Kaita
| |

IBM i: 5 Tietoturvauhkaa

Asiantuntijakirjoitus
Göran Nordman, IBM i asiantuntija, Kaita Finland

Kiristyshaittaohjelmia, heikkoja salasanoja, näkyvyyden puute tapahtumiin.  Tutut tietoturvauhat uhkaavat myös IBM i -alustaa.

IBM i:n sisältämä tieto on usein hyvin liiketoiminakriittistä, sen sisältämien tietojen turvallisuuden olisikin syytä olla avainasemassa suunniteltaessa tietoturvastrategiaa.

Artikkelissa kerromme viisi suurta tietoturvauhkaa IBM i:n näkökulmasta ja keinoja niiden ratkaisemiseen.

1. Tekemättömyys, passiivisuus ja vahingot

Power i:tä koskevat samat tietoturvauhat, kuin muitakin alustoja. Usein kuitenkin luotetaan vanhoihin passiivisiin toimintamalleihin, joka saattaa aiheuttaa väärää turvallisuuden tunnetta. IT-osastoilla on paljon tekemistä. Työntekijöitä kuormitetaan paljon, mutta joskus myös luotetaan liikaa. Oman osaamisalueen ulkopuolella sattuu vahinkoja. Mikäli ei ole olemassa säännöksiä ja toimintamalleja, jotka ohjaavat toimintaa tai velvoittavat toimimaan tietyllä tavalla, saattaa tietoturvauhat jäädä huomaamatta.

Ratkaisu:

  • Ensin kartoitetaan tietoturvan tilanne, jotta saadaan tilannekuva ja käsitys kehitettävistä kohteista.
  • Määritellään toimenpiteet ja toteutetaan ne askel kerrallaan.
  • Säännöllinen seuranta.
  • Toimenpiteiden automatisointi.

2. Haittaohjelmat

Erilaiset haittaohjelmat uhkaavat myös IBM i -alustaa. IBM i:llä haittaohjelmat sijaitsevat yleensä IFS-alueella ja kulkevat tiedostojakojen kautta eteenpäin. Suuren uhan muodostavat esimerkiksi Read/write oikeudet root-hakemistoon, joka mahdollistaa pääsyn järjestelmätasolle. Myös *ALLOBJ erikoisoikeus ja hakemisto-oikeudet on syytä tarkistaa. Haittaohjelman mahdollisuudet toimia riippuvat:

  • miten tiedostojako on määritelty: read only vai read/write,
  • käyttäjän oikeuksista hakemistoon ja objekteihin hakemistossa
  • *ALLOBJ-tason oikeudet käyttäjällä antavat täydet oikeudet

Ratkaisu

  • Varmistukset
    • ota varmistuksia. Varmista että ne toimivat ja tallenna varmistukset eristetysti eri paikkaan
  • Jaot
    • älä jaa root-hakemistoa, poista turhat ja tarpeettomat jaot, aseta read only -oikeudet mikäli mahdollista, piilota jaot $:lla
    • Poista NetServer broadcasting pois päältä
  • Käyttöoikeudet
    • tarkista kriittisten jaettujen IFS-hakemistojen oikeudet ja rajoita pääsy
    • tarkista *ALLOBJ-tason oikeuksilla olevat käyttäjätunnukset
  • Exit-ohjelmat
    • Jos käytössä on exit point -sovelluksia, käytä NetServer exit:iä kontrolloimaan, mitkä profiilit voivat käyttää IFS-aluetta
  • MFA:n käyttöönotto pääsyn rajoittamiseksi
  • Käytä verkkosegmenttejä rajaamaan mahdollista hyökkäystä

3. Heikot salasanat

”Korkeatasoiset” pääkäyttäjien tunnukset ovat myös IBM i:llä tiedossa (QSECOFR, QPGMR, QSYSOPR ym.). Kokeilemalla on kohtalaisen helppo selvittää yleisimmät salasanat tiedossa oleville tunnuksille, etenkin jos ne ovat liian heikkoja. Riskejä aiheuttaa myös käyttäjätunnuksille luontivaiheessa annettu oletussalasana, jota ei välittömästi vaihdeta.

Ratkaisu

  • Riittävät vaatimukset salasanalle
    • Password level (QPWDLVL)
    • Muut salasanaan liittyvät säännöt (WRKSYSVAL QPWD*)
  • Estetään kirjautuminen käyttöjärjestelmän oletusprofiileilla (QSECOFR, QPGMR, QSYSOPR ym.)
  • Uutta käyttäjää tehtäessä generoidaan käyttäjälle ilmoitettava salasana, joka on muutettava ensimmäisellä kirjautumisella
  • Otetaan käyttöön MFA

4. Käyttäjätunnusten hallinta

Ison osan tietoturvaongelmista aiheuttaa osaamattomuus ja huolimattomuus. Käyttäjille ei koskaan pidä antaa turhan laajoja oikeuksia ilman perusteltua syytä. Tunnusten luominen oletussalasanalla, jota ei välittömästä vaihdeta, on yleinen tapa ja aiheuttaa haavoittuvuus. Tarpeettomia tunnuksia ei suljeta, eikä tunnusten käyttöä lokiteta/jäljitetä.

Ratkaisu:

  • Authority Collection
    • alkaen V7R3 tasolta, i tarjoaa työkalun varmistamaan vaaditut käyttöoikeudet haluttuihin tiedostoihin
    • V7R4 tasolta alkaen Authority Collection voidaan tehdä objektitasolla
  • Prosessit tunnusten luomiseen sekä tarpeettomien tunnusten välittömään sulkemiseen
    • ei oletussalasanaa
    • CHGUSRPRF -> *DISABLED
    • GO SECTOOLS sisältää apuohjelmia käyttäjätunnusten analysoimiseen ja hallintaan
  • Tahattomiakin virheitä tapahtuu
    • Iso osa virheistä aiheutuu huolimattomuudesta
    • käyttäjätunnusten hallinnoimisella pystytään tehokkaasti rajaamaan vahinkoja

5. Hallinnan puute IBM i:n tapahtumiin

Säännöllisten tarkastusten puute aiheuttaa tietoturvauhkia. Jotta järjestelmä olisi turvallinen, pitäisi säännöllisesti tarkistaa ja raportoida omien tai auditoinnin asettamien vaatimusten mukaisesti vaaditut asiat.

Ratkaisu:

  • Tarkista säännöllisesti:
    • Systeemiarvot, muutokset niissä
    • Käyttäjäprofiilit
      • Uudet käyttäjätunnukset, oletussalasanat (ANZDFTPWD), Erikoisoikeudet, Ryhmäjäsenyydet
    • Oikeudet
      • Tiedostot/kirjastot, Hakemistot, Authorization-listat
    • Audit Journaling päälle
      • kerätäänkö tarpeellinen tieto?
      • sisällön läpikäynti säännöllisesti
      • sisällön ja hälytysten keskitetty hallinta SIEM:in avulla

Ensimmäinen askel on kartoittaa tietoturvan taso. Power i Riskikartoitus auttaa hahmottamaan kokonaistilanteen ja kartoittamaan riskejä. Sen avulla pystytään havaitsemaan riskit mm. oikeuksien, systeemiarvojen ja käyttäjätunnusten osalta sekä nähdään käytössä olevat exit-ohjelmat. Havaintojen perusteella luodaan raportti ja annetaan suosituksia haavoittuvuuksien korjaamiseksi.

Raportti antaa hyvän ”tiekartan” Power i laitteiston perustietoturvan saattamisen hyvälle tasolle.

Otahan yhteyttä meihin, mikäli voimme auttaa IBM i tietoturvaan liittyvissä asioissa: goran.nordman@kaita.fi.