Bất kỳ sự kiện an ninh mạng nào cũng có thể có tác động tàn phá đến tài chính của công ty. Thẻ tín dụng bị đánh cắp, trộm danh tính, email bị hack, v.v. đều gây tổn hại cho cả khách hàng và thương hiệu của công ty, thậm chí có khả năng hủy hoại công ty đó. Phục hồi dữ liệu cần thời gian, nhưng xây dựng lại lòng tin của khách hàng có thể mất nhiều thời gian hơn nữa.  

Dell Technologies đã đầu tư lớn vào một loạt các cải tiến sản phẩm bảo mật liên tục để giúp bảo vệ các công ty và người dùng cuối của họ khỏi mất dữ liệuvà/hoặc thỏa hiệp trong trường hợp bị tấn công. Cho dù là tấn công vào dữ liệu hệ thống mở hay dữ liệu máy chủ lớn, kết quả của bất kỳ cuộc tấn công nào cũng giống nhau: mất năng suất và lo ngại về việc bị đánh cắp và tiết lộ thông tin nhạy cảm.  

Về mặt lý tưởng, các công nghệ như lưu trữ phải có khả năng phát hiện mối đe dọa mạng, bảo vệ dữ liệu khỏi mối đe dọa và trong trường hợp mất hoặc hỏng dữ liệu, khôi phục đến điểm tốt đã biết. Tám năm trước, Dell Technologies đã phát triển khả năng khôi phục dựa trên ảnh chụp nhanh đầu tiên cho dữ liệu máy chủ lớn và hệ thống mở và kể từ bản phát hành mới nhất của PowerMax vào tháng 10 năm 2023, đã chuyển sang lĩnh vực “phát hiện xâm nhập” của khả năng phục hồi mạng.

Blog này nói về một cải tiến mới cho Phần mềm Mainframe Enabler dành cho PowerMax của chúng tôi được thiết kế để cung cấp khả năng phát hiện mối đe dọa tiên tiến cho môi trường máy chủ lớn PowerMax.  

Mainframe Enabler cho phát hiện xâm nhập

Phần mềm Mainframe Enabler (MFE) chạy trên az/OS LPAR và được thiết kế để quản lý PowerMax 2500/8500 và 8000. Trong các cuộc thảo luận về các yêu cầu mới nhất của khách hàng đối với bản phát hành MFE này, rõ ràng là khách hàng rất cần một cách để xác định xem sự kiện mạng sắp xảy ra hay đang xảy ra. Yêu cầu là gửi một tín hiệu tương đương với ‘lửa sáng trên bầu trời’ để chỉ ra bất kỳ hành vi bất thường nào trong quá trình truy cập dữ liệu máy chủ lớn. Khi biết về khả năng của zCID trong giải pháp mạng lớn hơn của Dell, một nhà cung cấp dịch vụ máy chủ lớn đã nhận xét “Sự đổi mới của Dell xung quanh việc phát hiện các sự kiện mạng trong PowerMax và CloudIQ vượt trội hơn bất kỳ nhà cung cấp lưu trữ nào khác mà chúng tôi đã trao đổi”.

Bộ phận phát triển Giải pháp máy chủ Dell, Quản lý sản phẩm và các tổ chức khác trong Dell đã thiết kế một cách để nâng cao MFE nhằm cung cấp nhận thức về hành vi truy cập dữ liệu không điển hình. Kết quả của công việc đó đã được đưa ra dưới dạng cải tiến trong MFE 10.1.0, phát hành ngày 17 tháng 10 năm 2023. Cải tiến này được gọi là ‘ Phát hiện xâm nhập mạng cho z Systems ‘ hay viết tắt là zCID.

Chúng ta sẽ đi sâu vào các chi tiết kỹ thuật của zCID; nhưng trước tiên, hãy cùng tìm hiểu về Bản chất, Lý do và Cách thức của tính năng mới có giá trị này.

Cái gì: zCID là một tiện ích phát hiện các mẫu truy cập dữ liệu không điển hình trong khối lượng công việc của máy chủ lớn.

Lý do: Để cảnh báo khách hàng máy chủ lớn PowerMax về việc truy cập bất thường đang xảy ra và cần phải điều tra nếu nghi ngờ có xâm nhập mạng.

Cách thức: zCID theo dõi số lượng bản nhạc duy nhất được truy cậpđối với các thiết bị CKD máy chủ lớn và nhóm SMS trong khoảng thời gian do khách hàng chỉ định. Đầu tiên, người quản trị lưu trữ xác nhận đường cơ sở của quyền truy cập “bình thường/điển hình”. Bước tiếp theo là tạo một bộ quy tắc cho các câu lệnh cảnh báo sẽ được tạo nếu phát hiện thấy bất thường khi truy cập dữ liệu. Tiếp theo, zCID được khởi động và chạy liên tục ở chế độ nền. Cuối cùng, nếu nghi ngờ có sự xâm nhập, dữ liệu thô zCID có thể được chuyển đổi sang định dạng CSV để phân tích chi tiết.

Yêu cầu kỹ thuật và cài đặt cho zCID

Yêu cầu kỹ thuật tối thiểu đối với zCID là:

• MFE 10.1.0 với không gian địa chỉ SCF có sẵn
• PowerMax 8000, 2500 hoặc 8500
• Danh sách các khối lượng CKD hoặc nhóm SMS cần theo dõi

Khách hàng phải ủy quyền APF cho tập dữ liệu MFE 10.1.0 LINKLIB và thêm câu lệnh STEPLIB DD vào tác vụ hàng loạt zCID của họ. (zCID cũng có thể chạy như một tác vụ đã bắt đầu.)

zCID được cung cấp theo hai chương trình:

• ECTRAARD là chương trình tiện ích zCID
• ECTREXTR là chương trình zCID chuyển đổi dữ liệu zCID thô thành tệp CSV. Tệp CSV này được thiết kế để nhập vào Microsoft Excel để phân tích và báo cáo bổ sung theo quyết định của nhà phân tích lưu trữ.

Các chế độ hoạt động của zCID và chiến lược triển khai cấp cao

ECTRAARD có thể chạy ở chế độ “Live Run mode” hoặc “Batch Run mode”. Điều quan trọng là phải hiểu hai chế độ này trước khi triển khai zCID:

• Chế độ Live Run: xử lý dữ liệu theo thời gian thực và thu thập dữ liệu từ các tài nguyên mà bạn yêu cầu zCID giám sát.
• Chế độ chạy hàng loạt: lấy kết quả được tạo ra ở chế độ chạy trực tiếp và tạo báo cáo về thông tin lịch sử.

Để tối đa hóa lợi ích của zCID, hãy thực hiện theo năm bước sau:

1. Chế độ Live Run sẽ khác nhau tùy theo từng khách hàng. Thông thường, bạn sẽ chạy zCID ở chế độ Live Run để nắm bắt tốc độ truy cập cho các tài nguyên z/OS mà bạn đang giám sát. Thông thường, tôi sẽ bắt đầu chế độ Live Run trong một tuần (bảy ngày), sau đó nắm bắt chu kỳ xử lý hàng loạt cuối tháng và lý tưởng nhất là chu kỳ đóng hàng quý và cuối năm. Với thông tin đó, bạn có thể hiệu chỉnh các câu lệnh WARN của mình cho các khối lượng công việc z/OS có tốc độ truy cập cao nhất mà zCID đang giám sát.
2. Chạy zCID ở chế độ Live Run trong một khoảng thời gian “dài”. Xem khoảng thời gian này như một cơ hội để thu thập thông tin về tốc độ truy cập cho các tài nguyên z/OS mà zCID đang giám sát. Trong tương lai, bạn có thể sử dụng thông tin này để kiểm tra các câu lệnh cảnh báo của mình về tốc độ truy cập không điển hình trên các tài nguyên z/OS được giám sát.
3. Dừng chế độ Live Run vào cuối “thời gian dài” để có thể đóng các tập dữ liệu mà zCID đang xây dựng.
4. Chạy chế độ hàng loạt zCID để tạo báo cáo, sau đó phân tích kết quả.
5. Tạo các câu lệnh cảnh báo cho các tỷ lệ truy cập không điển hình mà bạn muốn được thông báo. Để hiệu chỉnh các câu lệnh cảnh báo, hãy lấy các tập dữ liệu được tạo ở Bước 2 và chạy zCID ở  chế độ Batch Run . Các thông báo cảnh báo zCID có được phát ra từ các câu lệnh cảnh báo mà bạn đã tạo không?  
   Hiệu chỉnh các câu lệnh WARN đảm bảo rằng z/OS SYSLOG, bảng điều khiển chính z/OS và các tác vụ zCID đã bắt đầu của z/OS không bị spam các thông báo cảnh báo zCID.
6. Khởi động lại zCID ở  chế độ Live Run với các câu lệnh kiểm soát cảnh báo đã hiệu chuẩn.  
   Bây giờ zCID sẽ chủ động giám sát các tài nguyên z/OS mà bạn cung cấp và tạo cảnh báo mỗi khi xảy ra tỷ lệ truy cập không bình thường!

Bản tóm tắt

Công nghệ Phát hiện xâm nhập mạng cho hệ thống z (zCID) giúp Dell PowerMax trở thành cơ chế phát hiện xâm nhập đầu tiên trong ngành dành cho bộ lưu trữ máy chủ lớn trên mảng [1] . zCID là một lớp thông minh phát hiện các mẫu truy cập dữ liệu không điển hình cho khối lượng công việc được chỉ định bằng cách cung cấp cho khách hàng PowerMax lần đầuhiểu biết sâu sắc về tốc độ truy cập khối lượng công việc z/OS của họ. Sau đó, khách hàng có thể tự động giám sát các khối lượng công việc đó với mục tiêu phát hiện các sự kiện mạng trong cơ sở hạ tầng lưu trữ máy chủ lớn của họ.