文件完整性監測(FIM)解決方案如果部署得好，益處是很大的：

• 如果看到非預期或無法解釋的文件修改，可以立即展開調查：若調查發現系統被入侵，可以快速解決問題。
• 可根據文本或電子表格中列出的核準變更來協調這些修改。
• 可判定這些修改是否動到了策略配置(影響固化標準)。
• 可自動化特定類型修改的響應動作——比如：標記DLL文件的出現(高風險)，但自動推進對DLL文件的簡單修改(低風險)。

但我們不能低估FIM的重要性。別忘了互聯網安全中心在《關鍵安全控制 3.5》中說的：

該報告系統應達到：

• 具備識別常規和預期修改的能力;
• 標記并報警不正常或非預期修改;
• 顯示配置變更歷史及變更人(包括用戶ID切換時的原始登錄賬戶，比如執行“su”或“sudo”指令時)。

這些完整性檢查應識別出可疑系統修改，比如：

• 對文件或目錄的擁有者及權限的修改;
• 使用可隱藏惡意活動的備用數據流;
• 在系統關鍵位置增加文件(可能是攻擊者留下的惡意攻擊載荷，或批處理過程中不當引入的文件)。

不過，如果控制不好，FIM也可能很“煩人”，還會耗用大量時間和精力。只有精挑細選解決方案，精心維護，恰當饋送，根據環境變化進行微調，才可以避免FIM的5個階段不至于讓你的安全團隊不堪重負。

簡單講，FIM的5個階段是：

1. 發現被監測環境中出現了變化;
2. 有變化，而且是非預期的;
3. 有變化，非預期，而且是不好的改變;
4. 有變化，非預期，有不良后果，但有辦法恢復到已知可信狀態;
5. 有變化，非預期，會造成不良后果，有辦法修復，調整解決方案以最小化將來的噪音。

如果尚未部署解決方案，或者已有解決方案不能快速搞定此類變化，那就容易產生FIM“沒什么用”的認知。

提升FIM功效的最佳辦法，是將其監測范圍縮小到針對能解決合規、安全和運營問題的用例上，而且最好就是按這個順序確定優先級。上述5個階段的復雜度也是順序遞進的。

SOX(《塞班斯法案》)合規就是企業FIM的一個很好案例，企業產出SOX相關內容時需有“位置”信息，比如文件、目錄、應用，甚至數據庫字段。但不是全部文件、目錄或應用。

FIM運用上更為成熟的企業可能會說：“我們的SOX數據關聯有135個可作為審計點的位置。我們需要知道發生了什么改變，包括基線改變，以確保生成這些關鍵點的財務報告時不出錯。”

企業購買FIM的原因多種多樣。有些是想要個便宜的“勾選式”解決方案以顯示依法進行了盡職審查，另一些則更關注環境中出現的修改對正常運營造成的影響。

只要認識到FIM的價值，將不得不做的盡職審查轉變為主動去做的安全合規，并將防線縮小到關鍵節點上，收獲更多FIM帶來的價值和優勢就不是空談。