ICE/PSWD - UNE APPLICATION D'ENVIRONNEMENT DE CONTRÔLE D'INTÉGRITÉ (ICE)
LA BASE DE CALCUL DE CONFIANCE
Une base de calcul z/OS fiable repose sur l’intégrité et la sécurité du système
Nous devrions tous considérer qu’il va de soi que l’intégrité du système z/OS est enrichie par l’inclusion de l’utilisateur en tant que participant actif dans le paradigme
de sécurité global du mainframe z/OS. Considérez ceci : en temps réel, la seule personne qui peut VRAIMENT savoir si VOS identifiants de connexion
sont utilisés légitimement, c’est VOUS ! Pas un SIEM, pas le Help Desk, certainement pas un enregistrement SMF de quelque type que ce soit. Juste VOUS et VOUS seul !
IMPLICATION ACTIVE DES UTILISATEURS
Notifications en temps réel
La notification de l’utilisation des informations d’identification, lors de la connexion, donne à vos utilisateurs l’assurance que leur intégrité et l’intégrité du système n’ont pas été compromises par le vol d’informations d’identification. La notification de demande/tentative de réinitialisation de mot de passe/phrase fournit aux utilisateurs une assurance supplémentaire que l’intégrité globale reste intacte et qu’ils n’ont pas été « verrouillés ». Ces notifications vous permettent d’engager votre personnel dans la première défense de vos systèmes z/OS.
Périodes et conditions de vigilance
Une « inondation » existerait si des e-mails, des SMS ou des messages SIEM étaient envoyés avec chaque connexion, chaque réinitialisation ou chaque événement d’expiration de mot de passe. Pas une bonne idée! ICE/PSWD traite les « inondations » potentielles en prenant en charge la création de « périodes de surveillance » – sélectionnées par jour, date et heure – et/ou de « conditions de surveillance » – déclenchées par des codes de retour ou des événements sélectionnés sur des LPAR z/OS spécifiquement nommés – qui répondra aux besoins de chacun.
PROCESSUS DE MOT DE PASSE PLUS FORTS
Comment les utilisateurs savent-ils quand leurs mots de passe expirent ?
En règle générale, ils ne le font pas! Un utilisateur z/OS peut, de temps à autre, se connecter à TSO et être informé d’une expiration imminente. Mais ce n’est pas le cas pour CICS, FTP, VTAM et autres. La notification d’expiration conduit à des mots de passe plus forts car elle donne à l’utilisateur un intervalle de temps pour planifier une réinitialisation de mot de passe plus fort.
Comment pouvons-nous imposer l’utilisation de mots de passe plus complexes ?
En utilisant un processus simple, appelé « Format Binding », les utilisateurs individuels peuvent être liés à une ou plusieurs des règles de format de mot de passe disponibles. Les règles de format complexes (casse mixte, caractères spéciaux) se traduisent généralement par des mots de passe plus difficiles à deviner pour les pirates.
Qu’en est-il des échecs de connexion et des identifiants d’utilisateur invalides ?
Lorsqu’un mot de passe échoue lors de la connexion, cela peut être le résultat d’un mot de passe/ID utilisateur invalide ou d’une attaque malveillante « Brute-Force » ou « Password Spray ». ICE/PSWD signalera ces événements et d’autres événements similaires – par exemple, la connexion d’utilisateurs privilégiés – en temps réel, par e-mail, SMS ou en les connectant à votre SIEM.
Tout aussi troublante est la découverte d’un UserId invalide et/ou révoqué, souvent utilisé dans divers types d’attaques « Phishing ». Lorsque ICE/PSWD détecte un tel événement, une notification est envoyée directement à un emplacement central nommé, par e-mail, SMS et/ou acheminé directement vers votre SIEM.
UTILISER L'AUTHENTIFICATION MULTIFACTEUR - MFA
Qu'est-ce que l'AMF ?
MFA est un processus permettant d’ajouter un « facteur » aux informations d’identification de connexion de l’utilisateur. Un tel processus aboutit souvent à un secret que seul l’utilisateur connaît ou à un objet que seul l’utilisateur possède. L’utilisation de MFA peut considérablement enrichir l’intégrité de toutes les informations d’identification du système. Le résultat est une meilleure sécurité globale du système.
ICE/PSWD va encore plus loin dans le processus MFA avec des processus qui ajoutent des facteurs aux processus de connexion et de réinitialisation du mot de passe. Ensemble, ils imposent un meilleur niveau global d’intégrité et de sécurité du système. Avec ICE/PSWD, un utilisateur ne connaît jamais un mot de passe requis tant qu’il n’est pas réellement nécessaire et demandé au système z/OS cible.
Connexion multifacteur - MFL
Y compris un complexe z/OS, avec le contrôle d’une gestion d’identité fédérée (FIM) ou d’une authentification unique (SSO), le processus de connexion des utilisateurs invite souvent à une perte d’intégrité et de sécurité du système. MFL utilise les meilleurs concepts MFA, c’est-à-dire que l’utilisateur ne connaît jamais le mot de passe complet avant la connexion, tout en préservant les informations d’identification RACF de l’utilisateur et le contrôle ultime de RACF sur la connexion de l’utilisateur. Tous les logiciels, simples, directs.
MFL et MFR prennent tous deux en charge le secret MFA de l’utilisateur, son préfixe, en générant et en stockant sa forme chiffrée dans z/OS. Le préfixe peut être mis à jour à tout moment, aussi souvent que nécessaire. Les utilisateurs commencent une connexion en saisissant leur ID utilisateur et leur mot de passe RACF valides, après quoi le système z/OS génère et leur envoie, par e-mail ou SMS, un suffixe temporel. L’utilisateur concatène le préfixe et le suffixe dans un nouveau mot de passe qui, avec son ID utilisateur, peut être utilisé pour se connecter pendant une « fenêtre de validité ».
Réinitialisation multifacteur - MFR
Les systèmes MFA conventionnels ignorent totalement ou négligent la nécessité pour les utilisateurs de mettre à jour/réinitialiser leurs mots de passe ou leur phrase secrète. Le résultat : un point de contrôle RACF critique est désactivé, éliminant ainsi un « facteur » du processus multifacteur global.
ICE/PSWD conserve le contrôle de RACF sur le processus de réinitialisation, qu’il soit volontaire ou obligatoire. Dans les deux cas, les utilisateurs demandent un suffixe de mot de passe à usage unique, auquel ils ajoutent leur préfixe secret, et reviennent pour terminer la réinitialisation. Si la réinitialisation est volontaire et que le mot de passe n’a pas expiré, l’utilisateur peut être autorisé à contourner la réinitialisation. Mais, si la réinitialisation est nécessaire parce que le mot de passe a expiré, l’utilisateur DOIT terminer la réinitialisation dans un délai ne dépassant pas 15 minutes.