Contenuti
Le aziende di tutto il mondo si stanno rendendo conto che una cybersecurity poco rigorosa comporta un impatto sul business sempre più pesante: con tempi di inattività inaspettati, perdita di produttività, cause legali e notifiche di violazione dei dati. Non sorprende, infatti, che più del 60% dei professionisti di IBM i ha dichiarato nel sondaggio di quest’anno sul mercato IBM i che la cybersicurezza è una delle principali preoccupazioni.
Il 22 giugno, all’interno della cornice della Power Week, l’evento digitale ideato e organizzato dalla Comunità di Faq400, è stato presentato Lo Studio sullo Stato della Sicurezza IBM i del 2022, giunto ormai alla 19a edizione. Lo studio analizza le impostazioni di 186 server e partizioni, fornendo informazioni reali su come le aziende di tutto il mondo proteggono questo potente sistema operativo.
Riportiamo in questo articolo alcuni risultati con il commento da parte dei massimi esperti nel panorama Power i: Jenko Gaviglia, Director of Sales di Helpsystems e Luca Maurizio Verzicco, Presales Manager di WSS Italia, e Michele Blandamura, Power Technical Specialist di IBM Italia, che ha contribuito a raccontare le numerose novità introdotte con la nuova release 7.5.
Livello di applicazione della sicurezza
Le migliori pratiche di sicurezza di IBM i iniziano con la corretta configurazione dei valori di sistema, da cui dipende quanto sia facile o difficile per qualcuno usare o abusare del vostro sistema. Infatti, valori di sistema mal configurati o non monitorati rappresentano un rischio di sicurezza.
Il livello di sicurezza del sistema (QSECURITY) stabilisce un indice generale, anche se spesso viene compromesso da altre impostazioni. IBM raccomanda e distribuisce il livello di sicurezza 40 come minimo, a causa di una vulnerabilità documentata riscontrata nel livello 30 e inferiore. Va notato che nonostante la revisione dell’impostazione predefinita, la migrazione di un server, in genere, ricaricherà questo valore allo stesso valore che si trovava sulla generazione precedente del server.
La Figura mostra la distribuzione delle impostazioni di sicurezza sui sistemi inclusi nel dataset 2022. Dei 186 sistemi studiati, il 16% eseguiva il livello di sicurezza 30 e il 4% era in esecuzione con il livello di sicurezza 20. Si può notare, quindi, di un miglioramento graduale negli ultimi anni.
Molti di coloro che utilizzano un livello di sicurezza inferiore alla norma lo fanno senza un intento deliberato, dopo aver migrato i valori del proprio sistema da un server più vecchio e ora si rendono conto della necessità di adottare misure correttive. Anche se c’è ancora spazio di miglioramento, questa è un’area della sicurezza di IBM i che sta gradualmente migliorando.
Sicurezza delle password e dei profili
I profili inattivi sono profili utente che non sono stati utilizzati negli ultimi 30 giorni o più. Creano un problema di sicurezza perché questi account non sono mantenuti attivi dai loro utenti, il che li rende vulnerabili. Molti di questi profili inattivi appartengono a ex dipendenti o persone che potrebbero portare rancore o che potrebbero trovare i dati del loro ex datore di lavoro nei loro nuovi ruoli presso aziende concorrenti.
La minaccia persiste anche se gli ex dipendenti non tentano mai di utilizzare questi profili. Altri utenti all’interno dell’azienda potrebbero sapere, ad esempio, che il profilo dell’ex direttore IT è ancora presente nel sistema. E se un profilo inattivo viene sfruttato da un ex dipendente, da un insider malintenzionato o da un hacker, l’uso insolito del profilo non verrà rilevato e segnalato dal proprietario del profilo.
Un altro problema legato alla sicurezza dei profili può provenire dalle password predefinite. Una password predefinita è dove la password corrisponde al nome del profilo. I profili forniti da IBM non devono avere password TRANNE QSECOFR. Su IBM i, i profili che hanno una password predefinita hanno una password uguale al nome utente. Gli hacker, o anche i vostri dipendenti, possono indovinare nomi di profilo e provare le password predefinite.
Gli standard normativi e legislativi di solito impongono agli utenti di utilizzare credenziali uniche conosciute solo all’utente stesso, assicurando che qualsiasi azione possa essere ricondotta a quella specifica persona. Le aziende potrebbero avere difficoltà a perseguire attività illegali o non autorizzate se risultasse evidente che le credenziali non fossero in grado di identificare in modo inequivocabile il colpevole.
In questo studio, il 18% dei profili utente hanno password predefinite. 52 dei sistemi studiati ha più di 30 profili utente con password predefinite. Il 27% è messo ancora peggio con più di 100 utenti con password predefinite. Un sistema ha un totale di 4.010 profili utente con password predefinite e praticamente tutti erano in uno stato abilitato.
Abbiamo approfondito il tema delle password nel mondo IBM i in questo articolo.
Privilegi amministrativi
Nella maggior parte dei server, gli utenti di solito non hanno autorità su un oggetto o un’attività, a meno che non sia stata espressamente concessa loro l’autorizzazione. Con IBM i, ogni oggetto ha un’autorizzazione predefinita che si applica agli utenti non nominati, conosciuta come *PUBLIC. Questa autorizzazione predefinita dà l’autorità sufficiente per leggere, modificare o cancellare i dati da un file.
A meno che all’utente non sia stata concessa un’autorità specifica, l’utente può sfruttare l’autorizzazione predefinita dell’oggetto. Quando i diritti di accesso *PUBLIC vengono lasciati liberi, c’è il rischio di modifiche non autorizzate ai programmi e alterazioni dei database.
I nostri risultati dimostrano che i clienti IBM i hanno ancora troppe librerie accessibili all’utente medio, librerie che spesso comprendono informazioni aziendali critiche. Ogni utente del sistema ha praticamente accesso a dati ben al di là delle loro necessità dimostrate.
Protezione da ransomware, virus, e altre minacce informatiche
L’infrastruttura tradizionale di librerie e oggetti di IBM i è considerata altamente resistente ai virus, ma altre strutture di file all’interno dell’Integrated File System (IFS) sono suscettibili a ospitare file infetti, che possono essere propagati in tutta la rete. Riconoscendo questa realtà, IBM ha creato valori di sistema e supportare la scansione nativa dei virus.
Gli amministratori iniziano a riconoscere che IBM contiene file system che non sono immuni alla possibilità di essere infettati e, in determinate circostanze, applicazioni native e persino IBM i possono essere colpiti.
Quando i server di questo studio sono stati esaminati per i controlli antivirus, il 15% di essi effettuava la scansione all’apertura dei file, il che rappresenta un notevole aumento rispetto agli anni precedenti. Ma questo significa che il restante 85% rischia di avere oggetti interni o di diffondere un’infezione a un altro server della rete.
Gli esperti dei sistemi IBM i consigliano:
- Registrare un exit program al punto di uscita QIBM_QP0L_SCAN_OPEN per intercettare i tentativi di apertura dei file dalla rete e scansionare i file prima che vengano aperti. In questo modo si evita che i virus si diffondano al di fuori dell’ambiente IBM i. Inoltre, l’utilizzo di un exit program registrato al punto di uscita QIBM_QPWFS_FILE_SERV può contribuire a limitare le azioni dei virus remoti che operano su altri server della rete.
- Installare una soluzione antivirus che funzioni in modo nativo su IBM i, come Powertech Antivirus for IBM i, per rilevare e rimuovere le infezioni e impedire che il malware si diffonda al di fuori dell’ambiente corrente.
Conclusioni
IBM i ha la reputazione di essere una delle piattaforme più sicure disponibili. Uno dei grandi vantaggi di IBM i è che nel sistema operativo sono integrati strumenti altamente specializzati per la sicurezza, il monitoraggio e la registrazione. Ma gli esperti concordano sul fatto che la sicurezza di IBM i è tanto efficace quanto lo sono le politiche, le procedure e le configurazioni.
Questo studio ha evidenziato una serie di vulneravilità comuni alla sicurezza e alcune pratiche di gestione della configurazione che devono essere affrontate per proteggere i dati sui sistemi IBM i. Nessun sistema è diventato vulnerabile da un giorno all’altro, né è possibile risolvere tutti i problemi di sicurezza in un solo giorno. L’importante è iniziare da qualche parte e fare progressi continui verso un profilo di sicurezza più solido.
Per questo proponiamo di fare un primo step insieme a noi grazie al tool Security Scan di PowerTech. Una soluzione gratuita che in soli dieci minuti fa un check-up sullo stato di sicurezza dei tuoi sistemi IBM i, AIX e LINUX. Security Scan produce un report COBIT-Compliant di facile lettura grazie all’ausilio di immagini e metriche, che consente di individuare eventuali vulnerabilità dei vostri sistemi. Richiedi il tuo assessment gratuito>>
In questo articolo, abbiamo raccolto i punti salienti di uno studio più ampio e dettagliato. Se l’IBM i fa parte del vostro data center, questo studio è una risorsa fondamentale per comprendere i rischi di sicurezza dell’IBM i e le misure che potete adottare per rafforzare la sicurezza del sistema.