Las amenazas en el IBM i (AS400 – iSeries) de ataques de ransomware y malware, en cualquiera de sus formas, se ha convertido en una de las principales prioridades a combatir por los equipos de seguridad informática. Principalmente porque son ataques que están en constante evolución, cada vez se vuelven más complicados de mitigar ya que siempre encuentran nuevas formas y tácticas para entrar a nuestro sistema y vulnerar información confidencial.
A lo largo de los años, IBM ha logrado dotar al sistema IBM i de características y configuraciones avanzadas en cuanto a seguridad se refiere. No por nada se ha ganado la confianza de empresas del sector financiero y bancario. Sin embargo, desde el hardware POWER SYSTEM hasta las redes y sus accesos al sistema, pueden ser una potencial brecha de seguridad para la entrada de malware. Hoy en día, la interconectividad entre sistemas externos es tan necesaria como peligrosa.
Los cibercriminales ya no apuntan hacia aplicaciones individuales o conjuntos de información específicos. Ahora se lanzan hacia ecosistemas completos que estén interconectados ya que son más propensos a tener brechas de seguridad ‘pequeñas’ que pasan desapercibidas.
Una cadena es tan fuerte como su eslabón más débil. Lo mismo aplica para sistemas de seguridad informática.
Defenderse de malware que puede atacar por múltiples frentes, requiere soluciones sofisticadas e integrales capaces de blindar nuestro IBM i de todos los potenciales frentes desde las que podría recibir un ataque. Así como agregando múltiples capas de seguridad, elevando al mismo nivel todos los eslabones de nuestra estrategia de ciberseguridad y sin dejar cabos sueltos sin atender.
Para planificar e implementar defensas efectivas contra malware y ransomware en IBM i, es importante entender claramente por qué estas amenazas son diferentes, cómo funcionan y por qué son tan peligrosas.
Aunque las amenazas de malware han existido durante muchos años, las versiones más recientes se están volviendo mucho más sofisticadas. La velocidad a la que aparecen nuevas variaciones de virus hace que sea un desafío mantener la seguridad, incluso con soluciones modernas de antivirus, feeds de inteligencia de amenazas y seguridad en los access points.
Pero el factor más importante que aumenta el peligro de las amenazas de seguridad, es la evolución de la tecnología ‘spam‘ que cada vez es más capaz de burlar al sentido humano para entrar y ejecutar un ciberataque en el sistema. La planificación y ejecución inteligente de estos ataques significa que las soluciones anti-malware o anti-ransomware no pueden funcionar como algo ‘empaquetado’ y listo para blindar nuestro sistema sólo con instalarlas en el IBM i.
En un ataque típico, primero se examinan y evalúan inteligentemente las brechas o vulnerabilidades de seguridad. Una vez identificadas, cualquier vulnerabilidad por más pequeña que parezca, se explotará para así anular completamente todas las demás medidas de seguridad implementadas. Después de entrar, el hacker evita las demás medidas al aprender e imitar el comportamiento de un usuario normal en el sistema, lo suficiente como para comenzar a hacer modificaciones en configuraciones, permisos, robar información, cifrar bases de datos y demás, de forma desapercibida.
Con el conocimiento profundo en mano y acceso completo establecido, el ataque real se planifica y ejecuta cuidadosamente de manera incremental, lenta y paciente durante semanas o incluso meses. Sin movimientos repentinos, solo pequeños cambios aparentemente normales e inconsecuentes.
Cuando el hacker está listo, el ataque personalizado y cuidadosamente orquestado se ejecuta tan rápidamente y eficientemente que es, en esencia, un ataque ‘Zero-Minute’ que hace que los ataques ‘Zero-Day’ parezcan lentos y descuidados en comparación.
Por lo tanto, enfoque práctico más efectivo para defenderse contra los ataques avanzados de malware y ransomware en IBM i es establecer una defensa de múltiples capas que utilice todas las herramientas y tácticas de seguridad disponibles. Proteger el lado técnico no es suficiente, se necesita cubrir también el lado humano que representa vulnerabilidades. Entre los métodos y herramientas que los principales expertos en seguridad consideran esenciales para evitar malware en las empresas con IBM i se encuentran:
La primera capa de defensa contra el malware y el ransomware, implica establecer y hacer cumplir protocolos de seguridad estrictos que aseguren un control efectivo y automatizado sobre cada punto y método de acceso. Esto debe incluir el control de acceso desde fuentes externas, por supuesto, pero es igual de crítico defenderse contra amenazas “internas”, porque los ciberdelincuentes se han vuelto expertos en mezclarse con sus empleados, contratistas, socios comerciales e incluso su equipo de seguridad.
Una característica central de la seguridad de IBM i es la concesión y control de autoridad de acceso especial o “elevado” a los usuarios, de manera individual o asignándolos a un perfil de usuario específico del grupo. Algunos roles tienen un motivos operativos válidos para acceder a datos confidenciales, y para ello de les otorgan permisos especiales. Por ejemplo: vendedores a listas de clientes, desarrolladores a código fuente, contadores a información financiera, reclutadores a archivos de recursos humanos de empleados, entre otros.
El problema es que en muchas ocasiones, un control laxo sobre los derechos de acceso y permiso deriva en operaciones con demasiados usuarios poderosos. O permisos temporales que terminan siendo permanentes porque el administrador se olvidó de revocarlos, lo que resulta en múltiples vulnerabilidades explotables por atacantes de ransomware.
Agravando este problema está la excesiva dependencia de la autenticación básica basada únicamente en la autenticación por medio de contraseñas. Con frecuencia solemos subestimar lo inseguras que pueden llegar a ser las contraseña, son débiles porque son tan simples de usar y tan fáciles de compartir o perder. Solo se necesita una contraseña anotada en un papel para exponer su sistema a un ataque.
El IBM i incluye una extensa variedad de configuraciones para aplicar controles de acceso, no solo para iniciar sesión, sino para limitar o denegar el acceso a sistemas y datos a un nivel muy específico. Sin embargo, establecer y mantener manualmente controles de acceso efectivos y detallados puede convertirse rápidamente en una tarea abrumadora incluso para organizaciones pequeñas, y definitivamente no escala para administrar entornos grandes y complejos.
Entonces, para habilitar y mantener la seguridad contra violaciones, es necesario aplicar completamente tecnologías de seguridad de última generación. TIMWare puede ayudarte a establecer defensas perimetrales efectivas contra malware y ransomware con las soluciones nativas para IBM i de Assure Security:
Todas estas soluciones generan reportes para cumplir con regulaciones y estrictas auditorías, así como la creación de alertas para informar cualquier anomalía justo en el momento que ocurren, así las compañías pueden solucionar a tiempo y evitar grandes desastres.
Otra capa de seguridad para la defensa del IBM i contra ataques malware y ransomware es el uso efectivo de monitoreo y alarmas para identificar actividades fuera de lo habitual. Por su puesto que en un mundo ideal, los hackers no deberían tener la mínima oportunidad de entrar a nuestros sistemas con todas nuestras medidas de seguridad, pero si ya llevas varios años en TI, sabrás que las cosas a veces simplemente no ocurren como uno espera.
Como se mencionaba anteriormente, una vez que los hackers logran burlar alguna brecha de seguridad y entran al sistema, aprenden e imitan el comportamiento de usuarios reales. Comienzan a ejecutar cambios tan sutiles que pueden ser bastante complicados de identificar de forma manual. La inteligencia y tecnología utilizada por estos cibercriminales se escapa de las capacidades humanas de vigilancia y control.
Los cambios efectuados por estos hackers los van llevando a cabo de forma progresiva y casi imperceptible, las operaciones pueden estar siendo vulnerado por un ataque por meses y no darse cuenta hasta que ya es demasiado tarde. El ransomware tiene la capacidad de pasar desapercibido por bastante tiempo, lo que complica aún más la identificación de la brecha de seguridad por la que entró. Es en estas situaciones en las que un sistema de monitoreo y alertamiento en el IBM i pueden salvar el día de forma oportuna y con el mínimo daño posible ocasionado por estos ataques.
Defenderse contra el malware y el ransomware en esta fase requiere de una monitorización profunda, detallada y automatizada, junto con una vista integral en toda la empresa para análisis, alertas e informes. Por ejemplo, un evento muy pequeño pero atípico en su IBM i, como la descarga de sólo unos pocos registros bajo el perfil de un proveedor privilegiado que ya no está activo en sus sistemas, o no ha iniciado sesión durante varios meses; puede ser una señal de que su seguridad está comprometida. El monitoreo y alertamiento de estas actividades son clave para la identificación oportuna de estos ataques, dando a los equipos de seguridad margen de maniobra para actuar y contrarrestar el ataque.
Esta capa de seguridad adicional podría ser implementada de forma efectiva con los siguientes módulos de Assure Security:
No cabe duda que lo más valioso en nuestros sistemas es la información que se almacena. Y raramente los cibercriminales se benefician directamente de la información que roban, lo más común es privar a la compañía de la información robada y pedir pagos (por lo general en criptomonedas) para que la compañía pueda recuperar esa información. O amenazas de hacer pública la información y que pueda repercutir a la compañía de alguna forma en específico. Los motivos son varios, pero básicamente estamos hablando de un secuestro de información.
Para contrarrestar estas situaciones avanzadas de ataques de malware o ransomware, es necesario agregar una última capa de seguridad a nuestra estrategia contra estos ataques: la protección de información en sitio (at rest) y en movimiento (in motion). Principalmente por métodos de cifrado (o encriptación) tanto de información que esté únicamente en nuestros sistemas e información que se mueve a través de la red.
Cuando la información confidencial se encuentra cifrada, es información que no tiene ningún valor si no se tiene la posibilidad de decifrarla.
Al igual que el punto anterior, no es deseable que los ataques lleguen a estas instancias, pero las cosas pasan. Y cuando pasan, lo mejor es estar preparados y el impacto sea el mínimo posible. En estas situaciones es necesario con contar un cifrado estratégico de nuestra información tanto en sitio como en movimiento.
Al decir cifrado estratégico, nos referimos a cifrar información que realmente no exponga datos críticos en casos de ser robada. Cifrar información no es tan sencillo como parece, no se trata sólo de cifrar y mantener las llaves seguras, hay toda una serie de factores a considerar antes de cifrar información; una mala estrategia de cifrado puede afectar el performance de nuestro equipo, y la operación del día a día. En este artículo te compartimos más detalles para ejecutar efectivamente tu proyecto de cifrado.
La gestión de cifrado debe ser automatizado y seguro, para ello, Assure Security cuenta con los siguientes módulos para su estrategia de seguridad:
TIMWare es socio comercial de Precisely y experto técnico en su solución de seguridad Assure Security. Estamos a disponibilidad para apoyarte a implementar tu estrategia anti-malware y anti-ransomware. No dudes en contactarnos para cualquier duda o comentario, siempre estamos contentos de ayudar.