8 métodos más populares para el robo de datos del mainframe

8 métodos más populares para el robo de datos del mainframe

Es un hecho conocido por todos que la principal amenaza de seguridad de las empresas ahora es el robo de la información. Ante los piratas informáticos que cada día encuentran más formas de robar y filtrar información, es necesario estar siempre actualizando nuestros sistemas de seguridad, especialmente en puntos vulnerables como el mainframe. En este artículo te contaremos 8 métodos que los piratas informáticos utilizan para extraer información del mainframe.

En blogs anteriores hemos ilustrado las diversas formas en que los piratas informáticos obtendrán acceso inicial al mainframe y cómo ejecutarán un ataque de escalada de privilegios para obtener el control total del sistema. Una vez que un actor de amenazas posee por completo el mainframe, tendrá acceso completo a los datos confidenciales que residen en él. Si bien el ransomware ha creado un escenario en el que los piratas informáticos ya no necesitan filtrar datos para beneficiarse de su delito cibernético, el robo de datos confidenciales sigue siendo un riesgo catastrófico para las empresas que enfrentan multas cada vez más punitivas y pérdida de la confianza de los clientes.

A continuación, nos centraremos en las principales formas en que los piratas informáticos filtran los datos confidenciales del mainframe. Este conocimiento es fundamental para comprender cómo proteger inicialmente el sistema y detectar eficazmente actividades anómalas y maliciosas a tiempo para responder. El objetivo es ayudarte a tener una respuesta a las siguientes preguntas:

  • ¿Es esto posible en mi mainframe?
  • ¿Tengo alertas creadas para indicadores de compromiso (COI) para cada una de estas actividades?

Técnicas de filtración de datos de mainframe

1. Los piratas informáticos utilizarán herramientas nativas disponibles en el sistema antes de acceder a métodos más complejos, especialmente si esas herramientas también están presentes en Windows / Linux, donde la mayoría será más familiar. Dado que el método principal de acceso inicial a la mayoría de las máquinas son las credenciales de cuenta comprometidas, los piratas informáticos podrían simplemente usar esas credenciales con Secure Copy (SCP) para copiar los archivos a través del protocolo Secure Shell (SSH).

2. Si SSH no está disponible, los piratas informáticos también pueden usar el Protocolo de transferencia de archivos (FTP) para descargar fácilmente cualquier archivo al que estén autorizados a acceder en el sistema. FTP también facilita la carga / descarga de archivos a granel e incluso se puede utilizar en el modo Job Entry System (JES) para ejecutar comandos en el mainframe.

3. La siguiente herramienta diseñada para transferir archivos es Network File Share (NFS), que es un sistema de archivos distribuido que se encuentra en Linux y que permite a un pirata informático “montar” el sistema de archivos y descargar cualquier archivo del mainframe.

4. Otro protocolo de transferencia de archivos que está integrado directamente en el mainframe es IND $ File, que solo requiere una conexión TN3270 típica y credenciales comprometidas para simplemente descargar cualquier archivo al que puedan acceder. Este es más difícil de monitorear ya que IND $ FILE no escribe un registro SMF predeterminado.

5. La última herramienta nativa que un hacker podría utilizar como arma para extraer datos es el protocolo Network Job Entry (NJE), que está diseñado para transferir comandos, mensajes y trabajos a los múltiples sistemas de una red. Dado que los sistemas ya se están comunicando, un pirata informático puede usar NJE para enviar cualquier dato que quiera exfiltrar a un sistema separado bajo su control.

6. Antes de volverse demasiado creativos, los piratas informáticos tienen una última capacidad disponible que a menudo se pasa por alto. Podrían explorar fácilmente los conjuntos de datos que les interesan y copiar / pegar los datos en el sistema personal. Obviamente, esto se limita a cantidades más pequeñas de datos, o una gran cantidad de paciencia, pero puede ser extremadamente útil si se roban pequeños componentes valiosos como nombres de usuario y contraseñas para nuevas cuentas o claves de cifrado.

7. Si los piratas informáticos buscan evitar los mecanismos estándar de transferencia de archivos, pueden buscar construir su canal de Comando y Control (C2). Esto se puede hacer rápidamente usando herramientas de socket como Netcat [4] o más avanzadas al traer código C y compilar su propio protocolo de comunicación. Si bien esto pasa por alto los mecanismos de seguimiento más típicos en el mainframe, los IOC que están diseñados para buscar actividad portuaria anómala deberían detectar rápidamente los canales C2 no autorizados en el mainframe.

8. El último método popular para los piratas informáticos es cargar los archivos en un contenedor de almacenamiento en la nube que controlan. Con Java, un hacker podría conectar rápidamente el mainframe a un bucket de S3 en Amazon y cargar todos los datos confidenciales fuera de la organización.

Cerrar todos estos métodos en el mainframe es una tarea algo imposible si se considera la importancia de muchos de estos protocolos para las operaciones básicas. Esto requiere la capacidad de filtrar y monitorear el comportamiento del usuario en tiempo real para detectar actividad anómala del usuario y, en última instancia, detectar la exfiltración de datos antes de que sea catastrófica. Los piratas informáticos continuarán haciendo esto más difícil en el Centro de Operaciones de Seguridad (SOC) ocultando su actividad de exfiltración en la actividad programada normal, dividiendo un gran atraco en partes más pequeñas o utilizando deliberadamente métodos que no dejan registros normales. Estos métodos no son exclusivos del mainframe.

Control-M simplifica la organización de flujos de trabajo de aplicaciones. De esta manera, es fácil definir, programar, gestionar y monitorear los flujos de trabajo, a la vez que se garantiza la visibilidad y la fiabilidad, y se mejoran los SLA. Contacta a nuestros expertos y solicita una demostración personalizada.

Consulta la información original en inglés.

Tipos de plataformas low-code

En el siguiente blog analizamos diferentes desafíos que atraviesan las empresas y los tipos de herramientas low-code que pueden ayudarte.

Transformación digital con ayuda de Low-Code

La transformación digital implica muchos desafíos, pero con ayuda de Low-code podemos superar estos problemas y abrir el camino para el cambio

5 consejos para elegir la suite de Gestión de Procesos de Negocio (BPM)

El enfoque de suite de gestión de procesos empresariales ayuda en el ciclo de vida de mejora de procesos como analizamos en este blog.

Plataforma de código abierto low-code, qué es y cuáles son sus ventajas

En el siguiente blog exploramos la definición de las plataformas de código abierto low-code, sus ventajas y desventajas

Plataformas no-code frente a los problemas de TI

Ingresa en nuestro blog para aprender cómo las plataformas no-code ayudan a resolver los problemas en los departamentos de TI

Características de los sistemas de low-code qué los hace mejores

En el siguiente blog hablamos sobre el impacto de los sistemas low-code en el desarrollo de aplicaciones y sus ventajas en los negocios

6 puntos clave para elegir la plataforma RAD adecuada

El siguiente blog analizamos el desarrollo de aplicaciones RAD y las características que debe tener para tu negocio.

No-code: qué es y cómo aplicarlo en el desarrollo sin código

Con la llegada de la programación no-code, diseñar las soluciones que tu empresa necesita es más fácil, descubre cómo lograrlo en este post

Los 6 principales desafíos en adquisiciones que enfrentan las empresas

En este blog analizamos los principales problemas en el área de adquisiciones que enfrentan las empresas de todos los tamaños

7 beneficios de implementar el desarrollo ciudadano

Con el desarrollo ciudadano tu empresa puede eliminar los cuellos de botella y reducir la carga de trabajo de TI. Descubre más en este blog