13 janvier 2017 Technique

Protégez-vous des attaques qui volent vos données contre une rançon

Par Mike Paquette

La semaine dernière, une attaque malveillante a été lancée, dans laquelle les données de milliers de bases de données open source ont été copiées, supprimées puis détenues contre une rançon. Bien qu'aucun malware, ni même de ransomware n'ait été utilisé dans ces attaques, et qu'elles ne soient pas liées à des failles de sécurité dans un produit, elles représentent toutefois de graves incidents de sécurité qui impliquent une perte de données, voire une divulgation de données. La bonne nouvelle c'est que la perte de données résultant d'attaques similaires est facilement évitable avec une bonne configuration.

Considérons donc cela comme un rappel qu'il est important de sécuriser toutes les instances d'Elasticsearch, particulièrement celles accessibles sur Internet.

Les clients qui ont opté pour Elastic Cloud peuvent être rassurés, leurs clusters sont protégés par la sécurité fournie par X-Pack et des mots de passes générés aléatoirement. Ces clusters sont déployés derrière des pare-feux et proxys redondés au sein de la région AWS sélectionnée par le client. Dans la configuration par défaut, la communication depuis Internet est chiffrée en TLS. De plus, Elastic effectue des sauvegardes des données du cluster avec une rétention de deux jours.

Pour tous les autres déploiements, nous vous conseillons fortement de ne pas exposer les instances d'Elasticsearch non sécurisées à Internet. À ce propos, consultez cet article de 2013. Nous avons mis cela en pratique en connectant notre installation par défaut à localhost. Néanmoins, nous avons appris qu'un nombre important d'instances non sécurisées étaient accessibles sur Internet.

Si vous disposez d'une instance d'Elasticsearch non sécurisée accessible sur Internet, nous vous recommandons de prendre des mesures immédiatement pour protéger vos données :

  • Effectuez des sauvegardes de toutes vos données dans un lieu sécurisé et envisagez des backups avec Curator.
  • Reconfigurez votre environnement pour qu'Elasticsearch soit exécuté sur un réseau isolé sans routage externe.
  • Si vous devez absolument accéder au cluster sur Internet, limitez l'accès à votre cluster à l'aide de pare-feux, d'un VPN, d'un reverse proxy ou d'une autre technologie.

Enfin, nous vous recommandons les bonnes pratiques suivantes :