Como ACME salvó su negocio gracias a FS7300 y las safe-guarded copies

/en Centro de datos, ciberseguridad, Noticias

Hoy en día los ataques de ransomware se han convertido en una amenaza constante para las empresas de todos los tamaños. Una solución eficaz para este desafío es el uso de copias protegidas en sistemas de almacenamiento avanzados como las que ofrecen los sistemas de almacenamiento FS7300 de IBM. Este artículo explora un caso en el que un cliente, que llamaremos ACME y que logró recuperar sus sistemas críticos en minutos tras un ataque de ransomware, gracias a las capacidades de la cabina FS7300.

Una tecnología clave: IBM Safe-guarded copies

Las copias protegidas en los sistemas FS7300 de IBM son réplicas de datos que se almacenan de manera segura y aislada dentro del mismo sistema. Estas copias no son accesibles para modificaciones o eliminaciones normales, lo que las hace inmunes a ataques de software malicioso como el ransomware.

Nuestro cliente

ACME es un proveedor líder en servicios financieros en un país del norte de África que enfrentó recientemente un sofisticado ataque de ransomware en Noviembre de 2023. Este ataque encriptó una cantidad significativa de sus datos críticos, afectando a operaciones esenciales. Afortunadamente, había implementado recientemente la cabina de almacenamiento FS7300 de IBM, que incluía la función de copias protegidas y que SIXE había programado para que se ejecutaran regularmente. Una alerta desde IBM Storage Protect alertó del que más ficheros de los normale habían sido modificados a la hora de los backups planificados.

Respuesta al Ataque

Cuando ACME se dio cuenta del ataque, su equipo de TI actuó rápidamente. Utilizando las copias protegidas almacenadas en su cabina FS7300, fueron capaces de restaurar los datos afectados en cuestión de minutos. Esta rápida recuperación fue posible gracias a la eficiente gestión de datos y la capacidad de recuperación instantánea del sistema FS7300.

Beneficios Clave

La capacidad de recuperarse rápidamente de un ataque de ransomware es crucial para mantener la continuidad del negocio. En el caso de ACME, la cabina FS7300 de IBM proporcionó:

  1. Recuperación Rápida: La restauración de los datos fue casi instantánea, minimizando el tiempo de inactividad.
  2. Integridad de Datos: Las copias protegidas aseguraron que los datos restaurados estuvieran libres de corrupción o manipulación.
  3. Operaciones Ininterrumpidas: La rápida recuperación permitió que las operaciones críticas de la empresa continuaran sin interrupciones significativas.

Este caso demuestra cómo una solución de almacenamiento avanzada como la cabina FS7300 de IBM, equipada con la tecnología de copias protegidas, puede ser un salvavidas en situaciones de crisis como ataques de ransomware. Proporciona no solo una capa adicional de seguridad, sino también la confianza de que los datos empresariales pueden recuperarse rápida y eficientemente, garantizando la continuidad del negocio en tiempos de incertidumbre y amenazas constantes.

IBM Storage CEPH vs Storage Scale (GPFS), GFS2, NFS y SMB

/en Centro de datos, Noticias

IBM Storage CEPH es una solución de almacenamiento definida por software, basada en la tecnología de código abierto ceph que va ganando cada vez más adeptos. Ofrece un sistema de almacenamiento escalable, resistente y de alto rendimiento. Es especialmente adecuada para entornos que requieren un almacenamiento masivo y distribuido, como centros de datos, aplicaciones en la nube y entornos de big data.

¿Cuales son los principales Casos de Uso?

  1. Almacenamiento de Objetos: Ideal para almacenar cantidades masivas de datos no estructurados, como imágenes, videos y archivos de backup.
  2. Almacenamiento de Bloques: Utilizado para sistemas de archivos, bases de datos y máquinas virtuales, ofreciendo alta disponibilidad y rendimiento.
  3. Sistemas de Archivos Distribuidos: Soporta aplicaciones que requieren acceso concurrente a archivos desde múltiples nodos.

Fundamentos técnicos

  • Estructura Escalable: Se basa en una arquitectura distribuida que permite escalar horizontalmente, añadiendo más nodos según sea necesario.
  • Alta Disponibilidad: Diseñado para ser resistente a fallos, con redundancia y recuperación automática de datos.
  • Consistencia de Datos: Asegura la integridad y consistencia de los datos incluso en entornos de alta concurrencia.

Comparación con otras soluciones de almacenamiento

  1. Frente a GPFS (IBM Spectrum Scale):
    • CEPH es más adecuado para entornos donde se necesita una escalabilidad masiva y una infraestructura de almacenamiento altamente flexible.
    • GPFS ofrece un rendimiento superior en entornos donde se requiere un alto rendimiento de E/S y una gestión eficiente de grandes cantidades de archivos pequeños.
  2. Ante NFS y SMB:
    • NFS y SMB son protocolos de almacenamiento compartido que funcionan bien para compartir archivos en redes locales. CEPH ofrece una solución más robusta y escalable para entornos distribuidos y de gran escala.
    • CEPH proporciona una mayor tolerancia a fallos y una gestión de datos más eficiente para grandes volúmenes de datos.
  3. Vs GFS2:
    • GFS2 es adecuado para entornos de clúster con acceso compartido a datos, pero CEPH ofrece una escalabilidad y flexibilidad superiores.
    • CEPH se destaca en escenarios de almacenamiento de objetos y bloques, mientras que GFS2 se centra más en el almacenamiento de archivos.

¿Cuando GPFS (Storage Scale) es  una mejor solución que CEPH?

Cuando necesitamos un rendimiento de E/S muy elevado

  • GPFS está diseñado para ofrecer un rendimiento de E/S muy alto, especialmente en entornos que requieren un gran rendimiento de entrada/salida (E/S) y una baja latencia. Es particularmente eficaz en aplicaciones que gestionan grandes cantidades de archivos pequeños o en entornos con intensas cargas de trabajo de E/S.

Si tenemos que gestionar de manera muy eficiente archivos pequeños

  • GPFS sobresale en la gestión eficiente de un gran número de archivos pequeños, un escenario común en entornos de análisis y computación de alto rendimiento.

En entornos de HPC

  • En entornos de computación de alto rendimiento (HPC), donde la consistencia y la fiabilidad son cruciales junto con el alto rendimiento, GPFS proporciona una plataforma más robusta y optimizada.

Cuando necesitamos funciones avanzadas como un ILM

  • Para aplicaciones que requieren un manejo avanzado de datos no estructurados con características como la deduplicación de datos, la compresión y la gestión del ciclo de vida de los datos, GPFS puede tiene más funciones especializadas.

Conclusiones

En resumen, GPFS es preferible a CEPH en escenarios donde se requiere un alto rendimiento de E/S, una gestión eficiente de archivos pequeños, y en entornos de HPC donde la consistencia y la fiabilidad son tan importantes como el rendimiento. Además, en entornos que ya están profundamente integrados con soluciones de IBM, GPFS puede ofrecer una mejor sinergia y rendimiento optimizado.

Sin embargo, en nuestra opinicón, IBM CEPH es más adecuado en escenarios donde se requiere una solución de almacenamiento altamente escalable, con capacidades de almacenamiento de objetos, bloques y archivos, y donde la integridad y disponibilidad de los datos son críticas. Sobresale en comparación con NFS, SMB y GFS2 en términos de escalabilidad, flexibilidad y capacidad para manejar grandes volúmenes de datos distribuidos.

Es decir, ni uno ni otro, todo depende de las cargas de trabajo y los casos de uso. ¿Hablamos?

Migrando de Lustre FS a IBM Storage Scale (GPFS)

/en Centro de datos, Noticias

En este artículo os contamos migramos en SIXE entornos de HPC desde LUSTRE a GPFS, bueno, ahora llamado IBM Storage Scale (y hace no mucho Spectrum Scale). Como sabéis, los entornos High-Performance Computing (HPC) desempeñan un papel crítico en la investigación científica, la ingeniería y la innovación en una amplia variedad de campos. Para aprovechar al máximo el potencial de estas infraestructuras, es esencial contar con un sistema de almacenamiento eficiente y de alto rendimiento. Uno de los sistemas de archivos paralelos más utilizados en entornos HPC es Lustre FS, pero en ocasiones, migrar a soluciones más avanzadas y versátiles se convierte en una necesidad. En este artículo, exploraremos el proceso de migración de Lustre FS a IBM Storage Scale (anteriormente conocido como GPFS) en una infraestructura de HPC compuesta por cientos de nodos de cómputo con almacenamiento interno o externo, conectados a una red de alto rendimiento, como InfiniBand o 10G Ethernet.

¿Por qué migrar a IBM Storage Scale (GPFS)?

IBM Storage Scale, antes conocido como GPFS (General Parallel File System), es un sistema de archivos paralelos altamente escalable y robusto diseñado para aplicaciones de alto rendimiento, incluyendo entornos de HPC. A medida que las necesidades de almacenamiento y rendimiento siguen creciendo en los entornos HPC, migrar a una solución como IBM Storage Scale puede ofrecer beneficios significativos:

  1. Escalabilidad: IBM Storage Scale puede escalar horizontalmente para acomodar un aumento en la cantidad de datos y nodos de cómputo sin problemas. Esto es esencial en entornos HPC donde las cargas de trabajo pueden ser extremadamente demandantes en cuanto a almacenamiento.
  2. Alto rendimiento: IBM Storage Scale está diseñado para un alto rendimiento en lectura y escritura, lo que lo hace ideal para aplicaciones HPC que requieren un acceso rápido y eficiente a grandes conjuntos de datos.
  3. Estabilidad y seguridad: IBM Storage Scale es conocido por su confiabilidad y seguridad. Ofrece características de tolerancia a fallos que garantizan la disponibilidad de datos críticos en todo momento. Datos que pueden ser protegidos con encriptación cuando sea necesario.
  4. Integración con entornos HPC: IBM Storage Scale se integra bien con las redes de alto rendimiento utilizadas en entornos HPC, como InfiniBand o 10G Ethernet, lo que simplifica la transición.
  5. Soporte: SIXE proporciona soporte y mantenimiento continuo para Storage Scale, lo que garantiza que su sistema de almacenamiento esté respaldado por una empresa con más de 20 años de experiencia en esta tecnología. Lo hacemos de las manos de IBM, del que somos socios de negocio de valor añadido.
  6. Arquitectura más sencilla de desplegar, escalar y mantener. Este para nosotros es el punto clave que nos hace recomendar acometer esta migración. Lustre FS a partir de cierta escala se hace complejo de adminsitrar, monitorizar y actualizar, mientras que GPFS funciona perfectamente en el 90% de los escenarios con pocos ajustes adicionales.

Planificación de la migración desde Lustre FS

La migración de un sistema de archivos paralelo en una infraestructura de HPC es una tarea compleja y crítica que requiere una planificación cuidadosa. Aquí hay algunos pasos clave a considerar:

  1. Evaluación de requisitos: Antes de comenzar la migración, es esencial comprender los requisitos de almacenamiento y rendimiento de su carga de trabajo de HPC. Esto ayudará a determinar la configuración óptima de IBM Storage Scale. Necesitamos entender los casos de uso y las necesidades específicas del entorno. También aquellos puntos donde Lustre FS funcionaba especialmente bien o mal :)
  2. Diseño de la arquitectura: Diseñamos la mejor arquitectura posible para IBM Storage Scale teniendo en cuenta la topología de su red de alto rendimiento, almacemiento y la distribución de nodos de cómputo. Esto deberá realizarse de manera que se minimice o elimine el tiempo de parada durante la migración. Es en esta fase donde decidiremos si utilizar IBM COS (Cloud Object Storage), ESS (Elastic Storage) o Spectrum Scale (GPFS) desplegado directamente en los servidores de almacenamiento, cómputo, o ambos.
  3. Preparación de datos: Nos aseguramos de que tus datos estén organizados y preparados para la migración. Esto puede implicar la limpieza de datos no deseados o la reorganización de datos existentes.
  4. Pruebas en entorno de desarrollo: Antes de realizar la migración en producción, realizamos pruebas exhaustivas en un entorno de desarrollo para identificar posibles problemas y ajustar la configuración según sea necesario.
  5. Planificación de la migración en caliente: Determinamos el mejor momento para llevar a cabo la migración en vivo, minimizando el impacto en las operaciones de HPC. Esto puede requerir programar la migración durante períodos de baja actividad. Storage Scale tiene diversas funcionalidades que permiten una migración sin parada de los entornos. Algo fundamental pues el movimiento de datos puede tardar días en completarse.
  6. Ejecución de la migración: Llevamos a cabo la migración siguiendo el plan elaborado. Esto puede incluir la transferencia de datos y la configuración de IBM Storage Scale.
  7. Pruebas y validación: Realizamos pruebas exhaustivas para asegurarse de que todos los datos se han migrado con éxito y que el nuevo sistema de almacenamiento cumple con los requisitos de rendimiento.
  8. Formación: Proporcionamos formación a los usuarios y al personal de TI para que puedan adaptarse al nuevo sistema de archivos.
  9. Mantenimiento y soporte continuo: Desarrolle un plan de mantenimiento continuo para asegurar que su sistema de almacenamiento funcione de manera óptima a lo largo del tiempo.

Conclusiones

Migrar de Lustre FS a IBM Storage Scale (anteriormente GPFS) en una infraestructura de HPC puede ser una tarea desafiante pero gratificante. Al hacerlo, los centros de investigación y las organizaciones pueden aprovechar las ventajas de un sistema de archivos paralelos altamente escalable, confiable y de alto rendimiento. Sin embargo, es fundamental realizar una planificación exhaustiva, pruebas y capacitación adecuada para garantizar el éxito de la migración y minimizar cualquier interrupción en las operaciones de HPC.

Si está considerando una migración a IBM Storage Scale, os ofrecemos hacerlo en estrecha colaboración SIXE. Somos expertos en almacenamiento y consultores especialistas en HPC para garantizar que la transición sea lo más fluida y efectiva posible. Con el enfoque adecuado y la inversión de tiempo y recursos adecuados, puede mejorar significativamente la capacidad de su infraestructura de HPC para respaldar investigaciones y aplicaciones de alto rendimiento en el futuro.

AlmaLinux y OpenSUSE Leap en IBM Power / ppc64le (emulado con QEMU en x86)

/en Centro de datos, Noticias

(Aviso: este artículo ha sido escrito para nuestro blog en IBM TechExchange)

Cómo empezar

Si quieres explorar las distribuciones Linux que funcionan con IBM Power (ppc64le) pero careces de este último, puedes emularlo gracias a QEMU. Puedes consultar las matrices de compatibilidad con Linux en Power en el siguiente enlace, y decide qué distribución y versión quieres probar :)

Como cualquier otra emulación de arquitectura HW, tiene sus retos. Lo que me inspiró a escribir este artículo fue este genial tutorial, Ejecuta un entorno Linux on Power completo desde Microsoft Windows, por Emma Erickson y Paul Clarke. Quería sugerir un enfoque más “fácil de usar”, la red funcionando por defecto y una GUI para explorar todas las opciones disponibles o modificar las implantaciones existentes.

Para esta demostración, utilizaré una caja x86 estándar (y barata) que ejecuta el último Ubuntu (23.04) y los paquetes incluidos en la propia distribución. No hace falta compilar nada.

Preparación del sistema

Este es mi sistema, pero debería funcionar en cualquier máquina x86 con capacidad de virtualización.

ubuntu@sixe-dev:~$ cat /proc/cpuinfo | grep model

model name : Intel(R) Xeon(R) CPU E5-1410 v2 @ 2.80GHz

ubuntu@sixe-dev:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 23.04
Release:        23.04
Codename:       lunar

Nos aseguramos de que se aplican todas las actualizaciones y reiniciamos.

ubuntu@sixe-dev:~$ sudo apt update && sudo apt upgrade

ubuntu@sixe-dev:~$ sudo reboot

Utilizaré virt-manager como interfaz gráfica para QEMU, lo que me ayudaría a mí (o a cualquier otro “novato en QEMU”). Es justo lo que la gente está acostumbrada a hacer con Virtualbox o VMWare Player, y por eso me gusta :)

ubuntu@sixe-dev:~$ sudo apt install -y qemu-system-ppc qemu-kvm virt-manager virtinst libvirt-clients bridge-utils

En mi caso, hago ssh desde Windows WSL, redirigiendo la X. Otra opción sería proporcionar un entorno gráfico mínimo y conectarme mediante RDP o VNC.

~$ ssh -X ubuntu@sixe-dev

Advertencia: No hay datos xauth; utilizando datos de autenticación falsos para el reenvío X11.

Bienvenido a Ubuntu 23.04 (GNU/Linux 6.2.0-35-generic x86_64)

Descargar archivos .iso

Voy a descargar dos distros Linux libres y abiertas con gran soporte en Power. La carpeta de descarga será /var/lib/libvirt/images, que es la que utiliza virt-manager por defecto. 

ubuntu@sixe-dev:~$ cd /var/lib/libvirt/images/

ubuntu@sixe-dev:~$ sudo wget https://repo.almalinux.org/almalinux/8/isos/ppc64le/AlmaLinux-8-latest-ppc64le-minimal.iso

ubuntu@sixe-dev:~$ sudo wget https://download.opensuse.org/distribution/leap/15.5/iso/openSUSE-Leap-15.5-DVD-ppc64le-Media.iso

Inicia el Administrador de Máquinas Virtuales

Aunque es una herramienta poco conocida (a menos que seas un friki de Linux), es tan sencilla y potente como VirtualBox o VMware Player. También se integra con QEMU para probar sistemas operativos en cualquier otra arquitectura.

ubuntu@sixe-dev:~$ virt-manager

 

Crear e instalar una nueva VM desde .iso

Para instalar el .iso, crea una nueva máquina virtual. Elige ppc64le como arquitectura, ajusta la CPU y la memoria, y añade un nuevo disco virtual. He grabado un vídeo para mostrar todo el proceso, puedes saltarte la última parte, en nuestro caso la GUI de instalación tardó casi 9 minutos en terminar :)

Deploying Alma & OpenSUSE Linux on IBM Power (ppc64le) using QEMU on x86Deploying Alma & OpenSUSE Linux on IBM Power (ppc64le) using QEMU on x86

Todos los ajustes de instalación funcionan. Para tu información, utilicé una configuración LVM por defecto para el almacenamiento y DHCP automático en mi dispositivo de red NAT.

Aquí puedes ver que la CPU emulada se detecta correctamente.

Una vez instalado el sistema, te recomiendo que compruebes la dirección IP virtual

… y asegúrate de que el demonio sshd se está ejecutando

hugo@almapower:~$ systemctl start sshd

Así que me conecto desde mi host local usando ssh

ubuntu@sixe-dev:~$ ssh root@192.168.122.28

root@192.168.122.28's password:

Last login: Fri Oct 27 03:58:07 2023 from 192.168.122.1

From now on I will ssh into the VM from my host machine. This way I can copy, paste and resize the console without any problems.

Prueba otras distribuciones como OpenSUSE Leap

Puedes hacer lo mismo con otras distribuciones. En mi caso, la segunda distribución que funciona bien es OpenSUSE Leap.

Incluso he instalado el entorno gráfico.

.. así como Firefox, e iniciaste el navegador web para visitar nuestro sitio web. Sin embargo, necesitarás un poco de paciencia, ya que no será la velocidad del rayo.

¿Qué hacer ahora?

Tu Linux no tiene nada de especial, salvo que funciona sobre una arquitectura mucho más segura, potente y estable. El funcionamiento es el mismo que en x86. Apple ha cambiado su arquitectura varias veces, y cada vez más fabricantes apuestan por alternativas al x86 (véase ARM).

Por ejemplo, otra popular distribución derivada de Red Hat, Rocky Linux, no sólo incluye x86 y ppc64le en su página de descargas, sino también ARM o s390x (Linux One / entornos mainframe).

Puedes añadir otros repositorios o consultar la base de datos de paquetes disponibles para Linux en IBM Power –
https://www.ibm.com/it-infrastructure/resources/power-open-source/

Como descargo de responsabilidad, aunque los tenemos funcionando en producción en LPARs con PowerVM, no hemos podido encontrar la combinación de configuraciones y versiones de SO que nos permita ejecutar Rocky 9.2 y Ubuntu 22.10/23.04 en QEMU. Así que mi recomendación es que pruebes AlmaLinux u OpenSUSE. Por supuesto, sus “hermanas” RHEL y SUSE, con soporte empresarial, funcionan igual de bien.

En futuros artículos hablaremos de casos de uso como AWX o Kubernetes en Linux (ppc64le), emulado o real :)

Espero que este artículo te deje sin excusas para no probar Linux en Power.

Ven al Common Iberia Congress 2023 en Zaragoza

/en Noticias

¿Cuando alguien habla de Power o PPC64 piensas en servidores? ¿Usas AIX, IBM i o Linux en tu trabajo? Pues nos complace anunciarte que estamos trabajando en el próximo Congreso Anual de Common Iberia 2023 organización de la que SIXE estamos orgullos@s de formar parte y ayudar en todo lo que podemos. ¡Apunta la fecha en tu agenda!

📅 Cúando: 16 y 17 de Noviembre de 2023

📍 Ubicación: Espacio Aura, Zaragoza. Un sitio increíble junto a las orillas del Ebro.

¿Por qué asistir?

  • 🎙 Ponentes destacados: Nos sentimos privilegiados de tener la presencia de Jesse Gorzinski y Tim Rowe, entre otros invitados de primer nivel. Una oportunidad insuperable para aprender de ellos y sus
  • 🤝 Networking: Establece contacto con otros profesionales, intercambia ideas y afianza relaciones en un ambiente ideal para el crecimiento profesional.
  • 📚 Charlas técnicas: Refuerza tus conocimientos y descubre las novedades más recientes en el mundo de AIX, Linux e IBM i.
  • 🎁 Actividades : Hemos preparado algunas sorpresas que seguro te encantarán, incluso más que este pedazo de cartel.

Corre la voz, guarda las fechas e invita a tus colegas :)

Te esperamos en Zaragoza. 🌟

En SIXE nos gustan l@s gat@s

/en Noticias

¿Sabias que en SIXE colaboramos con la Asociación Con G de Gato?. Tienen un pequeño albergue en Madrid donde conviven más de 100 gat@s. Para salir adelante buscamos otras empresas que puedan ayudarles con sus muchos gastos a través de sponsors / donaciones + info en la cuneta de instagram de la Asociación con G de Gato

 

Descubre la Historia del Common Europe. ¡No te pierdas el Congreso de Praga 2023!

/en Centro de datos, Noticias

¿Trabajas con AIX, Linux e IBM i? ¿Eres usuario de IBM Power?

Common Europe, una federación de asociaciones de usuarios de tecnología IBM en Europa, ha estado a la vanguardia en fomentar el crecimiento y el conocimiento en este campo durante varias décadas. A medida que nos preparamos para el Congreso de Praga 2023, es un momento ideal para repasar la historia de esta magnífica institución y resaltar la importancia de asistir a este evento.

Historia de Common Europe

Common Europe comenzó su andadura hace más de seis décadas, en 1955. Inició su trabajo como una federación de asociaciones de usuarios de sistemas IBM, y a lo largo de los años, ha crecido hasta convertirse en una comunidad internacional. El objetivo de Common Europe siempre ha sido proporcionar una plataforma para el aprendizaje, la creación de redes y la colaboración, lo que se traduce en un crecimiento constante y progresivo en las habilidades técnicas y el conocimiento de sus miembros.

A lo largo de su historia, Common Europe ha demostrado un compromiso incansable para llevar a cabo su misión. Han trabajado en estrecha colaboración con IBM y otras empresas líderes del sector para proporcionar a sus miembros la formación y el apoyo que necesitan para aprovechar al máximo las tecnologías emergentes y las mejores prácticas de la industria.

¿Por qué asistir al Congreso de Praga 2023?

Si trabajas con AIX, Linux e IBM i en Power, la relevancia y el valor del Congreso de Praga 2023 no puede ser más enfatizada. En este evento, tendrás la oportunidad de aprender de los mejores en el campo, ampliar tus habilidades y conocimientos, y conectarte con otros profesionales con mentalidades similares.

El Congreso de Praga 2023 contará con una gran variedad de talleres, sesiones de formación y ponencias que abordarán todos los aspectos de estas tecnologías, desde la implementación y gestión hasta las innovaciones más recientes.

Estamos emocionados de anunciar que varios de los miembros de Common Iberia, asociación de usuarios de IBM de España y Portugal de la que desde SIXE formamos parte, participarán en el congreso como ponentes. Su presencia garantiza una perspectiva de gran valor, compartiendo ideas innovadoras y experiencias en el uso de AIX, Linux e IBM i en Power con otros muchos expertos de Europa y América.

Además de nosotos, también habrá una multitud de otros expertos y líderes de la industria presentes, lo que hace que el Congreso de Praga 2023 sea una verdadera oportunidad para cualquier profesional que busque mejorar sus habilidades y conocimientos en estas tecnologías.. y sobretodo, fortalecer y ampliar nuestra gran comunidad de usuarios.

Actualización de FW requerida por vulnerabilidad en IBM PowerVM (Power9 y Power10)

/en Centro de datos, Noticias

Queremos informar a todos nuestros clientes (y lectores) de que se ha identificado un bug en PowerVM que podría suponer un problema de seguridad en los sistemas Power9 y Power10. El riesgo principal es que un actor malicioso con privilegios de usuario en una partición lógica pueda comprometer el aislamiento entre particiones lógicas sin ser detectado. Esto podría dar lugar a la pérdida de datos o a la ejecución de código no autorizado en otras particiones lógicas (LPARs) en el mismo servidor físico. Los detalles técnicos se encuentran en https://www.ibm.com/support/pages/node/6993021

¿Todos los servidores Power están en riesgo?

No. Solo algunos modelos de IBM Power9 o Power10 están en riesgo y siempre dependiendo de sus versiones de FW. Los servidores anteriores a Power9 y aquellos que ejecutan firmware OP9xx no están expuestos a esta vulnerabilidad. No hay evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado en ningún cliente de IBM pero siempre es mejor prevenir que curar :)

¿Cuándo y quíen encontró esta vulnerabilidad?

La vulnerabilidad fue identificada por IBM de manera interna. Ya se ha creado y probado a fondo una solución, que fue lanzada el 17 de mayo en Fix Central.

¿Qué se recomienda a los clientes?

Los clientes deben seguir las instrucciones en Fix Central para descargar e instalar el firmware actualizado.

¿Cuál sería el impacto para los entornos productivos?

La principal preocupación es la posibilidad de que se produzca una fuga de datos o que se ejecute código no autorizado en otras particiones lógicas del mismo servidor físico. No hemos encontrado ninguna evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado.

¿Hay ciertos entornos que son más vulnerables que otros?

IBM no puede especificar cuáles entornos de clientes podrían estar en mayor riesgo ya que el acceso a las particiones es controlado por el cliente. Sin embargo, cualquier entorno en el que se haya otorgado acceso de usuario con privilegios a una o más particiones debe considerarse como potencialmente vulnerable. Es decir, entornos con alta densidad de LPARs, donde se mezclen sistemas productivos y de pruebas tienen mayores posibilidades de sufrir esta vulnerabilidad.

¿Puede aplicarse el parche sin parar los equipos?

El firmware que contiene la solución puede instalarse de manera concurrente y solucionará esta vulnerabilidad en todos los sistemas, a excepción de un sistema Power10 que esté ejecutando un firmware anterior a FW1010.10. En este caso, la solución deberá aplicarse de manera disruptiva, requiriendo que el servidor sea apagado para instalar la actualización y eliminar la vulnerabilidad.

¿Qué tipo de particiones pueden estar afectadas?

Cualquier servidor IBM Power9 o Power10 mencionado en el boletín de seguridad que tenga múltiples particiones podría verse afectado. No importa cómo se hayan creado o gestionado estas particiones.

¿Se encuentra el ambiente Power Virtual Server (Power VS) de IBM en riesgo?

La vulnerabilidad también afectó a la oferta de Power Systems Virtual Server en IBM Cloud (Power VS), pero ya se ha aplicado el parche para remediarlo.

¿Necesitas ayuda con el mantenimiento preventivo de tus sistemas IBM Power?

Contacta con nosotros e infórmate de nuestro servicio de mantenimiento preventivo y soporte 24/7

Primeros pasos con la API de QRadar XDR usando python y Alienvault OTX

/en ciberseguridad, Noticias

IBM QRadar XDR es una plataforma de gestión de eventos e información de seguridad (SIEM) que se utiliza para monitorear la seguridad de la red de una organización y responder a incidentes de seguridad de la manera más rápida y completa posible. Aunque QRadar ya es increiblemente potente y personalizable por sí mismo, hay varias razones por las que podríamos querer mejorarlo con scripts de Python utilizando su completa API.

Primeros pasos con la API de QRadar

Veamos un ejemplo de cómo podrías usar la API de QRadar para obtener diferentes informaciones de su base de datos (ArielDB) usando Python. Lo primero que necesitamos antes es un token, que se crea desde el Admin – > Authorized Services

Generando el código en python para la API de QRadar

Vamos a empezar por algo muy simple, conectarnos y sacar los últimos 100 eventos detectados por la plataforma.

import requests
import json

# Configura las credenciales y la URL del servidor QRadar
qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'

# Define la URL de la API para obtener los eventos
url = f'{qradar_host}/api/ariel/searches'

# Define los encabezados de la solicitud
headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

# Define la consulta AQL (Ariel Query Language) para obtener los últimos 100 eventos
query_data = {
'query_expression': 'SELECT * FROM events LAST 100'
}

# Realiza la solicitud a la API de QRadar
response = requests.post(url, headers=headers, data=json.dumps(query_data))

# Verifica que la solicitud fue exitosa
if response.status_code == 201:
print("Solicitud de búsqueda enviada correctamente.")
search_id = response.json()['search_id']
else:
print("Error al enviar la solicitud de búsqueda:", response.content)

En este ejemplo, reemplaza <your_qradar_host> con la dirección del host de tu servidor QRadar y <your_api_token> con el token de la API que obtuviste de tu instancia de QRadar.

Este código solicitará a QRadar que ejecute una búsqueda de los últimos 100 eventos. La respuesta a esta solicitud de búsqueda incluirá un ‘search_id’ que luego puedes usar para obtener los resultados de la búsqueda una vez que estén disponibles. Puedes cambiar esta consulta por cualquiera disponible en la guía que IBM nos facilita para aprovechar al máximo  el Ariel Query Language de QRadar

Detectando IPs maliciosas en QRadar usando fuentes abiertas de AlienVault OTX

Si bien en QRadar tenemos X-Force como módulo pre-determinado para realizar búsquedas de IPs maliciosas e integrarlas en nuestras reglas, por multitud de razones (incluido el fin del pago del soporte / SWMA a IBM) podemos querer usar fuentes abiertas para realizar este tipo de funciones. Un ejempo bastante habitual del que hablamos en nuestros cursos y talleres, es el mantener una serie de estructuras de datos actualizadas con IPs “maliciosas” obtenidas a través de fuentes de datos de cibserseguridad abiertas.

Usando la API de QRadar, podemos crear código en python para crear una regla que actualice constamentemente un reference_set que posteriormente utilizaremos en distintas reglas.

Para lograr lo que estás pidiendo, necesitarías dividirlo en dos pasos.

  1. Primero, necesitarías una fuente de inteligencia de seguridad de código abierto que proporcione una lista de IPs maliciosas. Un ejemplo comúnmente usado es la lista de IPs maliciosas de AlienVault Open Threat Exchange (OTX) que acabamos de mencionar.
  2. Luego, usaremos la API de QRadar para actualizar un “reference set” con esa lista de IPs.

Programarlo en Python es muy sencillo:

Primero, descarga las IPs maliciosas de la fuente de inteligencia de seguridad de código abierto (en este caso, AlienVault OTX):

import requests
import json

otx_api_key = '<your_otx_api_key>'
otx_url = 'https://otx.alienvault.com:443/api/v1/indicators/export'

headers = {
'X-OTX-API-KEY': otx_api_key,
}

response = requests.get(otx_url, headers=headers)

if response.status_code == 200:
malicious_ips = response.json()
else:
print("Error al obtener las IPs maliciosas:", response.content)

A continuación usamos la API de QRadar para actualizar un reference set con esas IPs:

qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'
reference_set_name = '<your_reference_set_name>'

url = f'{qradar_host}/api/reference_data/sets/{reference_set_name}'

headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

for ip in malicious_ips:
data = {'value': ip}
response = requests.post(url, headers=headers, data=json.dumps(data))

if response.status_code != 201:
print(f"Error al agregar la IP {ip} al conjunto de referencia:", response.content)

El siguiente y último paso paso es utilizar este reference set en las reglas que necesitemos ¡Facil!

¿Quieres saber más de IBM QRadar XDR?

Consulta nuestros servicios de venta, despliegue, consultoríay formación oficial.

Actualización de los cursos de IBM QRadar SIEM/XDR a la versión 7.5.2. Incluyendo las funciones de SOAR, NDR y EDR de QRadar Suite

/en ciberseguridad, Noticias

Nos complace anunciar que todos nuestros cursos de IBM QRadar SIEM / XDR han sido actualizados a la versión 7.5.2. En esta nueva versión, se han incorporado poderosas funciones de SOAR, NDR y EDR dentro de la QRadar Suite, brindando a nuestros estudiantes una experiencia de aprendizaje aún más completa y actualizada con una visión en el medio plazo de la tecnología a través de CloudPak for Security los nuevos productos disruptivos de ciberseguridad de IBM que están en camino.

IBM QRadar XDR es la solución líder en el mercado de seguridad de la información que permite la gestión y análisis de eventos de seguridad en tiempo real. Con su capacidad para recopilar, correlacionar y analizar datos de múltiples fuentes, QRadar SIEM brinda a las organizaciones una visión integral de su postura de seguridad y les ayuda a detectar y responder de manera efectiva a las amenazas.

En la versión 7.5.2 de QRadar SIEM / XDR, se han introducido tres funciones clave que amplían aún más las capacidades de la plataforma:

  1. SOAR (Security Orchestration, Automation and Response): Esta función permite la automatización de tareas de seguridad y la orquestación de respuestas, lo que agiliza y optimiza los procesos de detección y respuesta ante incidentes. Con SOAR, las organizaciones pueden automatizar flujos de trabajo, investigar incidentes de manera más eficiente y tomar medidas rápidas y precisas para contener y mitigar las amenazas.
  2. NDR (Network Detection and Response): Con la función NDR, QRadar SIEM / XDR amplía su capacidad para detectar amenazas en la red. Esta función utiliza algoritmos avanzados de análisis de tráfico de red para identificar comportamientos sospechosos y actividades maliciosas. Al combinar la detección de amenazas en la red con la correlación de eventos y registros de seguridad, QRadar SIEM / XDR proporciona una visibilidad integral de las actividades de amenazas en toda la infraestructura.
  3. EDR (Endpoint Detection and Response): La función EDR permite la detección y respuesta a amenazas en los dispositivos finales, como computadoras de escritorio, laptops y servidores. Con EDR, QRadar SIEM / XDR monitorea de forma continua los endpoints en busca de indicadores de compromiso, actividades maliciosas y comportamientos anómalos. Esto ayuda a identificar y contener rápidamente las amenazas que podrían pasar desapercibidas por las soluciones de seguridad tradicionales.

En Sixe, estamos comprometidos con ofrecer a nuestros estudiantes los conocimientos más actualizados y relevantes en el campo de la ciberseguridad. La actualización de nuestros cursos de IBM QRadar SIEM / XDR a la versión 7.5.2, junto con la incorporación de funciones de SOAR, NDR y EDR de QRadar Suite, nos permite brindar una experiencia de aprendizaje integral que refleja las últimas tendencias y avances en el ámbito de la seguridad de la información.

Si estás interesado en aprender sobre QRadar SIEM / XDR y aprovechar todas estas nuevas funciones, te invitamos a explorar nuestros cursos actualizados:

También puedes solicitarnos una formación o consultoría a medida, así como soporte técnico y apoyo con tus proyectos de QRadar.

Sixe Ingeniería
×