1) O documento discute os desafios de segurança em ambientes mainframe, como a falta de profissionais especializados e o aumento de vulnerabilidades com a abertura destes ambientes para outras plataformas e a internet.
2) Apesar dos mainframes serem considerados ambientes seguros no passado, atualmente eles estão sujeitos a fraudes e ataques cibernéticos devido à globalização do conhecimento e falta de monitoramento.
3) A segurança eficaz em mainframes requer investimentos em investigação, auditoria, monitoramento e
2. Aqui Segurança é Coisa Séria
Entre em contato com a 3CON e Saiba como Ter mais segurança no seu Ambiente MAinfr
O 3X Security é a solução mais completa do
mercado, focada em investigar e responder a
incidentes, além de detectar fraudes em tempo
real. Ele analisa e rastreia por completo o
tráfego 3270
destinado a ambientes Mainframe IBM.
Essa suíte de soluções gera visibilidade total
das ações realizadas em ambiente mainframe,
sem nenhum consumo de MSU/MIPS e faz
alertas em tempo real.
Tudo isso de acordo com as regras que você
determinar mais adequadas ao seu negócio.
A 3CON e a MSCS-X lan
Investigação, Auditori
para a Plataforma Ma
3. Alerta em Tempo Real
O 3X Alert provê milhares de alertas simultaneos, gerando rastreabilidade em
eventos de autenticação e quebra de segurança
Captura Inteligente
O 3X Capture gera arquivos com subconjunto de registros do tráfego visando
maior acuracidade e rapidez nos processos investigativos
Documentação Completa
O 3X View investiga os pacotes de tráfego, seleciona transações suspeitas,
documenta e as apresenta em vários formatos. Apoia o processo de geração de
laudo forense.
11 3509 1900
sales@trescon.com.br
www.trescon.com.br
www.mscs-x.com.brrame
nçam o 3X Security, a melhor Solução de
ia e Resposta a Incidentes de Segurança
ainframe
4. 05 Desafio
Até que ponto o ambiente mainframe, considerado um dos mais seguros
do mundo, está imune às vulnerabilidades atuais?
08 SOLUÇÃO
A segurança eficaz no ambiente mainframe exige investigação,
auditoria e resposta a incidentes de segurança
10 Opinião
Yanis Stoyannis, da Embratel, e Jorge Krug, do Banrisul, falam
sobre os desafios de proteção do ambiente mainframe
>>Sumário
4
DIREÇÃO E EDIÇÃO GERAL
Graça Sermoud
gsermoud@conteudoeditorial.com.br
REPORTAGEM
Léia Machado
lmachado@conteudoeditorial.com.br
DIREÇÃO DE MARKETING
Sérgio Sermoud
ssermoud@conteúdoeditorial.com.br
EXECUTIVO DE CONTA
Marcos Carvalho
mcarvalho@conteudoeditorial.com.br
DESIGN
Rafael Lisboa
rlisboa@conteudoeditorial.com.br
EXECUTIVE REPORT - EXPEDIENTE
O Executive Report “Segurança em Mainframe” tem o Patrocínio
5. Segurança
em mainframe: mito ou realidade?
Até que ponto os quase cinquentenários e robustos
mainframes, considerados um dos ambientes
computacionais mais seguros do mundo, estão imunes
ao aumento e sofisticação dos ataques e invasões?
>>desafio
5
O
mainframe continua mantendo o seu
poder de garantir o processamento
crítico de informações corporativas,
entregando disponibilidade e gestão
de grandes volumes de dados, com
desempenho superior se comparado a outras plataformas.
O primeiro computador inventado para o segmento em-
presarial está presente no mercado de Tecnologia da In-
formação há quase 50 anos. Ao contrário do senso comum,
de que o mainframe não teria mais força no mundo da tec-
nologia, as aplicações críticas de empresas dos segmentos
de Finanças, Telecomunicações e Governo, por exemplo,
estão armazenadas nestes ambientes.
De fato, o mainframe não morreu, não perdeu a po-
tência e nem a confiabilidade. Mas passou por transfor-
mações, ganhou novas funcionalidades, diferentes lingua-
gens de programação e tecnologias avançadas. Trata-se
de um mercado de US$ 10 bilhões, só em 2012, e com pre-
visão de crescimento, segundo dados da consultoria IDC.
De acordo com estudos da IBM, o Brasil foi o país que mais
comprou mainframe em 2012, a maior venda da compa-
nhia neste segmento aconteceu no País.
A necessidade de processamento de um grande volume
de dados e de aplicações críticas de negócio são os prin-
cipais ativos para as empresas contarem com ambientes
mainframes. Ainda mais diante da explosão de informações
geradas diariamente por empresas e internautas no mundo
inteiro, da ordem dos exabytes. São dados gerados a partir
de operações comerciais, transações entre clientes e forne-
cedores, imagens e vídeos em redes sociais, blogs e sites,
entre tantas outras formas de criação de conteúdo.
No universo virtual, em que as redes corporativas e a
internet mapeiam as relações entre empresas e pessoas
e o volume de dados gerados criou uma montanha de in-
formações, a questão da Segurança da Informação e do
monitoramento dos ambientes computacionais tornaram-
-se críticas. As vulnerabilidades, o aumento e a sofisticação
dos ataques cibernéticos viraram rotina.
No passado, o mainframe era basicamente um servidor
solo com rede segregada. Com o advento das redes TCP/
IP e da internet, além de outros fatores como mobilidade
e mídias sociais, os ambientes de grande porte passaram
a fazer parte da rede mundial de servidores. Hoje, eles são
suscetíveis a todas as vulnerabilidades que o mercado
apresenta, tanto em nível interno quanto externo.
Evolução histórica
Quando surgiram os mainframes, o mundo da tecnologia
estava literalmente confinado entre quatro paredes, retrata-
do pelas grandes e gélidas salas de computação, os chama-
dos CPDs, sob a mira de profissionais especializados e distan-
tes da realidade corporativa e do mundo dos negócios. Nessa
6. 6
Segurança em Mainframe
Evolução da Segurança da informação Mainframe
1985
Com uso de rede no modelo
SNA (Systems Network
Architecture), não existia
preocupação com fraudes,
não havia ambientes de
teste e os mainframes eram
totalmente fechados
1990
A internet ganha escala
com redes TCP/IP, enquanto
a segurança passa a ser
gerenciada pelas áreas ope-
racionais, o que causou uma
segregação de funções de
monitoramento e controle
2000
Período de expansão
das redes corporativas
com políticas internas
de proteção e criação
de áreas de Segurança
da Informação fora dos
setores operacionais
2004
Aumenta a preocupação com
monitoramento, ações reati-
vas em tempo real e análise
de risco. Neste período, a
normativa internacional SOX,
para mercado de capitais,
chegou ao Brasil junto com
o surgimento dos primeiros
SOCs brasileiros
era glacial, os ambientes de grande porte tinham na questão
segurança uma das suas maiores bandeiras.
Nesse passado não tão distante, as empresas manti-
nham informações sensíveis ao negócio nos ambientes
mainframes. Não existia nenhuma preocupação com frau-
des, não haviam ambientes de teste e muito menos pro-
cessos de homologação de produtos. Na primeira década
dos anos 90, o cenário começou a mudar, com o surgimen-
to das redes TCP/IP. As palavras mágicas que hoje povoam
as áreas de SI das empresas, já começaram a entrar no di-
cionário dos ambientes de grande porte como controle de
acesso e monitoração.
Entretanto, esses ambientes ainda ficavam sob a batu-
ta das áreas operacionais. Mas a nova realidade não tardou
a revelar uma nova área de atuação. Na chegada do século
XXI surgem então as áreas de Segurança da Informação,
com a criação de políticas internas de segurança. Outro
marco para o segmento de SI veio do cenário internacio-
nal, com a aprovação da Lei Sarbanes-Oxley, apelidada de
SOX, e todas as preocupações que se seguiram, relativas à
questão de governança, transparência e compliance.
A análise de risco, a gestão da Segurança da Informa-
ção, a preocupação com monitoração, reativa e em tempo
real, entram em pauta nos ambientes de grande porte e
surgem os primeiros SOC´s no Brasil. A SI passa a se pre-
ocupar com o monitoramento do negócio, com fraudes
internas e externas, levando a um amadurecimento dos
SOCs e ao surgimento de uma nova categoria de profissio-
nais, o Chief Security Officer (CSO).
Apesar de todas essas transformações, até o final da
primeira década do ano 2000, as áreas de SI dos mainfra-
mes ainda desfrutaram de algumas regalias, como moni-
toramento apenas de eventos tecnológicos, sem impacto
em aplicações legadas e visibilidade total das ações de
administradores. Mas o mundo continuou a mudar e em
velocidade acelerada. Em sua maioria, mesmo possuindo
uma área especializada em segurança, as cias não contam
com especialistas em mainframe não tendo visibilidade do
ambiente de grandes volumes de dados.
Atualmente, além do crescimento da internet, da mo-
bilidade e das redes sociais, se somaram ao mundo do
mainframe o atendimento a exigências e auditorias de
certificações do mercado mundial. Justamente por ser um
ambiente robusto e capaz de processar grandes volumes
de dados críticos, houve um aumento nas vendas de z/OS
no Brasil, elevando a importância dessa plataforma no ce-
nário computacional e de negócios e, consequentemente,
das informações lá armazenadas.
Ameaças e vulnerabilidades
Hoje, o conceito dos mainframes não mudou. As ca-
racterísticas robustas das grandes máquinas de processa-
mento permanecem, as companhias continuam confiando
dados críticos nas chamadas plataformas de grande porte.
O que mudou nos dias atuais foi o aumento do volume de
informações processadas simultaneamente e a redução
do espaço físico ocupado pelo mainframe.
Não existe limite para esses ambientes. Para se ade-
quar à realidade da internet contemporânea, o mainframe
abriu as portas e conversa com outras plataformas como
Linux, Java e servidores HTTP, por exemplo. Além disso, o
mainframe possui um sistema de virtualização Z/VM e per-
mite que qualquer ambiente seja virtualizado.
A interação com outras plataformas trouxe também as
vulnerabilidades inerentes ao novo modelo. A globalização
do conhecimento, advinda com a ascensão da internet, co-
7. 7
Segurança em Mainframe
2006
Com o aumento da preocu-
pação com fraudes internas
e externas, a Segurança da
Informação é voltada para o
monitoramento do negócio.
Período de amadurecimento
dos SOCs
2007
A partir de 2006 até 2012, o monito-
ramento no mainframe é realizado
apenas para eventos tecnológicos sem
impacto para as aplicações legadas.
O alto volume de eventos e acesso,
também exigiu táticas de combate à
fraude interna e externa
2012
O aumento nas vendas de z/OS no
Brasil e a necessidade de atendi-
mento às auditorias e normativas do
mercado mundial abriu precedentes
para uma segurança mais forte
em ambientes mainframes. Hoje,
é importante o monitoramento e a
rastreabilidade de eventos de quebra
de segurança, além da proteção das
informações lá armazenadas
locou os grandes computadores em risco. No passado, a
preocupação de fraudes era zero, pois os analistas de siste-
mas e os profissionais autorizados para trafegar nos main-
frames eram pessoas de total confiança das empresas, eles
não tinham o perfil de hackers. Hoje, o cibercriminoso tem
conhecimento para invadir os computadores e quebrar para
sempre a tradição do impenetrável mainframe.
Outro ponto vulnerável está relacionado à falta de mão
de obra especializada. As universidades brasileiras não for-
mam profissionais de mainframe. Ao longo dos anos, outras
plataformas se desenvolveram e ganharam destaque nas
infraestruturas de TI das empresas, enquanto o mainframe
continuou com altos custos. Além disso, é caro para as orga-
nizações manter um profissional especializado em mainfra-
me. O cenário faz com que a mão de obra fique ainda mais
escassa e cara. Ou seja, cada transformação do mercado de
Tecnologia da Informação impacta diretamente nesses am-
bientes e compromete os processos de segurança.
As vulnerabilidades e casos de fraudes em ambientes
mainframes são reais, tanto em ação humana quanto nas
infraestruturas, aplicações e processos. As empresas estão à
mercê de administradores de sistema operacional, analistas
e programadores que têm acesso ao mainframe e podem
fraudar informações, roubar dados ou inserir um código
malicioso. Além disso, os usuários finais com logins autori-
zados e com poderes de alteração podem afetar o negócio.
Os contratos com terceiros, como empresas de call-
centers e serviços de outsourcing, também geram vulne-
rabilidades, pois as pessoas mal intencionadas assediam
os operadores destas empresas, alugando logins e senhas
para entrar no mainframe das organizações. Em termos de
ações externas, os ataques de bruce force podem parar vá-
rios logins com acesso aos ambientes de grande porte. A
importância de determinar a origem dos acessos em tem-
po real faz-se necessária par a operação efetiva dos SOC’s
e SIEM das empresas.
Por ser uma rede SNA (Systems Network Architecture),
não existiam preocupações com fraudes, mas as adap-
tações que o mainframe precisou sofrer impactaram em
toda a cadeia, aumentando as vulnerabilidades. Em ter-
mos estruturais, a falta de firewall a frente do mainframe
pode ser uma fragilidade. Ausência de autenticação e au-
torização de usuários em sistemas legados é outro proble-
ma enfrentado hoje pelas empresas.
Em muitos casos, para não gastar os recursos das má-
quinas, as companhias desabilitam o LOG nas operações
em banco de dados, mas essa ação também pode trazer
vulnerabilidades ao ambiente mainframe gerando a per-
da de rastreabilidade da transação. A falta de criptografia
no tráfego, fragilidades de outras plataformas residindo
no mainframe, sistemas legados sem proteção e ausên-
cia de gerenciamento e rastreabilidade em logins com-
pletam a gama de vulnerabilidade que os mainframes
estão sujeitos nos dias atuais.
De fato, as empresas sofrem com o crescimento acele-
rado da internet e convergência de tecnologias. Os desafios
para a proteção das infraestruturas críticas de negócio são
muitos, principalmente em termos de monitoramento, uma
vez que nenhum sistema hoje é 100% seguro. O conheci-
mento dos processos de proteção em ambientes mainfra-
mes e a experiência das áreas de Segurança da Informação
são postos-chaves para assegurar o grande volume de da-
dos trafegados nas redes de grande porte. O caminho para
a evolução da segurança em ambiente mainframe é ter vi-
sibilidade em tempo real e monitoramento constante, 24
horas por dia em todos os dias da semana.
8. Além do monitoramento
>>solução
8
Segurança em Mainframe
H
oje, muitas empresas
acreditam que o mainfra-
me é um ambiente total-
mente seguro. Porém, as
ameaças para essas plata-
formas evoluíram e podem causar prejuízos
às companhias, caso as vulnerabilidades
sejam exploradas por ações maliciosas,
tanto internas quanto externas. Aten-
tas às demandas de segurança espe-
cíficas para o segmento de grande
porte, a 3CON e MSCS-X lançam o
3X Security, a melhor solução de
investigação, auditoria e resposta a
incidentes de segurança para a pla-
taforma mainframe.
O 3X Security é a solução mais
completa do mercado, focada em in-
vestigar e responder a incidentes, além
de detectar fraudes em tempo real. Ela
analisa e rastreia por completo o tráfego 3270
destinado a ambiente mainframe IBM. Essa suíte
de soluções gera visibilidade total das ações realizadas
em ambiente de grande porte, sem nenhum consumo de
MSU/MIPS e faz alertas em tempo real.
Desenvolvida em solo brasileiro, a solução avança na
linha investigativa da segurança em mainframe. Ela mo-
nitora e gera relatórios em tempo real, de acordo com
as regras de cada negócio, e cria material para Laudo
Forense. Com o avanço da internet e o grande volume
de dados trafegando nos mainframes, as condições de
monitoramento estão escassas. Em sua maioria, as apli-
cações não tem acesso ao IP de origem no mainframe,
o que gera um problema de rastreabilidade das origens
das ações maliciosas. Aliás, o grande desafio do main-
frame hoje é determinar a origem dessas ações. O 3X
Security proporciona a rastreabilidade total na origem
das ações maliciosas.
A ferramenta é entregue no formato de appliances,
composta por hardware e software e é formada por três
módulos: o 3X View, o 3X Alert e o 3X Capture. O recurso
de alertas possui um console para integração total com
o Security Operation Centers (SOCs) e Security Informa-
tion and Event Management (SIEM). O processo de im-
Diferente do senso comum,
o mainframe não é mais um
ambiente totalmente seguro,
livre de ameaças. Ele precisa de
investigação, monitoramento e
resposta rápida a incidentes
9. 9
Segurança em Mainframe
plementação é bem simples, com interfaces amigáveis
e interativas. A solução foi desenvolvida pensando nos
profissionais de Segurança da Informação, não é pre-
ciso ser um especialista em mainframe para operar o
3X Security. Com uma semana de treinamento, os pro-
fissionais de TI estarão preparados para utilizá-lo com
segurança e eficácia.
Entre as vantagens da solução, a economia é um di-
ferencial. Em geral, o valor da manutenção mensal de
um ambiente mainframe é apurado pela quantidade
de MIPS/MSUs instalados. Quando há o aumento des-
se consumo, todo o custo da instalação sofre alteração.
Com o 3X Security, não existe consumo de nenhum re-
curso do mainframe.
As vantagens proporcionadas por uma solução espe-
cífica para monitoramento de ambiente mainframe são
muitas. A solução 3X Security garante visibilidade total
dos eventos ocorridos, pois roda na rede da empresa e
provê relatórios completos sobre os eventos, o que per-
mite ação rápida para a proteção corporativa.
As características do 3X Security fazem dele uma so-
lução exclusiva com recursos diferenciados como a ge-
ração de alertas via email, SMS e outros protocolos de
eventos pré-parametrizados no sistema. O sistema de
alerta contribuiu para a tomada de ações pela área de
resposta a incidentes. Além disso, o produto promove a
pesquisa em todos os dados do pacote, como IP, porta,
data, hora, string de transição bilateral no mainframe,
com capacidade de parametrização de inúmeras regras
de negócios simultâneas. A análise e rastreabilidade do
tráfego 3270 são recursos que atendem às exigências
de transparência impostas pela Sarbanes-Oxley.
O 3X Alert for Mainframe gera alertas em tempo real, classifica o alerta por urgência e pode ser
visualizado em console ou extraído em relatórios a qualquer momento. Este módulo também cria
mensagens a serem enviadas para os SOCs ou SIEMs do cliente. Algumas das features implementadas
visam determinar a origem dos acessos:
Gerenciamento de eventos de autenticação: login, logout, expired, revoked, etc,
determinando o endereço IP de origem;
Alarme para detecção de ataque bruce force: alarme parametrizável para
determinação de origem de ataque bruce force;
Alarme para detecção de robots: alarme de detecção automática de uso de macros
como processo automatizado ao mainframe;
O 3X View for Mainframe visualiza e pesquisa
arquivos gerados no 3X Capture, arquivos gerados
em alertas no 3X Alert ou outra fonte de captura
de PCAPS 3270. A solução faz um replay de toda
a seção, selecionada em painel de fácil utilização.
Este módulo também visualiza todas as telas e
teclas de função utilizadas pelo usuário na seção
3270, e proporciona grande variedade de pesqui-
sas no tráfego.
O 3X Capture for Mainframe gera arqui-
vos com subconjunto de registros do tráfego vi-
sando maior acuracidade e rapidez nos processos
investigativos. Além disso, a solução conta com
recursos automatizados para a visualização no 3X
View for Mainframe.
10. Segurança garante o negócio
>>opinião
Segurança em Mainframe
N
a opinião de Yanis Cardoso Stoyannis, gerente de Segurança da Informação
da Embratel, antes mesmo da evolução da internet e das redes TCP/IP, os
mainframes já sofriam com vulnerabilidades internas junto aos processos ina-
dequados de configuração, principalmente na parte de acessos e controle de iden-
tidade. “Eu trabalho com Segurança da Informação há quase 15 anos e acompanhei
os estágios de proteção em ambiente mainframe. Hoje, o grande desafio é tirar da
cabeça das pessoas a crença de que o mainframe não tem vulnerabilidade”, diz.
Na longa trajetória dos mainframes, controle e monitoramento sempre foram as
maiores preocupações dos gestores, acredita o executivo da Embratel. “Esses proces-
sos acompanharam a evolução do mainframe, cuja arquitetura tem características de
ambiente seguro, mas isso não significa que eles não precisam de proteção”, acrescenta o executivo.
Entre as principais vulnerabilidades relacionadas ao mainframe, o executivo destaca os ataques ao controle
de acesso; falta de gestão de identidade, o que é bem crítico nas empresas; configurações inadequadas de se-
gurança; além dos ataques direcionados persistentes (APTs). “Na Embratel, contamos com um checklist de mais
de 100 itens para mainframe, no qual fazemos revisão periódica de cada um, a fim de assegurar a proteção dos
dados críticos”, aponta Stoyannis.
Yanis Cardoso Stoyannis, gerente de Segurança da Informação da Embratel, e
Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul,
falam sobre os desafios de proteção do mainframe
P
ara Jorge Krug, superintendente executivo da Unidade de Segurança de TI
do Banrisul, o maior desafio de Segurança da Informação no mainframe é
permitir que novos projetos e soluções implementadas mantenham a prote-
ção do ambiente. “Para a garantia do negócio, o sistema de segurança precisa ser
eficiente, pois hoje vivemos na era da mobilidade e das redes sociais, o que torna
os processos mais complexos”, aponta.
Segundo o executivo do Banrisul, as empresas brasileiras, em geral, têm maturi-
dade para proteger as informações dentro do mainframe, mas é necessário contar
com outros recursos tecnológicos. Para ele, adotar um ambiente adequado no ponto
de vista de normas internacionais de segurança também é um bom caminho para a proteção dos ambientes de
grande porte. “Mas o conceito de segurança não depende só da tecnologia, é importante que existam políticas e uma
cultura interna de segurança. Só assim faremos um bom uso do mainframe”, conclui Krug.
11. PROTEJA SEUS
SISTEMAS Z/OS
COM AS SOLUÇÕES
DE DEFESA EM
PROFUNDIDADE
DA VANGUARD
Depois de gastar milhões em defesas de perímetro, o que você tem feito para proteger as aplições críticas que executam no seu
mainframe?
Todos nós sabemos que as defesas de perímetro serão rompidas por usuários mal intencionados, e sabemos também que são os
usuários internos os maiores responsáveis pela maioria dos danos e fraudes ocorridas nas corporações. Diante destes fatos precisa-
mos, além das defesas da rede, precisamos de segurança nos servidores, monitoração contínua e alertas contínuas nos servidores,
nas aplicações críticas e nos dados.
Se você possui um sistema z/OS da IBM, ele deve estar executando 85% das suas aplicações críticas, de acordo com o Gartner.
Milhões de transações por segundo estão acontecendo, e somente ferramentas automatizadas são capazes de alertá-lo sobre uma
violação de sistema, acesso ou mudanças não autorizados nos controles das configurações de seu ambiente.
O sistema z/OS de sua empresa está adequadamente configurado para:
• Detecção e prevenção de intrusões?
• Alertas em tempo real?
• Monitoração contínua?
• Manutenção de controle da configuração de segurança?
Por mais de 26 anos, a Vanguard tem ajudado os especialistas das melhores empresas listadas pela Fortune 500 e agências do
governo em todo o mundo a bloquear e proteger com sucesso seus servidores IBM z/OS.
Deixe que os especialistas em segurança da 3CON, MSCS-X e Vanguard mostrem a você como estas premiadas soluções de software
podem automaticamente prever e impedir ameaças antes que ocorram.
Para saber mais, ligue para 11 3509 1900, ou nos envie um e-mail no endereço: comercial@trescon.com.br
11 3509 1900
Rua Jundiaí, 50 - Térreo - Paraíso
04001-140 - São Paulo - SP
www.trescon.com.br
comercial@trescon.com.br