Según el Estudio de Mercado de IBM i 2019, la Ciberseguridad es la principal preocupación de los usuarios de servidores Power Systems. Sin embargo, la mayoría no planea implementar ningún cambio para reforzarla este año, debido al poco expertise en la plataforma, la evolución de las amenazas o la falta de presupuesto.
Pero mejorar la Seguridad de su IBM i no tiene por qué ser complicado. Participe de este webinar, en el que le explicaremos las 5 medidas más importantes que puede implementar para reforzar la Seguridad de sus servidores IBM i, de forma fácil y rápida.
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
Las 5 mejoras rápidas y efectivas para la seguridad de IBM i
1. Las 5 mejoras rápidas y efectivas
para la Seguridad de IBM i
2. Amneris Teruel
Experta Senior en Monitorización,
Automatización y Seguridad
amneris.teruel@helpsystems.com
Presentadora de hoy
3. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
IBM i tiene la reputación de ser uno de los Sistemas
Operativos más seguros del mercado.
4. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Fuente: www.ibm.com
5. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
¿“Seguro”… implica que simplemente se enchufa y
no tiene que configurar nada?
6. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Secure Securable
7. Estudio Anual de Seguridad de IBM i
HelpSystems utiliza información anónima
auditada en los Security Scan para
compliar el Estudio Anual de Seguridad
de IBM i.
Este estudio provee un análisis de cómo
controlan las empresas la Seguridad de
IBM i. Puede encontrar el estudio en:
www.helpsystems.com/es/recursos
¡Año tras año, el estudio demuestra que
todavía hay oportunidades de mejora!
8. Asegurar toma algo de trabajo
Sea realista: usted probablemente no se volvió inseguro de la noche para la mañana, entonces no
espere resolverlo rápidamente tampoco.
No existe una poción mágica o una bala de plata en Seguridad.
Las herramientas comerciales pueden (y deberían) asistirlo, pero sospeche de cualquiera que le diga:
“Configúrelo y olvídese”.
¡Pero existen algunas mejoras que puede empezar HOY MISMO!
Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
9. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
10. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Auditar los sistemas
12. ¿Quién utiliza el registro de de auditoría?
Sistemas que usan el registro de auditoría de IBM i
15%
85%
OTROS
*NINGUNO
13. ¿Qué se está auditando en IBM i?
De ese 85% que audita, hay muchos que:
1. No recolectan los eventos recomendados
2. No guardan la información suficiente tiempo para utilizarla
3. No tienen políticas de guardado
4. Nunca revisan la auditoría de forma proactiva
5. No poseen herraminetas que los ayuden
Herramientas de High Availability (HA) configuran la auditoría
solo para replicación (por ejemplo, no incluyen *AUTFAIL)
14. Journal de Auditoría
Debe llamarse QAUDJRN y siempre reside en la biblioteca QSYS
Puede configurarse manualmente o usando el commando Change Security
Auditing (CHGSECAUD)
15. Iniciando la auditoría
“Valor del Sistema QAUDCTL”
Este valor del Sistema funciona como una llave on/off
*NONE: OFF
*AUDLVL: system-level event auditing ON
*OBJAUD: object-level auditing ON
Otro valor sugerido:
*NOQTEMP
16. Iniciando la auditoría
“Valores de auditoría”
QAUDLVL - > QAUDLVL2
Estos valores definen el nivel de auditoría del sistema
Valor por defecto*DFTSET:
*AUTFAIL, *CREATE, *DELETE, *SECURITY, *SAVRST
17. Iniciando la auditoría
“Auditing Values”
QAUDLVL: muy pequeño para contener todas las opciones
QAUDLVL2: extensión de QAUDLVL (solo si QAUDLVL indica
el valor *AUDLVL2)
Se recomienda QAUDLVL=*AUDLVL2 e indicar los valores
deseados en QAUDLVL2
*AUDLVL 2
*CREATE
*SECURITY
*AUTFAIL
*DELETE
*SAVRST
18. Iniciando la auditoría
“Journal Receiver Inicial”
Este parámetro indica el nombre del primer recepetor
Los siguientes incluyen el número de secuencia
Para redirigir la auditoría a una nueva biblioteca
Crear el nuevo receptor
Cambiar el receptor corriente del journal
Los subsiguientes se ubicarán en esa biblioteca
19. ¿Por qué Powertech Compliance Monitor?
Facilita reportes de configuración y eventos de auditoría
Compliance Monitor usa tecnología web para reportes de forma centralizada para varios
servidores IBM i y particiones.
Compliance Monitor incluye reportes tipo scorecards
Compliance Monitor tiene filtros dinámicos de información
Compliance Monitor tiene reportes
orientados a regulaciones
Incluye reportes de cumplimiento de regulaciones
20. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
21. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Antivirus
22. ¿Cómo sucede?
Durante mucho tiempo se creyó que era inmune a la amenaza de virus, pero
contrario a eso, IBM i puede ser la fuente de problemas de virus en su red.
La actividad de virus puede ser descubierta y propagarse vía:
Discos mapeados
FTP
Catálogos de imágenes
Cintas de backup
Alta Disponibilidad
23. Recuerde, si en su IBM i existe malware o ransomware activos, ambos pueden
impactar potencialmente en otro dispositivo.
El antivirus local de dicho dispositivo puede no ser capaz de detectarlo como una
actividad no autorizada, ya que no se encuentra en la memoria local de ese otro
dispositivo.
¡Y viceversa!
¿Cómo sucede?
24. ¿Cómo sucede?
Más allá de que haya implementado antivirus en otras plataformas, los virus
pueden todavía alcanzar su servidor Power Systems.
Las infecciones de virus pueden ocurrir y propagarse debido a:
Vulnerabilidades del Día Cero
Actualizaciones fallidas de las firmas de antivirus
Motores de antivirus bloqueados o desactivados
25. ¿Cómo no me enteré de esto?
Un virus (tradicional) no va a infectar un objeto
nativo como por ejemplo RPG Program, Physical File,
o Query Definition.
Entonces, erróneamente creemos que esto significa
que “no hay virus”.
26. IBM jamás dijo que IFS fuera inmune
¿Cómo no me enteré de esto?
27. De hecho, IBM i incorporó controles integrados antivirus allá
por 2004, en V5R3.
IBM no se hubiera ocupado en incorporar esto si no fuera
porque los virus definitivamente son un riesgo.
¿Cómo no me enteré de esto?
28. Sin embargo, IBM i carece de una herramienta que
escanee.
(IBM no es una compañía que se especialice en antivirus)
¿Cómo no me enteré de esto?
29. Es solamente el IFS
Y mientras tanto, los virus no pueden INFECTAR o ENCRIPTAR las estructuras de la
biblioteca nativa bajo QSYS.LIB…
No significa que códigos maliciosos no puedan IMPACTAR negativamente dichas
estructuras, a través de operaciones de renombrar o eliminar (pista: piense en
ransomware).
31. ¿Por qué usar antivirus nativo?
Beneficios del uso de antivirus nativo:
Integración full entre IBM i y el motor de antivirus
Uso de las propiedades de los stream files
Aviso de archivos infectados en IBM i
Escaneo en tiempo real
Escaneo planificado a demanda
32. ¿Por qué usar Stand Guard Anti-Virus?
El Stand Guard Anti-Virus de HelpSystems está avalado por el
mercado y es el único software comercial que se ejecuta
nativamente en IBM i, AIX y Linux.
Powered by:
33. Compre e instale un motor antivirus
Decida cuándo realizar un escaneo en tiempo real y otros escaneos planificados.
Integre con IBM-supplied exit points
Configure los valores de sistema QSCANFS y QSCANFSCTL
Planifique entradas de trabajo para el motor antivirus y sus actualizaciones
Revise los registros
¡Y LISTO!
Antivirus – plan de acción
34. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
35. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Permisos por comando
36. Cómo los usuarios ejecutan comandos
Para ejecutar un comando, un usuario debe contar con lo siguiente:
1. Visibilidad de una línea de comando y capacidades ilimitadas.
O
2. Una función dentro de un servicio de red (por ejemplo: FTP and REXEC).
37. Invisibilidad de la línea de comando
Los usuarios son limitados únicamente para las opciones provistas en el menú.
38. Pantalla verde
Pero los usuarios pueden ingresar comandos aquí si tienen capacidades ilimitadas
39.
40.
41.
42.
43. Resumen de pantalla verde
Chequeos a pasar para ejecutar un comando desde la pantalla verde:
Visibilidad de la línea de comandos
Permiso a la línea de comandos (non-limited capabilities)
O un comando que permite su ejecución a usuarios restringidos (por ejemplo, SIGNOFF)
Permiso sobre el objeto tipo comando
Cumplir con cualquier permiso especial adicional requerido
45. Resumen de servicios de red
Chequeos a pasar para ejecutar un comando desde un Servicio de red:
Visibilidad de la línea de comandos
Permiso a la línea de comandos (non-limited capabilities)*
O un comando que permite su ejecución a usuarios restringidos (por ejemplo, SIGNOFF)
Permiso sobre el objeto tipo comando
Cumplir con cualquier permiso especial adicional requerido
• Algunos Servicios NO respetan la restricción
de línea de comandos por usuario y deben ser controlados vía exit point
46. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
47. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Privilegios Administrativos
51. ¡Esto es más
común de lo
que usted cree!
(ejemplos del mundo real)
Privilegios administrativos asignados habitualmente a los usuarios
52. Identificar quiénes tienen estos privilegios
Ejecute un reporte PRTUSRPRF para determinar cuáles son los perfiles que tienen
cada una de las 8 autoridades especiales.
¡No se olvide de revisar todos los perfiles de grupo!
Limite cómo pueden aprovecharse los privilegios:
No provea líneas de comando en pantallas de aplicaciones
Limite las capacidades en los perfiles de usuarios
Audite los usuarios que conserven dichos privilegios
Use programas de salida para prevenir el uso de comandos desde servicios de red
Transfiera funciones restringidas a programas CL que se ejecutan con autoridad
adoptada.
53. ¿Por qué Powertech Authority Broker?
Le permite monitorear y controlar el uso de las autoridades poderosas.
Authority Broker permite indicar quién y cuándo obtiene permisos especiales
Authority Broker trabaja con la Seguridad integrada de IBM i
Authority Broker monitorea, controla y audita a usuarios
Authority Broker incluye entornos como SQL Interactivo y SST
Incluye una funcionalidad de
Captura basada en PDFs
54. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
55. Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
Exit Points
56. ¡Todo comienza aquí!
IBM i tiene una base de datos integrada llamada DB2
Cuando usted obtiene su ID de usuario y contraseña, tiene credenciales que pueden darle acceso
a la base de datos a través de cualquier interfaz soportada por el servidor.
58. Era más fácil por estos días
Seguridad por menu: fácilmente limita las aplicaciones y las opciones a las que un
usuario puede acceder.
Seguridad por aplicación: restringe las funciones que los usuarios pueden acceder.
Ambos enfoques son HOY muy débiles.
59. ¿Cuál es el problema?
Menú de aplicaciones
ODBC & JDBC
Telnet
FTP
DDM
60. ¿Una nueva función?
Exit points - Exit programs
IBM i tiene más de 25 exit points dedicados a usuarios accediendo a datos y servicios.
61. ¿Una nueva función?
Dos casos de uso frecuentes de los exit points:
1. Auditoría
2. Control
El exit program es un indicador SI/NO que detiene o deja pasar una petición.
NOTA: Dejar pasar no implica que la transacción sea exitosa.
La transacción debe satisfacer los requisitos de Seguridad del Sistema Operativo.
62. ¿Necesitamos Exit Programs?
Los exit programs colaboran en compensar – y reducir el riesgo – por
controles de Seguridad escasos.
Use exit programs para:
Prevenir accesos NO deseados
Permitir los accesos aprobados
Loguear y alertar ante intentos fallidos de conexión
63. ¿Quién usa Exit Programs?
74%
26%
9%
91%
Usan uno o más exit points Cobertura completa de exit points
YES
NO
64. Resumen de Exit Programs
Opción 1: Escribir programas propios
Ejemplos en http://www-01.ibm.com/support/docview.wss?uid=nas8N1018050
Suelen ser complejos
Pueden tener consecuencias en la performance (esp. con ODBC)
Deben probarse con cada versión de Sistema Operativo
Opción 2: Comprar una solución comercial
65. “The day before a breach, the ROI is zero.
“The day after, it is infinite.”
Dennis Hoffman, RSA
Las 5 mejoras rápidas y efectivas para la Seguridad de IBM i
67. Otros recursos
Lo invitamos a ingresar a www.helpsystems.com/es para acceder a:
Demostraciones en video y descargas de trials.
Webinars en vivo y grabados
Datasheets de producto
Guías y artículos técnicos
Casos de éxito de clientes
Artículos “How To”
Para solicitar su Security Scan GRATUITO