Mainframe-Sicherheitsstrategie Mit einer integrierten Sicherheitsstrategie zur sicheren Mainframe-Umgebung
Anbieter zum Thema
Große Organisationen verlassen sich bei der Ausführung ihrer wichtigsten Geschäftsanwendungen weiterhin auf den Mainframe. Für Führungskräfte fungiert der Mainframe dabei als Plattform für Wachstum und Innovation. Dies verwundert nicht, wenn man bedenkt, dass diese Plattform hochgradig skalierbar ist und zuverlässig sowohl die Transaktionsverarbeitung als auch die Verarbeitung der wichtigsten Benutzer- und Finanzdaten der meisten Unternehmen übernimmt.

Trotz seiner Bedeutung für die IT-Architektur ist der Mainframe-Betrieb gefährdet. Oftmals sehen sich die bewährten Großrechner einer zunehmenden Vernachlässigung von Seiten der Unternehmen gegenüber, wenn es um die Entwicklung von Strategien zur Absicherung der IT-Landschaft geht. IT-Sicherheitsmitarbeiter und Chief Information Security Officer (CISOs) beschränken sich aufgrund von knappen finanziellen – aber auch personellen – Ressourcen auf den Schutz von Windows-Systemen oder Cloud-Umgebungen.
Die Etablierung einer integrierten Sicherheitsstrategie
In der Vergangenheit war der Mainframe durch seine Komplexität und prohibitive Kosten gut geschützt. Jetzt ist es dank Emulation und den großen Ressourcen von Advanced Persistent Threats (APTs) möglich, Plattformen zu testen und früher verborgene Schwachstellen zu identifizieren. Daher ist es unerlässlich, dass eine Unternehmenssicherheitsstrategie Endpoint Detection and Response (EDR) auf alle Plattformen, einschließlich des Mainframes, ausweitet.
Während Endpoint Protection-Plattformen (EPPs) und EDR-Lösungen sich bereits als Basissicherheit für Windows-Laptops bewährt haben, fehlt diese Software oftmals in Mainframe-Umgebungen. Dies begünstigt enorme Sicherheitslücken. Doch fehlen den Analysten in den Security Operation Centern (SOCs) in vielen Fällen die richtigen Tools sowie die notwendige Ausbildung, um Mainframes effizient zu überwachen und zu schützen. Daher müssen Sicherheitsteams eine integrierte und ganzheitliche Mainframe-Sicherheitsstrategie verfolgen, um schwerwiegende Risiken für den Mainframe zu reduzieren.
Endpoint Detection and Response: Schnell Bedrohungen erkennen
Mit Technologie können Menschen ihre Ressourcen viel effizienter einsetzen. In der Prävention von Cyber-Angriffen stützen sich führende Unternehmen auf Sicherheitslösungen, die einzelne Analysten in die Lage zu versetzen, die Arbeit vieler zu erledigen. Sobald ein potenziell bedrohliches Ereignis im Mainframe-System eintritt, erstellt die EDR-Lösung automatisch einen Zeitplan aller Nutzervorgänge. Anhand dieser Timeline ist das SOC-Team in der Lage, nachzuvollziehen, was die Meldung ausgelöst hat. Auf dieser Grundlage entscheidet es, ob es sich um eine Bedrohung oder lediglich um einen falschen Alarm handelt. Diese Vorgehensweise erlaubt es Sicherheitsteams, schnell auf schädliche Eingriffe mit entsprechenden Maßnahmen zu reagieren. Ohne diesen automatisierten Verwaltungsprozess müsste ein Mitarbeiter die gesammelten Daten und Protokolle manuell durchsehen und auswerten, bevor er feststellen kann, ob der Vorfall böswillig war oder nicht. Dies ist nicht nur zeitaufwendig, wodurch die Reaktionszeit massiv in die Länge gezogen wird, sondern begünstigt ebenfalls „Alarmmüdigkeit“, was das Risiko unentdeckter Ereignisse steigert.
Die meisten Mainframe-Teams verlassen sich zur Speicherung und Verwaltung von Mainframe-Meldungen oftmals auf System Management Facility (SMF). Ursprünglich für die Buchhaltung entwickelt, sind SMF-Lösungen nicht in der Lage, bedrohliche Aktivitäten frühzeitig zu erkennen oder zu analysieren. Außerdem sind sie nur selten mit Echtzeit-Lösungen wie Security Information and Event Management(SIEM)-Tools verbunden, was die Reaktionszeit auf potenzielle Bedrohungen erheblich in die Länge zieht.
Die Teams sind ständig damit beschäftigt, Compliance mit neuen Vorschriften zu erreichen und oft setzen sie nur Häkchen, um ein Audit abzuschließen, anstatt eine ganzheitliche Sicherheitslösung zu integrieren. Das führt dann zu Situationen, wo fehlgeschlagene Logins gespeichert werden, um Regularien zu erfüllen, allerdings in einem Data Lake, zu dem das Security Team keinen Zugang hat. Von der technischen Seite sind so zwar alle Compliance-Anforderungen erfüllt, die Daten und wichtige Insights bleiben jedoch ungenutzt. Indem Unternehmen Mainframes in ihre Sicherheitsstrategie miteinbeziehen, stellen sie nicht nur die Einhaltung von Compliance-Anforderungen sicher, sondern verschaffen SOC-Mitarbeitern aufgrund der Prozessautomatisierung viel Zeit, damit diese sich auf wertschöpfende Tätigkeiten konzentrieren können.
Sicherheitsstrategie testen und optimieren
Im nächsten Schritt sollten Unternehmen ihre Sicherheitsstrategie in vollem Umfang auf Effizienz und Zuverlässigkeit hin testen. Mithilfe von Simulationen lässt sich zum einen ermitteln, wie gut die sich im Einsatz befindenden Lösungen Indicators of Compromise (IoCs) erkennen und wie schnell sie das SOC darüber in Kenntnis setzen. Auf Grundlage solcher Übungen werden Sicherheitsteams nicht nur auf den Ernstfall vorbereitet, sondern können mithilfe der Ergebnisse Optimierungen an den Lösungen vornehmen.
Zum anderen können über eine solche Simulation sowohl Kommunikation als auch die Prozessabläufe zwischen dem SOC und dem Team, das für die Mainframe-Systeme verantwortlich ist, auf die Probe gestellt werden. Sicherheitsanalytiker verfügen selten über Erfahrungen im Mainframe-Bereich, was dazu führen kann, dass kritische Ereignisse in der Mainframe-Umgebung zugunsten der Probleme auf anderen Plattformen nicht erkannt werden. Übungen, die sich über die gesamte Breite des Unternehmens erstrecken, fördern die Beziehungen zwischen einzelnen Abteilungen, Rollen und Kompetenzen und machen auf Lücken in der Organisation aufmerksam. Dies könnte im Ernstfall den Unterschied zwischen katastrophalen Auswirkungen und der schnellen Wiederherstellung ausmachen.
Fazit
Letzten Endes ist der Mainframe zwar sicher, aber nicht unverwundbar. Da es sich beim Mainframe um eine intelligente Unternehmensplattform handelt, dürfte jedem Chief Information Officer (CIO) klar sein, dass ein nicht vollfunktionsfähiger Mainframe negative Auswirkungen auf sein Unternehmen hat. Um die Plattform abzusichern ist der Einsatz von intelligenten Sicherheitsansätzen und -lösungen wie EDR und das Testen ihrer Effizienz – wie es auch auf allen anderen Systemen Best Practice ist – die einfachste und beste Lösung und bietet Sicherheit für jedes autonome digitale Unternehmen.
Über den Autor: Christopher Perry ist Lead Product Manager für BMC AMI Security bei BMC Software.
(ID:46990636)