You’ve Solved Password Resets for Your Network. Now What About Your Mainframe?

Humans. For the person managing network access, we are nothing but a pain. That’s because network access involves passwords, and passwords are hard for humans. We hide them, lose them, forget them, share them, and fail to update them.

The struggle is real, and understandable. We are buried in passwords. They’re needed for every aspect of our lives. To keep track of them, most of us write them down and use the “increment” strategy to avoid recreating and trying to memorize a different password at every turn. But the struggle continues.

Yes, passwords are hard for humans. And that makes them an incredibly weak security solution.

If you’ve been in IT for any length of time, you get it. For years, password resets were a constant interruption and source of irritation for IT. Fortunately, that changed when password-reset tools came along. Now used by most enterprises, these tools help IT shops get out of the password-reset business and onto more strategic tasks.

What About Mainframe Passwords?

Mainframe-password resets are even more costly and time consuming than network-password resets. That’s because mainframe passwords have to be reset in RACF, on the mainframe, which means someone who has mainframe access and knows how to execute this type of command has to do it—typically a mainframe systems programmer/admin. Plus, mainframe users often need access to multiple hosts and applications. And each application requires a separate username and password.

There are no automated password-reset tools for the mainframe—your wealthiest data bank of all. But what if there were a completely different way to solve this problem? What if you could get rid of mainframe passwords altogether and strengthen security for mainframe access in the process?

In fact, there is a way that you can do just that. Two Micro Focus products—Host Access Management and Security Server (MSS) and an MSS add-on product called Automated Sign-On for Mainframe (ASM) make it possible.

How Do MSS and ASM Work?

MSS puts a security control point between mainframe users and your host systems. It uses your existing Identify and Access Management structure—specifically, strong authentication—to authorize access to the mainframe. The MSS-ASM combo enables automatic sign-on all the way to the mainframe application—eliminating the need for users to enter any IDs or passwords.

Here’s what’s happening behind the scenes: When a user launches a mainframe session though a Micro Focus terminal emulator’s logon macro, the emulator requests the user’s mainframe credentials from MSS and ASM. ASM employs the user’s enterprise identity to get the mainframe user ID.

Then, working with the IBM z/OS Digital Certificate Access Server (DCAS) component, ASM obtains a time-limited, single-use RACF PassTicket for the target application. In case you didn’t know, PassTickets are dynamically generated by RACF each time users attempt to sign on to mainframe applications. Unlike static passwords, PassTickets offer replay protection because they can be used only once. PassTickets also expire after a defined period of time (10 minutes by default), even if they have never been used. These features all translate into secure access.

ASM returns the PassTicket and mainframe user ID to the terminal emulator’s logon macro, which sends the credentials to the mainframe to sign the user on to the application.

No interaction is needed from the user other than starting the session in the usual way. Imagine that. They don’t have to deal with passwords, and neither do you.

No More Mainframe Passwords

Humans. We are a messy, forgetful, chaotic bunch. But fortunately, we humans know that. That’s why we humans at Micro Focus build solutions to help keep systems secure and humans moving forward. Learn more about Host Access Management and Security Server and its Automated Sign-On Add-On.

Ice Phishing, Whaling, and Social Engineering

Introduction

According to the 1960’s song, “It’s the Most Wonderful Time of the Year”. But it’s also the time to be on the lookout for a cyber-attack posing as an email with the best wishes of corporate executives. In 2016, a fake phishing email sent by JPMorgan was able to dupe 20% of its staff into opening and clicking on a simulated malware link.

There She Blows!

The latest attacks are based on “whaling”—a refined kind of phishing attack in which hackers use spoofed or similar-sounding domain names to make it look like the emails they send are from your CFO or CEO. In fact, Whaling is becoming a big enough issue that it’s landed on the radar of the FBI.

Trawling the Network

Whaling hasn’t quite overshadowed regular old phishing, though. A 2016 report by PhishMe states that over 93% of phishing emails are now ransomware. And almost half of those surveyed by endpoint protection company SentinelOne state that their organization has suffered a ransomware attack in the last 12 months. If it’s not ransomware, it’s hackers looking to put other types of malicious code on corporate or public networks or to gain access to passwords belonging to employees or other users. Alarming new types of ransomware, such as Samas or Samsam, will toast your organization just by opening the email—no click required. The dangers are very, very real.

But while it may be impossible to prevent employees from opening phishing emails or clicking on a link, there are ways to create an inoculated environment filled with cyber-hygiene to mitigate the effects of an attack.

Don’t Get Caught

As levels of sophistication of the cyber attacks continue to increase, vigilance is key. Here are a few best practices to keep in mind:

  • Take offline backups of critical information for recovery from ransomware. While “snap copying” live volumes is trendy, you could be snapping ransomware-encrypted files.
  • Implement the security protocol of “least privilege” for all users to minimize access to critical systems and data. Be sure to collect and correlate user entitlements to enforce least privilege.
  • Limit the use of “mapped” drives, which can be encrypted by ransomware. Use secure systems designed for file sharing
  • Implement multi-factor authentication in case user credentials are compromised without forgetting to include strong authentication for your  mainframe systems.
  • Speaking of mainframes, often the locale of some of the most sensitive data in the corporation, ensure that the terminal emulator being used:
    • Is certified on whatever desktop operating system is in use
    • Implements the latest security standards
    • Is configured so that macros can only be run from trusted locations and cannot be used as a point of attack.
  • Ensure that you have a single point of control for all of your identity, access, and security settings, but don’t forget to monitor the people who manage it.
  • If employees use intelligent personal devices such as smartphones and tablets, think about implementing an endpoint management system, which can be remotely disabled (and the device wiped), in case it is lost or compromised.

Conclusion

Good corporate governance and awareness can help prevent  users from clicking on phishing emails, but a more robust approach needs to ensure that IT  can mitigate the risks if they do.

The helpful hints above should hopefully serve to get you through the holidays and provide even a sensible resolution for 2017.

Cyber Monday

Big retailers have been planning ahead for up to 18 months for their share of approximately 2.6 billion dollars of revenue. Cyber Monday started in 2005 by Shop.org has become one of the biggest online traffic days of the year, Simon Puleo takes a look at the list of how some of our biggest customers have prepared.

‘Twas the night before Cyber Monday and all through the house

everyone was using touchscreens gone was the mouse.

While consumers checked their wish lists with care

in hopes that great savings soon would be there.

The children were watching screens in their beds

while visions of Pikachu danced in their heads.

And Mamma in her robe and I in my Cub’s hat

reviewed our bank accounts and decided that was that!’

Cyber Monday started in 2005 by Shop.org has become one of the biggest online traffic days of the year.  Black Friday may have started as early as 1951 and between the two shopping holidays generate over $70 BN!  Let’s take a look at the list of how some of our biggest customers have prepared:

1.)    Performance testing.  Did you know that our customers typically start performance testing for cyber-Monday in February, why would they start so early?  Customers are testing more than just peak load, they are testing that sites will render correctly across multiple configurations, bandwidths, devices, and sometimes in multiple regions of the world.  The goals of ecommerce is to enable as many shoppers as possible that includes my Dad on his iPad 2 on a rural carrier and my daughter on her Chromebook in an urban area.   Multiply that by thousands of users and you can see that unfortunately, retailers can’t hire enough of my relatives to help them out. What they do is use a combination of synthetic monitors and virtual users to simulate and assess how a website will perform when 10,000 of users are shopping at the same time.

BlackMon1

2.)    New Feature Testing.  Whether you consciously think about it or not you expect and gravitate towards websites that have the latest feature set and best user experience.  What does that mean?  Listing a photo and description is bare bones the best commerce websites not only have reviews, videos, links to social media and wish lists they may actually be responsive to your shopping habits, regional weather and personal interests.  They use big data sets to preclude what you are browsing for and offer you targeted deals too good to pass up!  While that is exciting, it also means that the complexity of code both rendering the browser and behind the scenes has grown exponentially over the years.  Ensuring that new features perform and old code works with legacy systems as well renders correctly over multiple devices is what functional and regression testing is all about.  While a team of testers may track multiple code changes they lean towards automation to ensure that code works on target configurations.

3.)    Offering Federated Access Management What? you’re thinking, user-login was solved ages ago. For sophisticated online retailers using Facebook, Google, Yahoo!, Twitter, LinkedIn or other credentials to gain access is first a method to gain trust, second opens up the potential opportunity for more customers and finally a road to valuable personal data.  Regardless of which advantage a retailer may prioritize developing the ability to enable millions of Facebook users to easily login and check-out with a credit-card equates to new customers and a leg up over legacy competitors.  And, for added amount of trust and security retailers can couple multi-factor authentication at key points of the conversion process.   Simple user login and password for each shopping site is quickly becoming a relic of the past as users opt for convenience over management of many user names and passwords.

BlackMon2

These are some of the top methods and solutions that big retailers have implemented for 2016.  The best online commerce professionals know what they are up against and what is at stake for example:

  • In 2014 there were over 18,000 different Android devices on the market according to OpenSignal, that is an overwhelming amount of devices to ensure.
  • At a minimum retailers lose $5600 per minute their websites are down
  • The market is huge a recent estimate put the global amount of digital buyers at 1.6 Billion, that is nearly 1/5 of the world’s population.  Converting even .1% of that number is 160,000 users!
  • Users are fickle and will leave a website if delayed just a few seconds
  • Last year Cyber Monday accounted for $3 billion in revenue, this year we expect even more!

Retailers like Mueller in Germany realize that no “downtime” is critical to keeping both the online and virtual shelving stocked.  Their holistic approach to managing software testing and performance helps them implement new features while keeping existing systems up and running.   It is never too late to get started for this year or preparing for next, consider how Micro Focus has helped major US and European Online Retailers with performance testing, automated functional and regression testing, access management and advanced authentication.

Passwortkrieg – Wer kämpft eigentlich gegen wen?

Das Jahr 2016 brachte spektakuläre Datendiebstähle unfassbarer Dimension ans Tageslicht – Dropbox, Yahoo aber auch staatliche Institution wie RUAG wurden u.a. Opfer der sich immer stärker ausbreitenden professionellen Cyberangriffe. Hinzukommt eine wachsende Unzufriedenheit der Mitarbeiter bezüglich der Zugriffsbereitstellung, was zu einem Wildwuchs bei Zugriffsrechten führt. Im Blog erfahren Sie, wie man diesem Dilemma entkommen kann.

Im Jahr 2016 hat das Thema Datenklau hat eine bislang noch nie da gewesene Dimension erreicht. Datendiebstähle werden zum Alltag, Ransomware zur Norm und wenn ein Onlineportal Millionen Zugangsdaten verliert, überrascht das auch niemanden mehr. 68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der deutschen Telekom und der jüngste  Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy –  die Liste lässt sich beliebig weiter fortsetzen. Zwischen all diesen Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Auffällig ist, dass die erwähnten Datendiebstähle allesamt auf Netzwerkangriffe zurückgehen, die bereits vor 4, beziehungsweise im Falle von Yahoo, vor 2  Jahren erfolgten und die Unternehmen seinerzeit die Auswirkungen dieser initialen Angriffe in der Öffentlichkeit eher herunterspielten. Heute zeigt sich mit dem Auftauchen der seinerzeit beim Angriff erbeuteten eMail Adressen und Passwörter im erst das wahre Ausmaß des Schadens.

Ursächlich für die massiven Fälle des Datendiebstahls waren in den genannten Fällen jeweils geknackte Passwörter privater LinkedIn Accounts. Und trotz steigender Bedrohungslage, gibt es immer noch genügend Mitarbeiter, die allem Anschein zur Folge naiv genug sind und das gleiche, privat genutzte  Passwort auch beruflich  verwenden und somit den Hackern Zugang  zu Unternehmensnetzwerken ermöglichen.  Erstaunlich ist auch, dass sich die öffentliche Empörung der jetzt ans Licht gekommenen, unvorstellbar großen Datendiebstähle  sehr in Grenzen hielt, denn entsprechende Schlagzeilen füllten gerade mal einen Tag lang die Gazetten. Anscheinend zählt der Verlust vertraulicher Daten und Passwörter, bei dem Unzählige schon ihr digitales Leben verloren – zum Glück nur das digitale – schon zur Tagesordnung. Doch nicht nur Unternehmen sind Opfer wachsender Cyberkriminalität, auch staatliche Institutionen geraten zunehmend  ins Visier der Hacker. Der staatseigene Schweizer Rüstungsbetrieb RUAG  und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden und zumindest einer dieser Angriffe war erfolgreich. Laut dem Bericht der Melde- und Analysestelle Informationssicherung (Melani) konnte der Hackerangriff auf das Schweizer Verteidigungsministerium Anfang 2016 noch rechtzeitig entdeckt werden. Der Angriff auf RUAG, begann im Dezember 2014 begann und blieb über ein Jahr lang unentdeckt. Mithilfe eines Schadprogramms gelang es den Angreifern, durch Watering-Hole-Angriffe über präparierte Webseiten eine Erstinfektion zu erreichen. Dies führte dazu, dass die Angreifer eine Schwachstelle im Browser eines Mitarbeiters ausnutzen und Schadsoftware installieren konnten. Im Nachgang kam es auf dem infizierten System zu einer Erweiterung der Benutzerprivilegien und über mehrere Stufen schließlich zur vollständigen Kontrolle über das Active Directory im Unternehmensnetz. Damit erlangten die Angreifer höchstmögliche Benutzerrechte.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt jeden Tag mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz – eine alarmierende Zahl.  Dort spricht man bereits von elektronischem Flächen-Bombardement, Streuverlusten und von Spezialeinheiten zur Bekämpfung  und bedient sich dabei des Vokabulars, welches man eigentlich nur aus dem Verteidigungsministerium kennt.  Der Feind lauert überall und sieht es bei seinen Beutezügen vor allem auf eines ab:

Er sucht die größte Schwachstelle, die ihm ein Eindringen in Unternehmensnetzwerke möglichst unbemerkt erlaubt. Passwörter und Zugangsdaten scheinen dabei das schwächste Glied der Kette zu sein, denn dreiviertel aller Cyberattacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen.

Doch neben dem Kampf gegen immer ausgetüftelterer Cyberattacken und professionelle Hacker  sieht sich die IT-Abteilung noch einer zweiten Front im Passwortkrieg gegenüber – der Front der unzufriedenen Mitarbeiter im eigenen Unternehmen. Denn als Reaktion auf die wachsende Cyberkriminalität mit immer subtileren Angriffsmethoden werden gleichzeitig auch immer restriktivere Maßnahmen bei der Passwortvergabe eingeführt. Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen sind zu verwenden, mindestens 10 Stellen sollten es sein und möglichst nach 14 Tagen zu erneuern und auf gar keinen Fall ein und das gleiche Passwort für alles zu benutzen  – um hier nur einige der häufigsten Regeln für die Passwortvergabe zu nennen. Schon heute besitzt ein User durchschnittlich 13 Passwörter und greift auf 6 – 10 Applikationen und Webseiten mit Logins pro Tag zu. Glaubt man der Studie von Deloitte wird sich die Zahl der Online Accounts pro Nutzer auf 200 bis zum Jahre 2020 erhöhen. Kein Mensch kann sich mehr all die benötigten verschiedenen und komplizierten Passwörter merken, was unweigerlich zur Folge hat, dass Haftnotizen als Gedankenstützen an Displays kleben oder oftmals das gleiche, meist einfache Passwort für mehrere Logins verwendet wird. Zudem führen diese Passwort-Policies in Unternehmen zunehmend auch zu Frust bei den Angestellten. So stellte das Ponemon-Institut in der jüngst veröffentlichen Umfrage für Identity Governance & Access Management fest, dass bei 38 % der befragten Unternehmen, Mitarbeiter über den aktuellen Prozess für die Zugriffsverwaltung verärgert sind. Und selbst wenn die Benutzer allen strikten Vorgaben bei der Passworterstellung folgen würden und tatsächlich starke und unterschiedliche Passwörter benutzten würden, diese immer noch nicht sicher genug wären. Mittels Social Engineering – auch soziale Manipulation genannt – nutzen Hacker menschliche Schwachstellen aus, um durch gezielte Beeinflussung an vertrauliche Informationen zu gelangen (siehe Blog: Tausche Passwort gegen Schokolade)

multifaktor

Sicherheit muss praktikabel sein

Also, was können Unternehmen tun, um sich vor Identitätsdiebstahl zu schützen? Identitätsbasierte Sicherheitslösungen, wie beispielweise Multi-Faktor-Authentifizierung  können der Schlüssel sein, um sicheren Zugriff auf Anwendungen und Systeme, die Mitarbeiter für Ihr tägliches Arbeiten benötigen, zu gewährleisten. Doch wirklich sicherer wird es nur, wenn es auch einfach ist. Denn während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Darüber hinaus ist es wichtig, das die  Zugriffe dynamisch evaluiert und die Sicherheit für den Login adaptiert werden.  Wie Sie Ihr Unternehmen vor Cyberangriffen schützen können zeigen wir auf der  #DiscoverMF Tour, die am 7. Dezember 2016 in Zürich beginnt.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

FT Cyber Security Summit 2016

David Mount reports back from the FT Cyber Security Summit 2016 in London, and shares his thoughts on Cyber Security in the enlightening blog. Read on

FT

Last month I was fortunate to be able to carve some time out of my diary to attend the Financial Times Cyber Security Summit in London. The event promised a strong line-up of cyber-security heavyweights – and I mean that in the knowledge and experience sense, rather than in Trump’s view of a cyber-crime protagonist.

The sentiment was clear – the good guys are still losing to the bad guys, and it doesn’t look like it’s going to change any time soon. Nausicaa Delfas, Director of Specialist Supervision at the UK’s Financial Conduct Authority shared some interesting, if unsurprising numbers. Over the past few years, they have seen the number of reported cyber-attacks on financial institutions steadily rise – 5 in 2014, 27 in 2015, and 75 so far in 2016. The pessimist (or perhaps realist) in me makes me think that we’re facing ever increasing armies of cyber-criminals who are better organised, better skilled and better funded than the average target; the optimist in me tries to think that we’re actually getting better at spotting the attacks earlier, and thus able to respond more effectively than before.

IAS blog 2

Whatever the reasons, it’s evident that the good guys will only become truly effective in their mission through effective sharing of information. Indeed, the great military strategist Sun Tzu proclaimed “if you know your enemy and know yourself, you need not fear the results of a hundred battles”. There’s no room for egos in cyber-security. Attacks happen, and one major bank highlighted the empathetic sentiment they received from their customers if they announce they are suffering a cyber-attack such as DDOS.

So let’s not perpetuate the myth that all cyber-attacks are perpetrated by socially awkward teenagers in their bedrooms. Some indeed are, and often as a result of frankly inexcusable and embarrassing approaches to information security. However, many are not. We must change our approach and find the ways to allow cyber-security professionals to truly come together as a team, rather than acting as a loosely grouped collection of skilled individuals. Thankfully, we’re starting to see some initiatives take shape in this space, and during the event there was optimism regarding the UK Government-led National Cyber Security Centre, but much more work is needed on cyber information sharing platforms to provide open, timely access to rich information such as threats, attack vectors and indicators of compromise. As basketball coach John Wooden said – “failure isn’t fatal. But failure to change might be” – a prophecy to the cyber threats of today or tomorrow perhaps?

IAS 3

Geo-fencing: securing authentication?

Micro Focus is leading the industry in geo-fencing and Advanced Authentication with it’s NetIQ portfolio. Simon Puleo looks at this fascinating new area and suggests some potential and very practical uses for this technology in his latest blog

Are you are one of the 500 million users who recently had their account details stolen from Yahoo?

Chances are that criminals will use them for credential stuffing – using automation to try different combinations of passwords and usernames at multiple sites to login to your accounts.

So you’re probably thinking the same as me – that a single username and password is no longer sufficient protection from malicious log-in, especially when recycled on multiple sites.

DeYahoo1

Is your identity on the line?

Indeed, 75% of respondents to a September 2016 Ponemon study agreed that “single-factor authentication no longer effectively protects unauthorized access to information.”

Biometric authentication is one solution and is already a feature of newer iPhones. However, skimmers and shimmers are already seeking to undermine even this.

Perhaps geo-fencing, the emerging alternative, can address the balancing act between user experience and security? It provides effective authentication and can be easily deployed for users with a GPS device. Let’s take a closer look at what this technology is, and how it can be used.

What is geo-fencing?

Geo-fencing enables software administrators to define geographical boundaries. They draw a shape around the perimeter of a building or area where they want to enforce a virtual barrier.  It is really that easy. The administrator decides who can access what within that barrier, based on GPS coordinates. In the example below, an admin has set a policy that only state employees with a GPS can access systems within the Capitol Building.

cap

Let’s dive deeper, and differentiate between geo-location and geo-fencing. Because geo-location uses your IP it can be easily spoofed or fooled, and is not geographically accurate. However geo-fencing is based on GPS coordinates from satellites tracking latitude and longitude.

While GPS can be spoofed it requires loads of expensive scientific equipment and certain features to validate the signal. Using geo-coordinates enables new sets of policies and controls to ensure security and enforce seamless verification, keeping it easy for the user to log-in and hard for the criminal to break in. Consider the below example:

Security Policy: Users must logout when leaving their work area.

Real-world scenario: Let’s go and get a coffee right now. Ever drop what you are doing, leaving your PC unlocked and vulnerable to insider attacks? Sure you have.

Control: Based on a geo-fence as small as five feet, users could be logged out when they leave their cube with a geo device, then logged back in when they return. It’s a perfect combination of convenience, caffeine and security.

Patient safety, IT security 

This scenario may sound incredible, but Troy Drewry, a Micro Focus Product Manager, explains that it is not that far-fetched. Troy shared his excitement for the topic – and a number of geo based authentication projects he is involved in – with me. One effort is enabling doctors and medical staff to login and logout of workstations simply by their physical location. This could help save valuable time in time-critical ER situations while still enforcing HIPAA policies.

Another project is working with an innovative bank that is researching using geo-fencing around ATMs to provide another factor of validation.  In this scenario, geo-fencing could have the advantage of PIN-less transactions, circumventing skimmers.

As he explained to me, “What is interesting to me is that with geo-fencing and user location as a factor of authentication, it means that security and convenience are less at odds.” I couldn’t agree more. Pressing the button on my hard token to login to my bank accounts seems almost anachronistic; geo-fencing is charting a new route for authentication.

Micro Focus is leading the industry in geo-fencing and Advanced Authentication. To learn more, speak with one of our specialists or click here.

 

Continuously secure and manage your open source components

WhiteSource Software, the leader in continuous open source security and compliance management, presented and demonstrated a deep integration with Dimensions CM allowing teams to secure and manage use of open source components at the recent Micro Focus DevOps Interchange in Chicago. Ashley Owen explains more…..

DevOpsXchangeChic

During the Micro Focus DevOps Interchange 2016 conference this week, WhiteSource, the leader in continuous open source security and compliance management, presented and demonstrated a deep integration with Dimensions CM allowing teams to secure and manage use of open source components.  This partnership makes the WhiteSource open source security and license compliance solution available to users of Serena Dimensions CM 14.3.2 in November.

business-operations

WhiteSource integrates directly into the Dimensions CM Continuous Inspection toolchain, enabling rapid feedback on open source security and license compliance risks for business critical custom applications within the Application development and delivery lifecycle. The invocation of the WhiteSource service is performed seamlessly and the results are available within Dimensions CM Pulse UI.

WhiteSource’s integration gives users the ability to find and fix open source components with security vulnerabilities, severe software bugs or compliance issues related to licensing. These features are seamlessly integrated for Serena users, allowing a safer, better use of open source components in their software while simultaneously increasing productivity. No longer will teams collaborating on projects have to manually track open source usage, or speculate whether they are using vulnerable components.

 

Ashely

 

 

Ashley Owen

Zeit, dass sich was dreht

Der gestern Abend bekannt gewordene Datendiebstahl bei Yahoo verdeutlicht einmal mehr, dass Unternehmen ihre Sicherheitsstrategie genau prüfen und an die sich ändernden Herausforderungen anpassen sollten. Ein Kommentar von Christoph Stoica zum Rekordhack bei Yahoo.

68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000  gestohlene Kundenzugangsdaten bei der Telekom und jetzt der Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy. Zwischen diesen drei Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren.  Für die Presse sind solche spektakulären Cyberhacks ein gefundenes Fressen und vielleicht gibt es sogar schon manch pfiffiges Wettbüro, das jetzt Wetten annimmt, wie lange es wohl dauern wird, bis auch der aktuelle Rekordhack mit 500.000.000 kompromittierten Nutzerkonten von einem noch größeren Diebstahl übertroffen wird – für die geschädigten Unternehmen hingegen bedeuten solche Angriffe zunächst einmal vor allem einen Imageverlust und der Verlust der Glaubwürdigkeit. Im Falle von Yahoo scheint diese Datenpanne jedoch auch reelle finanzielle Auswirkungen zu haben.

Wie immer bei der Veröffentlichung solcher  Mega-Datenpannen melden sich auch jetzt wieder diejenigen zu Wort,  die mahnend den Zeigefinger heben und sich fragen, wie ein Datendiebstahl solchen Ausmaßes überhaupt möglich ist, und warum dieser so lange anscheinend unentdeckt blieb. Das Wort Fahrlässigkeit wird auch dabei – und das sicherlich teils auch zu Recht –  wieder schnell die Runde machen.  Es ist  schwer vorstellbar, dass gerade die oben genannten Unternehmen, allesamt aus der IT- Branche, grob vorsätzlich und fahrlässig gehandelt haben  in Bezug auf die seinerzeit getroffenen Sicherheitsmaßnahmen.  Bedenken sollte man, dass alle kürzlich veröffentlichen Datendiebstähle auf Netzwerkangriffe zurückgehen, die bereits vor   4 beziehungsweise 2  Jahren im Falle von Yahoo erfolgten.  Damals galt in den Unternehmen noch die Devise „Schützen und Verteidigen“ als ausreichend  für den Schutz der sensiblen Daten, man investierte vor allem in immer ausgefeiltere Firewalls und Antivirensoftware und die Kombination  aus Passwort und Nutzernamen für die Authentifizierung galt als bestmöglicher Kompromiss aus Sicherheit und Nutzbarbarkeit. Doch mit den sich rasant neu entwickelnden Trends wie Cloud Computing und Cloud Services, Social Media, mobiles Internet, BYOD  muss sich auch der Blick auf die IT-Sicherheitsstrategie komplett ändern. Die wachsende technologische Durchdringung und Vernetzung, die damit einhergehende Komplexität der IT-Landschaften, die sich verändernden Formen der geschäftlichen Zusammenarbeit sowie die ‘always on’ Mentalität, sprich zu jeder Zeit und von jedem Ort online erreichbar zu sein, stellt die IT-Abteilungen ganz klar vor neue Herausforderungen. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen erodiert zunehmend,  denn es gibt keine Grenze mehr zwischen „innerhalb“ und „außerhalb“  des Netzwerkes – das Netzwerk ist heute überall  und der Feind ebenso.

DeYahoo1

Zeit, dass sich was dreht: Von der statischen IT-Sicherheit hin zur dynamischen IT-Sicherheitsstrategie

Unternehmen sind heute angesichts der stetig wachsenden Bedrohungslage was Cyberattacken anbelangt mehr denn je gefordert, ihre Sicherheitsstrategie zu überprüfen und den geänderten Herausforderungen anzupassen. Die technischen Möglichkeiten hierzu stehen – anders als auch vielleicht noch vor 4 Jahren –  beispielsweise mit einem risikobasiertem Zugriffsmanagement bereits zur Verfügung. Eine Analyse der Risiken und die Implementierung einer risikobasierten Zugriffssteuerung auf  der Grundlage von Multi-Faktor-Authentifizierung sollte daher die Basis eines jeden Sicherheitskonzeptes sein. Eine weitere Grundlage für eine umfassende IT-Sicherheit ist ein zentraler Überblick über alle vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert. Auch die Vereinfachung und Automatisierung von Prozessen zur Rezertifizierung der Zugriffsberechtigungen und die Etablierung von Identity Governance Initiativen gehören dazu.

Fazit:

Zusammenfassend kann man sagen, dass eine komplette Neubewertung des Umgang mit Berechtigungen und Zugriffen erforderlich ist. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den Datenschutz- und Compliance-Richtlinien zu entsprechen, sínd heute intelligente Verwaltungslösungen gefragt, um die IT-Sicherheit an sich verändernde Anforderungen anzupassen und situativ und in Echtzeit reagieren zu können. Unternehmen, die angesichts sich massiv häufender Datendiebstähle und Cyberattacken , nach wie vor nur auf eine statische Sicherheitsstrategie setzen, handeln fahrlässig – sowohl in Bezug auf die Datensicherheit als auch im Hinblick auf mögliche Image- und Wertverluste ihres Unternehmens.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

 

Datenschutz und Datensicherheit

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.

 – Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung

In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.

Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.

Kernelemente der Reform – Worauf sollten Unternehmen achten

Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.

Infographic, Europäische Union 2015
Infographic, Europäische Union 2015

Recht auf Vergessen

Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.

Technische und organisatorische Anforderungen

Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )

Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt

Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei  einer Verletzung des Schutzes personenbezogener Daten.  Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde –  insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen  ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen.  Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.

Fazit:

Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Is Secure File Transfer Protocol (SFTP) Its Own Worst Enemy?

At Micro Focus, our customers are asking for a holistic approach to secure file transfer—one that provides more visibility, flexibility, and control. That’s why we’ve introduced Reflection® for Secure IT Gateway. This new SSH-based solution sits between the user and the SFTP server, and acts as a central point of control. Its job is to track every file going in and out of your enterprise, including who transferred it and what’s in it. David Fletcher investigates further in this blog….

Secure File Transfer Protocol

SFTP has long been a de facto standard for secure file transfer.  Originally designed by the Internet Engineering Task Force (IETF), this extension of the Secure Shell protocol (SSH) 2.0 provides secure file transfer capabilities over the SSH network protocol.

In a nutshell, SFTP encrypts your data and moves it through an impenetrable encrypted tunnel that makes interception and decoding virtually impossible. While incredibly useful for business-to-business data sharing, SFTP poses a problem in our security-conscious world. Oddly enough, the problem is that SFTP works too well.

Let me explain. SFTP works so well that no one can see what’s being transferred—not even the people who need to see it for security reasons. Case in point: Edward Snowden. No matter what your thoughts on the subject, the fact is that Snowden used his privileged user status to transfer and steal sensitive files. Why was he able to do this? Because no one could see what he was doing. As a “privileged user” on the network, he had extensive access to sensitive files—files that he was able to transfer about, as he desired, without detection.

Iris2blog

In addition to the threats posed by unscrupulous privileged users, there’s another threat that’s cause for alarm. It’s called Advanced Persistent Threat (APT).  Basically, an APT is a ceaseless, sophisticated attack carried out by an organized group to accomplish a particular result—typically, the acquisition of information. The classic APT mode of operation is to doggedly steal the credentials of privileged users. The purpose, of course, is to gain unfettered access to sensitive or secret data. Once “in,” these APTers can transfer data and steal it without detection.  On a side note, Snowden used some of these APT tactics to steal credentials and validate self-signed certificates to gain access to classified documents.

APTs are often discussed in the context of government, but let me be clear: Companies are also a primary target. Take the recent Wall Street Journal article about a foreign government stealing plans for a new steel technology from US Steel. Such behavior is just the tip of the iceberg when it comes to how far some entities will go to steal information and technology.

Introducing Micro Focus Reflection for Secure IT Gateway

So given that transferring files is an essential business operation, what can you do to protect your organization from these dangerous threats? At Micro Focus, our customers are asking for a holistic approach to secure file transfer—one that provides more visibility, flexibility, and control. That’s why we’re introducing Reflection® for Secure IT Gateway. This new SSH-based solution sits between the user and the SFTP server, and acts as a central point of control. Its job is to track every file going in and out of your enterprise, including who transferred it and what’s in it.   It also provides the ability to essentially offload files and allow for 3rd party inspection and can then either stop the transfer and notify if something seem amiss or complete the transfer as required.

Reflection for Secure IT Gateway comes with a powerful browser-based interface that you can use to accomplish a number of transfer-related tasks:

  • Expose files for inspection by third-party tools
  • Automate pre- and post-transfer actions
  • Grant and manage SFTP administrator rights
  • Provision users
  • Configure transfers
  • Create jobs for enterprise level automation
  • Delegate tasks

Read more about Reflection for Secure IT Gateway or download our evaluation software and take a test drive. Learn how you can continue to benefit from the ironclad security of SFTP while also gaining greater file transfer visibility, flexibility, and control.

RUMBA9.4.5
Sr. Product Marketing Manager
Host Connectivity
(Orginally Published here)

It ain’t broke, but there’s still a better way

The latest release of Rumba+ Desktop now offers centralized security and management via Host Access Management and Security Server (MSS). MSS meets one of IT’s greatest challenges—keeping up with an ever-changing IT security landscape. David Fletcher covers better secure access to host systems in this blog.

“If it ain’t broke, don’t fix it.”

We’ve all heard the old adage  But here’s the thing: Even if it’s not broken, it could be better. Think about regular film versus digital? Rotary phones versus smartphones? Those electric football games that vibrated the players across the field versus Xbox?  All the early versions worked just fine. They delivered the same results as their new counterparts. So why did we upgrade?

The answer is obvious. We wanted a better experience. After all, what’s not to like about achieving the same thing with less effort, achieving more with less effort, improving results, or just having more fun along the way?

The same is true for software. Remember the early days of running a single application in DOS? Think back to how clunky and inefficient those applications were. Yet we thought they were amazing!

These days there’s another topic that is top-of-mind in the software world, and that is the topic of computer security. While an older version of your software may still accomplish the task it was designed for, the world in which that software lives has undergone radical change. Software designed ten years ago isn’t able to shield your enterprise against the sophisticated threats of today. The gap is vast and dangerous.

rumsec

Micro Focus and The Attachmate Group

Change comes when the benefits of a new solution outweighs the risk or pain of change. The good news is that change has come to Micro Focus® Rumba+ Desktop. The merger of Micro Focus and The Attachmate Group is enabling customers of both Rumba and Reflection terminal emulation software to get the best of both worlds. That’s why there are big gains to be had by updating now.

Let me be more specific. The latest release of Rumba+ Desktop now offers centralized security and management via Host Access Management and Security Server (MSS).  MSS meets one of IT’s greatest challenges—keeping up with an ever-changing IT security landscape. Customers always say, “We have 1000s of desktops at 100s of global locations. How do we keep up with PCI DSS, SHA-2, and TLS standards? How can we keep all of our clients up-to-date and secure? Just when we get everything updated, something new comes along that requires touching all of those workstations again.”

Rumba+ with Host Access Management and Security Server

Well, Rumba+ Desktop combined with Host Access Management and Security Server solves the problem.  Together, these products make it possible for you to:

  • Take centralized control of your host-access operations. You can lock down 100s (or 1000s) of desktops with ease, control access using your Identity and Access Management system (yes, it’s possible), and grant or deny access based on group or role. You can quickly apply changes to align with business needs or make post-install adjustments. And you can do it on your schedule, not someone else’s.
  • Reinforce security as you remove the need for mainframe passwords. By teaming Rumba+ Desktop with MSS, you can integrate your host systems with your existing IAM system. Then you can replace weak eight-character passwords with strong complex ones. You can even banish mainframe passwords—and password-reset headaches—by automatically signing users on to their mainframe applications.
  • Build a wall of security in front of your host. You can deliver end-to-end encryption and enforce access control at the perimeter with a patented security proxy. You can also enable multifactor authentication to authorize access to your host systems—which means you can take complete control of who is accessing your most valuable assets.

Micro Focus terminal emulation products have been providing secure access to host systems for decades. As technology advances and the security landscape continues to change, you can count on Micro Focus to help you find a better way.

RUMBA9.4.5
Sr. Product Marketing Manager
Host Connectivity
(Orginally Published here)