‌ها

تقریباً تنها کاری که باقی می‌ماند این است که مطمئن شویم داده‌های‌مان بدون اطلاع یا رضایت ما تغییر نکرده‌اند. برای این کار می‌توانیم از چیزی به نام سیستم‌های شناسایی تغییر فایل یا نظارت بر یکپارچگی فایل‌ها استفاده کنیم.

این سیستم‌ها اغلب در سمت سرور کاربرد دارند، اما استفاده از آن‌ها برای رایانه‌های شخصی نیز اهمیت دارد. عملکرد این ابزارها به این صورت است که بخش‌هایی از سیستم یا فایل‌های مشخصی را از نظر تغییرات خواندن یا نوشتن رصد می‌کنند.

برای مثال، اگر چنین سیستمی را روی سرور خود پیکربندی کرده باشیم و فردی بدون اجازه وارد سیستم شود و فایل خاصی را بخواند یا تغییر دهد، می‌توانیم از طریق ایمیل هشدار دریافت کنیم.
این موضوع به ما هشدار اولیه‌ای می‌دهد که احتمالاً سیستم‌مان به خطر افتاده است.

خودم متخصص این ابزارها نیستم، اما کمی درباره‌شان مطالعه کرده‌ام و به دو ابزار محبوب برخورده‌ام که می‌توانید درباره‌شان بیشتر تحقیق کنید.

در حاشیه باید بگویم که یکی از دوستانم روت‌کیتی توسعه داده که می‌تواند در حالت پیش‌فرض روی Debian 7 از OSSEC عبور کند. مطمئن نیستم که این روت‌کیت روی Debian 8 هم کارایی دارد یا نه، اما می‌توانم تأیید کنم که برای هیچ سیستم‌عامل دیگری بهینه‌سازی نشده است.

واقعیت این است که حتی با وجود سیستم‌های شناسایی تغییر فایل، اگر مهاجم به اندازه کافی ماهر باشد، باز هم می‌تواند کل سیستم شما را از کار بیندازد.
با این حال، اضافه کردن چنین تدابیر امنیتی به ساختار سیستم‌تان، کار بیهوده‌ای نیست و تنها باعث افزایش سطح امنیت کلی خواهد شد.

برای مطالعه بیشتر ببینید: