Protégez vos déploiements Elasticsearch des attaques "robot meow", gratuitement
La "sécurité par défaut" est le concept dont a besoin la technologie pour être sûre et sécurisée dès le départ. C'est pour cette raison que votre smartphone se verrouille quand vous le laissez sans surveillance, et que les produits Elastic sont dotés de fonctionnalités de sécurité gratuites et ouvertes comme la communication chiffrée TLS, le contrôle d'accès basé sur les rôles (RBAC), et bien plus encore. C'est également pour cela que vous ne pouvez pas désactiver la sécurité dans un déploiement Elastic Cloud. Faire de la sécurité une priorité par défaut est un élément de base fondamental.
Dans cet article, nous allons étudier les récentes attaques "robot meow". Nous verrons comment elles se produisent et nous apprendrons quelques mesures simples qui permettent de les empêcher.
Détection des données non sécurisées
Le problème des bases de données non sécurisées devient de plus en plus important. En 2019, 17 pour cent de l'ensemble des violations de données étaient causées par des erreurs humaines : c'est deux fois plus que l'année précédente. Selon le rapport IBM/Ponemon 2019, la probabilité estimée qu'une entreprise subisse des violations de données récurrentes sur deux ans a augmenté de 31 pour cent entre 2014 et 2019.
Quelle est la raison de ce phénomène ? Les bases de données non sécurisées sont les cibles d'une nouvelle économie de la cybercriminalité qui prospère pour deux raisons clés : la croissance du marché des données client et des outils bon marché qui facilitent plus que jamais la tâche aux criminels pour y avoir accès. Ce n'est pas du piratage, mais tout simplement de l'exploration et de la saisie dès que quelque chose apparaît à découvert.
Le dernier exemple en date est les récentes attaques "robot meow", qui ont déjà affecté des milliers de bases de données MongoDB et Elasticsearch non sécurisées. Le script d'attaque automatisé recherche des bases de données ouvertes, puis écrase les données avec le mot "meow" suivi d'une chaîne de chiffres. Le "robot meow" n'est qu'un système bon marché à grande échelle parmi plusieurs qui scanne Internet tous les jours pour trouver des bases de données non sécurisées en quelques heures, et parfois en seulement quelques minutes. Elastic condamne ces attaques et exhorte tout le monde à être plus rigoureux dans le stockage de leurs données sensibles.
Malheureusement, les propriétaires des bases de données touchées par cet incident ont désactivé par erreur ou n'ont pas configuré les fonctionnalités qui sécurisent le mieux leurs données client. Ce n'est pas un problème d'intention de nuire, car les développeurs ou le personnel de sécurité des organisations ne réalisent pas toujours à quel point des décisions à première vue inoffensives comme laisser une base de données non sécurisée pendant une maintenance peuvent avoir un impact par la suite.
Protégez vos données Elasticsearch des attaques "meow"
Ces attaques nuisibles peuvent être évitées grâce aux fonctionnalités de sécurité gratuites incluses dans les produits Elastic. Pour les utilisateurs du cloud, la sécurité est activée par défaut dans Elasticsearch Service sur Elastic Cloud et ne peut pas être désactivée. Les clients d'Elastic Cloud ne sont donc pas vulnérables face aux problèmes survenus avec les attaques "robot meow".
Une autre méthode gratuite qui permet d'éviter ces incidents est de configurer des systèmes d'analyse externes qui recherchent en continu les bases de données exposées. Ces outils gratuits, que les pirates utilisent également, fournissent aux équipes de sécurité des notifications immédiates lorsqu'un développeur a laissé des données sensitives déverrouillées par erreur. Shadowserver propose par exemple un outil d'analyse gratuit.
Pour savoir comment démarrer la sécurisation de vos déploiements Elastic, lisez notre article de blog qui vous explique comment éviter une intrusion sur le serveur Elasticsearch. Vous pouvez trouver des conseils plus généraux sur la sécurisation de vos déploiements dans notre documentation. Nous proposons également un cours gratuit et à la demande intitulé Fundamentals of Securing Elasticsearch (notions de base de la sécurisation d'Elasticsearch), qui aborde l'authentification des utilisateurs, le contrôle d'accès basé sur les rôles (RBAC), le chiffrement nœud à nœud, le filtrage IP, le chiffrement HTTPS, et bien plus.