FIM (File Integrity Monitoring) гэж юу вэ?

January 19, 2024

FIM - File Integrity Monitoring (Файлын бүрэн бүтэн, аюулгүй байдлын хяналт) нь олон улсын стандартууд, тухайлбал PCI DSS стандартын хүрээнд шаардагддаг кибер аюулгүй байдлын чухал хяналтын цэг бөгөөд PCI DSS стандартаас ч өмнө гарч ирсэн технологи юм.

FIM нь бүх төрлийн файлын хувьд мэдээлэл алдагдах эрсдэлийг нэмэгдүүлж буй өөрчлөлтүүдийг цаг алдалгүй хянаж, илрүүлэх технологи юм.

Харамсалтай нь маш олон байгууллага тус технологийг зөвхөн стандарт, дүрэм журамд нийцэх зорилгоор ашигладаг нь хэрэглэгч тус системийн гол утга учир, чадамжийг бүрэн ашиглаж чадахгүй байхад хүргэж байна. Байгууллагуудын хувьд FIM-ийг эрсдэл үүсгэж болзошгүй өөрчлөлтүүд, тэдгээрийг цаг алдалгүй илрүүлдэг технологи гэхээс илүү шаардлагатай эсэх нь мэдэгдэхгүй хэт их “noise” буюу олон тооны хамааралгүй мэдээлэл байдаг, тэр дундаас нэн шаардлагатайг нь харах боломж багатай систем гэж үздэг.

Угтаа FIM бол мэдээлэл алдагдахаас сэргийлэх хамгийн чухал хяналтын технологи юм. Үр дүнтэй FIM шийдэл нь зөвхөн системийн өөрчлөлтийг илрүүлэхээс гадна түүнээс чухал мэдээллийг байгууллагад өгдөг. Тухайлбал, томоохон МТ дэд бүтэц бүхий байгууллагад бизнесийн үйл ажиллагаатай холбоотой гардаг хэдэн зуу, мянган өөрчлөлт бүрд мэдэгдэл явуулах биш, зөвхөн нууцлал бүхий хамгаалагдсан дата мэдээлэлд сэжигтэй, аюултай өөрчлөлт гарсан тохиолдолд илрүүлж, чухал мэдээллийг өгдөг байх зэрэг юм.

FIM-ийн талаарх ойлголтоо өөрчлөхийн тулд юуны өмнө бид уг системийг ашиглаж буй арга барилаа өөрчлөх хэрэгтэй юм.

Юуг хянах тухай буюу илэрсэн өөрчлөлтийг хэрхэн хянаж, удирдахаа тодорхойлох нь:

Бүх төхөөрөмж, аппликэйшн дээрх файлуудын өөрчлөлтийг өдөр тутам хянах биш, хамгийн түрүүнд юуг хянахаа тодорхойлох буюу ямар файлыг монитор хийх, ямар түвшинд монитор хийхээ тодорхойлох.

Юу өөрчлөгдсөн,  хэн өөрчилснийг тодорхойлох нь:

Файл өөрчлөгдсөнийг мэдэхээс гадна тухайн файлын юу өөрчлөгдсөнийг мэдэх нь чухал. Файл бүрийг ялгах таних тэмдэглэгээ, өвөрмөц шинжүүдийг ашиглан (жишээ нь банкны картын мэдээлэл – туузан нууцлал) өөрчлөлтийг илрүүлэх нь тухайн өөрчлөлт нь хортой, эсвэл хоргүй эсэхийг тодорхойлоход чухал үүрэгтэй.

Бүрэн хөгжсөн FIM шийдлүүд нь энэ түвшний мэдээллийг гаргаж өгдөг. Тухайлбал, уншиж болохуйц файлууд болох Word document, PDF файлууд дээрх үсэг тэмдэглэгээнд (character to character) өөрчлөгдсөн ялгааг олж илрүүлэх гэх мэт. Үүнээс гадна хэн өөрчилснийг мэдэх нь эрсдэл хэр өндөр түвшинд байгааг тодорхойлох түлхүүр болдог.

Гэвч энэ нь тийм ч амар биш ба FIM шийдэл болгон өөрчлөлтийг хэн хийснийг мэдээлж чаддаггүй.

Хүлээн зөвшөөрөгдсөн, эсвэл төлөвлөгдсөн өөрчлөлт мөн эсэхийг тодорхойлох

Дийлэнх тохиолдолд өөрчлөлт нь сайжруулалт хийх, алдааг засах зорилготойгоор хийгддэг. Гэхдээ зөвшөөрөгдсөн өөрчлөлт мөн эсэхийг зөв тодорхойлох нь FIM-н бас нэгэн хэсэг байдаг.

Баталгаажуулаагүй болон сэжигтэй өөрчлөлтүүдийг хэрхэн шийдвэрлэх

PCI DSS-н 11.5-д “Чухал систем, контент, болон файлд гарсан баталгаажуулалтгүй өөрчлөлт дээр мэдэгдэл өгдөг байх” гэж заасан байдаг ба эндээс Баталгаажуулаагүй буюу Unauthorized гэдгийг буруу ойлгох нь бий. Үүнийг байгууллагууд өөрчлөлтийн үйл явцын бодлогод хэр сайн зохицон ажилладаг эсэхийг хэмжих тухай гэж ойлгодог. Гэвч бодит байдал дээр энэ нь тус стандартын 2.0 хувилбарт нэмэгдсэн 11.5.b-дэх Testing procedure-д зааснаар “Чухал файлууд дээр баталгаажуулалтгүй өөрчлөлт гарах үед холбогдох ажилтанд мэдэгдэх систем, хэрэглүүрийг тохируулсан байх ёстой” гэсэн аудитын шаардлагатай холбоотой. Аудиторуудын хувьд өөрчлөгдсөн чухал дата бүр capture хийгдсэн нотолгоог шаарддаг.


Бүрэн хөгжсөн FIM шийдлүүдэд доорх чадварууд заавал байх ёстой.

  • Өөрчлөлтийг бодит цаг дээр илрүүлдэг байх
  • Ямар файлыг, хэн өөрчилснийг үнэн зөв тодорхойлох
  • Аль өөрчлөлт эрсдэлийг нэмэгдүүлж байгааг тодорхойлох
  • Аль өөрчлөлт нь дүрэм журамд нийцэхгүй байгааг илрүүлж, тодорхойлох
  • Өндөр эрсдэлтэй болон эрсдэл багатай өөрчлөлтийг ялгах
  • Баталгаажсан болон баталгаажуулалтгүй өөрчлөлтүүдийг ялгах
  • Бусад аюулгүй байдлын шийдлүүдтэй нэгдэн ажиллах

Технологийн хурдтай хувьслын энэ үед халдлагын гадаргуу улам өргөжиж, аюул занал улам бүр нэмэгдэж байгаа билээ. Тиймээс ч байгууллагуудад файл, систем дээрх өөрчлөлтүүдийг үнэн зөв илрүүлж, хариу арга хэмжээ авдаг байх хэрэгцээ тулгарч байна.

Ингэхдээ аюулгүй байдлын системээ байгууллагынхаа экосистемийн гол элементүүдтэй илүү уялдуулж, олон улсын стандартууд, тухайлбал PCI DSS-г хангахын тулд аюулгүй байдлыг нэгэн бүхэл болгож дахин харах хэрэгтэй юм.

Fortra компанийн Tripwire FIM шийдлийн тусламжтайгаар байгууллага нь мэдээллийн технологийн дэд бүтэц болох дата төв, аппликэйшн, датабааз, сүлжээний төхөөрөмж, виртуал машин, hypervisors, зэрэг эх сурвалжуудаас үл хамааран файл дээр хэн, ямар өөрчлөлтийг хэзээ хийснийг тасралтгүй хянаж, тухай бүрд нь бодит цаг хугацаанд илрүүлдэг, сэжигтэй үйлдэл, өөрчлөлт бүрийг илрүүлэн мэдэгдэл өгөх, гарч болох аюул эрсдэлээс хамгаалахын зэрэгцээ олон улсын стандарт болох PCI DSS, SOX, FISMA, NERC-с гадна дотоод аудитын дүрэм журмыг хангах тайланг гаргаж өгдөг давуу талтай. 

Ай Ти Зон компани нь Fortra компанийн шийдлүүдийг албан ёсны эрхтэйгээр хүргэж байна. Хэрэв та тус шийдлийн талаар дэлгэрэнгүй мэдээлэл авах, демо турших бол crm@itzone.mn хаягаар хүсэлтээ ирүүлнэ үү.