完整性监控与网站安全

作者：Tony Perez | 2022年9月12日

我们经常讨论用于防止黑客攻击的工具，例如安全插件或基于云的WAF，但需要记住安全是一个循环过程。全面的思考过程迫使我们考虑所有安全领域——保护、检测和响应。

在本文中，我将特别关注检测，更具体地说是完整性监控的重要性。

什么是完整性监控

完整性监控是检测环境中发生变更的过程。当变更未经授权时，通常表示存在安全漏洞。

FIM（文件完整性监控）是大型企业中非常常见的安全控制措施，但在微型和小型企业中应用较少。

FIM与网站安全

FIM技术有时内置于CMS的安全插件中。我知道像WordFence和Sucuri这样的插件在WordPress中包含了它。但如果你像我一样，不喜欢在应用层运行安全措施，可以使用像OSSEC HIDS（免费工具）这样的技术来为你完成繁重的工作。我的配置将OSSEC与Trunc结合使用，用于收集、聚合和警报事件。

OSSEC有一个syscheck守护进程，它会按设定频率运行并记录发生的变更。

FIM的实际应用示例

FIM基于这样一个理念：即使拥有所有预防性控制措施，你在某个时候仍可能被黑客攻击。对于缺乏资源、团队和知识的小型网站来说尤其如此。这使得FIM技术更加重要，因为它是发生事件时的故障保护机制。

为了说明这一点……

最近我在进行一些研究：

• 第1部分：2022年WordPress如何被黑客攻击——初始侦察
• 第2部分：2022年黑客对WordPress做了什么——黑客后分析
• 第3部分：分析被黑WordPress网站上的17,000个垃圾链接
• 第4部分：用SEO垃圾邮件劫持网站的SERP结果
• 第5部分：导航81层编码以揭示C&C

该研究旨在跟踪一个恶意行为者如何通过我的一个蜜罐。我用来监控他们行为的工具之一是OSSEC HIDS平台，特别是FIM技术。

它会报告如下变更：

警报 1662160965.3144148: mail – local,syslog,syscheck
2022年9月2日 23:22:45 webhoney1->syscheck
规则：554（级别7）-> ‘文件添加到networktesting.net目录。’
新文件 ‘/var/www/[蜜罐域名]/lyscide.php’ 添加到文件系统。

为了让你了解他们在过程中执行的变更数量，以下是过去7天内“规则：554”触发次数的快速视图。

每个触发事件都是恶意行为者进行变更或添加负载。以下是添加文件的示例：

这些事件会触发通知，提醒我发生了什么：

FIM与网站安全

作为防御者，我们有责任100%正确，而恶意行为者只需正确一次。正因为如此，我喜欢FIM技术。当正确实施时，它们可以成为无价的工具。

虽然上述场景对大多数人来说有点极端，但它应该突显它对网站管理员的力量。一个重要注意事项是确保在预期会有大量变更的目录中禁用它。例如，如果使用WordPress，你不想监控/wp-content/uploads，因为它可能太繁忙（取决于你管理的网站类型）。或者，你也可以调整它仅对特定文件（例如，PHP与JPEG）发出通知。

至少，检查你正在使用的应用级插件，看看它们是否提供某种形式的FIM技术。如果有，将其作为正常流程的一部分，检查它们的输出以验证一切是否正常。

发布类别：安全