你知道安全研究人员眼里“难啃的硬骨头”是什么吗?大型机!

在许多用例中,大型机(Mainframe)仍然是数据中心的支柱,是世界上唯一能够处理移动通信带来的计算量巨大的平台,许多研究表明,从长远来看,这种平台比其他架构更具成本效益。根据对全球CIO最近的一项调查显示,88%的受访者表示,他们预计未来十年,其大型机将继续成为重要的业务资产。另有81%的受访者表示,他们的大型机继续进行技术演变,比几年前运行更多的新工作量和不同的工作负载。

据悉,通过大型机,任何人或任何机构都可以构建属于自己的通信产品,这个通信产品具有点对点的加密安全特性,由去中心化的多节点路由支持。节点的相互关系是隐匿的,大型机使用暗路由技术让网络监视者无法追踪某个数据包最终的确认接收节点,因而无法追寻和监控。此外,大型机还提供一对一和一对多加密协议,对数据包进行加密,由此构建一个绝对私密且安全的通信世界,没有人能盗取你的聊天记录等数据,政府、黑客等都无法做到。

如今,这种由IBM(Z系列)和UNISYS(拥有旧的Burroughs和UNIVAC品牌)制造的大型重金属设备已经凭借其安全可靠的平台,赢得了良好的声誉。这种高性能系统通常为大规模计算而设计,是安全测试和研究方面的最后堡垒,因此,它们通常被视为地球上最安全的平台。这也解释了为什么美国大多数数据中心都至少有这样一个全天候运行的大型机,且普通人每天也需要依赖这种系统进行几乎所有重要交易/事务,包括银行电汇及ATM交易、机票预订以及处理全球各地无数零售网点的数百万笔支付等等。

但这并不意味着大型机是完全不可攻破的。每个平台都有其风险,当然,大型机也不例外。去年7月,咨询公司Wavestone的安全审计员Ayoub Elaassal就成为成功访问大型机的幸运儿之一。据悉,该大型机运行的是Z/OS,这是IBM为其Z系列大型机开发的一款专用操作系统。通过该系统中存在的一个安全漏洞,Elaassal能够获取到访问该大型机的root权限,进而可以访问系统上关键的敏感数据,或执行任意操作,如截获交易内容、发电汇等等。

因此,企业不应该因为配置了大型机便感到有恃无恐,还需要在大型机上应用与分布式系统相同的策略和最佳实践。

在下述文章中,我们将为大家提供6个关于大型机安全性的重要观点,而这些观点经常容易被人们所忽略或误解。

数据点1:企业将大型机安全性视为理所当然

对于无数企业和组织而言,大型机属于紧要使命系统,其中71%的财富500强企业会选择在这些系统上存储无数个人识别信息(PII)、财务信息以及健康数据等实例。但是,大型机最大的弱点之一——基于代码的漏洞,通常会被市场上最顶级的安全扫描解决方案所忽视,同时也经常被大型机专家、首席信息官和首席信息安全官所忽视。例如,同样是在去年,KRI就在其大型机操作系统扫描活动中发现了30个零日漏洞。这就意味着,负责确保公司最重要系统安全的人员和工具,对可能导致企业陷入困境的威胁视为不见。

数据点2:安全配置和基于代码的扫描都是必不可少的因素

大型机配置漏洞可能来自各种来源,包括硬件配置、IPL参数、外部安全管理器(ESM)配置以及操作系统配置设置等。z / OS完整性代码漏洞是源自操作系统程序和扩展的漏洞。恶意行为者可能会尝试利用系统安全配置或操作系统层代码中的漏洞,这两者都会造成灾难级伤害。无论你在安全配置方面做的有多出色,一个基于代码的漏洞就能完全毁掉你的一切努力。如果想要完全保护你的大型机,并进行完整的安全分析,就必须同时确保安全配置和基于代码的扫描两者缺一不可。

数据点3:围绕大型机漏洞披露存在“沉默的阴谋”

大型机供应商倾向于不公开披露漏洞信息,而依赖大型机的公司也不会公开自己是否或如何遭遇过攻击。由此便很难确定大型机暴露的程度,同时还创造了一种“沉默的”文化,在这种文化中,不存在任何独立的研究以供人们更多地了解大型机风险。

数据点4:当涉及基于代码的漏洞时,分类=理清/说明

根据通用分类系统(common type system,简称CTS,一种确定公共语言运行库如何定义、使用和管理类型的规范)对漏洞进行分类,对于提供有关大型机安全性讨论的清晰度而言至关重要。分类为技术专家和风险管理者提供了一种语言,以了解特定漏洞的风险程度,让每个人都能够更好地讨论哪些缓解措施最有效。为此,KRI专家在其客户群的帮助下,正在为漏洞创建一个标准的分类系统。

数据点5:过度访问正为许多组织带来不必要的风险

这是一个常见的问题,事实上,真的是有太多没必要去访问大型机上敏感信息的人,正在过度访问该资源,由此也为企业造成了巨大的安全风险。企业应该找出所有有权访问数据的人,并通过交叉比较来确定最有权或最应该获取访问权限的人,通过实际业务需求或最小访问权限等方式来消除过度访问的现象。

数据点6:自动化对于漏洞管理至关重要

组织无法手动执行适当的漏洞管理。无论你是要查看配置设置、应用程序代码还是操作系统代码,想要通过手动方式让漏洞管理软件快速、可靠、一致地执行操作可能需要花费数年的时间。虽然可能无法完全消除诸如渗透测试和分析等事情,但拥有自动化流程将有助于更有效地防范风险。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。