Il reale livello di sicurezza di un sistema IBM i è determinato dalle politiche, procedure e configurazioni adottate per gestirlo.

News
thumb_A_IBMsecuritystudy_1625563793.jpg

Nessun sistema è mai diventato vulnerabile nell’arco di una nottata, così come non è possibile risolvere ogni problema di sicurezza in un solo giorno. L’approccio corretto è identificare un punto di partenza e lavorare progressivamente e con continuità.

Nel webinar organizzato in collaborazione con Helpsystems e IBM sono stati presentati i risultati sullo studio annuale fatto sulla sicurezza dei sistemi IBM i: il Security Study che quest’anno è stato anche editato in lingua italiana. (Per richiederne una copia compila il form a questa pagina link).

IBM i è considerata una delle piattaforme più sicure disponibili sul mercato. Uno dei grandi vantaggi di IBM i è che dispone di strumenti sofisticati per la sicurezza, il monitoraggio e la registrazione integrati nel sistema operativo. Ma gli esperti concordano nell’affermare che il reale livello di sicurezza di un sistema IBM i è determinato dalle politiche, procedure e configurazioni adottate per gestirlo. Questo studio mette in luce una serie di problemi comuni di sicurezza e di pratiche per la gestione delle configurazioni con cui è necessario misurarsi per proteggere i dati sui sistemi IBM i. Nessun sistema è mai diventato vulnerabile nell’arco di una nottata, così come non è possibile risolvere ogni problema di sicurezza in un solo giorno. L’approccio corretto è identificare un punto di partenza e lavorare progressivamente per creare un profilo di sicurezza sempre più robusto.

Questo studio è il risultato di centinaia di security scan eseguiti sui sistemi IBM i a livello mondiale. È interessante per capire qual’è lo stato della sicurezza dei sistemi IBM i in tutto il mondo e per individuare  quali sono le aree con maggiore criticità. Aiuta i professionisti dell’area IT a comprendere i rischi per la sicurezza IBM i.

Il security scan esegue una scansione sui sistemi IBM i, controlla informazioni chiave a livello di sicurezza del sistema, genera il risultato e si cancella dal sistema.

Se vuoi conoscere lo stato della sicurezza dei tuoi sistemi, gratuitamente e senza impegno puoi richiedere il software (a questo link): i nostri esperti ti supporteranno nell’installazione e nell’interpretazione dei dati.

 

Di seguito vediamo alcuni dei punti principali presentati nello studio indispensabili per mettere in siscurezza il sistema IBM i.

Partiamo dal sistema operativo....

È il primo step da verificare, controllare per avere la manutenzione IBM dal punto di vista delle problematiche anche di sicurezza, sia dal punto di vista delle fix di mercato, cioè dei protocolli standard che esulano dalla piattaforma. Dal sondaggio si può vedere che la maggior parte delle versioni sono la 7.3 che è una delle versioni che sono in questo momento supportate. Una minima parte è al 7.4.

Le 7.1 e 7.2 sono delle versioni che presentano dei rischi, in quanto gli aggiornamenti di sicurezza che vengono rilasciati non ci sono più, o comunque ci sono con determinati vincoli.

Se vuoi ricevere un'offerta per il rinnovo dei tuoi sistemi contattaci anche semplicemente compilando il form sottostante. Siamo partner IBM e accediamo a programmi e piani in grado di offrirti la miglior soluzione per il tuo business.

Il piano di sviluppo di IBM i prevede uno sviluppo che va fino al 2031. Come strategia di mercato, IBM ha adottato una politica di annuncio di una nuova versione ogni 2-3 anni, mentre all’interno di questo periodo ci sono due appuntamenti dove vengono annunciate nuove versioni di sistema operativo, attraverso quelli che vengono chiamati “technical refresh”. Ci aspettiamo quindi che la nuova versione del sistema operativo arriverà all’inizio del prossimo anno 2022/fine di questo anno 2021. Il 13 aprile 2021 invece è stato annunciato il technical refresh 10 per la 7.3 e il technical refresh 4 per la 7.4, che contengono molte funzioni nuove.

Cosa devono fare gli utenti per mantenersi aggiornati? Le patch di vulnerabilità vengono rilasciate da IBM periodicamente, man mano che vengono scoperti possibili attacchi. Nelle nuove release (7.3 e 7.4) ci sono nuove funzioni che permettono a partire da un utente o da una libreria, di poter personalizzare la sicurezza in base all’utilizzo di un’applicazione. Stesso discorso vale per i protocolli di crittografia, che sono in continua evoluzione.

Molto importante per la configurazione della macchina è il valore Q Security.

Il livello di sicurezza della macchina è indicato da questo parametro, che stabilisce chi può entrare e chi può avere accesso al sistema. Esistono diversi livelli di sicurezza, ad esempio il 26 % delle macchine che sono state sottoposte a questo test risulta non avere il livello minimo di sicurezza. Questo significa che a quei sistemi si può accedere in maniera abbastanza banale e corrompere dati. Il livello minimo consigliato da IBM è il livello 40, che introduce una suddivisione tra gli oggetti che appartengono al sistema e gli oggetti utente. Esiste anche un livello superiore (livello 50),introdotto nel mondo IBM i solo per soddisfare certi livelli di sicurezza del Pentagono.

Chi è ad un livello 10 deve assolutamente far qualcosa, il sistema non ha nessun tipo di protezione e chiunque può entrare. Nel livello 20, ogni utente anche se non è definito come security object ha la capacità di accedere a tutti i dati che sono sulla macchina: può quindi leggere e modificare i dati. Ciò è sconsigliato. Dal livello 30 in poi viene rimossa questa caratteristica. Introduce una prima distinzione tra chi può accedere ai dati e chi non può.

La gestione delle password soprattutto di utenti che hanno password predefinite.

Tutti i profili IBM non devono avere la password, tranne il Qsecofr. Questa sarebbe la regola da implementare. Come si può migliorare la gestione degli utenti predefiniti? Un comando molto utile per scoprire se all’interno del proprio sistema esistono queste informazioni è  ANZDFTPWD. Questo comando, oltre a creare un report, è in grado di eseguire azioni, quindi può disabilitare o modificare una password. Permette di elencare gli utenti che hanno password identiche al sistema (password di default) ma anche di disabilitarle.

Andiamo a vedere i privilegi amministrativi: spesso si tende a dare troppe autorizzazioni speciali ai nostri utenti. La gestione dei privilegi amministrativi è molto importante. IBM i fa riferimento ai privilegi amministrativi come “autorità speciali”, di cui ne esistono 8. Le autorità speciali possono essere assegnate ad un utente specifico e vengono ereditate da tutti i profili gruppo dell’utente.

Bisogna fare attenzione ai profili di gruppo: quando inseriamo un nuovo utente in un profilo di gruppo, questo eredita tutte le autorizzazioni speciali. Troppi utenti hanno la possibilità di salvare e restorare oggetti e porzioni di sistema o di dati. Queste autorizzazioni devono essere date a persona di fiducia dell’azienda, che svolgono solo quel tipo di attività.

Gli exit program...

Fino ad ora abbiamo parlato della sicurezza degli utenti, ma c’è invece un punto di configurazione del sistema IBM i abbastanza sicuro ma anche abbastanza complesso dal punto di vista della programmazione: i “famosi” exit program, programmi che possono essere richiamati con funzioni predefinite per migliorare o gestire la sicurezza. Sono un metodo sempre più usato all’interno del sistema operativo non solo per la sicurezza ma anche in altri ambiti. Sono lo strumento più potente per bloccare tutto ciò che viene dall’esterno. IBM i è uno degli strumenti più sicuri al mondo perché la sua architettura impedisce di accedere al sistema e di trasformare un oggetto in un altro, però è anche vero che non è più il sistema di una volta dove l’unico punto di accesso erano i terminali video e l’unico punto di uscita erano le stampanti. IBM i si interfaccia sempre di più col mondo esterno. L’exit program intercetta i comandi provenienti dall’esterno, e il programma scritto dall’utente prevede che ci siano solo alcuni utenti che possono accedere.

Cosa fornisce IBM i per la gestione degli audit? L’auditing è uno strumento del sistema che registra, in base ad una personalizzazione che si va a porre, tutto ciò che accade a livello di accesso al sistema, quindi dall’immissione della password dell’utente che si collega fino all’accesso, modifica e cancellazione dei file. Non degrada le prestazioni. È la parte centrale del sistema operativo. È importante prevedere la gestione delle informazioni (rimozione, salvataggio),qualora si voglia tenere traccia nel tempo. Non è facile interpretare i dati, sono codificati con codifiche specifiche. Vengono scritti programmi RPG per poter accedere all’audit journal ed estrarre queste informazioni.

Conclusioni

Se non siete sicuri di come procedere, iniziate con le priorità principali per la sicurezza IBM i:

  • Sicurezza del sistema: Controllate il livello di QSECURITY e assicuratevi che sia 40 o superiore
  • Audit di sicurezza: Abilitate QAUDJRN e dotatevi di uno strumento che vi consenta di
  • interpretarlo
  • Accessi di rete: Registrate per prima cosa gli exit point più comuni come FTP e ODBC
  • Limitate i privilegi utente non necessari.

 

La maggior parte degli esperti raccomanda di iniziare con una valutazione delle vulnerabilità per capire qual è il livello di sicurezza attuale del vostro sistema e come può essere migliorato. Il mercato offre professionisti della sicurezza con esperienza

Soluzioni EDP con HelpSystems propone una vasta gamma di opzioni, da un Risk Assessment molto approfondito a una scansione di sicurezza Security Scan rapida e gratuita.

Una volta acquisite tutte le informazioni, sarà possibile iniziare a elaborare un piano che affronti le vulnerabilità della vostra azienda. Dopo di che la sicurezza diventerà un processo come tanti e non un momento di panico dopo una verifica andata male o una violazione dei dati.

Richiedi Informazioni

Sei interessato a questo prodotto? Compila il seguente form:
Oggetto della richiesta
Richiedi informazioni su: Il reale livello di sicurezza di un sistema IBM i è determinato dalle politiche, procedure e configurazioni adottate per gestirlo.

A tutela della tua privacy, secondo quanto stabilito dal Regolamento (UE) 2016/679 ed in adempimento alle disposizioni del D.Lgs. 196/2003, Soluzioni EDP® S.r.l. ti garantisce che i dati personali raccolti in questo form verranno utilizzati esclusivamente per rispondere alle richieste di informazioni indicate nel campo 'messaggio' o 'oggetto della richiesta' del seguente modulo.
Dati Personali raccolti: cognome, email, nome, numero di telefono e ragione sociale.
I tuoi dati non verranno in alcun modo ceduti a terzi per finalità di marketing slegate dalle attività di Soluzioni Edp.

Per comunicare con te potremmo, per l'invio di email, avvalerci della piattaforma Mailup che, attraverso sistemi di tracciamento statistico, consente di rilevare l'apertura di un messaggio, i click effettuati sui collegamenti ipertestuali contenuti all'interno dell'email, da quale indirizzo IP o con quale tipo di browser viene aperta l'email, e altri dettagli simili. La raccolta di tali dati è funzionale all'utilizzo della piattaforma e costituisce parte integrante delle funzionalità del sistema di invio dei messaggi.

I tuoi dati verranno conservati per il tempo strettamente necessario ad adempiere alla richiesta contenuta nel form.
I tuoi dati saranno conservati per tutto il tempo necessario all'adempimento della richiesta in territorio Europeo e protetti secondo il Regolamento (UE) 2016/679.
I tuoi dati saranno protetti con tutti i migliori ed attuali sistemi di protezione.

Soluzioni EDP® S.r.l. adotta le opportune misure di sicurezza volte ad impedire l'accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.
I tuoi dati saranno trattati presso la sede operativa di Soluzioni EDP® S.r.l. in Viale Garibaldi, 51 Vercelli (Italia). Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate.
Tu hai il diritto, in qualunque momento, di chiedere la modifica o la cancellazione totale (diritto all'oblio) dei tuoi dati personali in possesso di Soluzioni EDP® S.r.l.: basta una mail a privacy@soluzioniedp.it o contattandoci in altro modo.
Per conoscere nel dettaglio le politiche di privacy e di protezione dei dati personali degli utenti del sito, fermo restando quanto sopra scritto, puoi cliccare qui