他山之石：Tripwirer系統可監控未知

檔案完整性監視（FIM）已經出現很久，對檔案修改的監視可以讓你知道做了哪些修改，是誰做的修改，以及發生了哪些變化。這将讓使用者可以很容易地復原至已知的良好配置狀态，快速控制非授權修改造成的損害或潛在的資料洩露。

然而，對整個作業系統所有改變而進行的監視，有可能很快就變得不勝其擾。由此，管理者取消掉大量不停轟炸過來的通知，結果又降低了實際惡意活動被發現的可能性。

是以，FIM系統管理者需要預測攻擊者可能襲擊的地方，他們可能會做的修改以及可能放置惡意軟體的地方，因為惡意軟體被放到不在檔案完整性監視系統的監視範圍是完全可能的。但下面的方法，則杜絕了這種可能。

Tripwire企業自動監控系統，允許管理者将FIM環境配置為，隻監視對其企業環境而言真正重要的東西。當新的可執行檔案進入系統時，監視系統會檢測到該行為并檢視是否其是否納入了監視。在新可執行檔案未被納入監視的情況下，監視系統将動态配置企業環境資産以監視該可執行檔案及其程序相關檔案。這樣，管理者便不再擔心攻擊者會從哪裡入侵了。

這套監控系統，可以找尋正在被攻擊的地方，監視攻擊活動并将監視行為鋪開到整個環境中以預測攻擊者下一次襲擊可能的入口點。該功能還可與威脅情報服務內建在一起，可以對惡意軟體進行自動響應。不管已知的惡意軟體置入到使用者的哪些資産，監管系統都會找到它，殺死程序，清楚感染，恢複系統安全。

最新的《威瑞森資料洩露調查報告》表明：一旦被侵入（通常數秒到數分鐘之間），資料洩露可在數分鐘至數小時之内發生，留給你檢測并遏制威脅的視窗期是非常短暫的。如果你正使用典型的FIM産品，它們可能隻是進行普通的毫無特點的改變檢測，不能實時檢測出“誰”做了改變，或是給出詳細而具有可行性的資訊。

這将導緻在應對新惡意軟體時有如盲人摸象，再結合2015年那長達204天的平均威脅檢出時間，資料洩露簡直無法避免。但部署了Tripwire企業自動監控的情況則不同，它不僅能實時檢測改變，還有一套複雜的方法判斷這些改變。另外，自動監控的進階功能還能防護未知威脅。

可以設想一個場景：普通FIM系統正在監視關鍵系統檔案。之前，管理者可能對新惡意軟體入駐并從他們的網絡中偷走資料的事實一無所知。有了Tripwire企業自動監控，新惡意軟體及其相關檔案都能被檢測到了。管理者不僅僅被告知惡意軟體的存在，攻擊者意圖偷走的資料也會被報告給他們。

本文轉自d1net（轉載）