Construyendo un planeta más inteligente Congreso de Software IBM 2010 Construyendo un planeta más inteligente

Espacio para fotografía del ponente Tino Veiga Client Technical Professional

Suite zSecure Gestión Integral de la Seguridad Como zSecure contribuye a la Gestión de la seguridad en System z

Blackberry outage widespread February 14, 2007 By Marcia Walton Hace tiempo que el mundo no es seguro para las TIC Massive insider breach at DuPont February 15, 2007 By: Larry Greenmeier TJX data breach: At 45.6M card numbers, it’s the biggest ever March 29, 2007 By: Jaikumar Vijayan Blackberry outage widespread February 14, 2007 By Marcia Walton Bill would punish retailers for leaks of personal data February 22, 2007 By Joseph Pereira Los casos de ataques a las empresas viene de hace tiempo iTunes back to normal after holiday traffic quadruples ABC News: December 28, 2006 4

.. no solo en US… También en Europa 5

¿Y hoy en dia ? IBM X-Force Report: Global Security Threats Reach Record Levels By Mike Lennon on Aug 25, 2010 IBM released its X-Force 2010 Mid-Year Trend and Risk Report today, which showed record threat levels in almost every area. Web vulnerabilities lead the way, representing more than half of the 4,396 publicly disclosed vulnerabilities documented by the X-Force Research & Development team in the first half of 2010. This represents a 36 percent increase over the same time period last year,with 55 percent of the disclosed vulnerabilities having no vendor-supplied patch at the end of the period. Keep in mind that these figures don’t include custom-developed Web applications, which can also contain vulnerabilities. On the positive side, the report noted that organizations were doing more to identify and disclose security vulnerabilities than in the past, helping to drive more open collaboration to identify and eliminate vulnerabilities before cyber criminals can exploit them. Ataques a Webs aumentan En 2009 (la visual es de 2010) el número de nuevos enlaces con contenido malicioso descubiertos en la Web aumentó un 345% en 2009 IBM X-Force Información que forma la base del enfoque preferente de IBM Internet Security Systems a la seguridad Investiga y analiza vulnerabilidades, problemas de seguridad y usos fraudulentos Desarrolla tecnologías de contramedidas proactivas Colabora con las principales organizaciones públicas y privadas para mejorar la seguridad Informa al público de las amenazas emergentes de Internet. Phising Actualmente, Brasil es el primer país en emisión de phising, con un 23,9% de todos los correos enviados en 2009. España ha dejado de ser el país de origen del envío de la mayor parte de los ataques de phising en el mundo, tal y como ocurría en 2007 y 2008. De hecho ya no figura en la lista de los 10 países que envían más correos de este tipo. 6

¿Que está en riesgo? Marca Comercial Propiedad Intelectual Exposiciones Legales y Regulatorias Información del Cliente La confianza del Cliente El coste de remediar los problemas La interrupción del Negocio El trabajo (leer visual)

Visibilidad, Control, Automatización Retos en la seguridad de la información El reto de negocio consiste en comprender si: La información se usa adecuadamente Los sistemas de IT se usan/gestionan de manera eficiente y apropiada Los requisitos marcados por normas y/o políticas internas se cumplen La seguridad es efectiva y no interfiere con la continuidad del negocio Y posteriormente arreglar los problemas (leer la visual) Visibilidad Control y Automation sale 5 segundos después La conjunción de VCA permite afrontar mejor los retos y arreglar los problemas Visibilidad, Control, Automatización 8

Diferentes niveles de seguridad Red Seguridad mínima Estoy seguro de que mis sistemas están protegidos Alertas en tiempo real Necesito saber rápidamente cuando ocurre un ataque, de manera que pueda tomar medidas inmediatamente Auditoría Realizamos pruebas de penetración anualmente Monitorización Revisamos los logs (leer visual) 9

Diferentes niveles de seguridad Mainframe Seguridad mínima Estoy seguro de que mi gente no hace nada mal Auditoría Necesito saber en donde están las exposiciones de seguridad La conformidad con normas debe ser revisada de vez en cuando Monitorización Se en donde están mis exposiciones de seguridad Quiero estar seguro de que no sucede nada malo Alertas en tiempo real Necesito saber rápidamente cuando ocurre algo inesperado, de manera que pueda reaccionar a tiempo (leer visual) Entente cordial entre la SEGURIDAD y la PRODUCCIÓN (Puedo hablar del barco que sale de puerto)

Elementos de Seguridad en System z Platform Infrastructure Security,Compliance and Audit Data Privacy Extended Enterprise Multilevel security Secured Key Storage & management TS1120 Disk and Tape encryption Common Criteria Ratings PKI services RACF Network intrusion detection z/OS Communications Server IBM Tivoli Security information & Event Manager IBM Tivoli zSecure Suite DB2 Encryption and Audit Management Expert Tivoli Identity Manager Tivoli Federated Identity Mgr Crypto Express 2 Crypto Cards System z SMF Network Authentication Service IPSEC and AT/TLS ICSF DB2 Encryption Tool OPTIM Suite IBM Tivoli Security Compliance Insight Manager Guardium Suite (No bajar mucho) Data Privacy : Dispositivos de Cifrado y granularización de los datos Extended Enterprise : Integración de entornos multiplataforma Platform Infraestructure: Comm Server, RACF Security, Compliam y Audit: SMF y mencionar los demás 11

Informes de z/OS y RACF Eventos Identificación de acciones y cambios Tipicamente de registros de SMF Estados Muestra definiciones, como las de privilegios especiales Demasiado volumen de salida, riesgo de perdida de foco En general SMF es el repositorio de preferencia para eventos de Gestión – La mayoría de las herramientas z/OS. RACF por supuesto (o SAF equivalentes : CA-TS y CA-AFC2). Pero RACF el 85% de mercado Los estado también a través de RACF Tanto de eventos como de estados, la información proporcionada es exhaustiva. Ello conlleva un riesgo de perdida de foco 12

La automatización permite pasar de la Auditoría Informes efectivos de z/OS y RACF Detección de cambios Detectar diferencias con informes previos Cambios no detectados cuando se salta o se pierde un informe Verificación en base a referencias Mostrar cuando las definiciones no cumplen los estándares Típicamente se realiza comparando el estado contra una referencia base (al acabar, dando CLICK sale : La automatización permite pasar de la Auditoría a la Monitorización La Gestión de Cambios es fundamental para un buen Control de la Seguridad DETECCION DE CAMBIOS – Detectar …. --- Se basa en eso: Comparar con informes de situaciones previas ----- REFENCIA DINÁMICA Cambios no detec….- Es importante definir sobre QUE se compara ---------------------------- UNA REFERENCIA ADECUADA BASE DE REFERENCIA (BASELINE). (leer visual) La automatización permite pasar de la Auditoría a la Monitorización 13

Estándares de implantación Documentos de referencia base ISO27001 Recommendations for Information Security Management Systems (ISMS) Describe los valores requeridos Lista las excepciones aprobadas Cuando todos los sistemas está en cumplimiento No se necesita ninguna acción Si se encuentra una discrepancia Revertir el cambio o actualizar la referencia base La referencia base se convierte en la documentación para las implantaciones Los informes mostrarán las discrepancias hasta que se solucionen Distribución via correo electrónico o publicación Web Recomendaciones para establecer Sistemas de Gestión de Seguridad TI Una posible guía para establecer referencias base en Seguridad Toca muchas cosas, desde la estructura del documento de Seguridad hasta acciones recomendadas después de la recuperación de un problema. (si acaso, enseñar el link) 14

La suite IBM Tivoli zSecure Solución de Auditoría y cumplimientos con informes y análisis automáticos sobre eventos y exposiciones de seguridad Auditoría y Administración combinadas para RACF en entornos VM Posibilita una administración de RACF mas eficiente y efectiva Monitoriza amenazas en tiempo real Reduce la necesidad de conocimientos de 3270, por medio de un GUI Windows Fuerza cumplimientos de políticas de empresa y regulaciones, previniendo comandos erroneos (dar CLICK para cada componente) (ir leyendo lo que sale) z/OS es un sistema operativo fiable, usado por 1000les de Bancos, Cias de Seguros, Entidades Gubernamentales y el mundo de la Indistria y a Distribución en general. Como en cualquier SO; el z/OS necesita de conocimientos técnicos para el manejo de los parámentros operacionales y de seguridad en la instalación. Aquí es donde IBM proporciona una solución por medio de la familia zSecure . A continuación veremos algunos casos en los que los clientes han identificado y como se pueden manejar mejor por medio de zSecure. Permite realizar la administración desde entorno CICS, liberando recursos RACF 15

Caso de estudio: Cumplimientos Requerimientos Sarbanes Oxley o Basilea Monitorizar cambios en sistema o seguridad (RACF o ACF2) Monitorizar a los usuarios privilegiados Monitorizar establecimiento de conexión irregulares Verifizar paramentros de sistema contra una referencia base Verifizar usuarios con alta autoridad sobre aplicaciones Soluciones disponibles?: Costosa verificación diaria Creación manual de “queries” e informes Dificultades en la referencia base contra el estado real Solución zSecure Informes personalizados de zSecure Audit Referencias base documentan los estandares de implantación de la seguridad Muestran parámetros en conflicto Los cambios aprobados deben estar reflejados en la referencia base Los cambios inapropiados saldrán reflejados hasta que se solucionen (La SOLUCION zSecure sale dando un CLICK) PCI es mas específico. El control de los datos de las tarjetas para evitar el fraude. SOX y Basilea II son mas generales y tratan del control del negocio La mayoría de las compañías están sujetas a una o mas regulaciones, lo que conlleva requerimientos en la Gestión de Cambios, auto-evaluaciones y poder remediar las vulnerabilidades. Depende del grupo de seguridad determinar el alcance y la profundidad del esfuerzo, aunque a veces los requerimientos son de tal manera que la verificación manual llega a ser mas que cara, IMPOSIBLE SMF será el log de preferencia, ya que contiene la mayoría de los eventos de seguridad en System z . 16

Informes RACF en Web * Veamos el detalle del primero a continuación 17

Sumario de cumplimientos En la tercera línea vemos usuarios con password que no caduca nunca 18

Please respond to Security Management Team Envío electrónico de informes Please respond to Security Management Team Estos resúmenes se pueden enviar por correo electrónico. Tanto su obtención como el envío se puede automatizar. El arranque de la obtención del informe se integra en el planificador y una vez arrancado, todo es automático usando CARLa

Verificación contra referencia base Un ejemplo de la comparación entre los estados deseados y los reales. También se puede automatizar la codificación a los valores deseados (CARLa es inteligente) 20

Solución Solución: Informes automatizados para >25 LPARs Excepciones sumarizadas en correo electrónico Informes de detalle disponibles para revisión o archivado Verificación diaria El grupo de seguridad que usó zAudit para monitorizar los cumplimientos, implantaron la solución en más de 35 LPARs. Cubriendo 7 bases de datos de RACF. El análisis de los informes diarios de todas las LPARs puede llevar medio día , incluyendo los cambios y las posibles adaptaciones (baseline o valores) 21

Caso de estudio: Informes varios (Basilea, SOX, PCI, etc..) Los Auditores Piden una larga lista de informes Esperan una rápida respuesta Normalmente lleva dias generar un informe Se usan los perfiles RACF o registros SMF records Soluciones Disponibles?: Usar IRRDBU00 Descarga de la BD de RACF Exportar a DB2 Ejecutar un SQL Importar en Excel zSecure Solution Informes estándar de zSecure Audit Muchos disponibles de inmediato Otros se pueden componer con ayuda de paneles También se pueden construir por medio de CARLa Citas de clientes: Antes de zSecure, nos llevaba 3 días construir un informe. Ahora con zSecure Audit, lo tenemos en 30 minutos. Podemos contestar preguntas en el mismo día y los auditores quedan satisfechos (La SOLUCION zSecure sale dando un CLICK) Este es un caso general de la problemática que representa la obtención de informes como consecuencia de las normas. Para ello no es suficiente con extraer información de SMF sino analizar los parámetros de sistema que pueden ponernos en riego de cumplimientos y los del propio RACF 22

Informes detallados de estado de z/OS zSecure Audit nos proporciona mas de 100 informes estándar sobre parámetros de z/OS y RACF, privilegios, usuarios y perfiles RACF y la manera en que este protege al sistema La cantidad de información puede ser apabullante, por lo que zSecure proporciona sumarios de los mismos con lo mas relevante Malas Configuraciones Vulnerabilidades Preocupaciones de Auditoría (Audit Concerns) En esta visual podemos ver 2 de ellos SYSTEMAU y SETROPAU…………veamos un ejemplo de este último……………. 23

Evaluación de vulnerabilidades automática Los informes de ordenan en función del impacto en la vulnerabilidad del sistema Encabeza la lista el parámetro PROTECTALL que en este caso está en WARNING. Lo que representa una exposición (normalmente controlado) en los accesos a recursos. Otro ejemplo es el de OPERAUDIT = NO con convierte las actividades bajo el atributo OPERACIÓN en indetectables.(de nuevo el equilibrio entre las producción y la seguridad) 24

Informe de usuarios privilegiados El informe de usuarios privilegiados es requerido por prácticamente todas las normas y políticas de seguridad. Este es un ejemplo del informe sumario que proporciona zSecure. Estos usuarios son los que tienen la potestad de cambiar parámetros de sistema y de seguridad. 25

Si los controles de acceso no son suficientes Solución disponible?: Acceso restrigido a datos finacieros Los administradores de almacenamiento y sistemas pueden leer los datos de negocio Los administradores de seguridad se dan la autoridad a si mismos Los administradores de datos pueden concederse accesos impropios Reducción de acceso a ususarios privilegiados Puede causar limitaciones técnicas Si pierdo mi acceso … no puedo hacer ….. Situación: Muchos técnicos con acceso a datos de negocio Los datos financieros se deben mantener confidenciales para prevenir mal uso interno Posibilitar que los técnicos realicen su trabajo zSecure Solution Alertas en tiempo real como controles compensatorios – zSecure Alert Reduce la necesidad de separar accesos Los “sysprogs” mantienen su autoridad Sin batallas políticas o reorganizaciones costosas Rápida instalación y visibilidad A veces el númeor de usuarios privilegiados es mas alto de lo que parece necesario. Pero es dificil restrigir ese número sin poner en peligro las operaciones diarias. Los usuarios dicen que han teniso esa autoridad desde hace mucho tiempo Los DBas tienen todos SYSADM lo que implica acceso a información confidencial A veces es necesaria una autoridad alta para resolver problemas urgentes Dado que es difícil reducir esa autoridad en un tiempo corto al menos y que las regulaciones nos nos dicen que debemos controlar ese tipo de usuarios: LAS ALERTAS EN TIEMPO REAL PUEDEN IMPLANTARSE COMO MEDIDA COMPENSATORIA O DE MITIGACIÓN 26

zSecure Alert lanza alertas sobre accesos peligrosos Please respond to <security@shipping.com> Este es un ejemplo de una nota enviada por zSecure Alert como consecuencia de la lectura de un fichero sensible por parte de un usuario privilegiado. 27

Ejemplo de alertas Este sería la entrada de correo del controlador o gestor de seguridad. Vemos que también se envían alertas como consecuencia de intentos de acceso no autorizados a ficheros UNIX de z/OS 28

La administración de Seguridad no es sencilla Situación: La administración de seguridad se realiza por usuarios técnicos La de usuarios no siempre Los aspectos técnicos los manejan equipos tecnicos Todo esto requiere personas y esfuerzo Solution disponible?: Uso de comandos RACF via ISPF La salidad no suele ser amigable Uso de la DB de RACF descargada en DB2 Información no actualizada zSecure Solution Fácil administración de RACF – zSecure Admin Visión de los profiles, contexto de seguridad Modificación en contexto de campos Informes con diferencias y seguridd efectiva Información actual de la DB activa de RACF Simulación de reorganizaciones de RACF por medio de la opción RACF Offline Leer lo de arriba ( comandos y paneles, batch , DB2 descargada ….) 29

Salida del comando LISTUSER Ejemplo del listado de usuarios con RACF 30

Visión de los perfiles de usuario Lo mismo con zSecure Admin Se ven de un plumazo los usuarios con atributos especiales, por ejemplo O lo que han estado inactivos por mas de 60 días (en este caso) Tecleando S de ve el perfil de cada usuario (a continuación) 31

Detalles de un perfil de usario Se pueden ver y cambiar los datos del perfil visualizado Vemos que el usuario ha estado inactivo desde el 2007, con lo que es candidato a ser borrado. 32

Accesos permitidos Esta opción nos permite comprobar rápidamente los acceso permitidos a los perfiles de una determinada clase 33

Comparación de usuarios Este nos permite comparar los accesos de hasta cuatro usuarios (en este caso vemos dos) Pudiendo ver cada detalle seleccionando las entradas de cada perfil 34

Cambiando en contexto Los cambios se pueden realizar en contexto en todos estos paneles (zSecure genera por nosotros los comandos RACF necesarios) 35

Proteger RACF de los Administradores Situación: Gestión de la seguridad externalizada Administración de usuarios delegada a personal no técnico Departamentos con sus propias aplicaciones, responsibilidades y administradores de seguridad Solución Disponible?: Implantar GROUP SPECIAL, GROUP AUDITOR Poco práctica cuando los “ ownership” de perfiles no está claramente especificada en RACF Desarrollo para construir los comandos de RACF Se evita el tecleo directo pero los privilegios siguen inalterados zSecure Solution Protección contra comandos RACF – zSecure Command Verifier Cada cambio verificado contra politicas granulares Usando mascaras para clases y perfiles RACF Prevención de comandos inapropiados Resolución de parámetros incorrectos u olvidados Incluso controla a los usuarios privilegiados (Special) Es como un seguro que impide que se dispare un arma sin estar seguro. Permite granularizar los accesos a usuario privilegiados 36

zSecure Command Verifier Protección de comandos Las acciones de CV pueden ser susceptibles de ser automatizadas por el automatizador de la operación de consola. Por ejemplo podemos ver como impide cambiar la política de passwords, incluso al usuario mas potente de la instalación. 37

Registro de operaciones Quien ha realizado cambios en los perfiles críticos Registro de la operaciones realizadas que se hayan controlado por CV 38

Mostrar activades z/OS en un contexto de negocio Los logs de SMF son demasiado técnicos para un auditor de negocio Terminología z “Data set names” por ejemplo Usuarios sin la identificación o el rol Acciones (“events”) orientadas a RACF RACINIT… SETROPTS SMF proporciona demasiados datos Que sucede? El auditor se orienta al fallo Los informes son manejados por los técnicos Tivoli Solution Tivoli Security Information and Event Manager (TSIEM) Antes Tivoli Compliance InSight Manager (TCIM) Clasifica todos los recurso y usuarios de diferentes entornos Use el concepto agrupación: Los objetos se agrupan con una etiqueta Traduce eventos en terminos independientes de plataforma Aplica políticas de uso aceptable Identifica actividades no aceptables en objetos Politicas de excepción Se puede focalizar en eventos no esperados Integra z/OS, RACF y DB2 con Windows, Unix, Firewall, SAP, … Permite integrar z/en un entorno SIEM de control de los eventos en todas las plataformas a partir de SMF Armoniza los datos de manera uniforme 39

Recomendaciones de buenas prácticas sobre Gestión de Logs CobiT 4 Provide adequate audit trail for root-cause analysis Use logging and monitoring to detect unusual or abnormal activities Regularly review access, privileges, changes Monitor performance Verify backup completion ISO 17799/27002 Maintain audit logs for system access and use, changes, faults, corrections, capacity demands Review the results of monitoring activities regularly Ensure the accuracy of the logs NIST 800-53 Capture audit records Regularly review audit records for unusual activity and violations Automatically process audit records Protect audit information from unauthorized deletion Retain audit logs PCI Requirement 10 Logging and user activities tracking are critical Automate and secure audit trails for event reconstruction Review logs daily Retain audit trail history for at least one year Es necesario observar buenas prácticas de la gestión de logs … pero……… 40

¿Como armonizamos esto ? 41

IBM Tivoli Security & Event Management (TSIEM) Hablar de la arnonización y si acaso de las 7 W 42

zSecure : Sumario Retos y Realidades de la regulación Las amenazas, regulación de cambios y usuarios privilegiados La suite zSecure –La seguridad RACF mas fácil Administración Auditoría y cumplimientos Alertas en tiempo real Intercepción de comandos También para RACF en z/VM, CA ACF2 y CA Top Secret Comentar que todos los años sale una release nueva en paralelo con el z/OS (va a salir la 1.12) 43

eficaz La suite zSecure optimiza la Gestión de la Seguridad de Mainframe de forma eficaz

Muchas gracias por su atención