Với các cuộc tấn công cơ sở dữ liệu đang gia tăng, làm thế nào các công ty có thể tự bảo vệ mình?

Cơ sở dữ liệu bị định cấu hình sai hoặc không an toàn được hiển thị trên web mở là một vấn đề đáng lo ngại. Chúng tôi nghe về một số trong số chúng vì các nhà nghiên cứu bảo mật cho chúng tôi biết cách họ phát hiện ra chúng, xác định chính xác chủ sở hữu của chúng và cảnh báo cho họ, nhưng rất nhiều lỗ hổng được tìm thấy bởi những kẻ tấn công trước.

Trước đây, phải mất hàng tháng để quét Internet tìm kiếm các hệ thống mở, nhưng những kẻ tấn công hiện có quyền truy cập vào các công cụ quét miễn phí và dễ sử dụng có thể tìm thấy chúng trong vòng chưa đầy một giờ.

“Như một thử nghiệm honeypot cho thấy, cơ sở dữ liệu mở được nhắm mục tiêu hàng trăm lần trong vòng vài giờ,” Josh Bressers, trưởng nhóm bảo mật sản phẩm tại Elastic, nói với Help Net Security.

“Không có cách nào để để dữ liệu không an toàn trực tuyến mà không sơ hở để bị tấn công. Đây là lý do tại sao điều quan trọng là phải luôn bật các tính năng bảo mật và xác thực khi thiết lập cơ sở dữ liệu, để tổ chức của bạn tránh hoàn toàn rủi ro này ”.

Những kẻ tấn công làm gì với cơ sở dữ liệu bị lộ?

Bressers đã tham gia vào việc bảo mật các sản phẩm và dự án – đặc biệt là mã nguồn mở – trong một thời gian rất dài. Trong hai thập kỷ qua, ông đã thành lập bộ phận bảo mật sản phẩm tại Progeny Linux Systems và làm quản lý nhóm bảo mật sản phẩm Red Hat và đứng đầu chiến lược bảo mật trong Red Hat’s Platform Business Unit.

Giờ đây, anh quản lý các chương trình bug bounty, kiểm tra thâm nhập và lỗ hổng bảo mật cho các sản phẩm của Elastic, cũng như nỗ lực của công ty để cải thiện bảo mật ứng dụng, thêm mới và cải thiện các tính năng bảo mật hiện có nếu khách hàng cần hoặc yêu cầu.

Ông nói, vấn đề với các cơ sở dữ liệu Elasticsearch (MariaDB, MongoDB, v.v.) bị lộ là chúng thường không được bảo mật bởi các nhà phát triển do nhầm lẫn và các công ty không nhanh chóng phát hiện ra.

“Các công cụ quét thực hiện hầu hết công việc, vì vậy kẻ tấn công sẽ quyết định xem cơ sở dữ liệu có bất kỳ dữ liệu nào đáng bị đánh cắp hay không”, ông lưu ý và chỉ ra rằng chính xác thì đây không phải là hack – mà là khai thác các dịch vụ mở.

Những kẻ tấn công có thể nhanh chóng lấy sạch dữ liệu có thể truy cập, giữ nó để đòi tiền chuộc, bán nó cho người trả giá cao nhất, sửa đổi hoặc đơn giản là xóa tất cả.

“Đôi khi không có lợi thế hoặc động cơ rõ ràng. Ví dụ, mùa hè này đã chứng kiến một chuỗi các cuộc tấn công mạng được gọi là cuộc tấn công Meow Bot đã ảnh hưởng đến ít nhất 25.000 cơ sở dữ liệu cho đến nay. Kẻ tấn công đã thay thế nội dung của mọi cơ sở dữ liệu bị ảnh hưởng bằng từ ‘meo meo’ nhưng không được xác định hoặc tiết lộ bất cứ điều gì đằng sau mục đích của cuộc tấn công, ”ông giải thích.

Lời khuyên dành cho các tổ chức sử dụng cơ sở dữ liệu cluster

Các nền tảng cơ sở dữ liệu nguồn mở như Elasticsearch có bảo mật tích hợp để ngăn chặn các cuộc tấn công kiểu này, nhưng các nhà phát triển thường vô hiệu hóa các tính năng đó một cách vội vàng hoặc do không hiểu rằng hành động của họ có thể khiến dữ liệu khách hàng gặp rủi ro, Bressers nói.

“Điều quan trọng nhất cần ghi nhớ khi cố gắng bảo mật dữ liệu là hiểu rõ ràng những gì bạn đang bảo mật và ý nghĩa của nó đối với tổ chức của bạn. Dữ liệu nhạy cảm như thế nào? Mức độ bảo mật nào cần được áp dụng? Ai nên có quyền truy cập? ” Anh ấy đã giải thích.

“Đôi khi làm việc với một đối tác là chuyên gia điều hành cơ sở dữ liệu hiện đại là một giải pháp thay thế an toàn hơn là tự mình làm. Đôi khi không. Quản lý dữ liệu hiện đại là một vấn đề mới đối với nhiều tổ chức; đảm bảo mọi người của bạn hiểu rõ các cơ hội và thách thức. Và quan trọng nhất, hãy đảm bảo rằng họ có công cụ và sự huấn luyện ”.

Thứ hai, ông nói, các công ty nên thiết lập các hệ thống quét bên ngoài liên tục kiểm tra các cơ sở dữ liệu bị lộ.

“Đây có thể là những công cụ giống nhau được những kẻ tấn công sử dụng, nhưng chúng ngay lập tức thông báo cho các nhóm bảo mật khi một nhà phát triển đã mở khóa nhầm dữ liệu nhạy cảm. Ví dụ, một máy quét miễn phí có sẵn từ Shadowserver. ”

Elastic cung cấp thông tin và tài liệu về cách bật các tính năng bảo mật của cơ sở dữ liệu Elasticsearch và ngăn chặn việc bị lộ, anh ấy nói thêm và chỉ ra rằng bảo mật được bật theo mặc định trong Dịch vụ Elasticsearch của họ trên Elastic Cloud và không thể tắt được.

Phòng thủ theo chiều sâu

Sẽ không có tổ chức nào an toàn 100% nhưng có thể thực hiện các bước để giảm bề mặt tấn công của công ty. “Phòng thủ theo chiều sâu” là tên của trò chơi, Bressers nói, và trong trường hợp này, nó phải bao gồm các lớp bảo mật sau:

Phát hiện mức độ phơi nhiễm dữ liệu (sử dụng các hệ thống quét bên ngoài đã đề cập trước đây)
Xác thực mạnh (SSO hoặc tên người dùng / mật khẩu)
Ưu tiên truy cập dữ liệu (ví dụ: bộ phận nhân sự có thể chỉ cần truy cập thông tin nhân viên và bộ phận kế toán có thể chỉ cần truy cập vào dữ liệu ngân sách và thuế)
Triển khai cơ sở hạ tầng giám sát và các giải pháp tự động có thể nhanh chóng xác định các vấn đề tiềm ẩn trước khi chúng trở thành trường hợp khẩn cấp, cô lập cơ sở dữ liệu bị nhiễm và gắn cờ cho nhóm hỗ trợ và CNTT cho các bước tiếp theo
Ông cũng khuyên các tổ chức không có chuyên môn nội bộ để thiết lập cấu hình bảo mật và quản lý cơ sở dữ liệu nhóm nên thuê các nhà cung cấp dịch vụ có thể xử lý việc quản lý dữ liệu và có danh mục bảo mật mạnh mẽ, đồng thời luôn có kế hoạch giảm thiểu và diễn tập nó với nhóm CNTT và bảo mật của họ để khi có điều gì đó xảy ra, họ có thể thực hiện phản hồi nhanh chóng và có chủ đích.

Thegioibantin.com | Vina-aspire News

Source:helpnetsecurity.com