SUSE by Ingram

5 ความเข้าใจผิดเกี่ยวกับ File Integrity Monitoring

File Integrity Monitoring (FIM) เป็นกระบวนการด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเฝ้าระวังและตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นในระบบ IT พร้อมแจ้งเตือนและสนับสนุนผู้ดูแลระบบในการจัดการกับเหตุการเปลี่ยนแปลงที่ผิดปกติ แม้ FIM จะดูเป็นโซลูชันที่เข้าใจได้ง่าย แต่ก็ยังมีหลายคนเข้าใจผิดเกี่ยวกับการใช้งาน FIM ซึ่งสามารถสรุปได้ 5 ประเด็นสำคัญ ดังนี้

1. FIM เต็มไปด้วย False Positives

ความเข้าใจผิดแรกคือ ระบบ FIM ก่อให้เกิด False Positives และ Alerts มากจนเกินไป แม้จะปฏิเสธไม่ได้เต็มปากว่า FIM สร้าง Alerts ขึ้นมาเป็นจำนวนมาก แต่เหตุการณ์นี้จะเกิดขึ้นก็ต่อเมื่อทำการเฝ้าระวังการเปลี่ยนแปลงทุกสิ่งอย่างที่เกิดขึ้นในระบบ IT ระบบ FIM ที่ไม่สามารถแยกแยะการเปลี่ยนแปลงที่ควรจะเป็นออกจากการเปลี่ยนแปลงที่ผิดปกติย่อมก่อให้เกิด “Noise” มหาศาล ซึ่งอาจเบี่ยงเบนความสนใจของผู้ดูแลระบบออกจากความเสี่ยงที่แท้จริงได้

การใช้ FIM ที่ถูกต้อง คือ การมุ่งความสนใจไปยังไฟล์ระบบที่สำคัญ รวมไปถึงไฟล์ที่เกี่ยวข้องกับแอปพลิเคชันหลักขององค์กร ถ้าคุณใช้ FIM กับทุกระบบ กระบวนการเฝ้าระวังจะกลายเป็นภาระและกินเวลาเป็นอย่างมาก ทั้งยังสร้าง Alerts ที่มากเกินไปอีกด้วย แนะนำให้ผสานระบบ FIM เข้าด้วยกันกับระบบรักษาความมั่นคงปลอดภัยอื่นๆ เช่น IT Service Management (ITSM) เพื่อช่วยยืนยันข้อมูลซ้ำอีกครั้ง วิธีนี้จะช่วยลดปริมาณ Alerts ที่คุณจะได้รับเมื่อมีการเปลี่ยนแปลงเกิดขึ้น และช่วยให้ทีม Security สามารถโฟกัสกับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตได้ง่าย

2. FIM ทำให้อุปกรณ์ปลายทางทำงานหนัก

ประเด็นถัดมาที่คนส่วนใหญ่เข้าใจผิดกันมาก คือ FIM ทำให้อุปกรณ์ปลายทางทำงานหนัก ประเด็นนี่แทบไม่จริงเลย ยกตัวอย่าง Tripwire Enterprise ซึ่งเป็นโซลูชัน FIM ที่กินทรัพยากรเครื่องต่ำมาก โซลูชันดังกล่าวแม้จะทำการติดตั้ง Agent ลงบนอุปกรณ์ปลายทาง แต่ก็จะทำการเฝ้าระวังการเปลี่ยนแปลงแบบเงียบๆ และกินทรัพยากรเครือข่ายเพียงเล็กน้อยสำหรับสื่อสารความแตกต่างที่เกิดขึ้นเท่านั้น นอกจากนี้ Agent ยังช่วยให้องค์กรสามารถบริหารจัดการ Security Configuration และดำเนินการให้สอดคล้องกับมาตรฐานหรือข้อบังคับต่างๆ ขององค์กรได้อีกด้วย

3. FIM ไม่ช่วยเพิ่มความแข็งแกร่งให้กระบวนการรักษาความมั่นคงปลอดภัย

เมื่อองค์กรต้องการเพิ่มความแข็งแกร่งให้กระบวนการรักษาความมั่นคงปลอดภัย FIM มักจะเป็นตัวเลือกหลังๆ ที่องค์กรจะนำมาประยุกต์ใช้ อย่างไรก็ตาม เมื่อพิจารณาถึงจุดประสงค์หลักของการใช้ FIM คือ การทำให้มั่นใจว่า การเปลี่ยนแปลงที่เกิดขึ้นเป็นผลมาจากการแพตช์หรือการกระทำที่สมควรจริงๆ นั่นหมายความว่า ถ้าการเปลี่ยนแปลงดังกล่าวไม่ได้รับความยินยอม องค์กรสามารถเริ่มกระบวนการจัดการกับมัลแวร์หรือภัยคุกคามไซเบอร์ได้ทันที ด้วยเหตุนี้ FIM จึงเป็นโซลูชันที่สามารถช่วยคุ้มครององค์กรจากการโจมตีแบบ Zero-day ได้

4. FIM ขาดความสามารถในการให้ข้อมูลบริบทที่เกี่ยวข้อง

คนที่ไม่รู้จัก FIM ดีพออาจคิดว่า FIM ขาดความสามารถในการให้ข้อมูลบริบทอย่างเพียงพอสำหรับใช้ตรวจสอบเหตุการเปลี่ยนแปลงที่ผิดปกติ ความเข้าใจผิดนี้อาจจริงในระดับหนึ่ง เนื่องจากบางโซลูชัน FIM ในตลาดสามารถทำงานได้เพียงฟีเจอร์พื้นฐาน และไม่สามารถเก็บข้อมูลบริบทสำหรับให้รายละเอียดเกี่ยวกับเหตุผิดปกติที่เกิดขึ้นได้ อย่างไรก็ตาม ยังมี FIM ดีๆ ที่สามารถให้ข้อมูลบริบทที่ลงลึกถึงรายละเอียดของการเปลี่ยนแปลง เช่น ใคร ทำอะไร ที่ไหน อย่างไร และเมื่อไหร่ ทั้งยังมีเครื่องมือที่ช่วยจำแนกความแตกต่างระหว่างการเปลี่ยนที่ “ดี” และ “ไม่ดี” ได้อีกด้วย

5. FIM เป็นโซลูชันเฉพาะสำหรับระบบไฟล์

ประเด็นสุดท้ายที่มักเข้าใจผิด คือ FIM เฝ้าระวังได้เฉพาะระบบไฟล์ ซึ่งไม่ใช่เลย FIM สามารถใช้เฝ้าระวัง Databases, Active Directory, Virtual Infrastructures, Network Devices และ Cloud Storage ได้ด้วย ดังนี้

  • Databases: FIM อาจจะไม่เหมาะในการเฝ้าระวัง Databases โดยตรง เนื่องจากมีการเปลี่ยนแปลงเกิดขึ้นบ่อย ส่วนใหญ่มักใช่ FIM เฝ้าระวัง Access Control Lists, Schema, Database Configuration และ Permission Lists เพื่อตรวจจับการเข้าถึง Databases โดยมิชอบ
  • Active Directory: FIM ช่วยให้คุณสามารถเฝ้าระวัง Active Directory ได้ทุกส่วน เช่น การเพิ่มลดผู้ใช้ในกลุ่มที่อ่อนไหวเป็นพิเศษ เช่น Domain Admins
  • Virtual Infrastructures: ช่วยเฝ้าระวังการเปลี่ยนแปลงของ Host Infrastructure เช่น เมื่อมี Virtual Machine ใหม่ถูกสร้าง แก้ไข หรือทำลาย เป็นต้น
  • Network Devices: FIM ช่วยให้คุณสามารถติดตามการเปลี่ยนแปลง Firewall Rules, Access Control Lists และ Configurations บน Routers, Switches, Firewall และอุปกรณ์อื่นๆ บนระบบเครือข่ายได้
  • Cloud Storage: ช่วยตรวจจับการเปลี่ยนแปลงบน Cloud Storage เช่น Amazon S3 Buckets หรือ Azure Blobs

FIM ของ Tripwire เน้นการให้ข้อมูลบริบทเชิงธุรกิจ

โซลูชัน FIM ของ Tripwire เน้นการนำเสนอข้อมูลบริบทเชิงธุรกิจที่เกี่ยวข้องกับการเปลี่ยนแปลงที่เกิดขึ้นในระบบ IT ขององค์กร ช่วยให้ฝ่าย IT และทีม Security เห็นภาพรวมได้อย่างเรียลไทม์ นำไปสู่การค้นพบเหตุผิดปกติและความเสี่ยงที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยขององค์กรได้อย่างรวดเร็ว

นอกจากนี้ FIM ของ Tripwire ยังให้ข้อมูลรายละเอียดเชิงลึก ได้แก่ ใคร ทำอะไร ที่ไหน อย่างไร เมื่อไหร่ ผ่านทางการทำ Baselining รวมไปถึงสามารถตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นภายในไฟล์ได้ด้วยเช่นกัน ข้อมูลเหล่านี้ ช่วยให้ผู้ดูแลระบบสามารถเข้าใจถึงการเปลี่ยนแปลงที่เกิดขึ้นได้ง่าย ทำให้สามารถตรวจสอบได้ว่าเป็นการดำเนินการที่ถูกต้องหรือไม่

ผู้ที่สนใจเกี่ยวกับโซลูชัน FIM สามารถดาวน์โหลด White Paper เรื่อง “Five Myths and Misconceptions About FIM” มาศึกษาเพิ่มเติมได้ที่ https://www.tripwire.com/solutions/file-integrity-and-change-monitoring/5-fim-myths-and-misconceptions

สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ

  • Yong Hong Ow (ohong@tripwire.com), Tripwire Sales Manager, Tripwire
  • เอกวิทย์ พรหมสิทธิ์ (ekkawit@mtechpro.com), Product Manager, M-Solutions Technology (Thailand) Co., Ltd.

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Allied Telesis Net.Campus Webinar: 3 คอร์สอบรมฟรีด้าน Network Visualization, Network Operations และ WLAN Troubleshooting

Allied Telesis เปิดคอร์สอบรมออนไลน์ Net.Campus Webinar 3 หลักสูตรทางด้าน Network Visualization, Network Operations และ WLAN Troubleshooting ในวันที่ 11, …

เสริมเกราะป้องกันด้าน Cybersecurity แบบครบวงจรกับ G-Able

เมื่อโลกกำลังก้าวเข้าสู่ยุคที่ผู้ใช้งานสามารถเข้าถึงและใช้บริการด้านข้อมูลผ่านระบบเทคโนโลยีสารสนเทศได้อย่างสะดวก รวดเร็ว ไม่จำกัดสถานที่และเวลา ในขณะเดียวกันข้อมูลที่อยู่ในระบบก็ตกอยู่ในความเสี่ยงต่อการถูกโจมตี ขโมย หรือถูกทำลายได้เช่นกัน ซึ่งภัยคุกคามทางไซเบอร์นั้นมีแต่จะทวีความรุนแรงขึ้นเรื่อย ๆ ดังนั้นการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) จึงเป็นสิ่งที่ต้องพัฒนาไปพร้อมกับความก้าวหน้าของระบบเทคโนโลยีนั้นเอง