سیستمهای شناسایی تغییر فایل یا نظارت بر یکپارچگی اطلاعات
سیستمهای شناسایی تغییر فایل یا نظارت بر یکپارچگی فایلها
تقریباً تنها کاری که باقی میماند این است که مطمئن شویم دادههایمان بدون اطلاع یا رضایت ما تغییر نکردهاند. برای این کار میتوانیم از چیزی به نام سیستمهای شناسایی تغییر فایل یا نظارت بر یکپارچگی فایلها استفاده کنیم.
این سیستمها اغلب در سمت سرور کاربرد دارند، اما استفاده از آنها برای رایانههای شخصی نیز اهمیت دارد. عملکرد این ابزارها به این صورت است که بخشهایی از سیستم یا فایلهای مشخصی را از نظر تغییرات خواندن یا نوشتن رصد میکنند.
برای مثال، اگر چنین سیستمی را روی سرور خود پیکربندی کرده باشیم و فردی بدون اجازه وارد سیستم شود و فایل خاصی را بخواند یا تغییر دهد، میتوانیم از طریق ایمیل هشدار دریافت کنیم.
این موضوع به ما هشدار اولیهای میدهد که احتمالاً سیستممان به خطر افتاده است.
خودم متخصص این ابزارها نیستم، اما کمی دربارهشان مطالعه کردهام و به دو ابزار محبوب برخوردهام که میتوانید دربارهشان بیشتر تحقیق کنید.
- OSSEC - https://www.ossec.net/
- Tripwire - https://www.tripwire.com/solutions/file-integrity-and-change-monitoring/
در حاشیه باید بگویم که یکی از دوستانم روتکیتی توسعه داده که میتواند در حالت پیشفرض روی Debian 7 از OSSEC عبور کند. مطمئن نیستم که این روتکیت روی Debian 8 هم کارایی دارد یا نه، اما میتوانم تأیید کنم که برای هیچ سیستمعامل دیگری بهینهسازی نشده است.
واقعیت این است که حتی با وجود سیستمهای شناسایی تغییر فایل، اگر مهاجم به اندازه کافی ماهر باشد، باز هم میتواند کل سیستم شما را از کار بیندازد.
با این حال، اضافه کردن چنین تدابیر امنیتی به ساختار سیستمتان، کار بیهودهای نیست و تنها باعث افزایش سطح امنیت کلی خواهد شد.
برای مطالعه بیشتر ببینید:
- https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps
- https://cybersecurity.att.com/solutions/pci-dss-file-integrity-monitoring