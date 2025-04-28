m-RAY se diseñó como un marco fácilmente extensible que comprueba las vulnerabilidades en las configuraciones de varios servicios y simplifica el proceso de ejecución de scripts en un entorno z/OS. Debido a la naturaleza personalizada de los mainframes, los probadores pueden configurar qué características desean usar para adaptarse mejor al entorno en el que trabajan.

La lista de configuraciones erróneas que hay que comprobar se ha elaborado a partir de la Guía de implementación técnica de seguridad (STIG) de z/OS RACF. Las STIG son requisitos de configuración utilizados por el Departamento de Defensa para proteger sus sistemas y se basan en las recomendaciones del NIST. Tanto si una empresa está obligada a cumplir estos requisitos como si no, las STIG proporcionan una fuente de buenas prácticas del sector para diversos productos de software y constituyen la base de esta herramienta de seguridad. El equipo identificó las 25 principales configuraciones erróneas que aportarían mayor valor a un probador, y que serían las más importantes para que los clientes conocieran, y luego implementó estas configuraciones como comprobaciones de vulnerabilidades.

Por ejemplo, m-RAY comprueba si los niveles de permiso de los usuarios se alinean en los entornos Unix y TSO, si SSH está configurado para utilizar algoritmos criptográficos seguros y si las cuentas inactivas se revocan automáticamente. Actualmente, m-RAY proporciona información sobre errores de configuración del mainframe en el entorno de Unix System Services y en RACF, el software de seguridad que gestiona el control de acceso de los usuarios en z/OS. Algunos proporcionan una respuesta definitiva sobre si hay una determinada configuración errónea en el sistema, mientras que otros proporcionan información del sistema, como una lista de cuentas de usuario que pueden acceder a un recurso determinado. Un probador de penetración puede entonces trabajar con el cliente para determinar si el acceso está correctamente restringido.

Además de comprobar las configuraciones del sistema, otro objetivo de m-RAY es consolidar las características de las herramientas de mainframe existentes. Estas herramientas de enumeración suelen estar escritas en REXX, un lenguaje de scripting para mainframes. Para utilizar uno de estos scripts durante una prueba de penetración, el probador debe encontrar la herramienta de código abierto, descargarla en su ordenador, cargarla desde allí al mainframe, ejecutarla e interpretar los resultados. Para agilizar este procedimiento, m-RAY incluye los dos scripts REXX de código abierto más populares y automatiza el proceso de carga y ejecución del script, así como la limpieza posterior del entorno. Los evaluadores también pueden añadir sus propios scripts REXX personalizados a la herramienta.

En general, mediante el uso de m-RAY, un probador de penetración puede automatizar muchas de las comprobaciones de vulnerabilidades que de otro modo tendrían que realizar manualmente y puede reducir el tiempo dedicado a obtener una visión general inicial del sistema.