Artículo

Por qué no debería preocuparse por los hackers

IBM i
Grabado:
9 agosto 2018

 

En realidad, no es que no debería preocuparse por los hackers, pero debe tener en cuenta que sus servidores IBM i se enfrentan a una amenaza mucho más factible. Una que ya se ha filtrado a través de su firewall, ha desarrollado la capacidad de acceder a datos críticos de su negocio, y ha estado operando sin ser detectada, durante años. Para la mayoría de las empresas, esta amenaza furtiva es responsable de más pérdidas de datos que los ataques relacionados con hackers.

¿Cuál es el peligro que acecha a sus activos de datos y cómo ha logrado penetrar exitosamente sus controles? ¿Cómo puede habitar en la red y haber eludido los sofisticados sistemas de detección de amenazas? Es muy simple: ¡la amenaza proviene de sus propios usuarios!

Considere este escenario: luego de algunas semanas en la empresa, un empleado recibe un pase para ingresar al edificio, se le entregan credenciales para registrarse en la red en forma segura, y es capaz de utilizar poderosas herramientas como Microsoft Excel y FTP para acceder a datos críticos en los servidores de la compañía. Lamentablemente, muchas empresas no se dan cuenta, o se niegan a reconocer, que existe una amenaza interna antes de que produzca los mismos efectos que un ataque cibernético.

Realice una búsqueda en internet sobre “ejemplos de amenazas internas” y prepárese para sorprenderse. Recuerde que la mayoría de las filtraciones ocurren debajo de la superficie de detección. Muchas veces, cuando son descubiertos, no se comunican ni se castigan para evitar la vergüenza empresarial. Simplemente despiden al empleado y esperan que el problema desaparezca.

Todos queremos confiar en las personas que trabajan con nosotros. El límite es saber si la empresa quiere apostar a que todos los empleados siempre priorizarán los intereses del negocio, por sobre los personales.

¿Por qué IBM i es vulnerable?

En los servidores que ejecutan IBM i, los usuarios suelen recibir permisos que exceden las necesidades de su rol,  muchos más de los que podrían tener en cualquier otra plataforma como Windows. Incluso cuando se asignan permisos que pueden ser justificados, los controles normativos requieren que sean otorgados en caso de ser necesarios, y siempre bajo un nivel adecuado de supervisión.

Además, IBM i introduce un permiso llamado *PUBLIC. Esta es la cantidad de acceso que un usuario puede tener sobre un objeto cuando un administrador de Seguridad no ha especificado explícitamente un nivel de permiso. En lugar de comenzar sin acceso, como podría esperarse, la configuración por defecto otorga al usuario el permiso de ejecutar programas y leer, modificar, e incluso borrar datos en archivos. Incluso un permiso de solo lectura es suficiente para autorizar al usuario a descargar información de otros dispositivos, en un punto en el que servidor host pierde el control y la visibilidad de sus movimientos.

Imagine que alguien deja un archivo impreso con datos financieros o personales en la mesa de la cafetería de la empresa. Usted debería ser un empleado para poder acceder a la cafetería, pero eso no significa que la información puede ser vista, copiada o eliminada sin permiso. Entonces, ¿por qué muchos de nosotros permitimos que nuestra información electrónica sea maltratada de esta manera? Recuerde, a diferencia de los ataques tradicionales, el robo de información electrónica no es evidente porque la copia original permanece.

La Seguridad no es una de las habilidades más comunes entre administradores de IBM I y el conocimiento sobre IBM no es una habilidad común entre los expertos en Seguridad y auditores. Esta combinación es peligrosa y significa que muchas empresas operan sus servidores con la configuración por defecto, asumiendo que alguien más se hará cargo del problema. Lamentablemente, eso no suele suceder, y muchas veces los auditores pasan por alto algunos agujeros en el sistema de Seguridad.

Tome el control

El primer paso es realizar una auditoría de los permisos de sus usuarios. Muchas empresas comienzan ejecutando el comando PRTUSRPRF para generar un archivo spool por cada sistema. Esta lista puede ser revisada por usuarios que posean uno o más permisos especiales, además del permiso sobre la línea de comandos. La decisión debe hacerse en función de si un usuario ha heredado permisos de cualquiera de los hasta 16 perfiles de grupo.

La mayoría de los administradores temen la carga adicional de trabajo relacionada con la generación de reportes de Seguridad, cuyos datos necesitan saber interpretar. Esta es una preocupación legítima y suele ser mejor para las empresas utilizar un equipo especializado que trabaje en iniciativas vinculadas a la eficiencia y el éxito de este objetivo.

Para los administradores con tareas orientadas a Negocio y las empresas que tienen más particiones de las que pueden auditar, Compliance Monitor les otorga cientos de reportes de Seguridad predefinidos para automatizar la recolección de información relevante en una gran cantidad de particiones de servidores.

Los resultados pueden ser filtrados instantáneamente para procesar datos determinados, como la identificación de usuarios privilegiados sin tener que incluir aquellos que ya conoce o están aprobados.

Compliance Monitor también enseña el permiso efectivo (“Eff”), lo que indica si el usuario tiene la autoridad efectiva (desde su propio perfil o desde su perfil de grupo heredado) sin la necesidad de esfuerzos adicionales de auditoría.

Considere asignar a los usuarios a grupos basados en roles y asegure que el permiso público a librerías y objetos esté configurado apropiadamente.

El sistema operativo IBM i controla la mayor parte de su configuración a través de valores de Seguridad de sistemas. Desafortunadamente, estos valores de sistema no están pre-establecidos en forma óptima. No todas las empresas requieren la misma configuración de valor, entonces el administrador debe tomarse el tiempo de entender el significado de cada una y las consecuencias de establecerlas incorrectamente. Determine una base y compare frecuentemente la configuración actual con esa base. La función de auditoría de IBM i, si está configurada, escribirá una entrada de auditoría “SV” cada vez que un valor de sistema sea alterado.

El escenario de amenazas internas está integrado por muchos de estos valores de sistema, especialmente los relacionados con las conexiones de los usuarios. También es común el uso de contraseñas débiles o, incluso peor, contraseñas predeterminadas. A todo el mundo le molestan las contraseñas, pero ¿protegería su cuenta bancaría con una contraseña de 1 caracter? Las contraseñas, o mejor aún, las frases de contraseña, tienen que ser sólidas, y se deben cambiar con frecuencia y monitorear para controlar un uso fallido.

Establezca exit points correctos

Los empleados suelen tener acceso a los datos de aplicaciones. El acceso no autorizado a esos datos se puede prevenir a través de la aplicación. Sin embargo, cuando un usuario obtiene acceso por fuera de la aplicación, corremos el riesgo de que vea, descargue, o modifique datos sobre los que no tiene autorización.

Existen numerosas herramientas, muchas incluidas en el emulador de IBM i Access e incluso en Microsoft Windows, que permiten a los usuarios realizar funciones sin la necesidad de comenzar una sesión de emulación 5250, “pantalla verde”. Si bien ninguna herramienta va a sobrepasar la Seguridad a nivel de objeto, la confianza en la Seguridad de las aplicaciones y menús expone al sistema en formas que las empresas ni se imaginan. Muchos servicios facilitan el acceso a la base de datos, mientras que otros permiten a los usuarios emitir comandos contra el host, ¡incluso cuando su perfil carece permisos de línea de comando!

Cuando IBM introduce los servicios TCP a mediados de los ’90, establece un registro de exit points que permite la asignación de programas de salida escritos por los usuarios. Estos programas son invocados antes de que cualquier solicitud asociada de un usuario sea ejecutada; proporcionando una funcionalidad previa al proceso. La función clave de un programa de salida de red debe ser cumplir la capacidad perdida de escribir un registro de la solicitud, así como indicar si la solicitud del usuario debe ser rechazada o derivada al servicio para que sea procesada.

Network Security es una suite comercial diseñada para programas de salida, que actúa como un firewall transaccional. Controlar más de 30 exit points diferentes es muy sencillo, gracias a un motor fácil de configurar, basado en reglas que permiten a un administrador asignar permisos en base a usuario, perfiles de grupos, o a la dirección de IP desde la cual se conecta.

Las solicitudes iniciadas en la red pasan de ser transparentes a ser auditadas completamente y emitir notificaciones cuando ocurren eventos críticos. Las empresas con experiencia para configurar correctamente la Seguridad a nivel de objeto pueden aprovechar la capacidad de Network Security para establecer niveles de acceso variables cuando los usuarios acceden a datos a través de diferentes interfaces, algo que IBM i solo no puede hacer.

¿Quién vigila a los que vigilan?

Uno de los principales dilemas de Seguridad es cómo limitar y monitorear a los usuarios que tienen la responsabilidad de administrar la Seguridad y auditar a otros usuarios. El Acta Sarbanes-Oxley (SOX) de 2002 es una de las regulaciones más exigentes en los Estados Unidos.

La normativa requiere la separación de tareas para limitar el acceso y las funciones de cualquier individuo, al mismo tiempo que establece garantizar que alguien más visualice sus acciones. Es el mismo concepto básico que protege a las cajas de Seguridad y a los sistemas de armas nucleares. Ambos requieren dos o más claves distintivas, para acceder a ellos. Lamentablemente, como la mayoría de los controles, SOX fue presentada luego de varios casos devastadores de fraude interno y gestión incorrecta de activos.

IBM I puede registrar el uso de comandos como parte de su infraestructura integrada de Seguridad. Sin embargo, no hay visibilidad de entornos sin comandos como SQL interactivo, System Service Tools (SST), Data File Utility (DFU), y ODBC. Este vacío es significativo cuando se considera que estos entornos sin comandos representan un gran riesgo.

Complementar el sistema operativo con la tecnología avanzada de PowerTech, mejora significativamente las capacidades de auditoría y control en numerosas áreas clave. Por ejemplo, Authority Broker puede tomar capturas de pantalla de la actividad de usuarios privilegiados en ODBC, FTP, y Remote Command (entre otros).

Los registros de auditoría deben ser siempre revisados por otro empleado para cumplir con el nivel de control que requieren muchas regulaciones y buenas prácticas.

Comunicar es algo bueno

Los equipos de gestión deben alentar a los departamentos de IT para que compartan sus preocupaciones de Seguridad. Culparlos por los problemas de Seguridad, desmotivará su apertura. Después de todo, las configuraciones de sus sistemas pueden haber sido diseñadas por la administración anterior. Los proyectos de Seguridad suelen ser costosos, pero existen demasiados responsables de IT que desestiman una vulnerabilidad, o prefieren no prestarle atención, con la idea de que los reducidos presupuestos no les permitirán desarrollar nuevas capacidades o adquirir soluciones de Seguridad.

Revisar y escalar los requerimientos, permite que los encargados de la toma de decisiones tengan la oportunidad de evaluar riesgos y planificar posibles soluciones antes de que ocurra un problema grave. Si esto no sucede, la Dirección asumirá que no hay ningún inconveniente.

Entienda que las vulnerabilidades más comunes expuestas durante la auditoría de un servidor que ejecuta IBM i, no son el resultado de la falla de un sistema operativo débil. Por el contrario, IBM i es considerado uno de los sistemas operativos más seguros del mercado. El problema radica en los controles que no son utilizados o que son utilizados precariamente por el administrador, los desarrolladores internos, o incluso los proveedores de aplicaciones comerciales.

La buena noticia es que, con una pequeña inversión en habilidades y conocimiento, un servidor puede ser más seguro, si utiliza los controles que están incluidos en su sistema operativo IBM i.

Implementar soluciones comerciales provenientes de empresas con una sólida reputación en Seguridad como HelpSystems puede reducir el riego de que ocurran filtraciones de datos internas y de que pasen desapercibidas. Nuestras soluciones Powertech expanden las funcionalidades proporcionadas por el sistema operativo y automatizan muchas de las tareas que requieren los auditores.

Comience hoy mismo

Conozca cuál es el estado de la Seguridad de su IBM i y cuáles son los puntos más vulnerables de su sistema.

Soluciones Relacionadas