Fare sicurezza con zSecure

© 2012 IBM Corporation
IBM Security Systems
1© 2013 IBM Corporation
IBM Security zSecure:
sicurezza mainframe sotto controllo
Luigi Perrone
IBM SWG – Security Systems
Security & Audit for zSystem & enterprise
luigi_perrone@it.ibm.com

2© 2013 IBM Corporation2
Grazie !Introduzione

© 2015 IBM Corporation3
Mainframe = Total Security
 Il Mainframe è ancora oggi riconosciuto come la piattaforma Sw più sicura in ogni
tipo di scenario e contesto IT presente nel mondo.
 Purtroppo c’è in vigore un pensiero che identifica il MF come una soluzione
arcaica e poco flessibile. In realtà nel corso degli anni è stata l’unica piattaforma
in continua evoluzione che è sempre riuscita a rinnovarsi ed aggiornarsi con
nuove tecnologie HW+SW fornendo allo stesso tempo la continuità e
compatibilità con i software sviluppati di ultima generazione.
 Nessuna infrastruttura IT è ancora riuscita ad eguagliare il Mainframe in termini di
solidità, affidabilità e sicurezza.

Il cuore della sicurezza su System Z
 I dati più importanti delle aziende sono sempre stati conservati su Mainframe sotto
l’attenta gestione del RACF che ha sempre assicurato ogni tipo di protezione,
avvalendosi del fatto che tutti gli utenti dovevano essere conosciuti al sistema, ed
il loro accesso poteva avvenire in totale sicurezza solo da postazioni di rete ben
definite.
RACF
User/Group Admin
Rule Profiles
Data & Applications
z/OS Resources
HW Resources
Digital Certificates
Network resources
Architecture

Eterogeneità, Interconnessione, Complessità
…e la Sicurezza ???
L’evoluzione dei sistemi ICT

Grazie !Le nuove sfide per il
mainframe

Nuove sfide per il mainframe
Con l’avvento del protocollo tcp/ip e l’interconnessione tra sistemi dislocati
in qualsiasi area geografica, e con svariate tipologie di accesso locale e
remoto, il Mainframe ha dovuto affrontare un nuova serie di sfide
• Siamo certi che l’infrastruttura di sicurezza sia ancora
valida per coprire tutti gli aspetti legati alle nuove esigenze
dell’ IT ?
• RACF è stato implementato nel modo corretto per
affrontare i nuovi requisiti di sicurezza ?
• Il nostro sistema MF, può essere oggetto di attacchi o
minacce dovute a nuove scoperture e/o vulnerabilità?
• Come posso implementare un processo sistematico di
controllo ?
• Posso realizzare un sistema di enforcement delle policy di
sicurezza ?
• E’ possibile realizzare un sistema di monitoring e di
alerting in real-time?

L’analisi di IBM
 IBM ritiene che le minacce al mainframe possono provenire da uno dei
quattro domini:
Persone - Infrastruttura - Applicazioni - Dati
 E’ necessario impiegare più livelli di difesa per proteggere il mainframe
COSA FARE ?

L’analisi dei clienti: customer feedback
• Molti clienti hanno manifestato la loro preoccupazione verso un
incremento delle possibili rischi e/o incidenti di sicurezza dovuto alle
maggiori esposizioni dei mainframe
• Le insidie più temute riguardano:
50% Privileged Insiders
21% Advanced Persistent Threats
29% Web enabled z/OS applications
• 86% dei clienti suggeriscono che la tecnica di «Multiple-Layers of
Defense» fornisce la miglior protezione e prevenzione contro i rischi di
sicurezza su Mainframe
Source: IBM Webinar 2/6/2014, Security Intelligence Solutions for System z and the Enterprise

Source: IBM Pre-Sale Mainframe Security Health Checks
• Mainframe Security Design lacunoso e/o obsoleto
• Troppi utenti che possono bypassare la security (anche con assenza di
controlli)
• Processi di monitoring, alerting, reporting mancanti o non sistematici
• Ambiente USS non gestito in sicurezza
• Eccessivo accesso ad utility che bypassano la sicurezza
• Ambienti Test-Produzione con sharing di risorse (es. dischi)
• Storage Mgmt: sicurezza/controllo labile in termini di accesso ai dati,
copia dei dati, riutilizzo degli stessi, ecc.
Le vulnerabilità più comuni

Enterprise Identity & Access
Management
Enterprise Security Monitoring &
Audit Reporting
zSecure: soluzione di sicurezza completa
Audit & Analysis
Analizza eventi di sicurezza ed identifica
eventuali esposizioni e/o vulnerabilità
Monitoring Real-Time
Individua tentativi di
alterazione delle policy e dei
parametri di sicurezza
Policy Enforcement
Mantiene l’infrastruttura di
sicurezza in linea con le regole
di compliance
Administration Mgmt.
Gestione semplificata ed
automatica di RACF
Administration Mgmt.
Interfaccia grafica web per
l’amministrazione di RACF
Administration Mgmt
Amministra il RACF mediante
transazioni applicative CICS
(sia da web che da 3270)
QRadar TFIM IDS TDI ISIMAppscan Guardium
Administration & Audit Mgmt.
Gestione Sicurezza e controllo per RACF
su ambienti zVM
SIEM Adapter
Colleziona, struttura ed invia dati
SMF e di sicurezza al SIEM
QRadar

Grazie !Sicurezza a 360°
…con zSecure

zSecure: come gestire la sicurezza
Admin
Visual
CICS Toolkit

zSecure: come gestire la sicurezza
• Amministrazione Semplificata
• Riduzione tempi operativi
• Analisi immediata (tutti i dati in
unica schermata)
• No command-error
• Autoapprendimento
• Come replicare velocemente
profili e definizioni (no-error) ?
• Comparare facilmente profili
effettuandone poi il change ?
• Come gestire la sicurezza su
multi-LPAR ?
• Posso simulare il deploy in
produzione ?
Admin
Visual
CICS Toolkit

Grazie !L’auditing sistemico
…con zSecure

zSecure: controllo totale
Audit
Alert
Command Verifier

zSecure: controllo totale
Audit
Alert
Command Verifier
• Controllo dei parametri di
sicurezza in modo sistematico
oppure on-demand
• No SMF offload
• Rilevazione scoperture di
sicurezza e remediation
• Clean-up & housekeeping
• Report di Compliance
• Sostituisce le procedure batch-
custom (in vigore presso clienti)
• No upload di dati su DB esterni
• Analisi di diversi tipi record SMF
• Integrabilità nativa con SIEM
(LEEF records)

1818
Grazie !Analisi eventi
& Compliance

Investigazione ed analisi degli eventi
 L’analisi post-evento è fondamentale per poter investigare e capire
quanto è accaduto nel proprio ambiente, in un determinate arco
temporale, in modo tale da poter individuare chi ha fatto che cosa.
 Con zAudit è possibile condurre l’analisi sia sui dati SMF archiviati che sui
dati SMF live in presa al sistema operativo

Con zSecure Audit è possibile valutare la conformità del proprio ambiente
relativamente agli standard supportati
zAudit: standard supportati

zAudit: verificare la compliance
I test relativi allo standard selezionato come riferimento dettagliano la causa
della mancata compliance

2222
Grazie !zSecure Alert:
allarmi in tempo reale

23
zSecure Alert …in azione !
Basato su due Started Task: C2POLICE + C2PCOLL
Possibili azioni di quick-remediation (include/exclude list)
Più di 80 Alert pre-definiti
• User
• Group
• Dataset
• General Resource
• UNIX
• RACF control
• System
• Application

RACF
zSecure: costruiamo la suite
z/OS
IMS
CICS
DB2
zSecure Audit
zSecure Alert
SMFSYSTEM
CONFIG
RACF
UNLOAD
zSecure Command Verifier
zSecure AdminzSecure Visual zSecure CICS
Toolkit

zSecure: una vista d’insieme

2626
Grazie !zSecure:
investimento integrato

27
Un approccio… in totale sicurezza
Security
Management
Security Intelligence
Security
Control

28
La soluzione di Security Intelligence
Extensive Data Sources
Deep
Intelligence
Exceptionally Accurate and
Actionable Insight+ =
Event
Correlation
Activity Baselining &
Anomaly Detection
Database Activity
Servers & Hosts
User Activity
Threat Intelligence
Configuration Info
Offense
Identification
Security Devices
Network & Virtual Activity
Application Activity
Servers & Mainframes
Vulnerability Information
zSecure:
- System z
- RACF
- ACF2, Top Secret
- CICS-DB2
Guardium
‒ DB2
‒ IMS
‒ VSAM
IBM fornisce una soluzione di Security Intelligence, che include un sistema
SIEM, basata su tecnologia Qradar ed in grado di gestire facilmente gli eventi
generati in ambienti mainframe

29
 DSMs (Device Support Module) pluggable QRadar components
– Ogni log-source necessita di DSM per il parsing degli eventi
– I DSM sono are sviluppati da un team di tecnici separato da quello di Qradar e vengono rilasciati
indipendentemente dalla schedulazione di rilascio delle versioni di QRadar.
– Qradar aggiorna dinamicamente i DSM mediante la funzionalità di autoupdate
 6 DSMs per l’integrazione con zSecure Audit
– z/OS
– RACF
– DB2
– CICS
– CA-Top Secret & CA-ACF2
 1 DSM per l’integrazione con zSecure Alert
 These DSMs must be configured and deployed on QRadar SIEM
Nessun interprete di Log… se hai zSecure

30
zSecure-Qradar: integrazione nativa
zSecure si integra nativamente con Qradar. Questa è una soluzione unica sul
mercato in grado di realizzare un’integrazione completa per l’infrastruttura SIEM
zSecure Audit

31
zSecure-Qradar: access violation (per risorsa)

32
zSecure-Qradar: esecuzione di comandi RACF

33
zSecure-Qradar…in tempo reale !
Con zAlert si realizza la modalità di raccolta degli eventi tanto cara a QRadar: il
Real-Time. Grazie a questa integrazione è possibile controllare dal SIEM tutto ciò
che accade, in termini di sicurezza, sul mainframe
SMF
zSecure Alert
Syslog
Protocol

34
Alerts in diretta su QRadar
Collected and
sent to QRadar
by zSecure Alert

35
zSecure-Qradar: alert from security event

36
QRadar Integration
zSecure (Alert & Audit)
integration
Legacy QRadar
integration
Real Time Event Capture Yes, via Alert No, only historical SMF data
Extended User/Resource Information Yes No
Inputs:
• RACF Yes Yes
• ACF2 Yes No
• Top Secret Yes No
• DB2 Yes No
• CICS Yes No
• z/OS UNIX Yes No
• FTP, Telnet Yes No
• Dataset Access Yes No
• PDS Member updates Yes No
 zSecure provides real time input; Legacy only accesses historical SMF datasets
 zSecure adds descriptions to events, Legacy provides no descriptions
 zSecure provides a wide range of input; Legacy only provides RACF records
 zSecure provides more comprehensive input, improving the quality of the analysis
Integrazione con Qradar: zSecure vs Legacy

3737
Grazie !Domande ?
www.ibm.com/security
© Copyright IBM Corporation 2014. All rights reserved. The information contained in these materials is provided for informational
purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages
arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the
effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the
applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services
do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in
these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to
be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are
trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product,
or service names may be trademarks or service marks of others.

Fare sicurezza con zSecure

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Fare sicurezza con zSecure

Ähnlich wie Fare sicurezza con zSecure (20)

Fare sicurezza con zSecure