Sicherheit auf IBM i :
10 große Risiken und wie man sie vermeidet

Die Sicherheitsbedrohungen nehmen zu. Es gibt auch Schwachstellen, die zu Datenverlusten führen können, ohne dass die Absicht besteht, Schaden anzurichten.

Die IBM i ist im Vergleich zu anderen Plattformen zwar besonders sicher, aber nicht zu 100 % risikofrei, wie uns Bob Losey berichtet.

Übersetzung des Artikels von Bob Losay mit seiner freundlichen Genehmigung. 7. 2022.

Wie Sie wissen, hat die Sicherheit auf IBMi nichts mit der Sicherheit auf Windows, UNIX oder Linux zu tun. Ziel dieses Beitrags ist es, zehn große IBM i-Sicherheitsrisiken kurz aufzuzeigen und zu erläutern, was Sie tun können, um sie zu beheben.

1. Zu viele IBM i-Benutzer Operator/Admin

Fast alle IBM i-Systeme adressieren zu viele Benutzer mit viel mehr Berechtigungen, als sie benötigen. Tatsächlich gewähren viele Organisationen einer riesigen Anzahl von Benutzerprofilen Zugriff auf alle Dateien und Objekte in der Datenbank auf dem IBM i OS. Konkret: Nichts hindert Mitarbeiter daran, auf nicht autorisierte Daten zuzugreifen und diese weiterzugeben oder gar das gesamte Betriebssystem zu löschen.

Lösung : Machen Sie sich die Mühe, die Nutzerprofile und ihre Aktivitäten regelmäßig zu bewerten. Standardisieren Sie Profile mit rollenbasierten Berechtigungen, behalten Sie den Überblick darüber, wer Zugriff hat, und behalten Sie Mitarbeiter im Auge, die auf zumindest überraschende Weise Zugriff erlangen.

2. IBM i-Standardpasswörter zulassen

Nutzer bewahren oft Passwörter auf, die mit ihren Benutzernamen übereinstimmen… GROSSER FEHLER. Wie Sie vielleicht wissen, versuchen Hacker immer, Anmeldekennungen zu verwenden, bei denen Benutzername und Passwort übereinstimmen oder leichter zu erraten sind.

So können Hacker prüfen, ob sie sich Zugang zum System verschaffen können (und das gelingt ihnen oft). Dann besteht die Gefahr, dass Ihr gesamtes IBM i-System ausgenutzt wird oder alle wichtigen und vertraulichen Daten gelöscht werden.

Lösung : Die Änderung von Passwörtern beim Eintritt in das Unternehmen und während seiner Ausbildung ist obligatorisch, um dieses Problem zu lösen. Eine kontinuierliche Überwachung der Einhaltung der Vorschriften ermöglicht auch die Erstellung von Berichten, um festzustellen, wie viele Benutzer Standardpasswörter haben, und um nach geeigneten Passworteinstellungen zu suchen.

3. Ignorieren von Compliance-Regeln

Einige Organisationen können die Sicherheitsmaßnahmen zur Erfüllung ihrer Verpflichtungen nicht richtig umsetzen, weil sie die erforderlichen Werkzeuge oder Kontrollen nicht beherrschen.

Wer die Aufgabe aufschiebt, riskiert Sanktionen oder hofft, dass die Prüfer keine Probleme entdecken. Zumal es durchaus möglich ist, dass ein Zuhörer nicht merkt, dass der IBM i nicht vor Viren geschützt ist, weil er nicht versteht, wie die Plattform funktioniert. Und es bietet den Administratoren ein Schlupfloch, zumindest aus rechtlicher Sicht.

Lösung : Es ist unerlässlich, dass Sie die spezifischen Anforderungen, die Ihre Organisation erfüllen muss, genau kennen. Ab diesem Zeitpunkt können Sie geeignete Software oder andere Verfahren einsetzen, um den Prüfern zu versichern, dass Sie alles tun, um diese Richtlinien vollständig einzuhalten und Ihre Daten zu sichern.

4. Eine nicht mehr unterstützte Version von IBM i verwenden

Wie bei jedem Betriebssystem kann es zu Problemen führen, wenn Sie nicht die neueste Version verwenden, insbesondere wenn Sie eine Version verwenden, die vom Anbieter nicht mehr unterstützt wird.

Eine veraltete Version von IBM i zu verwenden bedeutet (oft), dass Sie nicht über die neuesten Updates für Ihre Sicherheitstools verfügen und somit angreifbar sind. Wenn Ihre Version zu alt ist, kann es außerdem sein, dass Sie keinen Support von IBM erhalten.

Lösung: Die einzige kluge Option ist, auf dem Laufenden zu bleiben und sich auf den neuesten Stand zu bringen.

5. Sich auf sichere Menüs verlassen

Die Sicherheit der Greenscreen-Menüs bietet jedem Nutzer einzigartige Optionen, die zu seinem Profil passen. Allerdings gibt es im System nichts zu kontrollieren, da dies die einzigen Orte sind, auf die ein Benutzer zugreifen kann.

Außer, dass erfahrene Nutzer leicht auf Bereiche jenseits der Menüoptionen zugreifen können. Diese Einstiegspunkte ermöglichen es einem Nutzer, die ursprünglich angezeigten Menüoptionen zu umgehen.

Lösung : Es ist entscheidend, sich nicht auf die Sicherheitsrichtlinien der Menüs zu verlassen, auf die die Nutzer über das System zugreifen können. Ebenso sollten Sie auf die anderen verwendeten PC-Schnittstellen achten und eine Autorität auf Objektebene einrichten.

6. Sich auf eine einzige Sicherheitsebene stützen

Die Annahme, dass eine Firewall oder ein Virenschutz für den PC ausreichend Sicherheit vor einem Angriff bietet, ist nicht sinnvoll. Es ist eine mehrstufige Lösung erforderlich, die die Verwaltung von Endpunkten, Virenschutz, Firewalls und strenge Benutzerprofile umfasst.

Lösung: Bewerten Sie Ihre Sicherheitsposition unter mehreren Aspekten, denn böswillige Nutzer oder Akteure nutzen alle Möglichkeiten, um sich als autorisierte Nutzer auszugeben und so Zugriff auf das System zu erlangen.

7. Verwenden Sie die Multifaktor-Authentifizierung (MFA) nicht mit privilegierten Konten.

Die Verwendung mehrerer Authentifizierungsebenen, um sicherzustellen, dass Sie die Personen identifizieren, die auf das IBMi-System zugreifen, wird immer häufiger eingesetzt. Dies ist besonders wichtig, wenn man mit Nutzern mit administrativem Zugriff arbeitet.

Lösung : Einige Richtlinien, wie z. B. PCI DSS, erfordern eine Multifaktor-Authentifizierung für jeden IBM i-Systemadministrator, der die Datenumgebung von Karteninhabern betritt. Diese zusätzliche Sicherheitsebene kann in Verbindung mit anderen Maßnahmen zur Zugriffskontrolle den Schaden, den offengelegte Identifikationsinformationen verursachen können, erheblich minimieren.

8. Endbenutzern Befehlszeilenberechtigungen ermöglichen

Organisationen verwenden häufig Menüs, um die Fähigkeit der Benutzer, eine Befehlszeile zu verwenden, einzuschränken. Doch selbst der unerfahrenste Benutzer kann Fehler verursachen, die ihm den Zugriff auf die Befehlszeile ermöglichen. Und sie könnten damit über 2.000 Befehle im Betriebssystem von IBM i ausführen, von denen einige verheerende Auswirkungen haben können: Daten löschen, Subsysteme deaktivieren oder sogar Daten offenlegen!

Lösung : Sie müssen die Umgebung kontrollieren, in der jeder IBMi-Bediener Befehle ausführen kann, z. B. Green Screen oder FTP. Sie müssen auch den Überblick über die Berechtigungen behalten, die die Benutzer haben, wie in den vorherigen Bedrohungen erwähnt.

9. Betrieb unterhalb der Sicherheitsstufe 40 oder sogar 30

IBM empfiehlt Ihnen dringend, die Sicherheitsstufe Ihres Betriebssystems auf mindestens 40 zu setzen. Einige Nutzer stellen jedoch bei Aktualisierungen die Konfiguration wieder her, um veraltete Programme zu integrieren, mit der Absicht, das Sicherheitsniveau später wieder herzustellen. Nur kommen sie nie wieder zurück.

Es handelt sich um eine schwerwiegende Sicherheitslücke, da ein Benutzer möglicherweise eine Aufgabe unter einem anderen Profil ausführen kann, ohne dazu berechtigt zu sein.

Lösung : Es ist unerlässlich, die Sicherheitsstufe 40 zu erreichen, auch wenn dies auf IBM i kein schnelles Verfahren ist. Sie sollten daher die Aktualisierung planen und die notwendigen Tests durchführen, um sicherzustellen, dass keine verbundenen Prozesse gestört werden.

10. Keinen Plan zur Reaktion auf Cyberangriffe haben

Ein Plan zur Reaktion auf Cyberangriffe unterscheidet sich von einem Notfallwiederherstellungsplan, da ein Cyberangriff eine ganz andere Reaktion erfordern kann. Sie müssen feststellen, woher die Sicherheitsbedrohung kommt, wie Sie den Zugriff verhindern und die beste Strategie zur Wiederherstellung des Schadens oder zur Bewertung des Datenverlusts festlegen.

Einen Virus zu verwalten ist etwas anderes als ein bösartiger Angriff, der versucht, Daten aus Ihrem System zu stehlen: Im ersten Fall kann der Server unwiederbringlich beschädigt werden, im zweiten Fall sind es die Daten, die durchsickern.

Lösung: Stellen Sie sicher, dass Sie über zwei separate Gegenmaßnahmen für diese Szenarien sowie über die erforderlichen Lösungen und die Kommunikation verfügen.

Im Bereich der IBM i-Sicherheit gibt es viele Optionen. Leider sind viele nicht spezifisch für IBM i, um Ihnen zu helfen, Ihr System vor Datenverletzungen zu schützen. Denn viele der angebotenen Sicherheitslösungen sind nicht spezifisch für IBM i. Darüber hinaus verfügen die Lösungsanbieter oft nicht über das administrative Fachwissen von IBM i, um eine wirksame Sicherheit gegen Datenverletzungen zu bieten.

Weitere Informationen :
www.Source-Data.com
.

Ursprünglicher Artikel auf Englisch :

https://www.linkedin.com/pulse/10-ibm-i-iseriesas400-security-risks-ways-avoid-them-bob-losey/