5 ความเข้าใจผิดเกี่ยวกับ File Integrity Monitoring

File Integrity Monitoring (FIM) เป็นกระบวนการด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเฝ้าระวังและตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นในระบบ IT พร้อมแจ้งเตือนและสนับสนุนผู้ดูแลระบบในการจัดการกับเหตุการเปลี่ยนแปลงที่ผิดปกติ แม้ FIM จะดูเป็นโซลูชันที่เข้าใจได้ง่าย แต่ก็ยังมีหลายคนเข้าใจผิดเกี่ยวกับการใช้งาน FIM ซึ่งสามารถสรุปได้ 5 ประเด็นสำคัญ ดังนี้

1. FIM เต็มไปด้วย False Positives

ความเข้าใจผิดแรกคือ ระบบ FIM ก่อให้เกิด False Positives และ Alerts มากจนเกินไป แม้จะปฏิเสธไม่ได้เต็มปากว่า FIM สร้าง Alerts ขึ้นมาเป็นจำนวนมาก แต่เหตุการณ์นี้จะเกิดขึ้นก็ต่อเมื่อทำการเฝ้าระวังการเปลี่ยนแปลงทุกสิ่งอย่างที่เกิดขึ้นในระบบ IT ระบบ FIM ที่ไม่สามารถแยกแยะการเปลี่ยนแปลงที่ควรจะเป็นออกจากการเปลี่ยนแปลงที่ผิดปกติย่อมก่อให้เกิด “Noise” มหาศาล ซึ่งอาจเบี่ยงเบนความสนใจของผู้ดูแลระบบออกจากความเสี่ยงที่แท้จริงได้

การใช้ FIM ที่ถูกต้อง คือ การมุ่งความสนใจไปยังไฟล์ระบบที่สำคัญ รวมไปถึงไฟล์ที่เกี่ยวข้องกับแอปพลิเคชันหลักขององค์กร ถ้าคุณใช้ FIM กับทุกระบบ กระบวนการเฝ้าระวังจะกลายเป็นภาระและกินเวลาเป็นอย่างมาก ทั้งยังสร้าง Alerts ที่มากเกินไปอีกด้วย แนะนำให้ผสานระบบ FIM เข้าด้วยกันกับระบบรักษาความมั่นคงปลอดภัยอื่นๆ เช่น IT Service Management (ITSM) เพื่อช่วยยืนยันข้อมูลซ้ำอีกครั้ง วิธีนี้จะช่วยลดปริมาณ Alerts ที่คุณจะได้รับเมื่อมีการเปลี่ยนแปลงเกิดขึ้น และช่วยให้ทีม Security สามารถโฟกัสกับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตได้ง่าย

2. FIM ทำให้อุปกรณ์ปลายทางทำงานหนัก

ประเด็นถัดมาที่คนส่วนใหญ่เข้าใจผิดกันมาก คือ FIM ทำให้อุปกรณ์ปลายทางทำงานหนัก ประเด็นนี่แทบไม่จริงเลย ยกตัวอย่าง Tripwire Enterprise ซึ่งเป็นโซลูชัน FIM ที่กินทรัพยากรเครื่องต่ำมาก โซลูชันดังกล่าวแม้จะทำการติดตั้ง Agent ลงบนอุปกรณ์ปลายทาง แต่ก็จะทำการเฝ้าระวังการเปลี่ยนแปลงแบบเงียบๆ และกินทรัพยากรเครือข่ายเพียงเล็กน้อยสำหรับสื่อสารความแตกต่างที่เกิดขึ้นเท่านั้น นอกจากนี้ Agent ยังช่วยให้องค์กรสามารถบริหารจัดการ Security Configuration และดำเนินการให้สอดคล้องกับมาตรฐานหรือข้อบังคับต่างๆ ขององค์กรได้อีกด้วย

3. FIM ไม่ช่วยเพิ่มความแข็งแกร่งให้กระบวนการรักษาความมั่นคงปลอดภัย

เมื่อองค์กรต้องการเพิ่มความแข็งแกร่งให้กระบวนการรักษาความมั่นคงปลอดภัย FIM มักจะเป็นตัวเลือกหลังๆ ที่องค์กรจะนำมาประยุกต์ใช้ อย่างไรก็ตาม เมื่อพิจารณาถึงจุดประสงค์หลักของการใช้ FIM คือ การทำให้มั่นใจว่า การเปลี่ยนแปลงที่เกิดขึ้นเป็นผลมาจากการแพตช์หรือการกระทำที่สมควรจริงๆ นั่นหมายความว่า ถ้าการเปลี่ยนแปลงดังกล่าวไม่ได้รับความยินยอม องค์กรสามารถเริ่มกระบวนการจัดการกับมัลแวร์หรือภัยคุกคามไซเบอร์ได้ทันที ด้วยเหตุนี้ FIM จึงเป็นโซลูชันที่สามารถช่วยคุ้มครององค์กรจากการโจมตีแบบ Zero-day ได้

4. FIM ขาดความสามารถในการให้ข้อมูลบริบทที่เกี่ยวข้อง

คนที่ไม่รู้จัก FIM ดีพออาจคิดว่า FIM ขาดความสามารถในการให้ข้อมูลบริบทอย่างเพียงพอสำหรับใช้ตรวจสอบเหตุการเปลี่ยนแปลงที่ผิดปกติ ความเข้าใจผิดนี้อาจจริงในระดับหนึ่ง เนื่องจากบางโซลูชัน FIM ในตลาดสามารถทำงานได้เพียงฟีเจอร์พื้นฐาน และไม่สามารถเก็บข้อมูลบริบทสำหรับให้รายละเอียดเกี่ยวกับเหตุผิดปกติที่เกิดขึ้นได้ อย่างไรก็ตาม ยังมี FIM ดีๆ ที่สามารถให้ข้อมูลบริบทที่ลงลึกถึงรายละเอียดของการเปลี่ยนแปลง เช่น ใคร ทำอะไร ที่ไหน อย่างไร และเมื่อไหร่ ทั้งยังมีเครื่องมือที่ช่วยจำแนกความแตกต่างระหว่างการเปลี่ยนที่ “ดี” และ “ไม่ดี” ได้อีกด้วย

5. FIM เป็นโซลูชันเฉพาะสำหรับระบบไฟล์

ประเด็นสุดท้ายที่มักเข้าใจผิด คือ FIM เฝ้าระวังได้เฉพาะระบบไฟล์ ซึ่งไม่ใช่เลย FIM สามารถใช้เฝ้าระวัง Databases, Active Directory, Virtual Infrastructures, Network Devices และ Cloud Storage ได้ด้วย ดังนี้

  • Databases: FIM อาจจะไม่เหมาะในการเฝ้าระวัง Databases โดยตรง เนื่องจากมีการเปลี่ยนแปลงเกิดขึ้นบ่อย ส่วนใหญ่มักใช่ FIM เฝ้าระวัง Access Control Lists, Schema, Database Configuration และ Permission Lists เพื่อตรวจจับการเข้าถึง Databases โดยมิชอบ
  • Active Directory: FIM ช่วยให้คุณสามารถเฝ้าระวัง Active Directory ได้ทุกส่วน เช่น การเพิ่มลดผู้ใช้ในกลุ่มที่อ่อนไหวเป็นพิเศษ เช่น Domain Admins
  • Virtual Infrastructures: ช่วยเฝ้าระวังการเปลี่ยนแปลงของ Host Infrastructure เช่น เมื่อมี Virtual Machine ใหม่ถูกสร้าง แก้ไข หรือทำลาย เป็นต้น
  • Network Devices: FIM ช่วยให้คุณสามารถติดตามการเปลี่ยนแปลง Firewall Rules, Access Control Lists และ Configurations บน Routers, Switches, Firewall และอุปกรณ์อื่นๆ บนระบบเครือข่ายได้
  • Cloud Storage: ช่วยตรวจจับการเปลี่ยนแปลงบน Cloud Storage เช่น Amazon S3 Buckets หรือ Azure Blobs

FIM ของ Tripwire เน้นการให้ข้อมูลบริบทเชิงธุรกิจ

โซลูชัน FIM ของ Tripwire เน้นการนำเสนอข้อมูลบริบทเชิงธุรกิจที่เกี่ยวข้องกับการเปลี่ยนแปลงที่เกิดขึ้นในระบบ IT ขององค์กร ช่วยให้ฝ่าย IT และทีม Security เห็นภาพรวมได้อย่างเรียลไทม์ นำไปสู่การค้นพบเหตุผิดปกติและความเสี่ยงที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยขององค์กรได้อย่างรวดเร็ว

นอกจากนี้ FIM ของ Tripwire ยังให้ข้อมูลรายละเอียดเชิงลึก ได้แก่ ใคร ทำอะไร ที่ไหน อย่างไร เมื่อไหร่ ผ่านทางการทำ Baselining รวมไปถึงสามารถตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นภายในไฟล์ได้ด้วยเช่นกัน ข้อมูลเหล่านี้ ช่วยให้ผู้ดูแลระบบสามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นได้ง่าย ทำให้สามารถตรวจสอบได้ว่าเป็นการดำเนินการที่ถูกต้องหรือไม่

ผู้ที่สนใจเกี่ยวกับโซลูชัน FIM สามารถดาวน์โหลด White Paper เรื่อง “Five Myths and Misconceptions About FIM” มาศึกษาเพิ่มเติมได้ที่ https://www.tripwire.com/solutions/file-integrity-and-change-monitoring/5-fim-myths-and-misconceptions

สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ

  • Yong Hong Ow (ohong@tripwire.com), Tripwire Sales Manager, Tripwire
  • เอกวิทย์ พรหมสิทธิ์ (ekkawit@mtechpro.com), Product Manager, M-Solutions Technology (Thailand) Co., Ltd.

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เรื่องไม่ลับที่ควรรู้ก่อนซื้อ HUAWEI MateBook 14s

ที่มาพร้อมฟังก์ชันเด็ดให้คุณใช้งานแอปพลิเคชันมือถือได้ง่ายๆ บนหน้าจอแล็ปท็อป

Cloudflare & Soft de’ but Webinar : Cloudflare Area1 and New!! security Products from Cloudflare

Cloudflare ร่วมกับ Soft de' but ขอเชิญผู้สนใจทางด้านไอทีทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Cloudflare Area1 and New!! security Products from Cloudflare" เพื่อเรียนรู้ไปกับเทคโนโลยีของ Cloudflare Email Security ที่จะช่วยวิเคราะห์พฤติกรรมและการโจมตีทางอีเมล พร้อมกันนั้นยังมีโซลูชันอื่นที่น่าสนใจมาแนะนำในงานครั้งนี้ด้วย งานสัมมนาจะจัดขึ้นในวันพฤหัสบดีที่ 26 พฤษภาคม 2565 เวลา 14.00 – 15.30 น. โดยมีรายละเอียดดังนี้