eBook

Une approche holistique de la protection contre les ransomwares pour les systèmes IBM i : intégration de la prévention, de la détection et de la récupération

Atteindre la résilience opérationnelle sur IBM i

Maintenir une résilience opérationnelle robuste a toujours été un objectif clé de la gestion IT. Et ce n’est plus une option, dans un monde où une petite erreur de codage dans une application utilitaire couramment utilisée peut entraîner des perturbations du trafic aérien mondial, des pannes de service téléphonique à l’échelle nationale ou la perturbation des opérations de trading financier.

Il ne devrait pas être surprenant de voir l’accent des nouvelles réglementations se déplacer sensiblement des règles de confidentialité et de sécurité des données telles que le RGPD, l’HIPAA et le PCI DSS vers une gouvernance plus directe de la gestion des opérations IT. Parmi les exemples récents, on peut citer la réglementation SACA sur la réponse aux incidents de cybersécurité et le signalement de ces incidents pour les services publics d’infrastructure américains, et DORA, la loi européenne sur la résilience des opérations numériques. Et des exigences encore plus nombreuses axées sur les opérations IT sont en cours de développement à l’échelle mondiale, nombre d’entre elles se concentrant sur les risques émergents liés aux systèmes d’IA, aux cryptomonnaies, etc.

Alors, quel est le rapport avec le maintien de la résilience opérationnelle sur IBM i ? Avec ses capacités de sécurité de référence et ses statistiques de fiabilité et de disponibilité reconnues, n’est-il pas suffisant de conserver des journaux et des sauvegardes CDP et de disposer de systèmes HA/DR prêts à fonctionner ?

Malheureusement, la réponse la plus honnête est « Non. Ce n’est pas suffisant. ». Quiconque gère un environnement IBM i vous dira que la plateforme est déjà fortement connectée à et interdépendante de toutes les autres plateformes et infrastructures informatiques. Et le rythme de cette assimilation ne fait qu’augmenter. Cette réalité ne fait que confirmer et qu’intensifier davantage la nécessité d’adopter une approche plus globale, multicouche et hautement intégrée pour parvenir à la résilience des opérations IBM i.

La résilience exige la protection des données… et bien plus encore

Au minimum, maintenir la résilience nécessite de garantir la protection continue de vos données contre les dommages causés par des logiciels malveillants ou contre le verrouillage ou l’exfiltration par des gangs de ransomwares. Et cette protection doit s’étendre au-delà des données stockées pour inclure toutes vos données, à tout moment et en tout lieu où elles se déplacent au sein des systèmes ou des réseaux et entre eux.

Par exemple, compte tenu de l’état actuel des choses, l’application constante et omniprésente de techniques d’anonymisation et d’un chiffrement AES 256 puissant est nécessaire pour garantir l’inefficacité des demandes des ransomwares et/ou des menaces de chantage lorsque (et non si) vos données sont exfiltrées.

De même, la protection de votre entreprise contre les ransomwares nécessite également la mise en œuvre d’un ensemble bien pensé d’outils et de solutions d’analyse de la sécurité et des opérations supplémentaires, et leur intégration complète à IBM i et à l’ensemble des autres plates-formes et réseaux d’entreprise.

Au final, IBM i et la résilience informatique globale signifient que votre organisation est prête à et capable de réagir efficacement et rapidement à l’inévitable, 24 h/24, 7 j/7. Reprendre le contrôle en toute confiance et remettre en marche des systèmes sains dans des conditions de crise, cela nécessite des procédures bien planifiées et soigneusement orchestrées, éclairées et guidées par une compréhension complète des causes et des impacts de l’événement.

En résumé, la résilience nécessite de prendre toutes les précautions possibles pour prévenir la perte et la corruption des données, une surveillance vigilante et complète pour détecter toute anomalie ou tout indicateur de compromission (IOC) et d’être prêt à se remettre rapidement et complètement de tout incident, en appliquant des sauvegardes de données connues et fiables à l’aide de processus bien planifiés, testés et éprouvés.

Prévenir

Votre organisation fait probablement déjà beaucoup pour protéger vos données contre la perte ou la corruption. Pour cette discussion, nous supposerons que vous appliquez toutes les fonctionnalités clés de sécurité du système et du stockage IBM i, en particulier celles liées à la gestion rigoureuse des autorités élevées.

En plus de sécuriser vos systèmes et votre stockage IBM i, vous avez (espérons-le !) activement mis en œuvre toutes les protections possibles liées au réseau, comme l’authentification multifacteur pour la connexion des utilisateurs IBM i et l’accès au stockage ; les programmes Exit Point ; et les meilleures pratiques comme Zero Trust et la segmentation et le contrôle du réseau logique et physique.

Au-delà de cela, compte tenu de la fréquence croissante des attaques par ransomware, si vous ne l’avez pas déjà fait, il est également temps de revoir et de redoubler d’efforts en ce qui concerne l’application d’un chiffrement fort AES 256, en l’intégrant à tous vos flux de données et à votre stockage de données. Il devrait être tout simplement impossible pour quiconque d’accéder directement à vos données et de les capturer en clair.

La mise en place de toutes ces mesures vous assure une bonne sécurité générale des données. Toutefois, pour répondre efficacement aux attentes et aux exigences accrues en matière de résilience informatique et commerciale globale, il reste encore beaucoup à faire.

Données de sauvegarde immuables et reconnues comme intègres
Les plans de récupération après une attaque par ransomware doivent supposer que vos systèmes sont tous verrouillés à 100 % et/ou corrompus et nécessiteront essentiellement une reconstruction à nu. Dans ces conditions, il est essentiel de disposer d’un accès immédiat et garanti à des référentiels hors ligne, efficacement isolés, de sauvegardes système immuables et connues, d’instantanés FlashCopy et de journaux IBM i.

Ainsi, votre première étape, et la plus fondamentale, vers l’obtention de capacités de résilience pérennes consiste à développer et à mettre en œuvre un ensemble complet et structuré de processus pour créer et sécuriser ces fichiers de sauvegarde fréquents et immuables, ainsi que leurs politiques et contrôles de conservation de fichiers associés. Il est également essentiel que ces processus incluent également un audit programmatique cohérent des fichiers de données de récupération au fur et à mesure de leur création, afin de garantir qu’ils sont « connus pour être intègres », utilisables et complets lors du déclenchement de vos plans de récupération. Nous en reparlerons plus tard dans ce document.

Détecter

L’aspect suivant de la planification de la résilience consiste à garantir que votre organisation maintient le niveau de connaissance de la situation et de vigilance requis pour reconnaître les menaces numériques plus avancées et plus complexes d’aujourd’hui et savoir y répondre. Encore une fois, on suppose que vous disposiez déjà d’une bonne base de capacités et de procédures de sécurité. Dans ce cas, l’objectif est d’évaluer et d’étendre ces capacités selon les besoins pour garantir que votre posture de sécurité IBM i est aussi complète que possible et est également entièrement intégrée à vos opérations de sécurité à l’échelle de l’entreprise.

Cibler IBM i
Dès le départ, votre planification et votre gestion de la sécurité doivent être basées sur l’hypothèse que, quelles que soient les méthodes et les outils de sécurité que vous déployiez, ils seront à un moment donné vaincus par l’intelligence humaine et la créativité néfaste. Et même s’il est tout à fait légitime de supposer que vos systèmes IBM i ne sont pas susceptibles d’être directement attaqués, ils sont néanmoins ciblés depuis l’extérieur de votre organisation et, potentiellement, par des employés et d’autres initiés mal intentionnés.

La plus grande valeur qu’IBM i présente aux gangs de ransomwares est celle d’un point d’entrée, un point de passage le long d’un chemin soigneusement planifié vers leurs cibles ultimes Wintel et les systèmes ouverts. Le pont clé, dans ce cas, est la connectivité entre IFS IBM i et le stockage de données WinTel. Plus précisément, du point de vue de la surveillance des systèmes « black hat », le stockage IFS est aussi visible que n’importe quelle baie de stockage standard, y compris en disposant d’une adresse IP attribuée et donc ciblable.

Plus généralement, toute faille de sécurité de tout appareil ou réseau connecté à votre environnement IBM i global peut être et sera exploitée pour infiltrer vos opérations. Il est donc essentiel de cataloguer, d’examiner et de gérer activement tout ce qui est connecté de quelque manière que ce soit à vos serveurs IBM i et au réseau SAN, y compris les appareils réseau ou téléphoniques, les routeurs, les passerelles VPN et tout ce qui peut éventuellement fonctionner sur un micrologiciel de niveau inférieur, en particulier les périphériques plus anciens et non pris en charge (en fin de vie ou EOL).

SecOps et Intelligence Artificielle
Pour revenir à notre hypothèse précédente, quel que soit le niveau de renforcement de votre environnement lié à IBM i, vous devez supposer qu’il peut être et sera enfreint. Il faut donc faire davantage pour détecter et définir toute cybermenace aussi rapidement et précisément que possible et pour réagir rapidement et efficacement afin de contrecarrer l’attaque, ou au moins de « limiter le rayon d’action » des dommages ou de la perte de données.

Bien que les fonctionnalités de sécurité d’IBM i créent des fichiers de journaux qui fournissent des pistes d’audit très détaillées et traçables, la lutte contre les cybermenaces modernes nécessite une analyse continue et automatisée de ces journaux à l’aide d’outils de sécurité de pointe basés sur l’IA et d’une intégration approfondie et en temps réel au système SEIM et aux SecOps IT globales de l’entreprise.

De toute évidence, cette intégration nécessitera beaucoup d’efforts de la part d’une équipe combinée de membres de l’équipe IBM i et SecOps pour connecter les journaux et configurer la surveillance et les rapports intégrés requis. Pour commencer, voici quelques-uns des éléments les plus importants de la couche d’audit IBM i à inclure dans ces efforts :

  • Télémétrie des points de terminaison
  • Activité réseau
  • Logs MFA
  • Point de sortie du trafic
  • Modifications des objets IFS
  • Repères CIS
  • Activités E/S
  • QAUDJRN
  • Journaux d’objets IFS
  • Numérisation cloud
  • Analyses des fichiers de point de terminaison FTP
  • Activité de l’Équipe rouge
  • Journaux CDP à distance
  • Tests de pénétration

Récupérer

Au début de notre discussion, nous avons souligné que la résilience dépend entièrement de la disponibilité des données avec lesquelles reconstruire vos systèmes. La stratégie centrale consiste donc à disposer de processus correctement conçus et de fichiers de données reconnus comme étant intègres, afin que la situation puisse être traitée avec soin et méthode… aussi rapidement que possible.

Grâce à la surveillance et aux alertes activées par l’IA, vous avez de bien meilleures chances d’identifier rapidement tout indicateur de compromission (IOC) tel qu’une activité ou un traitement anormal sur vos systèmes. À ce stade, le véritable test de votre résilience réside dans la rapidité et la pertinence avec lesquelles vous pouvez réagir à la menace. Tout en reconnaissant que tous les IOC potentiels identifiés ne constitueront pas une situation de crise, il est néanmoins essentiel que chacun d’entre eux soit traité le plus rapidement possible.

La raison de la réaction nerveuse du chien de garde, c’est que les cybermenaces d’aujourd’hui se révèlent non seulement plus furtives et exécutées plus intelligemment, mais qu’elles utilisent de plus en plus des méthodes plus avancées, IA-driven, qui n’ont pas besoin d’un acteur humain pour guider leur infiltration ou pour déterminer quand déclencher leurs charges utiles. En fait, même un petit tressaillement devrait suffire à faire aboyer le chien de garde, ou au moins à le faire grogner. Et qu’il s’agisse d’un aboiement ou d’un grognement, votre réponse doit toujours être immédiate, en partant du principe que vous n’avez pas le luxe de prendre votre temps.

D’une main, les yeux bandés

Il est clair qu’il existe également un risque à réagir de manière excessive ou à agir trop rapidement ou de manière non programmée. Cela s’avère particulièrement vrai si et quand une attaque est clairement en cours et que la pression est forte. C’est là que s’applique le principe fondamental de la fameuse norme de qualité de fabrication ISO 9000 : « Documentez ce que vous faites, puis faites ce que vous avez documenté. ».

La meilleure preuve de la capacité et de la performance infaillible d’une tâche est de la réaliser dans des conditions extrêmement difficiles (« yeux bandés et mains liées »), tout en étant chronométré par quelqu’un d’autre. Cela peut sembler un peu extrême jusqu’à ce que vous soyez confronté à la reprise d’activité après une catastrophe naturelle majeure ou une attaque par ransomware.

La clé, pour éviter le chaos et gérer les contraintes de temps dans de telles situations de crise, consiste à s’assurer que vous et votre équipe savez exactement ce qui doit être fait, par qui et dans quel ordre, pour permettre le rétablissement. Cela nécessite également de suivre un plan de communication interne bien pensé afin d’éviter les faux pas et d’assurer un séquençage et des transferts appropriés entre les équipes IT (gestion des données, mise en réseau, sécurité, etc.) ainsi qu’avec les autres responsables des opérations commerciales.

À cette fin, vous devez développer et documenter un Runbook complet et axé sur la récupération. Notez que ce n’est pas la même chose que votre Runbook de basculement/commutation HA/DR. Ce Runbook doit inclure absolument tout ce qui concerne les procédures de récupération/résilience aux ransomwares dans toute votre entreprise, y compris tous vos processus CDP et de stockage de données.

Lors de la création de votre Runbook de récupération, assurez-vous qu’il indique clairement les noms des propriétaires de vos tâches de récupération, avec des dispositions pour la délégation de responsabilité et d’autorité afin de tenir compte du personnel absent.

Le déroulement exact et les détails de votre Runbook de récupération seront, bien entendu, propres à votre environnement IBM i et à vos environnements informatiques globaux. Mais il devrait certainement être conçu de sorte à s’adapter à différents niveaux de gravité des menaces. Assurez-vous de couvrir le qui, le quoi, le quand et le comment des points suivants :

  • Notifications, rôles et responsabilités
  • Analyse des causes et détermination des impacts potentiels (« rayon d’action »)
  • Séquence appropriée des isolements, des verrouillages et des arrêts (y compris les périphériques réseau et de stockage)
  • Plan de communication pour les équipes de direction et les employés hors service IT

L’antidote aux « morsures » des cyber-attaques

Face au pire scénario d’une attaque de ransomware « réussie », vos fichiers de sauvegarde de données, fiables et inaltérables, ne sont pas seulement votre police d’assurance, mais le seul recours connu pour vous en sortir. Le maintien d’un jeu de données de récupération fiables et immuables continuellement mis à jour dans un stockage isolé et hautement sécurisé constitue la norme minimale pour la résilience d’IBM i.

L’élaboration d’un guide complet et détaillé pour répondre à cette norme dépasse le cadre de notre discussion ici. Cependant, pour vous aider à élaborer vos plans afin de garantir la résilience efficace d’IBM i, nous vous proposons quelques recommandations clés :

Fichiers de données de récupération immuables
Les ressources essentielles à la résilience sont les sauvegardes (SAVEs) régulières et fréquentes, les instantanés (Snapshots) FlashCopy et les récepteurs de journaux iOS. Chacun de ces éléments présente des avantages et des inconvénients pour le rétablissement d’IBM i. Le meilleur conseil est donc de vous assurer que les trois sont sécurisés et disponibles.

SAVEs

  • Permettre la restauration la plus granulaire (au niveau des fichiers et de la bibliothèque)
  • Ne convient pas aux répertoires IFS
  • Nécessite plus de temps pour réaliser la restauration

FlashCopy/Snapshot

  • Généralement plus rapide à restaurer que les sauvegardes (SAVEs) complètes
  • Convient aux répertoires IFS et aux fichiers Stream
  • L’exhaustivité/utilisabilité des données peut être incertaine
  • Doit être combiné avec la restauration/l’application du récepteur de journal

Récepteurs de journaux

  • Nativement immuable
  • L’application nécessite un alignement avec l’horodatage de sauvegarde/d’instantané
  • Nécessite un logiciel de réplication logique pour s’appliquer

Contrôle de la qualité des fichiers FlashCopy/Snapshot

L’exhaustivité et, par conséquent, la facilité d’utilisation d’un fichier FlashCopy/Snapshot peuvent varier considérablement. L’évaluation de ces fichiers doit être effectuée régulièrement, au moment où ils sont récupérés, afin d’éviter une restauration incomplète ou ratée. La meilleure pratique consiste à utiliser l’une des applications disponibles pour l’évaluation et la création de rapports automatisés de Snapshots, en conjonction avec les contrôles administratifs pour l’archivage.

Détermination du point de défaillance/corruption et/ou du point d’entrée du logiciel malveillant
Tout en reconnaissant que la complexité inhérente aux méthodes et au timing utilisés par les attaques de logiciels malveillants et de ransomwares peut rendre la tâche difficile, afin d’éviter de réintroduire le vecteur d’attaque dans vos systèmes, il est essentiel d’identifier avec autant de certitude que possible le moment où vos systèmes ont été compromis.

Remarque : Être capable d’effectuer une analyse approfondie du timing et des impacts d’une attaque constitue peut-être l’avantage le plus précieux de l’intégration d’IBM i aux SecOps optimisées par l’IA.

Remarque : Être capable d’effectuer une analyse approfondie du timing et des impacts d’une attaque constitue peut-être l’avantage le plus précieux de l’intégration d’IBM i aux SecOps optimisées par l’IA.

Protégez vos fichiers de récupération immuables lors de leur application

Après une récupération système réussie, ces fichiers constituent toujours votre jeu de récupération actuel. Selon la nature de la corruption d’origine (cause profonde) et le risque qu’elle ait été réintroduite par inadvertance lors de la restauration du système, il est possible qu’un événement se reproduise.

Votre processus de récupération doit également garantir que vous conservez des données conformes à la réglementation.
Vos fichiers de récupération immuables doivent être appliqués de manière complète et méthodique, non seulement pour générer des données précises et utilisables sur vos systèmes restaurés, mais également pour garantir que les données restaurées sont conformes à toutes les exigences réglementaires en matière de conservation et d’auditabilité. Cela devient très important dans le cas où un audit réglementaire, effectué des mois, voire des années plus tard, révèle une incohérence des données ou des lacunes dans le linéage des données qui peuvent être retracées jusqu’à la période d’un événement de récupération. L’archive des fichiers que vous avez utilisés pour la récupération est votre ressource pour répondre à l’enquête et pour corriger le problème, ou au moins prouver la diligence raisonnable lors du processus de restauration.

Laissez Precisely vous aider à garantir la résilience de votre entreprise

Des réglementations imposant des capacités de résilience informatique démontrées entrent en vigueur dès maintenant, et d’autres sont attendues dans un avenir proche. Pour atteindre une résilience informatique et opérationnelle globale pour votre entreprise multiplateforme, cloud hybride et sur site, il est nécessaire d’adopter une approche multidimensionnelle et multicouche, qui intègre pleinement toutes les puissantes fonctionnalités de sécurité et de protection des données de votre plateforme IBM i à celles qui protègent vos autres systèmes et réseaux.

Les solutions Assure HA, Assure Security et Ironstream de Precisely peuvent fournir les fonctionnalités les plus complètes et les plus puissantes disponibles pour garantir la résilience IBM i, et elles sont conçues pour une intégration complète, flexible et transparente de vos plates-formes SIEM et d’analyse des opérations d’entreprise.

En plus des fonctionnalités de commutation et de basculement basées sur journal les plus complètes et les plus fiables du marché, les solutions Assure offrent un contrôle d’accès IBM i, une gestion des autorités élevée, une authentification multifacteur, des alertes et des rapports sur l’activité du système et de la base de données, un chiffrement AES-256, une tokénisation et une anonymisation, des capacités de transfert de fichiers sécurisé et bien plus encore.

Contactez-nous pour en savoir plus sur la manière dont Precisely peut vous aider à atteindre une résilience informatique complète à l’échelle de l’entreprise.

Télécharger la version PDF

Télécharger

Lire l'eBook dans son intégralité

Your information will be processed in accordance with our Global Privacy Notice

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Discutons!

contactez-nous