Entradas recientes 

Categorias

8 métodos más populares para el robo de datos del mainframe

Es un hecho conocido por todos que la principal amenaza de seguridad de las empresas ahora es el robo de la información. Ante los piratas informáticos que cada día encuentran más formas de robar y filtrar información, es necesario estar siempre actualizando nuestros sistemas de seguridad, especialmente en puntos vulnerables como el mainframe. En este artículo te contaremos 8 métodos que los piratas informáticos utilizan para extraer información del mainframe.

En blogs anteriores hemos ilustrado las diversas formas en que los piratas informáticos obtendrán acceso inicial al mainframe y cómo ejecutarán un ataque de escalada de privilegios para obtener el control total del sistema. Una vez que un actor de amenazas posee por completo el mainframe, tendrá acceso completo a los datos confidenciales que residen en él. Si bien el ransomware ha creado un escenario en el que los piratas informáticos ya no necesitan filtrar datos para beneficiarse de su delito cibernético, el robo de datos confidenciales sigue siendo un riesgo catastrófico para las empresas que enfrentan multas cada vez más punitivas y pérdida de la confianza de los clientes.

A continuación, nos centraremos en las principales formas en que los piratas informáticos filtran los datos confidenciales del mainframe. Este conocimiento es fundamental para comprender cómo proteger inicialmente el sistema y detectar eficazmente actividades anómalas y maliciosas a tiempo para responder. El objetivo es ayudarte a tener una respuesta a las siguientes preguntas:

  • ¿Es esto posible en mi mainframe?
  • ¿Tengo alertas creadas para indicadores de compromiso (COI) para cada una de estas actividades?

Técnicas de filtración de datos de mainframe

1. Los piratas informáticos utilizarán herramientas nativas disponibles en el sistema antes de acceder a métodos más complejos, especialmente si esas herramientas también están presentes en Windows / Linux, donde la mayoría será más familiar. Dado que el método principal de acceso inicial a la mayoría de las máquinas son las credenciales de cuenta comprometidas, los piratas informáticos podrían simplemente usar esas credenciales con Secure Copy (SCP) para copiar los archivos a través del protocolo Secure Shell (SSH).

2. Si SSH no está disponible, los piratas informáticos también pueden usar el Protocolo de transferencia de archivos (FTP) para descargar fácilmente cualquier archivo al que estén autorizados a acceder en el sistema. FTP también facilita la carga / descarga de archivos a granel e incluso se puede utilizar en el modo Job Entry System (JES) para ejecutar comandos en el mainframe.

3. La siguiente herramienta diseñada para transferir archivos es Network File Share (NFS), que es un sistema de archivos distribuido que se encuentra en Linux y que permite a un pirata informático “montar” el sistema de archivos y descargar cualquier archivo del mainframe.

4. Otro protocolo de transferencia de archivos que está integrado directamente en el mainframe es IND $ File, que solo requiere una conexión TN3270 típica y credenciales comprometidas para simplemente descargar cualquier archivo al que puedan acceder. Este es más difícil de monitorear ya que IND $ FILE no escribe un registro SMF predeterminado.

5. La última herramienta nativa que un hacker podría utilizar como arma para extraer datos es el protocolo Network Job Entry (NJE), que está diseñado para transferir comandos, mensajes y trabajos a los múltiples sistemas de una red. Dado que los sistemas ya se están comunicando, un pirata informático puede usar NJE para enviar cualquier dato que quiera exfiltrar a un sistema separado bajo su control.

6. Antes de volverse demasiado creativos, los piratas informáticos tienen una última capacidad disponible que a menudo se pasa por alto. Podrían explorar fácilmente los conjuntos de datos que les interesan y copiar / pegar los datos en el sistema personal. Obviamente, esto se limita a cantidades más pequeñas de datos, o una gran cantidad de paciencia, pero puede ser extremadamente útil si se roban pequeños componentes valiosos como nombres de usuario y contraseñas para nuevas cuentas o claves de cifrado.

7. Si los piratas informáticos buscan evitar los mecanismos estándar de transferencia de archivos, pueden buscar construir su canal de Comando y Control (C2). Esto se puede hacer rápidamente usando herramientas de socket como Netcat [4] o más avanzadas al traer código C y compilar su propio protocolo de comunicación. Si bien esto pasa por alto los mecanismos de seguimiento más típicos en el mainframe, los IOC que están diseñados para buscar actividad portuaria anómala deberían detectar rápidamente los canales C2 no autorizados en el mainframe.

8. El último método popular para los piratas informáticos es cargar los archivos en un contenedor de almacenamiento en la nube que controlan. Con Java, un hacker podría conectar rápidamente el mainframe a un bucket de S3 en Amazon y cargar todos los datos confidenciales fuera de la organización.

Cerrar todos estos métodos en el mainframe es una tarea algo imposible si se considera la importancia de muchos de estos protocolos para las operaciones básicas. Esto requiere la capacidad de filtrar y monitorear el comportamiento del usuario en tiempo real para detectar actividad anómala del usuario y, en última instancia, detectar la exfiltración de datos antes de que sea catastrófica. Los piratas informáticos continuarán haciendo esto más difícil en el Centro de Operaciones de Seguridad (SOC) ocultando su actividad de exfiltración en la actividad programada normal, dividiendo un gran atraco en partes más pequeñas o utilizando deliberadamente métodos que no dejan registros normales. Estos métodos no son exclusivos del mainframe.

Control-M simplifica la organización de flujos de trabajo de aplicaciones. De esta manera, es fácil definir, programar, gestionar y monitorear los flujos de trabajo, a la vez que se garantiza la visibilidad y la fiabilidad, y se mejoran los SLA. Contacta a nuestros expertos y solicita una demostración personalizada.

Consulta la información original en inglés.