Le terme Elasticsearch n’est jamais loin des gros titres et généralement pour les mauvaises raisons. Apparemment, chaque semaine qui passe apporte une nouvelle histoire à propos d’un serveur Elasticsearch qui a été violé, ce qui entraîne souvent la divulgation de tonnes de données. Mais pourquoi tant de failles proviennent-elles des seaux Elasticsearch, et comment les entreprises qui exploitent cette technologie peuvent-elles l’utiliser au maximum tout en empêchant une fuite de données?
Pour répondre à ces questions, il faut tout d’abord comprendre ce qu’est Elasticsearch. Elasticsearch est un moteur de recherche et d’analyse open source ainsi qu’un magasin de données développé par Elastic.
Indépendamment du fait qu’une organisation dispose d’un millier ou d’un milliard d’informations discrètes, en utilisant Elasticsearch, elle a la capacité de rechercher d’énormes quantités de données, en exécutant des calculs en un clin d’œil. Elasticsearch est un service basé sur le cloud, mais les entreprises peuvent également utiliser Elasticsearch localement ou en tandem avec une autre offre cloud.
Les organisations utiliseront ensuite la plate-forme pour stocker toutes ses informations dans des dépositaires (également appelés seaux), et ces seaux peuvent inclure des e-mails, des feuilles de calcul, des publications sur les réseaux sociaux, des fichiers – essentiellement toutes les données brutes sous forme de texte, de chiffres ou de données géospatiales. Les données. Aussi pratique que cela puisse paraître, cela peut être désastreux lorsque des quantités massives de données sont laissées sans protection et exposées en ligne. Malheureusement pour Elastic, cela a entraîné de nombreuses violations de grande envergure impliquant des marques bien connues de divers secteurs.
Rien qu’en 2020, le géant des cosmétiques Avon a eu 19 millions d’enregistrements divulgués dans une base de données Elasticsearch. Un autre compartiment mal configuré impliquant Family Tree Maker, un service de généalogie en ligne, a connu plus de 25 Go de données sensibles exposées. La même chose s’est produite avec le géant du sport, Decathlon, qui a vu 123 millions de disques divulgués. Ensuite, plus de cinq milliards d’enregistrements ont été exposés après qu’une autre base de données Elasticsearch soit restée sans protection. Étonnamment, il contenait une base de données massive d’informations utilisateur précédemment violées de 2012 à 2019.
D’après ce qui a été révélé jusqu’à présent, il est clair que ceux qui ont choisi d’utiliser des bases de données basées sur le cloud doivent également effectuer la diligence raisonnable nécessaire pour configurer et sécuriser chaque coin du système. De plus, il est clair que cette nécessité est souvent négligée ou tout simplement ignorée. Un chercheur en sécurité est même allé jusqu’au bout pour découvrir combien de temps il faudrait aux pirates pour localiser, attaquer et exploiter un serveur Elasticsearch non protégé qui a été délibérément exposé en ligne – huit heures ont suffi.
La transformation numérique a définitivement changé la mentalité de l’entreprise moderne, le cloud étant considéré comme une nouvelle technologie qui doit être adoptée. Si les technologies cloud ont certainement leurs avantages, leur utilisation inappropriée a des conséquences très négatives. Ne pas comprendre ou ne pas comprendre les ramifications de sécurité de cette technologie peut avoir un impact dangereux sur les entreprises.
En tant que tel, il est important de réaliser que dans le cas d’Elasticsearch, ce n’est pas parce qu’un produit est disponible gratuitement et hautement évolutif que vous pouvez ignorer les recommandations et configurations de sécurité de base. En outre, étant donné que les données sont largement saluées comme la nouvelle monnaie d’or, la demande de monétisation de données à jour n’a jamais été aussi grande. De toute évidence, pour certaines organisations, la confidentialité et la sécurité des données ont joué un rôle secondaire pour le profit, car elles font tout leur possible pour tirer parti de la ruée vers l’or des données.
Existe-t-il un seul vecteur d’attaque pour un serveur à violer? Pas vraiment. En vérité, il existe différentes manières de divulguer le contenu d’un serveur – un mot de passe est volé, des pirates informatiques infiltrant les systèmes, ou même la menace d’un initié qui enfreint l’environnement protégé lui-même. Le plus courant, cependant, se produit lorsqu’une base de données est laissée en ligne sans aucune sécurité (même sans mot de passe), laissant ainsi la possibilité à quiconque d’accéder aux données. Donc, si tel est le cas, il y a clairement une mauvaise compréhension des fonctionnalités de sécurité d’Elasticsearch et de ce qui est attendu des organisations lors de la protection des données clients sensibles. Cela pourrait découler de l’idée fausse courante selon laquelle la responsabilité de la sécurité est automatiquement transférée au fournisseur de services cloud. Il s’agit d’une fausse hypothèse et entraîne souvent des serveurs mal configurés ou sous-protégés. La sécurité du cloud est une responsabilité partagée entre l’équipe de sécurité de l’organisation et le fournisseur de services cloud; cependant, au minimum, l’organisation elle-même a la responsabilité d’effectuer la diligence raisonnable nécessaire pour configurer et sécuriser correctement chaque coin du système afin d’atténuer les risques potentiels.
Pour éviter efficacement les violations de données d’Elasticsearch (ou similaires), un état d’esprit différent en matière de sécurité des données est nécessaire et qui permet aux données d’être a) protégées partout où elles peuvent exister, et b) par quiconque peut les gérer pour leur compte. C’est pourquoi un modèle de sécurité centré sur les données est plus approprié, car il permet à une entreprise de sécuriser les données et de les utiliser pendant qu’elles sont protégées pour l’analyse et le partage de données sur des ressources basées sur le cloud.
La sécurité standard basée sur le chiffrement est un moyen de le faire, mais les méthodes de chiffrement comportent des frais administratifs parfois compliqués pour gérer les clés. En outre, de nombreux algorithmes de cryptage peuvent être facilement piratés. La tokenisation, quant à elle, est une méthode de sécurité centrée sur les données qui remplace les informations sensibles par des jetons de représentation inoffensifs. Cela signifie que, même si les données tombent entre de mauvaises mains, aucune signification claire ne peut être tirée des jetons. Les informations sensibles restent protégées, ce qui empêche les acteurs de la menace de tirer parti de la violation et du vol de données.
Avec le RGPD et la nouvelle vague de lois similaires sur la confidentialité et la sécurité des données, les consommateurs sont plus conscients de ce qui est attendu lorsqu’ils transmettent leurs informations sensibles aux fournisseurs et aux fournisseurs de services, rendant ainsi la protection des données plus importante que jamais. Si des techniques telles que la tokenisation avaient été déployées pour masquer les informations dans beaucoup de ces fuites de serveurs Elasticsearch, ces données auraient été indéchiffrables par les acteurs de la menace criminelle – les informations elles-mêmes n’auraient pas été compromises et l’organisation en faute aurait été conforme et aurait échappé à toute responsabilité. -contributions fondées.
Ceci est une leçon pour nous tous dans le domaine du travail avec les données – si quelqu’un rêve réellement que ses données sont en sécurité alors qu’elles sont «cachées à la vue» sur une ressource cloud «anonyme», la chaîne de défaillances autour d’Elasticsearch et les autres fournisseurs de services cloud devraient fournir le rappel nécessaire pour agir maintenant. Personne ne veut gérer les retombées lorsqu’une véritable sonnette d’alarme se déclenche!
