El uso de un software de Gestión de Eventos e Información de Seguridad (SIEM) está en ascenso a causa de los requerimientos de cumplimiento y las crecientes necesidades de detectar las amenazas en tiempo real. Organizaciones de todos los tamaños se benefician de la recolección, registro y respuesta a eventos de Seguridad en tiempo real. Sin embargo, existe un importante Sistema Operativo que suele ser pasado por alto: IBM i.
Si usted cuenta con un servidor Power Systems que ejecuta IBM i en su data center, es problabe que procese en él algunas de las aplicaciones más críticas para su empresa o almacene información muy importante. Si este es el caso, IBM i debería ser una de las prioridades principales al momento de identificar los eventos de Seguridad que requieran de una atención inmediata.
Sin embargo, la mayoría de las soluciones de SIEM solo proporciona un nivel muy básico de respaldo para IBM i.
La desconexión entre la mayoría de los softwares de SIEM e IBM i
Una de las funcionalidades más potentes de IBM es su capacidad de registrar eventos en un journal de auditoría a prueba de manipulaciones, QAUDJRN. Desde el uso de comandos por usuarios específicos para cambiar valores del sistema, el journal de auditoría puede registrar prácticamente todo lo que sucede en el sistema.
Las versiones 7.2 y 7.3 le permiten a IBM i crear mensajes en formato syslog que pueden ser enviados a un software de SIEM, pero existe un problema: esos mensajes no son significativos para la mayoría de los Analistas de Seguridad, que no están familiarizados con IBM i o las formas en las que su organización utiliza esta plataforma.
Piense lo siguiente: ¿Cómo sabe, un analista de Seguridad, lo que significan realmente los datos de IBM i? ¿A qué eventos debe responder y cuáles no requieren una acción?
Al mismo tiempo, ¿cómo sabe el equipo de IBM i qué eventos está recolectando el SIEM?
Estas condiciones favorecen a que las amenazas importantes pasen desapercibidas. Considerando lo importante que es IBM i para las organizaciones que lo utilizan, las consecuencias pueden ser realmente serias.
Afortunadamente, esta situación tiene una solución.
Cómo monitorear eventos e información de Seguridad en IBM i
Obtener información sobre los eventos de Seguridad de IBM i es más fácil que nunca, gracias a Powertech Event Manager, que puede interpretar eventos de Seguridad procedentes de cualquier fuente, incluyendo IBM i.
Ya sea que aún no haya implementado un software de SIEM o tenga un SIEM corporativo que no se integra con su IBM i, Powertech Event Manager convierte sus datos en información entendible para la toma de decisiones.
Event Manager estandariza los datos que recopila, para que los Analistas de Seguridad no tengan que ser expertos en la plataforma. Al traducir la información a un formato común, fácil de comprender, Event Manager permite que incluso el equipo más junior de IT, responda a eventos críticos de Seguridad.
Los eventos más serios son priorizados sobre los demás, en tiempo real, facilitando una respuesta rápida a las amenazas más importantes.
Event Manager también está diseñado para ser implementado de forma muy sencilla, a diferencia de la mayoría de las soluciones de SIEM que requieren mucho tiempo y presupuesto.
Sea proactivo: Detecte amenazas rápidamente
Muchas empresas utilizan múltiples herramientas de monitoreo de eventos de Seguridad para las distintas plataformas con las que operan. Así, tienen los datos que necesitan, pero no la información. El desafío de usar muchas herramientas que no se comunican entre sí, es que no hay manera de ver una imagen completa de lo que está pasando.
¿Los eventos de Seguridad se correponden con una amenaza mayor que requiere una respuesta, o no hay nada de qué preocuparse?
Responder a esta pregunta suele requerir mucho tiempo y un análisis profundo por parte de un Analista de Seguridad con experiencia.
Con Event Manager resulta más fácil, ya que correlaciona eventos procedentes de distintas fuentes. Por ejemplo, usted puede ver si algo que está pasando en IBM i, también está ocurriendo en Linux. Además, puede saber si un usuario de IBM i está utilizando Telnet para acceder a datos en un sistema Linux. Información como ésta le permite ser más proactivo.
Event Manager también se integra con otras soluciones Powertech para una experiencia sin interrupciones:
- Vea cuando los usuarios realizan cambios de perfiles con Authority Broker
- Anticípese a posibles ataques monitoreando los intentos de conexión fallidos con Network Security
- Registre las configuraciones que no cumplen con sus políticas de Seguridad, con Policy Minder
- Detecte y elimine el malware con Stand Guard Anti-Virus
Consolidar los eventos de Seguridad con Event Manager simplifica las auditorías. Event Manager registra todos los eventos de Seguridad y documenta cualquier investigación en relación a ellos, para obtener un completo registro de auditoría. Los reportes de auditoría son fáciles de recolectar, de modo que alcanzar los requisitos de cumplimiento es mucho más simple.
Conclusiones
La tecnología de Seguridad Informática está avanzando rápidamente para mantenerse al día con las cada vez más sofisticadas amenazas. Pero la mayoría de esa tecnología ignora IBM i. Una solución de SIEM es increíblemente útil, pero no si excluye a uno de los Sistemas Operativos más importantes de nuestro entorno. Powertech Event Manager le permite obtener información potente sobre el estado de la Seguridad de su IBM i.