Malware en IBM Power Systems: lo que necesita saber
Malware: ¿cuáles son las amenazas?
El malware puede provenir de y en una variedad de vectores de ataque. Además de utilizar métodos «tradicionales» para propagar malware, los adversarios pueden aprovechar métodos más sofisticados para convertir su Power System en un «host de malware».
El objetivo clave son sus datos. Los datos son valiosos y las organizaciones han pagado al menos $ 602 millones a bandas de ransomware en 2021. Si no lo están robando para venderlo en la dark web (números de seguro social, números de tarjetas de crédito, nombres y direcciones), entonces se retendrá para pedir un rescate… “Danos algo de $$$ si quieres que descifremos tus datos. ”
¿Por qué molestarse?
Muchas organizaciones están sujetas a requisitos reglamentarios, como PCI-DSS, HIPAA, FISMA, Gramm-Leach-Bliley Act (GLBA), UK DPA y GDPR. Las sanciones pueden ser severas para cualquier organización que «filtre» datos. Una aerolínea del Reino Unido, por ejemplo, fue multado con £ 20,000,000 por la Oficina de Comisionados de Información (ICO).
El costo promedio de una brecha en 2021 fue 3,9 millones de euros (4,24 millones de dólares)lo que representa un aumento del 10 % en comparación con 2020. En el caso de las infracciones, el tiempo es oro y, en promedio, se necesitan 287 días para identificar, cerrar y remediar una filtración de datos.
Los sistemas de energía no se pueden infectar, ¿verdad?
Debido a que un virus con arquitectura Intel (x86) no puede ejecutarse en los sistemas operativos IBM i, AIX, RHEL o CentOS que se ejecutan en el Power Chipset de IBM, corremos el riesgo de interpretar esto erróneamente como «¡No hay virus posibles!» IBM nunca ha afirmado que IBM i IFS fuera inmune, como lo demuestra el hecho de que IBM i adquirió protecciones antivirus integradas en V5R3 en 2004.
Sin embargo, eso no impide que se almacene malware. Todos estos Power OS pueden compartir espacio en disco. IBM i utiliza su sistema de archivos integrado (IFS) para permitir recursos compartidos de NetServer, lo que permite a los usuarios de escritorio de Windows acceder a IBM i IFS a través de una unidad asignada. AIX y Linux permiten sistemas de archivos en red (NFS) que permiten lo mismo, es decir, la capacidad de acceder al sistema de archivos a través de una unidad asignada. Esto significa que si un virus Intel se copia en la unidad asignada del sistema de destino, se esconderá felizmente allí sin ser detectado por ningún software antivirus en el sistema de origen.
Esto hace que su Power System sea como un ‘portador’ asintomático. No hay síntomas en el sistema operativo «anfitrión», pero puede volver a infectar sus máquinas con Windows si el usuario hace clic en el archivo u objeto en el recurso compartido de archivos desde su escritorio de Windows.
Más recientemente, el 35 % de todo el malware nuevo se escribe está dirigido a Linux, el sistema operativo predominante de los servicios en la nube, lo que significa que esto se puede ejecutar y es una amenaza real. Sin embargo, este no es un problema nuevo. En 2014 un botnet masivo de 25,000 servidores Linux comprometidos se encontró usando una combinación de malware (Ebury y Cdorked, por nombrar solo dos) para redirigir el tráfico web y enviar spam.
¿Cómo combatir esto?
Hay algunos pasos simples que puede tomar para combatir esto.
Cuentas de administrador conocidas
Deshabilite las cuentas de administrador conocidas, como QSECOFR y root. Evite que inicien sesión. Obtenga algunos Software de gestión de acceso privilegiado (PAM) o implementar sudo para servidores *NIX. ¡No use nombres de usuario obvios como ‘JSMITH’ y trabaje según el principio de privilegio mínimo para todos, incluidos los administradores de sistemas!
Apague y elimine los servicios innecesarios
Hay una multitud de servicios que aún se envían con IBM I, AIX y Linux que son intrínsecamente inseguros y hay tres que son comunes a todas las plataformas. Si tiene TFTP, FTP o TELNET en ejecución, implemente SSH y luego apáguelos y elimínelos.
Reforzar la configuración de los servicios restantes
Si está ejecutando SSH, NFS, servidor Apache, etc., asegúrese de seguir las mejores prácticas y estándares, como los desarrollados por la organización sin fines de lucro. Centro de Seguridad en Internet (CEI). Supervise su configuración para asegurarse de que no haya cambiado de un ‘punto de referencia’ establecido, ya que las bases de datos mal configuradas y los servidores http son puntos de entrada comunes para las filtraciones de datos.
Definir una política de contraseña segura
Las opciones de reutilización, las distinciones entre contraseñas antiguas y nuevas, y la longitud de la contraseña son prácticas excelentes, pero es incluso mejor comenzar a emplear «frases de contraseña» que no se pueden descifrar mediante ataques de diccionario de fuerza bruta. Aún mejor, comience a utilizar una clave SSH que solo permita el acceso a un sistema al intercambiar una clave cifrada. Considere la autenticación de dos o varios factores como una capa de seguridad adicional difícil de descifrar.
Cuentas de usuario
Manten eso en mente El 61 por ciento de las infracciones son causadas por credenciales comprometidas, por lo que debe evaluar con frecuencia sus cuentas de usuario y bloquear aquellas que hayan estado inactivas durante un período prolongado. También se debe realizar una verificación de los objetos propios, ya que el código de producción y los archivos no deben estar en manos de individuos, sino de grupos o cuentas de mantenimiento.
Parchar
¡Se acabó la era del “si no está roto no lo arregles”! Diariamente se descubren nuevas vulnerabilidades, por lo que debe adherirse a un plan regular de parches.
Copias de seguridad y recuperación ante desastres
54 por ciento de las organizaciones recuperarse de un ataque de ransomware empleó la reinstalación y la restauración de la copia de seguridad para resolver el problema, mientras que 23 por ciento de las organizaciones tener un plan de recuperación ante desastres no lo pruebe.
Vale la pena recordar que la razón principal para tener un plan de recuperación ante desastres y probarlo con regularidad es armarlos a usted y a su equipo con la confianza de que se puede brindar continuidad digital, minimizando la interrupción del negocio. Las pruebas regulares prueban el plan y aseguran que los puntos y tiempos de recuperación acordados sigan siendo alcanzables.
Contratar y retener a los mejores talentos
Puede parecer obvio, pero trate bien a su personal. Los actores de amenazas y los grupos criminales están reclutando activamente empleados descontentos para proporcionar acceso a los sistemas y redes. El grupo de ransomware LAPSUS$ incluso publicó un ‘anuncio de trabajo‘!
Pensamientos concluyentes
Todos podemos aportar nuestro granito de arena. No pague rescates. Es mucho mejor evitar un ataque de ransomware fortaleciendo las superficies de ataque que tener que lidiar con las consecuencias. Los Power Systems, como IBM i y AIX, no pueden infectarse, pero pueden actuar como anfitriones. RHEL y SUSE pueden verse comprometidos y ejecutar malware. Proteja sus sistemas de energía con software antivirus nativo para atrapar malware en la fuente.