Mainframe continua a marcar forte presença nas corporações

Apesar de ter sua obsolescência prevista há duas décadas, o Mainframe continua sendo utilizado pelas principais empresas para executar seus principais aplicativos de negócios. De fato, 59% dos executivos reconhecem o Mainframe como uma plataforma que ajuda seu crescimento. Isso faz sentido, considerando o quão escalável e confiável a plataforma é para o processamento transacional e para o tratamento dos dados vitais e financeiros mais importantes da maioria das empresas. Ainda assim, de acordo com a pesquisa, 84% dos participantes brasileiros afirmam já terem encontrado uma possível falha em seus sistemas.
Mesmo com sua importância para a arquitetura de TI, o Mainframe é frequentemente negligenciado pelo CISO (Chief Information Security Officer), que rotula a plataforma de “legado” e decide priorizar recursos de segurança limitados para uso nos sistemas de computadores mais costumeiros, como Windows e Linux. As soluções de Plataformas de Proteção de Endpoint (EPPs) e de Detecção e Resposta de Endpoint (EDR) são consideradas segurança de linha de base para laptops com Windows, mas esse software geralmente está criticamente ausente no Mainframe, o que deixa uma enorme falha de segurança. Os analistas dos Centros de Operações de Segurança (SOC) simplesmente não possuem as ferramentas e o treinamento para monitorar e defender com êxito esse componente crítico.
Para, de fato, aplicar melhores práticas de segurança holística e reduzir significantemente os riscos, as equipes de segurança devem adotar uma estratégia integrada de segurança de Mainframe. Isso é imperativo porque:
A ameaça é real
Embora o Mainframe seja conhecido historicamente por seu alto nível de segurança, agora, devido ao aumento dos investimentos em Ameaças Persistentes Avançadas (APTs), os pesquisadores de segurança ofensivos podem testar plataformas e identificar vulnerabilidades antes não conhecidas, o que torna imperativo que uma estratégia de segurança corporativa estenda a EDR a todas as plataformas, incluindo o Mainframe.
A tecnologia pode ampliar recursos humanos
As empresas com mais consciência cibernética se apoiam em soluções de segurança para capacitar cada um de seus analistas a executar o trabalho de muitos. As soluções de EDR podem acelerar as respostas a incidentes por meio do desenvolvimento de cronogramas automatizados de ação do usuário que informam aos analistas o que acionou o alerta, permitindo que eles percebam rapidamente se uma ameaça precisa ser escalada ou se é um falso positivo. Sem a automação, um analista deve classificar os dados e logs coletados antes de determinar se um incidente foi malicioso. Ultrapassada, a tecnologia legada que depende do trabalho manual para vasculhar os logs não é suficiente nesses cenários e leva ao alerta de fadiga, o que permite que eventos críticos passem despercebidos.
A maioria das equipes de Mainframe usa o SMF (System Management Facilities) para armazenar e gerenciar todas as mensagens de Mainframe. Originalmente criado para a contabilidade, o SMF não possui a especificidade necessária para detectar ou analisar atividades maliciosas e raramente é conectado a um Sistema de Informações de Segurança e Gerenciamento de Eventos (SIEM) em tempo real, o que atrasa severamente o tempo de resposta.
Enquanto essas equipes lutam para estar em compliance com os novos regulamentos, muitas simplesmente “clicam em check nas caixas” para passar na próxima auditoria, em vez de integrar uma solução ao grande plano de segurança. Isso leva a situações nas quais “todos os logins são armazenados com falha” para atender a um requisito regulatório, mas essas informações ficam em um data lake inacessível à equipe de segurança. As empresas estão tecnicamente em compliance, mas os dados permanecem sem uso e não fornecem inteligência acionável.
A incorporação do Mainframe na arquitetura de segurança corporativa com proteção EDR não apenas ajuda a atender aos requisitos de compliance, mas também aprimora a capacidade geral do SOC – e permite que os analistas se concentrem nas tarefas de alto nível enquanto os dados enriquecidos são classificados e analisados automaticamente.
A prática pode fazer a diferença entre um impacto catastrófico ou uma recuperação instantânea
Quando uma empresa se sente confiante em sua largura de banda e na eficácia das soluções de segurança, a próxima etapa é testar sua postura defensiva. As simulações cibernéticas podem ajudar a defender uma rede e revelar até que ponto os recursos de monitoramento de uma empresa podem detectar e alertar os analistas sobre indicadores de comprometimento. Esse feedback permite que a equipe de segurança faça melhorias incrementais com base no resultado do exercício e se prepare para uma ameaça real de emergência.
Ao projetar a simulação, as empresas devem testar a comunicação e os processos entre a equipe de Mainframe e o SOC. Os analistas de segurança raramente têm experiência em Mainframe, o que pode fazer com que alertas críticos sejam ignorados em prol de questões mais bem compreendidas nas outras plataformas. Ao realizar um exercício coeso que abrange toda a empresa, os analistas podem testar esses vínculos e destacar as lacunas que ela possa ter.
No final das contas, o Mainframe nada mais é que outro computador na rede. Todo CIO com um Mainframe percebe que a operação de seus negócios provavelmente falharia se esses Mainframes estivessem inoperantes. Quando se trata de proteger a plataforma, a solução mais simples para utilizar um software de segurança inteligente, como EDR, e testar sua eficácia – a melhor prática de segurança que existe em todos os outros sistemas – é geralmente a melhor e oferece garantia para todas as empresas digitais autônomas.