El término Elasticsearch nunca está lejos de los titulares, y generalmente por razones equivocadas. Aparentemente, cada semana que pasa trae una nueva historia sobre un servidor Elasticsearch que ha sido violado, lo que a menudo resulta en la divulgación de toneladas de datos. Pero, ¿por qué tantas infracciones provienen de los buckets de Elasticsearch y cómo pueden las empresas que explotan esta tecnología aprovecharla al máximo mientras evitan una fuga de datos?

Para responder a estas preguntas, primero debe comprender qué es Elasticsearch. Elasticsearch es un motor de análisis y búsqueda de código abierto, así como un almacén de datos desarrollado por Elastic.

Independientemente de si una organización tiene mil o mil millones de piezas discretas de información, con Elasticsearch tiene la capacidad de buscar grandes cantidades de datos y realizar cálculos en un abrir y cerrar de ojos. Elasticsearch es un servicio basado en la nube, pero las empresas también pueden usar Elasticsearch en las instalaciones o en conjunto con otra oferta en la nube.

Las organizaciones usarán la plataforma para almacenar toda su información en repositorios (también conocidos como depósitos), y esos depósitos pueden incluir correos electrónicos, hojas de cálculo, publicaciones en redes sociales, archivos, básicamente cualquier datos brutos en forma de texto, números o datos geoespaciales. Los datos. Por muy conveniente que parezca, puede ser desastroso cuando grandes cantidades de datos quedan desprotegidos y expuestos en línea. Desafortunadamente para Elastic, esto resultó en numerosas infracciones de alto perfil que involucraron a marcas conocidas de varias industrias.

Solo en 2020, el gigante de los cosméticos Avon tuvo 19 millones de registros filtrados a una base de datos de Elasticsearch. Otro segmento mal configurado que involucra a Family Tree Maker, un servicio de genealogía en línea, ha visto expuestos más de 25 GB de datos confidenciales. Lo mismo ha sucedido con el gigante deportivo Decathlon, que ha visto 123 millones de registros filtrados. Luego, más de cinco mil millones de registros quedaron expuestos después de que otra base de datos de Elasticsearch quedó desprotegida. Sorprendentemente, contenía una enorme base de datos de información de usuarios previamente violada entre 2012 y 2019.

Por lo que se ha revelado hasta ahora, está claro que aquellos que han optado por utilizar bases de datos basadas en la nube también deben realizar la debida diligencia necesaria para configurar y asegurar cada rincón del sistema. Además, está claro que esta necesidad a menudo se pasa por alto o simplemente se ignora. Un investigador de seguridad incluso hizo todo lo posible para averiguar cuánto tardarían los piratas informáticos en localizar, atacar y explotar un servidor Elasticsearch desprotegido que estaba deliberadamente expuesto en línea: ocho horas eran suficientes.

La transformación digital definitivamente ha cambiado la mentalidad de las empresas modernas y la nube se considera una nueva tecnología que debe adoptarse. Si bien las tecnologías en la nube ciertamente tienen sus ventajas, su uso inadecuado tiene consecuencias muy negativas. No comprender o no comprender las ramificaciones de seguridad de esta tecnología puede tener un impacto peligroso en las empresas.

Como tal, es importante darse cuenta de que, en el caso de Elasticsearch, el hecho de que un producto esté disponible gratuitamente y sea altamente escalable no significa que pueda ignorar las recomendaciones y configuraciones básicas de seguridad. Además, dado que los datos son ampliamente aclamados como la nueva moneda de oro, la demanda de monetización de datos actualizados nunca ha sido mayor. Obviamente, para algunas organizaciones, la privacidad y la seguridad de los datos han jugado un papel secundario con fines de lucro, ya que están haciendo todo lo posible para aprovechar la fiebre del oro de los datos.

¿Existe un único vector de ataque que un servidor debe violar? No realmente. La verdad es que existen diferentes formas de filtrar el contenido de un servidor: se roba una contraseña, los piratas informáticos se infiltran en los sistemas o incluso la amenaza de un interno que viola el entorno protegido. El más común, sin embargo, es cuando una base de datos se deja en línea sin ningún tipo de seguridad (incluso sin contraseña), dejando la posibilidad de que cualquiera pueda acceder a los datos. Entonces, si este es el caso, claramente existe un malentendido de las características de seguridad de Elasticsearch y lo que se espera de las organizaciones cuando protegen los datos confidenciales de los clientes. Esto podría deberse a la idea errónea de que la responsabilidad de la seguridad se transfiere automáticamente al proveedor de servicios en la nube. Esta es una suposición falsa y, a menudo, da como resultado servidores mal configurados o poco protegidos. La seguridad en la nube es una responsabilidad compartida entre el equipo de seguridad de la organización y el proveedor de servicios en la nube; sin embargo, como mínimo, la propia organización tiene la responsabilidad de realizar la debida diligencia necesaria para configurar y asegurar adecuadamente cada rincón del sistema para mitigar los riesgos potenciales.

Para prevenir eficazmente las violaciones de datos de Elasticsearch (o similares), se necesita una mentalidad diferente sobre la seguridad de los datos que permita a los datos estar a) protegidos dondequiera que existan, yb) por cualquiera puede gestionarlos en su nombre. Esta es la razón por la que un modelo de seguridad centrado en datos es más apropiado, ya que permite a una organización proteger los datos y usarlos mientras está protegido para el análisis y el intercambio de datos en base a recursos. la nube.

La seguridad estándar basada en cifrado es una forma de hacer esto, pero los métodos de cifrado vienen con gastos administrativos a veces complicados para administrar las claves. Además, muchos algoritmos de cifrado se pueden piratear fácilmente. La tokenización, por otro lado, es un método de seguridad centrado en datos que reemplaza la información confidencial con tokens representativos inofensivos. Esto significa que, incluso si los datos caen en las manos equivocadas, no se puede extraer un significado claro de los tokens. La información confidencial permanece protegida, lo que evita que los actores de amenazas se aprovechen de la violación y el robo de datos.

Con GDPR y la nueva ola de leyes de privacidad y seguridad de datos similares, los consumidores son más conscientes de lo que se espera al entregar su información confidencial a proveedores y proveedores de servicios, lo que hace que la protección de datos más importante que nunca. Si se hubieran implementado técnicas como la tokenización para ocultar información en muchas de estas filtraciones del servidor Elasticsearch, esos datos habrían sido indescifrables para los actores de amenazas criminales: la información en sí no se habría visto comprometida y el la organización culpable habría cumplido y se habría librado de toda responsabilidad. – contribuciones fundadas.

Esta es una lección para todos nosotros en el campo del trabajo con datos: si alguien realmente sueña que sus datos están seguros mientras están «ocultos a la vista» en un recurso en la nube «anónimo», la cadena de Las fallas en Elasticsearch y otros proveedores de servicios en la nube deberían proporcionar el recordatorio necesario para actuar ahora. ¡Nadie quiere lidiar con las consecuencias cuando suena una verdadera llamada de atención!

Share This
A %d blogueros les gusta esto: