文件完整性監(jiān)視（FIM）已經(jīng)出現(xiàn)很久，對文件修改的監(jiān)視可以讓你知道做了哪些修改，是誰做的修改，以及發(fā)生了哪些變化。這將讓用戶可以很容易地回滾至已知的良好配置狀態(tài)，快速控制非授權(quán)修改造成的損害或潛在的數(shù)據(jù)泄露。

然而，對整個操作系統(tǒng)所有改變而進(jìn)行的監(jiān)視，有可能很快就變得不勝其擾。由此，管理員取消掉大量不停轟炸過來的通知，結(jié)果又降低了實(shí)際惡意活動被發(fā)現(xiàn)的可能性。

因此，F(xiàn)IM系統(tǒng)管理員需要預(yù)測攻擊者可能襲擊的地方，他們可能會做的修改以及可能放置惡意軟件的地方，因?yàn)閻阂廛浖环诺讲辉谖募暾员O(jiān)視系統(tǒng)的監(jiān)視范圍是完全可能的。但下面的方法，則杜絕了這種可能。

Tripwire企業(yè)自動監(jiān)控系統(tǒng)，允許管理員將FIM環(huán)境配置為，只監(jiān)視對其企業(yè)環(huán)境而言真正重要的東西。當(dāng)新的可執(zhí)行文件進(jìn)入系統(tǒng)時，監(jiān)視系統(tǒng)會檢測到該行為并查看是否其是否納入了監(jiān)視。在新可執(zhí)行文件未被納入監(jiān)視的情況下，監(jiān)視系統(tǒng)將動態(tài)配置企業(yè)環(huán)境資產(chǎn)以監(jiān)視該可執(zhí)行文件及其進(jìn)程相關(guān)文件。這樣，管理員便不再擔(dān)心攻擊者會從哪里入侵了。

這套監(jiān)控系統(tǒng)，可以找尋正在被攻擊的地方，監(jiān)視攻擊活動并將監(jiān)視行為鋪開到整個環(huán)境中以預(yù)測攻擊者下一次襲擊可能的入口點(diǎn)。該功能還可與威脅情報服務(wù)集成在一起，可以對惡意軟件進(jìn)行自動響應(yīng)。不管已知的惡意軟件置入到用戶的哪些資產(chǎn)，監(jiān)管系統(tǒng)都會找到它，殺死進(jìn)程，清楚感染，恢復(fù)系統(tǒng)安全。

最新的《威瑞森數(shù)據(jù)泄露調(diào)查報告》表明：一旦被侵入（通常數(shù)秒到數(shù)分鐘之間），數(shù)據(jù)泄露可在數(shù)分鐘至數(shù)小時之內(nèi)發(fā)生，留給你檢測并遏制威脅的窗口期是非常短暫的。如果你正使用典型的FIM產(chǎn)品，它們可能只是進(jìn)行普通的毫無特點(diǎn)的改變檢測，不能實(shí)時檢測出“誰”做了改變，或是給出詳細(xì)而具有可行性的信息。

這將導(dǎo)致在應(yīng)對新惡意軟件時有如盲人摸象，再結(jié)合2015年那長達(dá)204天的平均威脅檢出時間，數(shù)據(jù)泄露簡直無法避免。但部署了Tripwire企業(yè)自動監(jiān)控的情況則不同，它不僅能實(shí)時檢測改變，還有一套復(fù)雜的方法判斷這些改變。另外，自動監(jiān)控的高級功能還能防護(hù)未知威脅。

可以設(shè)想一個場景：普通FIM系統(tǒng)正在監(jiān)視關(guān)鍵系統(tǒng)文件。之前，管理員可能對新惡意軟件入駐并從他們的網(wǎng)絡(luò)中偷走數(shù)據(jù)的事實(shí)一無所知。有了Tripwire企業(yè)自動監(jiān)控，新惡意軟件及其相關(guān)文件都能被檢測到了。管理員不僅僅被告知惡意軟件的存在，攻擊者意圖偷走的數(shù)據(jù)也會被報告給他們。